Il dibattito relativo al trasferimento “illecito” di dati fuori dai confini europei era già stato affrontato da Francia ed Austria ad inizio di questo nuovo anno: le autorità francesi si erano espresse in merito suggerendo di impostare in un certo modo il proxy per ridurre il rischio.
Il 23 giugno anche il Garante italiano ha emesso un provvedimento dichiarando illecito il trasferimento dei dati personali degli utenti verso gli Stati Uniti ad opera di Google Analytics.
Nello specifico il Garante faceva riferimento a un’implementazione di GA3 su un sito web.
Come forse avrai avuto modo di seguire, questa dichiarazione ha scatenato “il panico” nella rete al punto che molte aziende hanno pensato di eliminare Google Analytics e passare ad altri strumenti di tracciamento.
Tra i mille dubbi e le numerose incertezze una cosa è sicura: è necessario rimuovere da tutti i siti GA3.
Per quanto riguarda l’utilizzo di strumenti alternativi la soluzione migliore al momento consiste nel passaggio a Google Analytics 4 che, sul tema Privacy, propone diversi miglioramenti.
Possiamo considerarla una soluzione definitiva? Al momento sono in corso trattative anche perché il problema del trasferimento dei dati personali degli utenti europei verso l’America riguarda anche altri servizi online utilizzati ogni giorno dalla aziende per esempio Facebook Ads, svariati software di e-mail marketing, Google Ads e molti altri.
Nell’articolo di oggi proviamo a delineare un quadro completo della situazione per capire come muoversi correttamente in attesa che il Garante si esprima in merito.
Come avviene la raccolta dei dati da parte di Google Analytics
La raccolta di informazioni da parte di Google Analytics avviene principalmente attraverso i Cookies.
Copiando il codice di monitoraggio nel codice sorgente del proprio sito web quando un qualsiasi visitatore naviga vengono raccolte le seguenti informazioni:
- sorgente di traffico ovvero il “luogo” da dove proviene l’utente (traffico Diretto, traffico Organico, traffico Social e traffico Referral);
- indirizzo IP, anche se si naviga in maniera anonima Google riesce lo stesso a risalire a questa informazione (è proprio la possibilità di conoscere questa informazione che ha portato a galla questo problema);
- giorno e ora della visita;
- pagina navigate;
- tempo medio speso sul sito;
- il browser utilizzato ed il dispositivo;
- la lingua selezionata;
- il sistema operativo;
- la risoluzione dello schermo.
Nel quadro appena descritto Google ricopre il ruolo di responsabile del trattamento dei dati mentre il sito aziendale è il titolare del trattamento e, dunque, colui al quale spetta la decisione su come e perché sfruttare i dati sopra elencati.
Il livello di conformità al GDPR di Google GA3 e Google GA4
Dal momento che ancora non è stata presa una decisione nessuno può dire con certezza se GA4 è la soluzione definitiva a questo problema.
Analizzando la situazione dal punto di vista del livello di conformità alla normativa GDPR Google Analytics 3 presenta numerose lacune rispetto alla versione aggiornata di GA4 (il passaggio a questa sarà definitivo il 23 luglio del prossimo anno).
A prescindere dallo strumento utilizzato, l’accordo che verrà siglato tra America ed Europa riguarderà nello specifico:
- il passaggio ad uno strumento di analisi compliance;
- la definizione di impostazioni specifiche per continuare ad utilizzare lo strumento di Google Analytics nella versione 4.
Privacy e raccolta dati: quali saranno le modifiche che renderanno compliance GA4
Nel frattempo, Google non è rimasto fermo a guardare ed ha annunciato l’introduzione di diversi miglioramenti che trovi qui.
Oltre alla possibilità di eseguire controlli a livello nazionale, GA4 offrirà la possibilità di settare diverse opzioni che permetteranno di ridurre la quantità e la tipologia di dati raccolti.
Le modifiche riguarderanno:
- l’elaborazione dei dati raccolti dai diversi dispositivi nel territorio europeo su server situati in Europa;
- la possibilità di disattivare Google Signals ovvero quel prodotto di Google che permette di raccogliere dati identificando e distinguendo l’utente nel suo percorso cross-device;
- la possibilità di una configurazione personalizzata dei vari livelli di raccolta dati a livello geografico e di dispositivo;
- l’elaborazione degli indirizzi IP per le geolocalizzazione che non vengono più memorizzati ma utilizzati in modo volatile (GA4 non li registrerà più nel sistema).
Evitare il trasferimento dei dati fuori dai confini utilizzando server situati in UE non rappresenta una soluzione definitiva in quanto il FISA e il Cloud Act hanno comunque accesso a tutti i dati delle aziende americane, comprese quelle che si trovano in Europa.
Google Analytics 4, ecco cosa fare per essere conformi alla GDPR
Una volta eliminato GA3 ed effettuato il passaggio alla versione aggiornata GA4 è importante implementare alcune azioni:
- effettuare un’analisi generale per avere una panoramica il più completa possibile sulla tipologia e sulla quantità di informazioni realmente necessarie alla propria azienda.
La possibilità di attivare o meno Google Signals deve essere valutata molto attentamente soprattutto se la strategia di marketing aziendale online prevede l’attivazione di campagne pubblicitarie.
Disattivando questo prodotto non potrai accedere a tutte le informazioni utili per il remarketing, ai dati demografici e sugli interessi, alle funzionalità di reportistica per gli annunci e potrai accedere solo ad alcuni modelli di conversione e rapporti in Google Ads.
- Valutare l’utilizzo di server proxy per ridurre il livello di contatto tra Google Analytics ed il dispositivo di navigazione utilizzato dall’utente;
- Inserire la voce Google Analytics 4 nella pagina della Privacy Policy;
- Ridurre la quantità di dati raccolti per alcuni Paesi così da diminuire il potere di tracciamento di GA;
- Dal momento che GA non può essere più considerato parte dei cookies “tecnici che non richiedono consenso” è opportuno richiedere il consenso agli utenti per il trasferimento dei dati fuori dai confini europei.
