Ma quindi, Google Analytics è diventato illegale?

Questo si sono chiesti molti proprietari di siti web dopo la sentenza del Garante della Privacy del 9 giugno 2022, che di fatto ha portato confusione e non poco scompiglio nel mondo del marketing e non solo. Ma cosa è accaduto e come è necessario rimediare?

Ora che è passato un po’ di tempo e gli animi si sono raffreddati, proviamo a fare ordine e rispondere punto per punto.

Vuoi leggere altri contenuti come questo?
Iscriviti alla newsletter!
Ogni mese riceverai novità dal mondo del digital approfondite dai consulenti esperti di Instilla, direttamente nella tua inbox.

La sentenza del Garante

Con il provvedimento del 9 giugno il Garante ha condannato la società Caffeina Media Srl per l’impiego fatto di Google Analytics. L’organi, analizzando nel dettaglio i termini di servizio del tool della grande G, ha rilevato che, di fatto, l’utilizzo non risulterebbe compatibile con la GDPR.

Sembra infatti che Analytics preveda la possibilità di conservare e far consultare i dati degli utenti registrati su server americani, senza il consenso di un giudice. Questo, ovviamente, è in diretto contrasto con la normativa europea.

Tra i tanti dati registrati da Analytics, insieme ai cookies c’è anche l’indirizzo IP, che di fatto consente di riconoscere univocamente un dispositivo. Anche se alcune funzioni speciali consentirebbero di proteggere la privacy “tagliando” l’indirizzo IP (e cioè non registrandone la parte finale) questo per il Garante non sarebbe sufficiente:

“Anche nel caso fosse troncato non diverrebbe un dato anonimo, considerata la capacità di Google di arricchirlo con altri dati di cui è in possesso”.

Questa sentenza non stupisce, dato che dichiarazioni simili erano già state fatte in altri paesi europei dai garanti locali.

Il primo paese a esprimersi, lo scorso 14 gennaio, è stata l’Austria, seguita dalla Francia: in questo caso ci si è spinti fino a infliggere una multa pari a 150 milioni di euro. A oggi, si sono allineati contro Analytics anche Svezia, Olanda e Norvegia.

Con questa sentenza anche il Garante italiano non considera a norma Analytics. Ma quali sono le soluzioni?

La sede istituzionale del Garante della Privacy (fonte WikiCommons)

Non è solo un problema di Analytics

Chiariamo subito che non è Universal Analytics a essere illegale di per sè, ma l’uso che si fa dei dati e il loro trasferimento automatico sui server americani di Google.

Va detto, tuttavia, che questa pratica non è presente solo su Analytics: spostano dati su server americani anche piattaforme di marketing, CRM e molti altri tool. Non è un caso quindi che i governi USA ed Europei stiano cercando soluzioni politiche a questo problema, che potrebbe far scattare un effetto domino su tutto il settore.

A esprimersi è anche stata la presidente della Commissione Europea Ursula von der Leyen, che si è detta al lavoro con l’amministrazione Biden per garantire un flusso di dati più sicuro tra Stati Uniti ed Europa, salvaguardando i diritti civili e alla privacy, 

Rimuovere Analytics, oltre a farci perdere molti dati, sarebbe quindi insensato, perché il problema non è Analytics.

Come vedremo a breve, tuttavia, ci sono soluzioni che si possono adottare per continuare a ricevere dati fondamentali per misurare le performance, senza infrangere le GDPR. 

Ursula Von Der Leyen (fonte WikiCommons)

In rotta verso GA4

Google stessa, in diverse dichiarazioni, ha consigliato l’uso della nuova versione del suo software di Analytics, ovvero GA4.

In una dichiarazione al Sole 24Ore, Guido Scorza, del collegio Garante Privacy, ha in effetti rilevato che “A una prima vista questa versione riduce, non elimina, il rischio di accesso governativo ai dati di re-identificazione degli utenti”. 

GA4 è quindi il primo passo per “mettersi in regola”, ma nelle situazioni più delicate potrebbe non bastare. Se cerchiamo un precedente, l’unica raccomandazione governativa è quella del Garante francese, che ha suggerito di passare a GA4 e parallelamente utilizzare un proxy per filtrare il trasferimento dati. Si tratta di una soluzione al 100% compliant, ma comporta costi di mantenimento che prima non erano previsti. 

Altra opzione è quella di scegliere una alternativa ad Analytics di un fornitore Europeo e basata su server europei: in questo caso è consigliabile affidarsi a esperti, in quanto non tutte queste piattaforme sono integrate a tool di terze parti come lo è Google.

La scelta deve quindi essere basata su una conoscenza dei tool utilizzati o che potrebbero rendersi necessari nel prossimo futuro. 

Leggi anche: GA4: cos’è e come funziona Google Analytics 4

Il falso mito dei “tre mesi per decidere”

La sentenza del Garante aveva dato tre mesi di tempo all’azienda incriminata per mettersi in regola. Da qui è nato il falso mito secondo cui tutte le aziende avrebbero dovuto adattarsi alla nuova situazione tre mesi.

In realtà, come ha chiarito anche da Giulia Sala di IAB, i tre mesi riguardano il caso specifico, e non sono un lasciapassare per tutti. Il Garante, tuttavia, è anche consapevole che le aziende non sappiano bene cosa fare e che siano senza indicazioni chiare: il primo passo, quindi, è quello di non cadere nel panico e affidarsi a interlocutori esperti.

In Instilla, per esempio, utilizziamo GA4 già da tempo e abbiamo già preso confidenza con lo strumento, diventato così uno standard di utilizzo. Questo ci consente di invidividuare la soluzione migliore per ciascun business, a seconda delle necessità.

GA4, sicuramente sarà la piattaforma su cui investirà di più Google per “mettersi in regola”, e introduce inoltre diversi miglioramenti: ne abbiamo parlato in questo articolo. Come ha ribadito anche Isabella Mazzeo, di Google, Universal Analytics è in via di dismissione, e verrà sostituito integralmente da GA4. Ha quindi senso iniziare già ad adeguarsi.

GA4 è una piattaforma progettata con la privacy al centro, perché aggiunge nuovi controlli che consentono di non registrare gli indirizzi IP sui server, oltre ad altre novità che agevolano una gestione più granulare della registrazione dei dati in base alle diverse regolamentazioni dei paesi in cui si opera.
Ad esempio, un’azienda che lavora a livello internazionale può disabilitare gradualmente Google Signals e la raccolta della geo-location in base a ciascun Paese in cui opera.

Leggi anche: E-commerce analytics: sfruttare i tracciamenti per migliorare il ROI

Conclusione: mettiamoci al lavoro!

Questo momento va sfruttato per compiere i primi passi necessari e rimettersi in regola. Bisogna sempre ricordare che il passaggio a un nuovo tool richiede tempo e cura: tre mesi non sono moltissimi e sarebbe rischioso farli trascorrere senza iniziare a muovere i primi passi.

In un contesto così complesso e poco chiaro, ancora una volta, la soluzione migliore è quella di scegliere una strategia di tutela della privacy dei propri clienti.

Per farlo, il consiglio è sempre di affidarsi a consulenti con esperienza sui tool specifici e nella gestione di progetti di tracciamento complessi.

Vuoi dare una svolta digital alla tua azienda?
Parlaci del tuo progetto, disegneremo la strategia migliore per le tue esigenze.