La notizia che sta allarmando tutti i lavoratori dell’ambito digital (soprattutto gli esperti SEO e SEM) è la voce intorno alla messa al bando di Google Analytics.
In questi giorni è arrivata la conferma ufficiale: il Garante per la Privacy ha confermato che Google Analytics non è più legale e bisogna adeguarsi entro 90 giorni.
Vediamo in questo articolo il perché di questa sentenza e quali speranze rimangono per il futuro.
L’importanza degli analytics
Facciamo un passo indietro per parlare, ancora una volta, di Business Intelligence. Google Analytics, lo strumento più utilizzato per il tracciamento dei dati, è un servizio di analisi web gratuito che fornisce dati, statistiche e strumenti analitici utili a monitorare e migliorare le strategie di digital marketing e ottimizzare la SEO. Google Analytics mostra una serie di dati legati al pubblico, traffico, conversioni, visite sul sito web, canali di contatto e molto altro, necessari per comprendere lo stato di successo online del proprio sito.
Per dirla semplicemente, Google Analytics è il più diffuso tool di analytics per i siti web su cui si basano tutti gli esperti del settore per pianificare e gestire campagne e strategie di digital marketing.
Ma cosa servono gli analytics?
- Aiutano le aziende a ottimizzare le performance.
- Possono aiutare a ridurre i costi (identificando i modi più efficienti di fare business).
- Per prendere decisioni migliori e basate su dati certi.
- Aiutano ad analizzare le tendenze e la soddisfazione degli utenti.
- Supportano lo sviluppo di nuovi prodotti e servizi che vadano in contro alle esigenze degli utenti.
Il caso Google Analytics
Passiamo ora a parlare del caso Google Analytics.
«Dall’indagine del Garante è emerso che i gestori dei siti web che utilizzano Google Analytics raccolgono, mediante cookie, informazioni sulle interazioni degli utenti con i predetti siti, le singole pagine visitate e i servizi proposti»
Ecco cosa si legge su una nota del Garante della Privacy italiano. Il GDPR fa riferimento alla nuova sentenza del Parlamento Europeo che ha aggiornato la legislazione riguardante il trattamento dei dati personali online, restringendo le possibilità di trasferimento di questi ultimi verso Paesi terzi a tutela della privacy degli utenti del web.
I precedenti
Il mondo del digitale non è nuovo a questo tipo di problemi.
I primi dubbi riguardo Google Analytics sono stati sollevati dal DSB, l’autorità per la protezione dei dati austriaca, che riteneva il servizio offerto da Google non conforme alla sentenza Schrems II.
Alla stretta austriaca è seguita quella del garante della privacy francese e, infine, quello italiano. Il problema sollevato dal Garante è legato al trasferimento dei dati verso Paesi terzi, in particolare verso gli Stati Uniti, la cui normativa interna non garantisce gli stessi standard di tutela pretesi dall’Europa per i dati dei suoi cittadini.
Sentenza Schrems II
Il 16 luglio 2020 la Corte di giustizia dell’Unione europea (CGUE) si è pronunciata relativamente al trasferimento negli USA dei dati personali e alla loro tutela tramite la c.d. Sentenza Schrems II.
Si tratta dell’adeguamento della già in vigore Privacy Shield del 2016, ordinamento approvato dalla Commissione europea allo scadere dell’accordo Safe Harbor.
Questo aggiornamento si è reso necessario per tutelare i dati dei cittadini europei in tutto il mondo. In particolare, il problema che ha mobilitato la Corte verso la sentenza Schrems II è l’ingerenza dimostrata dalle autorità governative federali degli USA nei confronti di tutti dati archiviati negli Stati Uniti, anche quelli provenienti da altri Paesi come quelli dell’Unione. Alcuni programmi degli USA permettono l’accesso da parte delle autorità pubbliche statunitensi a dati provenienti dall’Unione per finalità di sicurezza nazionale.
La Sentenza Schrems II è stata scritta per tutelare i dati dei cittadini europei anche oltre i confini dell’Unione: i dati devono essere soggetti a uno scudo di privacy equiparabile a quello europeo in ogni stato in cui vengono trasferiti. Gli Stati Uniti, bucando questo scudo con normative interne in contrasto con le norme europee, hanno costretto l’UE a vietare il trasferimento dei dati negli USA. Per questa ingerenza americana nei confronti dei diritti fondamentali delle persone i cui dati sono stati trasferiti verso Paesi terzi, la Corte ha provveduto a dichiarare invalida la decisione sull’adeguatezza dello scudo per la privacy americano. Note supplementari hanno ribadito come queste misure si applichino a tutti i Paesi terzi, non solo per gli USA.
Per approfondire la Sentenza Schrems II, la Corte di Giustizia Europea ha preparato una serie di FAQ scaricabili nelle diverse lingue dell’Unione che potete trovare sul sito ufficiale.
Le conseguenze della sentenza Schrems
Secondo l’attuale formulazione delle leggi, i dati personali trasferiti negli USA non sono sottoposti a un livello di privacy pari a quello garantito dall’UE nella figura del GDPR e dalla Carta dei diritti fondamentali dell’Unione Europea. Per questo motivo, tutti i trasferimenti di dati dall’UE agli USA sono da considerarsi illeciti. La finalità perseguita dal GDPR è quella di evitare il trasferimento di dati verso un Paese terzo dove la sicurezza e la tutela del dato personale sia minore di quella garantita dall’Unione.
