Che cos'è Google Analytics?
Google Analytics è da sempre il servizio di analisi del web più popolare al mondo per monitorare traffico, conversioni e molti altri dati utili per aziende e marketer. È gratuito, fornisce statistiche vitali ed è semplice e intuitivo nelle sue funzionalità principali. ll modo in cui funziona è abbastanza semplice, una volta incollato il codice di monitoraggio nel codice sorgente del tuo sito web quando un visitatore accede al sito e visualizza una pagina, il codice di monitoraggio viene caricato nel browser del visitatore. Raccoglie e invia dati al server di Google Analytics identificando le pagine visualizzate e fornendo informazioni come per quanto tempo un visitatore rimane sul tuo sito e su quali link ha cliccato. Il codice di tracciamento si basa sui cookie di Internet sul browser del visitatore per raccogliere informazioni. Poiché i cookie raccolgono dati, Analytics non funzionerà su un browser utente che ha bloccato tali cookie.
Google Analytics 4, che entrerà in funzione il prossimo anno, è il nuovo upgrade di misurazione e tracciamento lanciato da Google. Si presenta con un’interfaccia completamente diversa dalla versione precedente (che, come vedremo, resta comunque attiva) e propone agli utenti un approccio al monitoraggio diverso, molto più interattivo e basato su parametri diversi. Il cambiamento relativo all’interfaccia è decisamente potente e determina un netto cambio di prospettiva.
GDPR in Google Analytics
In queste settimane si sta discutendo sulle possibili soluzioni e modifiche alle impostazioni di Google Analytics in modo da soddisfare i requisiti del GDPR ma in generale le informazioni raccolte sui visitatori vengono trasferite negli Stati Uniti, un paese ritenuto sprovvisto di un adeguato livello di protezione ovvero gli Stati Uniti.
Il 7 giugno 2022 la CNIL (Commission nationale de l'informatique et des libertés) ha inviato una diffida formale a diverse organizzazioni a conformarsi all'uso di Google Analytics, a causa del trasferimento dei dati negli Stati Uniti senza sufficienti garanzie per i diritti degli utenti europei. Quali sono le conseguenze per le organizzazioni e cosa significa?
Vale la pena ribadire innanzitutto che Google Analytics 4 (GA4) è un software radicalmente diverso dall’ attuale Google Analytics (detto anche Universal Analytics o GA3); infatti, sulla carta, GA4 presenta delle potenti funzionalità che gli permettono di proteggere la privacy degli utenti in maniera molto più capillare ed accurata rispetto a GA3.
Non a caso, la CNIL – l’Autorità Garante della protezione dei dati francese – ha messo nero su bianco le misure necessarie da adottare per utilizzare Google Analytics 4 e il tracciamento Server-Side in modo conforme alle norme GDPR. In breve, la CNIL precisa che l’utilizzo di un server proxy proprietario a monte del server proxy nativo in Google Analytics 4, ossia un server intermediario localizzato in Europa su cui far giungere i dati degli utenti, è una soluzione efficace per rispettare le disposizioni europee in materia di Privacy, perché evita che i dati personali degli utenti arrivino direttamente sui server di Google prima in EU e poi nei server situati negli USA.
Cosa dice il Garante della Privacy di Google Analytics?
Partiamo dall’evento spartiacque che ha sollevato in Italia un acceso dibattito e confronto: iI 23 giugno 2022 il Garante per la protezione dei dati personali, seguendo le orme delle autorità austriache e francesi, ha pubblicato un provvedimento, con cui dichiara illecito il trasferimento di dati personali al di fuori dell’Unione Europea effettuato da parte degli utilizzatori di Google Analytics.
"Il sito web che utilizza il servizio Google Analytics, senza le garanzie previste dal Regolamento Ue, viola la normativa sulla protezione dei dati perché trasferisce negli Stati Uniti, Paese privo di un adeguato livello di protezione, i dati degli utenti."
Lo ha affermato il Garante per la privacy a conclusione di una complessa istruttoria avviata sulla base di una serie di reclami e in coordinamento con altre autorità privacy europee. Dall'indagine del Garante è emerso che i gestori dei siti web che utilizzano Google Analytics raccolgono, mediante cookie, informazioni sulle interazioni degli utenti con i già menzionati siti, le singole pagine visitate e i servizi proposti. Tra i molteplici dati raccolti, indirizzo IP del dispositivo dell’utente e informazioni relative al browser, al sistema operativo, alla risoluzione dello schermo, alla lingua selezionata, nonché data e ora della visita al sito web. Tali informazioni sono risultate oggetto di trasferimento verso gli Stati Uniti.
Nel dichiarare l’illiceità del trattamento è stato ribadito che l’indirizzo IP costituisce un dato personale e anche nel caso fosse troncato non diverrebbe un dato anonimo, considerata la capacità di Google di arricchirlo con altri dati di cui è in possesso. Con l’occasione l’Autorità richiama all’attenzione di tutti i gestori italiani di siti web, pubblici e privati, l’illiceità dei trasferimenti effettuati verso gli Stati Uniti attraverso Google Analytics, anche in considerazione delle numerose segnalazioni e quesiti che stanno pervenendo all’Ufficio. E invita tutti i titolari del trattamento a verificare la conformità delle modalità di utilizzo di cookie e altri strumenti di tracciamento utilizzati sui propri siti web, con particolare attenzione a Google Analytics e ad altri servizi analoghi, con la normativa in materia di protezione dei dati personali.
