SECONDA PARTE
Nel precedente articolo abbiamo spiegato cos’è Google Analytics e perchè c’è un problema di conformità con il GDPR. Ora scendiamo ulteriormente nel dettaglio.
I trasferimenti transatlantici di dati personali sono il problema più urgente con Google Analytics in termini di GDPR. Ma non sono gli unici. Di seguito sintetizziamo altri quattro fattori da tenere in considerazione quando si valuta la conformità di Google Analytics:
1) Per impostazione predefinita, Google utilizza i dati dei visitatori per i propri scopi
Google utilizza i dati di Google Analytics per migliorare i propri servizi. Le informazioni raccolte dagli utenti nella piattaforma vengono condivise con altri prodotti Google, come ad esempio:
- Annunci Google
- Youtube
- Google Adsense
Come puoi leggere nelle Norme sulla privacy e nei termini di Google :
Molti siti Web e app utilizzano i servizi di Google per migliorare i propri contenuti e mantenerli gratuiti. Quando integrano i nostri servizi, questi siti e app condividono informazioni con Google.
Ad esempio, quando visiti un sito Web che utilizza servizi pubblicitari come AdSense, inclusi strumenti di analisi come Google Analytics o incorpora contenuti video da YouTube, il tuo browser Web invia automaticamente determinate informazioni a Google. Ciò include l’URL della pagina che stai visitando e il tuo indirizzo IP. Potremmo anche impostare i cookie sul tuo browser o leggere i cookie che sono già presenti. Le app che utilizzano i servizi pubblicitari di Google condividono anche informazioni con Google, come il nome dell’app e un identificatore univoco per la pubblicità.
I dati forniti dagli utenti di Google Analytics consentono a Google di effettuare la profilazione degli utenti. Poiché raccoglie dati da più fonti, è in grado di determinare tratti dell’utente come sesso e posizione. Successivamente rende i dati disponibili nei report.
Inoltre, grazie al fatto che hai il codice di Google Analytics sul tuo sito web, gli inserzionisti in Google Ads conoscono le preferenze dei tuoi visitatori in base al contenuto che consumano. Ciò, a sua volta, consente a Google di indirizzare quegli utenti con la pubblicità.
Per qualsiasi organizzazione che richieda la completa privacy dei dati, questo è più di un semplice campanello di allarme. Più entità hanno accesso ai tuoi dati, maggiore è la possibilità che la loro sicurezza venga compromessa. Inoltre, l’utilizzo dei dati dei visitatori per tutti questi scopi richiede il consenso. Ma non c’è modo di rendere la raccolta dei dati dipendente dal consenso del visitatore.
Ecco perché l’opzione migliore è disabilitare la condivisione dei dati ma attenzione: perderai l’accesso a molte funzionalità, comprese le integrazioni con i prodotti Google Ads e i rapporti sui dati demografici.
2) Google Analytics non consente di memorizzare la maggior parte dei tipi di dati personali
Nei suoi termini di trattamento per i dati, Google Analytics vieta agli utenti di raccogliere tutti i tipi di dati personali diversi da:
Identificatori online, inclusi identificatori di cookie, indirizzi di protocollo Internet e identificatori di dispositivo; identificatori del cliente.
Questo potrebbe tornare utile per Google, in quanto toglie dalle loro spalle alcuni doveri relativi al GDPR. Ma dal punto di vista di chi installa Analytics, questo approccio è uno svantaggio. Infatti, se volessi trattare più dati personali e assumerti tutte le responsabilità che ciò comporta, questo non sarebbe possibile? Ad esempio, potresti voler caricare dati CRM o statistiche di email marketing sulla tua istanza di analisi. Se questa è una tua esigenza, dovrai passare a una piattaforma di analisi che consenta la raccolta di dati personali.
3) Devi comunque raccogliere i consensi anche se non vuoi trattare i dati personali
Anche se non vuoi elaborare i dati personali, c’è un problema. Google Analytics registra ogni utente con un ID univoco. Grazie a questo ID, Google Analytics ti fornisce informazioni su quante persone visitano il tuo sito e, ad esempio, quante di loro ritornano. Il GDPR considera questi identificatori online come dati personali.
Google consiglia di sfruttare un requisito minimo di hash di SHA256, per evitare di inviare dati personali a Google Analytics. Qui puoi trovare le guide di Google su come evitare di raccogliere PII e rendere anonimi gli indirizzi IP .
Tuttavia, il GDPR considera ancora i dati sottoposti a hash come dati personali. È necessario un consenso del visitatore valido per raccoglierlo ed elaborarlo. Ciò potrebbe comportare una grave perdita di dati, poiché il 30-70% dei visitatori non sceglie di tracciare i propri dati personali.
4) Google Analytics non ha una gestione dei consensi affidabile
Questo ci porta all’ultimo argomento: la gestione dei consensi dei visitatori e delle richieste di dati.
Inizialmente Google ha cercato di assegnare l’attività agli editori e agli utenti di Google Analytics. Ma un recente accordo tra Google e IAB Europe segnala un cambiamento nel loro approccio. Il primo risultato della collaborazione è stato Funding Choices . Funding Choices è una piattaforma di gestione del consenso dedicata ai grandi publisher che monetizzano il proprio inventario di dati tramite i prodotti Google, ma non agli utenti di Google Analytics.
Ciò significa che gli utenti che desiderano raccogliere informazioni sui visitatori con Google Analytics devono comunque trovare il proprio modo di gestire i consensi e le richieste di dati.
Google Analytics e GDPR: quali sono le alternative?
Non conosciamo ancora l’esito finale della saga di Google Analytics, poiché stiamo ancora aspettando che altre autorità per la protezione dei dati esprimano le loro opinioni.
Detto questo, le aziende che raccolgono dati sui residenti nell’UE devono ripensare le proprie scelte ora, per prepararsi a qualsiasi scenario. Ci sono anche molte buone ragioni per cui potrebbero rivolgersi a piattaforme di analisi diverse, anche se i verdetti delle autorità per la protezione dei dati non stanno vietando in maniera definitiva l’uso di Google Analytics in Europa.
L’approccio più aderente ai principi di protezione dei dati personali sarebbe l’utilizzo di piattaforme di analisi basate in UE e che offrano un hosting sicuro, idealmente attraverso un provider di diritto europeo. Questo dovrebbe garantire che tu raccolga, memorizzi ed elabori i dati in linea con il GDPR.
L’opzione meno privacy oriented è quella di utilizzare una piattaforma di analisi con meno funzionalità di privacy e mitigare il rischio di conformità applicando misure di sicurezza aggiuntive. Tuttavia, questa potrebbe essere solo una soluzione temporanea se le tue analisi continuano a inviare i dati ai server con sede negli Stati Uniti o di proprietà, a cui si applicano le leggi sulla sorveglianza degli Stati Uniti.