In questi giorni stiamo ricevendo messaggi allarmati di clienti e DPO riguardo l'eliminazione o la sostituzione di Google Analytics, il cui utilizzo è stato dichiarato illecito da parte del Garante.

Di seguito diamo una sintesi della situazione creata da questa recente pronuncia e le possibili soluzioni, tra cui occorre decidere quale applicare su ciascun sito.

IL PROVVEDIMENTO DEL GARANTE

Con il provvedimento n. 224 del 9 giugno 2022, pubblicato lo scorso 23 giugno, il Garante per la Protezione dei Dati Personali ha dichiarato che i siti web che utilizzano il servizio Google Analytics (GA), senza le garanzie previste dal GDPR, violano la normativa sulla protezione dei dati perché trasferiscono i dati degli utenti negli Stati Uniti, Paese privo di un adeguato livello di protezione della riservatezza.

In particolare, la versione di GA oggetto del provvedimento è la 3 (Universal Analytics, quella attualmente più diffusa) che raccoglie, mediante i cookies, dati come l'indirizzo IP del dispositivo dell’utente, informazioni relative al browser, al sistema operativo, alla risoluzione dello schermo, alla lingua selezionata, nonché data e ora della visita al sito web.

L'utilizzo di GA3 è quindi stato giudicato illecito in quanto l’indirizzo IP costituisce un dato personale, e anche qualora venga troncato (con la cosiddetta "IP-Anonymization") non diventa un dato anonimo, considerata la capacità di Google di incrociarlo con altri dati di cui è in possesso (tra cui l'account Gmail dell'utente), ricostruendo così l'identità dell'utente.

COSA ABBIAMO FATTO FINORA

Fino ad oggi noi di Smart ci siamo avvalsi di Google Analytics, attivando il servizio sui siti da noi realizzati, per due finalità sostanziali:

A) permettere ai clienti di seguire l'andamento degli accessi al loro sito e i risultati da questo prodotti in termini di visite, contatti, interesse raccolto dalle diverse sezioni, e in generale per fornire dati utili in una prospettiva di Digital Marketing;

B) avere uno strumento per poter offrire assistenza tecnica ai clienti e per monitorare l'efficacia del nostro lavoro.

Da oggi evidentemente non possiamo più continuare così e dobbiamo cambiare strada.

COSA POSSIAMO FARE ADESSO

Le possibilità nell'immediato sono due:

1. Passare alla versione 4 di Google Analytics, che utilizza una diversa tecnologia e dichiara di non ricorrere ai cookies nè di memorizzare gli indirizzi IP. Applicando una logica differente, il dati raccolti da GA4 partiranno da zero e saranno diversi da quelli raccolti da GA3.

2. Disattivare del tutto Google Analytics dal sito.

In prospettiva c'è una terza possibilità:

3. Cercare una alternativa "europea" a Google Analytics e installarla al suo posto.

L'opzione 1 ha un costo pari a 120,00 €.

L'opzione 2 nessuno.

L'opzione 3 non è quotabile in astratto.

I NOSTRI SUGGERIMENTI

Il nostro consiglio è per l'opzione n. 1, perché permette di continuare a monitorare quantità e qualità dell'interazione tra sito e utente. Soprattutto per le aziende che utilizzano gli strumenti del Digital Marketing, rinunciare del tutto agli Analytics ci sembra una scelta molto limitativa.

Diversamente, nell'immediato è possibile l'opzione 2, ovvero la disattivazione del servizio.

L'opzione 3 può costituire in prospettiva il seguito della 1, perché anche a causa di questa pronuncia emergeranno servizi analoghi di aziende sottoposte alla legge europea (e non statunitense) che si potranno testare e utilizzare, e che potranno sostituire il servizio di Google Analytics.

LA VOSTRA SCELTA

La scelta su cosa fare spetta naturalmente a ciascun cliente, previa consultazione del proprio DPO / consulente in materia di privacy e protezione dati.

Vi chiediamo di esprimervi entro il 31 di luglio, in modo da darci il tempo di fare gli interventi entro il mese di settembre (il Garante ha dato 90 giorni per adeguarsi).

NOTA SU GA4. La chiusura di GA3 (a luglio 2023) e il passaggio a GA4 era già nei programmi di Google ben prima di questa pronuncia. Tuttavia non ci sono certezze sul fatto che la versione GA4 verrà giudicata in futuro idonea dal Garante e non subirà a sua volta una bocciatura, perché il giudizio sull'adeguatezza o meno di determinate tecnologie rispetto alla tutela dei dati personali è "in divenire".

Ad esempio, in passato l'opzione di "IP-Anonymization" presente in GA3 sembrava una garanzia sufficiente, mentre oggi no, per il motivo che non impedisce a Google di identificare comunque l'utente, avvalendosi di altri dati in suo possesso.

Non sappiamo dunque cosa dirà il Garante quando avrà piena consapevolezza dei nuovi metodi con cui GA4 registra i dati di utilizzo dei siti.

Ma sappiamo che ad oggi installare sul sito GA4 risulta l'unica strada realisticamente praticabile nell'immediato per evitare possibili sazioni del Garante da un lato, e dall'altro salvaguardare il lavoro di chi si occupa di SEO e Digital Marketing.