Ci sono sufficienti garanzie aggiuntive per continuare a utilizzare il solo strumento di Google Analytics? Nessuna delle garanzie aggiuntive presentate alla CNIL nel contesto della messa in mora impedirebbe o renderebbe inefficace l'accesso dei servizi di intelligence statunitensi ai dati personali degli utenti europei quando si utilizza esclusivamente lo strumento Google Analytics.
Il consenso esplicito degli interessati è una delle possibili deroghe previste per alcuni casi specifici dall'articolo 49 del GDPR. Tuttavia, come indicato nelle linee guida del Comitato europeo per la protezione dei dati su queste deroghe, esse possono essere utilizzate solo per trasferimenti non sistematici e non possono costituire una soluzione permanente e a lungo termine, in quanto il ricorso a una deroga non può diventare la regola generale.
Il futuro del GDPR In Google Analytics 4
Google ha annunciato numerosi miglioramenti della protezione dei dati per il nuovo Google Analytics 4 (GA4) che sono descritti da Google alla voce “Dati e privacy incentrati sull’UE”.
GA4 permetterà dei controlli a livello nazionale e delle opzioni di personalizzazione che consentiranno di minimizzare la raccolta dati di uno specifico visitatore. In sintesi, sono state annunciate le seguenti modifiche relative alla privacy che sulla carta dovrebbero rendere lo strumento compliant al GDPR:
- GA4 elaborerà tutti i dati dai dispositivi finali all'interno dell'UE su server nell'UE.
- GA4 elabora gli indirizzi IP per la geolocalizzazione, ma non memorizza più gli indirizzi IP, li utilizza in maniera volatile ma non li registra nel loro sistema.
- GA4 consente la disattivazione di Google Signals per impedire il collegamento con gli account Google.
- GA4 consente di configurare la granularità dei dati geografici e del dispositivo raccolti (es. risoluzione dello schermo che richiede il consenso).
Certamente permane il divieto di trasferimento di dati UE-USA: Secondo il Patriot Act, il Foreign Intelligence Surveillance Act (FISA) e il Clarifying Lawful Overseas Use of Data Act (Cloud Act), le autorità statunitensi hanno accesso a tutti i dati delle società statunitensi. Anche se è archiviato nell'UE. Pertanto, in teoria, l'ubicazione dell'archiviazione nell'UE non risolve il problema reale che il regolamento UE sulla protezione dei dati è garantito per i cittadini dell'UE.
Come possono procedere le aziende con Google Analytics 4?
Se si decide di utilizzare Google Analytics 4, ecco alcune azioni che si possono fare per essere il più conformi possibile:
- Limitare la raccolta di alcuni dati (come i dati su localizzazione, device o sistema operativo) per alcune nazioni, in modo da limitare ulteriormente il potere di tracciamento di Google Analytics.
- Utilizzare una valutazione interna di Google Analytics per stabilire se alcune o tutte le metriche sono necessarie alla tua attività. La console di GA4 permette di disattivare la raccolta di dati di Google Signals. Va tenuto presente che la disabilitazione di Google Signals comporta limitazioni soprattutto in ambito advertising:
- Non sono possibili elenchi per il remarketing in base ai dati analitici.
- Nessuna funzionalità di reporting degli annunci
- Nessun dato demografico e di interessi
- Solo modelli di conversione e rapporti limitati in Google Ads - Considerare i server proxy. Utilizzando un server proxy potrebbe essere possibile evitare un contatto diretto tra il PC dell’utente e Google Analytics.
- Inserire la clausola di Google Analytics 4 nella privacy policy.
- Assicurare e richiedere sempre un consenso esplicito e trasparente (non rientrando più tra i cookie “essenziali/tecnici” privi di consenso), anche se pare che il consenso esplicito per i trasferimenti extra-UE possa essere utilizzata solo per trasferimenti “occasionali”, il che non pare proprio il caso d’uso di cookie su un sito web.
Conclusioni
Le nuove misure sono un passo nella giusta direzione dal punto di vista della protezione dei dati, va capito se le innovazioni apportate a Google Analytics 4 saranno sufficienti.
Non è ancora chiaro come il funzionamento di questa nuova versione risolverà il problema principale, cioè la trasmissione verso Google di dati di interessati identificati o identificabili. Ad esempio, tramite gli script e l'utilizzo di identificatori vari, pseudonimizzati o anonimizzati che siano. Questo rimanderebbe alle stesse criticità di fondo dei precedenti Analytics, se non smentite da una diversa, dettagliata analisi dei flussi di dati che escluda in modo radicale l’uso di dati personali. Certamente servirà anche l’entrata in vigore di un nuovo accordo a livello politico sui trasferimenti di dati tra l'UE e gli Stati Uniti.
Il 60% dei cittadini europei acquista online; il fatturato globale dell’e-commerce in Europa vale 732 miliardi di dollari; la sola spesa in digital advertising in Europa è stimata in 57,64 miliardi di dollari nel 2022.
Il settore digital europeo coinvolge centinaia di migliaia di aziende e lavoratori (tecnici, consulenti, e-commerce manager, esperti SEO, web marketer, web analyst, specialisti su Facebook Ads, su Google Ads, su Youtube, etc.) che subiscono in prima persona la grave situazione di incertezza che si è venuta a verificare.
Le aziende dovrebbero quindi valutare attentamente l’evolversi della situazione e capire se valga la pena passare da Universal Analytics a GA4 o passare ad una soluzione UE alternativa che non dipenda né dagli accordi UE-USA né dal consenso degli utenti.
Se stai cercando di rimanere aggiornato con le ultime notizie sui social media e le migliori pratiche per affari, rivolgiti a E-Business Consulting, agenzia di marketing digitale attiva dal 2003, e richiedi un preventivo gratuito!