Google Analytics è illegale?
Come abbiamo potuto vedere e leggere su numerosi siti in questi giorni, nel mondo digitale è sorto un dibattito molto importante riguardo la legittimità del più importante ed utilizzato strumento di analisi dei dati online, infatti, Google analytics 3 è stato vietato nell’Unione Europea. Prima di entrare nel merito della questione del trattamento dei dati da parte di Google Analytics, cerchiamo di capire bene cosa sia. GA è un servizio gratuito di web analytics, ovvero consente di raccogliere i dati di un sito web e analizzarne le relative visualizzazioni, la tipologia di utenti e i rispettivi tempi di permanenza all’interno di questo.
Perché quindi uno strumento che fornisce questi servizi gratuitamente viene definito addirittura definito illegale? Nonostante sia uno dei maggiori siti di statistiche per i siti web, la piattaforma è stata scoperta a trasferire i dati degli utenti su server dislocati negli USA. I loro parametri sono però molto diversi rispetto a quelli europei per quanto riguarda la privacy e più nello specifico la gestione dei dati sensibili (GDPR).
Cosa traccia Google Analytics?
Il trattamento dei dati da parte di GA non è conforme alle regole imposte dalla GDPR (ovvero il Regolamento Generale sulla Protezione dei Dati).
Vengono di fatto mandati:
– Indirizzi IP;
– Informazioni sull’utente (compresa la geolocalizzazione);
– Indicazioni sul sistema operativo;
– Informazioni sulla risoluzione dello schermo;
– Indicazioni sulla data e l’ora della visita dei siti da parte degli utenti;
– Addirittura la fase decisionale e comportamentale di un utente in base alle scelte dei link;
Gli USA sono privi di un adeguato livello di protezione! I dati che avrebbero dovuto essere visibili solo alla piattaforma Google (alla quale appartiene il servizio), venivano invece visti ed utilizzati da diverse società, tra i quali autorità governative e società di intelligence statunitensi.
La vittima sacrificale che è stata ammonita per l’utilizzo del GA è stata Caffeina Media Srl, una società italiana che ha dato il via a tutta la problematica sulla privacy e il suo corretto utilizzo.
Di chi è la responsabilità dei dati?
La domanda che sorge spontanea è quindi il perché la colpa non sia di BigG, ma della società che stava utilizzando il servizio. A questo proposito possiamo rispondere con sole tre parole: Principio di Accountability, questo criterio fa sì che Google sia “scagionato” da qualsiasi colpa. È infatti il titolare del sito che deve adottare le misure tecniche e organizzative necessarie per assicurare il corretto trattamento dei dati personali dell’utente e non Google Analytics.
Cosa fare quindi?
La soluzione, al momento più gettonata, è il passaggio da Google Analytics a Google Analytics 4 (GA4), ovvero sostanzialmente lo stesso servizio, che fa però a meno dell’IP dell’utente. Questa alternativa non convince ugualmente il Garante della Privacy poiché, avendo Google sede negli USA, il problema sarebbe sempre lo stesso. I dati verrebbero comunque inviati tramite script e identificatori vari, permettendo quindi di risalire all’IP originario ed identificare l’utente, seppur originariamente mascherato.
Per continuare ad utilizzare GA4 una possibile soluzione è l’utilizzo di un server proxy per evitare qualsiasi contatto diretto tra il terminale dell’utente Internet e i server dello strumento di analisi (in questo caso Google).
Il server che effettua la proxyfication, però, deve implementare una serie di misure per limitare i dati trasferiti:
- l’assenza di trasferimento dell’indirizzo IP ai server dello strumento di analisi;
- la sostituzione dell’identificatore utente con il server proxy;
- la rimozione di informazioni di referrer esterni dal sito;
- la rimozione di eventuali parametri contenuti negli URL raccolti (es. UTM, ma anche parametri URL che consentono il routing interno del sito);
- rielaborazione di informazioni che possono essere utilizzate per generare un’impronta digitale, come gli user-agent, per rimuovere le configurazioni più rare che possono portare alla reidentificazione;
- l’assenza di raccolta di identificatori cross-site o duraturi (CRM ID, ID univoco);
- la cancellazione di qualsiasi altro dato che possa portare alla re-identificazione.
Il server proxy deve inoltre essere ospitato in condizioni che garantiscano che i dati da esso trattati non vengano trasferiti al di fuori dell’Unione Europea. I paesi extraeuropei non forniscono infatti un livello di protezione equivalente a quello previsto all’interno dello Spazio Economico Europeo.
Ci sono alternative legali a Google Analytics?
Per chi, giustamente, non se la sente di avventurarsi tra i vari passaggi per la regolamentazione all’utilizzo di GA4, ci sono alternative già valide autonomamente!
Ecco alcuni nomi:
– Simple Analytics (servizio che non utilizza ne cookie, ne indirizzo IP dell’utente e non manda i dati personali oltre oceano)
– Plausible (servizio che non utilizza cookie, utilizzando però l’IP dell’utente per 24h senza mandare i dati personali oltre oceano)
– Matomo (servizio che utilizza i cookie, ma che lascia l’IP anonimo senza inviare i dati oltre oceano)
– Fathom (servizio che non utilizza cookie, lasciando l’IP anonimo e non inviando i dati oltre oceano)
Leggi anche “Adeguare il sito web alla cookie policy“
Per Google la questione è risolta?
Sfortunatamente, per Google per lo meno, non ancora del tutto. Nonostante le valide opzioni possibili, il troncamento dell’ultimo ottetto di numeri (che avviene nell’anonimizzazione dell’IP) non impedisce di re-identificare l’utente.
Solo l’approvazione del Garante della Privacy potrà definire precisamente cosa potremmo utilizzare in futuro.
Per rimanere informato sulla problematica e avere delle risposte aggiornate in tempo reale, non esitare ad iscriverti alla nostra newsletter o inviarci una mail per chiedere maggiori dettagli!!
