Abbiamo affrontato in maniera approfondita l’argomento “Google Analytics” non una ma ben due volte:
Qui: Google Analytics è conforme al GDPR? – Prima Parte – FinData
e qui: Google Analytics è compatibile con il GDPR? Seconda parte e finale (findata.it)
Poi però il Garante per la protezione dei dati personali ha detto la sua. E non saranno parole facili da digerire ma andiamo con ordine…
Come addetti ai lavori è d’obbligo provare a fare chiarezza sul recente Comunicato del Garante Privacy italiano circa l’illeceità del web tool Google Analytics utilizzato dalla gran parte dei siti web presenti in internet. Una comunicazione le cui ripercussioni potrebbero impattare in modo importante sulle attività di chi, quotidianamente, ha a che fare con la gestione di siti web e portali Internet. Google Analytics infatti è tra i più utilizzati (se non il più utilizzato) in Italia per monitorare visite, fonti del traffico e statistiche di altro tipo.
Una premessa doverosa: noi di FinData non abbiamo nulla da vendere e quindi non cavalcheremo l’onda della paura e del “si salvi chi può” dalla prossima sanzione delle autorità.
 | Ma veniamo ai fatti: venerdì 24 giugno 2022 il Garante della Privacy italiano ha ammonito la società CAFFEINA MEDIA SRL perché utilizzava Google Analytics (nella sua versione GA3 o Analytics Universal) sul proprio sito web. |
Primo elemento: si tratta di un’ammonizione che non prevede una sanzione pecuniaria e Caffeina Media Srl ha 90 giorni per adeguarsi a quanto previsto nel provvedimento di ammonizione.
Secondo elemento: sappiamo che Google Analytics può essere “anonimizzato”, ovvero: Quando un cliente di Analytics richiede l’anonimizzazione dell’indirizzo IP, Analytics anonimizza l’indirizzo non appena ciò è tecnicamente possibile nel passaggio più a monte della rete in cui avviene la raccolta dei dati. La funzione di anonimizzazione IP in Analytics imposta l’ultimo ottetto di indirizzi IP dell’utente IPv4 e gli ultimi 80 bit degli indirizzi IPv6 su zero in memoria subito dopo l’invio alla rete di raccolta di Analytics.
Questo accorgimento però non è risolutivo del “problema” relativo all’anonimizzazione perché di fatto l’indirizzo IP costituisce un dato personale e anche nel caso fosse troncato non diverrebbe un dato anonimo, considerata la capacità di Google di arricchirlo con altri dati di cui è in possesso tra cui, a titolo di esempio, quando navighiamo da utenti “autenticati”.
E ALLORA, COSA FARE?
La maggior parte degli addetti ai lavori concorda che siamo di fronte a una problematica complessa dove si intrecciano tecnologia e compliance. Ad oggi, senza una soluzione “politica”, non ci sono molti modi per “risolverla”.
Approccio Integralista
Senza una soluzione perfetta che salvi capra (compliance) e cavoli (statistiche via Google) si potrebbe pensare che un approccio integralista sia l’unica via d’uscita. Quindi, il fondamentalista che è in voi sta già pensando di disconnettere Google Analytics e di risolvere così; E’ vero, il trasferimento dei dati negli Stati Uniti non è vietato a prescindere ma tutti gli altri trasferimenti che stai effettuando hanno le garanzie necessarie per essere conformi? Molti dei software che trasferiscono dati negli Usa sono di fatto illeciti e lo erano già prima di questo provvedimento del Garante! Questo perché con il Privacy Shield non più utilizzabile, non è possibile trasferire dati fuori Ue salvo espliciti accordi o configurazioni che garantiscano la sicurezza. Si, probabilmente starete pensando ai vostri tanto amati tools di digital marketing quali Active Campain, Calendly e chissà cos’altro ….
Cosa Potrebbe però accadere nel breve
1) Google potrebbe creare una data server in UE in modo da rispettare il GDPR, limitando i trasferimenti di dati trattati in Europa verso gli USA.
2) USA e UE sottoscriveranno un nuovo “Privacy Shield” e questi problemi si risolveranno alla radice, almeno fino alla prossima sentenza Schrems.
Cosa ogni Titolare deve sicuramente fare
Se l’utilizzo di Google Analytics è a questo punto illecito, entro i prossimi 3 mesi occorre valutare la sua eliminazione dai siti web che usiamo e che trattano dati di cittadini UE. Valutare e non, in maniera tranchant, eliminare, perché nelle aziende ogni scelta deve essere valutata, soppesata e presa in base agli interessa strategici, economici, di immagine e legali.
Come FinData, per i nostri siti web, verosimilmente, adotteremo altri strumenti compatibili con la normativa UE sulla protezione dei dati personali come ad esempio matomo.
Quali sono le alternative a Google Analytics? Questi i link ad alcune delle risorse che meritano di essere prese in considerazione:
- Simple Analytics: non impiega cookie, non salva l’indirizzo IP, non trasferisce i dati fuori dalla UE;
- Plausible: non impiega cookie, salva l’indirizzo IP (hash per 24 ore), non trasferisce i dati fuori dalla UE;
- Matomo: impiega cookie, salva l’indirizzo IP (reso anonimo), non trasferisce i dati fuori dalla UE;
- Fathom: non impiega cookie, salva l’indirizzo IP (hash per 24 ore), non trasferisce i dati fuori dalla UE.
Cosa fare a livello privacy a parte la questione Analytics?
Google Analytics e il provvedimento di ammonizione del Garante sono solo la punta di un iceberg. Pensate per un attimo al vostro business, alla vostra realtà aziendale, pensate ai trattamenti di dati personali che effettuate ogni giorno. Sia che siate una startup, una PMI, una piccola Agenzia: tutti trattiamo dati personali e con le dovute proporzioni e con ragionevolezza dobbiamo custodirli e gestirli a norma. Da questa consapevolezza tu Titolare fatti qualche domanda e condividila con il tuo staff:
• Da quanto tempo non aggiorno il Registro dei trattamenti?
• Quando è l’ultima Formazione che ho fatto fare ai dipendenti?
• E le Nomine dei responsabili del trattamento?
Se a queste domande hai risposto positivamente, probabilmente l’episodio “Analytics” non ti ha creato ansia; diversamente, ogni istante è quello giusto per una sanzione fino al 4% del fatturato. Ci stai ancora pensando? Fissa subito un appuntamento senza impegno con i nostri consulenti: FinData – Contatti – Dove Siamo – Come comunicare con noi