Nel nostro ambiente, la notizia è stata un fulmine a ciel sereno. Il Garante italiano della privacy ha messo nero su bianco che Google Analytics, cioè il sistema di tracciamento presente sulla stragrande maggioranza dei siti web, non è in linea col regolamento europeo sulla protezione dei dati personali (GDPR). E adesso? Siamo davvero costretti a cancellarlo da tutti i siti, o ci sono modi più “soft” per mettersi in regola? Esistono delle alternative valide?

Come sanno bene i nostri clienti, a noi scatenare il panico non piace: preferiamo provare, nel nostro piccolo, a renderci utili. Per questo, all’indomani dell’annuncio abbiamo immediatamente consultato le fonti più attendibili e abbiamo contattato i nostri consulenti legali, per cercare insieme di sbrogliare la matassa. Premesso che la situazione è in continuo aggiornamento, ecco cosa abbiamo scoperto.

via GIPHY

Le argomentazioni del Garante della privacy

tracciamento datiCerchiamo innanzitutto di approfondire i motivi della decisione. A seguito di parecchie segnalazioni ricevute, il Garante della privacy (che, ricordiamo, non è un tribunale bensì un’autorità amministrativa indipendente) ha dato il via a una complessa istruttoria, collaborando con analoghe autorità europee.

Cosa è emerso? Che “i gestori dei siti web che utilizzano Google Analytics raccolgono, mediante cookie, informazioni sulle interazioni degli utenti con i predetti siti, le singole pagine visitate e i servizi proposti”. Fin qui non è niente che non sapessimo già, ma c’è un problema. Tutti questi dati vengono trasferiti negli Stati Uniti, dove le normative sulla privacy in vigore sono molto diverse dal GDPR, il rigido regolamento sulla protezione dei dati personali in vigore nell’Unione Europea.

Tra le informazioni trasferite ci sono per esempio quelle relative “al browser, al sistema operativo, alla risoluzione dello schermo, alla lingua selezionata, nonché data e ora della visita al sito web”. E l’indirizzo IP, da considerarsi in tutto e per tutto come un dato personale. Può essere troncato ma questo non basta per renderlo anonimo, perché Google può pur sempre incrociarlo con gli altri dati di cui è in possesso.

Il Garante è stato molto chiaro: questo trasferimento di dati è illecito. Di conseguenza ha ammonito un’agenzia digital italiana, imponendole di adeguarsi entro novanta giorni. E ha già fatto intendere che questo è soltanto il primo di molti altri provvedimenti simili.

Il nodo del trasferimento di dati personali negli Usa

trasferimento dei dati negli usaGià fin qui la questione incute abbastanza timore a chi, per lavoro, consulta dati di navigazione ogni giorno. Ma c’è dell’altro. Il problema, come spiegato, non è Google Analytics in sé. Il problema sta nel fatto che il GDPR permette di trasferire informazioni soltanto se vengono prese “misure tecniche, organizzative e contrattuali” che garantiscano uno standard di tutela dei dati uguale a quello europeo.

Gli Stati Uniti non rispettano questo requisito, spiega Il Sole24Ore, perché permettono all’Agenzia di sicurezza nazionale (NSA) di accedere ai dati di cittadini stranieri, archiviati su server di aziende americane. E di farlo senza la preventiva autorizzazione da parte di un giudice; un passaggio che, invece, nell’Unione Europea è obbligatorio.

Il fatto è che molte altre piattaforme digitali sono americane ed esportano i dati degli utenti, in maniera più o meno diretta. Oggi quindi i riflettori sono puntati su Google Analytics, ma un domani potrebbero finire nel mirino anche Google Maps, Dropbox, i social network e innumerevoli altri servizi che ormai sono parte integrante della nostra vita quotidiana.

Cosa bisogna fare con Google Analytics per non rischiare sanzioni

Google AnalyticsLo sappiamo, finora sembra un bollettino di guerra. Ma avevamo promesso di proporre delle soluzioni, ed è quello che – per quanto possibile – cercheremo a fare. Per fortuna, fin dalla fondazione di DigitalHive siamo sempre stati attentissimi al tema della privacy, facendoci affiancare da validi consulenti. Dopo aver studiato al meglio la questione, ad oggi ci hanno indicato che ci sono soltanto due strade per rendersi conformi alla posizione del Garante.

La prima è quella di cancellare tutti i dati da Google Analytics, per poi eliminare l’account.

La seconda è quella di convertire da Universal Analytics (cioè il sistema di tracciamento per tutti i siti fino all’autunno 2020) ad Google Analytics 4 (cioè il sistema di nuova generazione), impostando l’IP anonimizzato. Inizialmente si vociferava che bastasse questo upgrade, ma vi confermiamo (e lo dice anche Agenda Digitale) che non è così, perché anche Analytics 4 trasferisce negli Usa i dati personali degli utenti; l’unica differenza è il modo in cui lo fa.

Per evitare problemi, bisogna quindi passare attraverso un proxy, collocato in Europa, che faccia da filtro tra il sito e Google Analytics. Tutto questo avrà un costo e necessiterà di una configurazione ad hoc: stiamo impiegando questi frenetici giorni prima delle vacanze estive proprio per informarci sulle opzioni disponibili in Europa e sui loro prezzi.

Verso un nuovo accordo tra Usa e Ue?

Se ti senti un po’ scoraggiato dall’idea di dover sostenere una nuova spesa, pensa a cosa può significare tutto questo moltiplicato per i milioni di siti che usano Google Analytics. E per tutti quei servizi digitali americani che sono installati nei nostri smartphone e computer e potrebbero diventare i prossimi della lista.

Tutto questo caos nasce da un vuoto normativo: in passato esisteva infatti il cosiddetto Privacy Shield, letteralmente “scudo sulla privacy”, cioè un accordo sugli scambi transatlantici di dati personali a scopo commerciale. Nell’estate del 2020 però la Corte di giustizia Ue l’ha invalidato e, da allora, non è ancora stata trovata un’alternativa.

Le istituzioni ci stanno lavorando, come dimostra questo comunicato congiunto della Casa Bianca e della Commissione europea. I tempi della burocrazia però sono lunghi, decisamente troppo lunghi, se parametrati alla tecnologia che corre rapidissima e alle esigenze immediate delle aziende. Considerato quanto è alta la posta in gioco, auspichiamo tutti che si trovi al più presto un accordo. Politico, ma anche giuridico. Inutile dire che vi terremo aggiornati!

TAGS:
gdpr - marketing - monitoraggio - privacy - sicurezza - siti - utenti