Google Analytics: dove nasce il problema?
Nonostante la sentenza, molte aziende hanno continuato a trasferire dati dall’UE. Secondo il Garante della Privacy austriaco, le misure di Google Analytics non sono sufficienti per garantire la tutela dei dati.
L’EDPS (Garante europeo della protezione dei dati) sottolinea come le due società statunitensi, Google Analytics e il fornitore di pagamenti Stripe, violino Schrems II sui trasferimenti dei dati UE-USA.
Austria contro Google Analytics
Nel gennaio 2021, l’organizzazione senza scopi di lucro austriaca NOYB (European Center for Digital Rights, creata per lanciare cause giudiziarie e iniziative mediatiche a sostegno del regolamento generale sulla protezione dei dati e sull’ePrivacy) aveva presentato un reclamo al Parlamento Europeo per conto di sei membri del parlamento stesso. I problemi erano banner di cookie ingannevoli, avvisi di protezione dei dati vaghi e poco chiari e trasferimento illegale dei dati negli USA.
Il problema di fondo è nella struttura dei database di Google Analytics. Esso gestisce, come dichiara egli stesso, data center in tutto il mondo, USA compresi. Inizialmente, i dati vengono raccolti in server locali, dove gli indirizzi IP vengono anonimizzati (funzione che deve essere attivata dai clienti). Successivamente, i dati vengono trasferiti a server americani. Secondo il Garante, nel momento in cui Google Analytics inoltra l’IP anonimizzato del visitatore negli USA e Google possiede altre informazioni sull’utente, potrebbe associare il nuovo IP anonimizzato al vecchio, aumentando il dettaglio della profilazione di ogni singolo utente.
Questo ha fatto sì che venisse preso il primo provvedimento legato a Schrems II: la messa al bando da parte del DSB, il Garante austriaco, di Google Analytics.
Conseguenze della decisione del DSB
«La decisione dell’autorità di controllo austriaca rappresenta un ulteriore forte segnale inviato dall’Europa nei confronti degli Over-the-Top statunitensi. Da ricordare infatti le recenti severe sanzioni comminate dall’autorità francese a Google e Facebook.»
Afferma Anna Cataleta, avvocata esperta di privacy, per P4i.
«L’autorità austriaca, dichiarando che Google Analytics non può essere impiegato nel rispetto del Capo V del GDPR, ha evidenziato, ancora una volta, il problema che periodicamente ritorna agli onori della cronaca di settore: la sostanziale incompatibilità tra le norme privacy europee e quelle statunitensi.»
La decisione del GDPR italiano
Alla decisione austriaca si sono velocemente allineati Francia e Italia, con la messa al bando di Google Analytics per i propri Paesi.
«Tra i molteplici dati raccolti, indirizzo Ip del dispositivo dell’utente e informazioni relative al browser, al sistema operativo, alla risoluzione dello schermo, alla lingua selezionata, nonché data e ora della visita al sito web. Tali informazioni sono risultate oggetto di trasferimento verso gli Stati Uniti. Nel dichiarare l’illiceità del trattamento è stato ribadito che l’indirizzo Ip costituisce un dato personale e anche nel caso fosse troncato non diverrebbe un dato anonimo, considerata la capacità di Google di arricchirlo con altri dati di cui è in possesso».
Afferma il GDPR italiano alla luce delle indicazioni fornite dall’Edpb (Raccomandazione n. 1/2020 del 18 giugno 2021).
La conclusione è semplice: le misure che adotta Google per il trasferimento dei dati non garantiscono, attualmente, un livello adeguato di protezione dei dati personali degli utenti.
Le conseguenze del ban di Google Analytics
«La decisione dell’autorità austriaca potrà generare anche diversi problemi per i gestori di siti web. Infatti, Google Analytics è uno degli strumenti più utilizzati sui siti web di tutta Europa ed un eventuale ban o limitazioni nell’uso dello stesso potrebbero determinare diverse importanti conseguenze a livello di business in innumerevoli organizzazioni, di ogni dimensione e settore»
continua l’avvocata Cataleta.
Non è Google Analytics ad essere illegale, ma solo il trasferimento dei dati verso gli USA. Si potranno quindi usare strumenti alternativi per il tracciamento che rispettino le normative vigenti in tema di privacy, sperando in un adeguamento di Google Analytics entro i prossimi tre mesi.
Gli USA comunque stanno correndo ai ripari: il presidente Biden e la presidente della Commissione Europea Von Der Leyen stanno trattando per stabilire un nuovo Privacy Shield.
Rimane il fatto che Google Analytics, ad oggi, invia i dati verso gli USA. Fintanto che la legge americana permetterà a organi governativi di accedere ai dati dei cittadini europei, questo trasferimento non potrà che essere illegale. E fintanto che Google Analytics non prenderà provvedimenti in tal senso, il suo uso non è consentito.
La risposta di Google
«Il GDPR e la Corte di giustizia europea dicono che i dati possono essere trasferiti al di fuori dell’Unione europea proprio per questo tipo di motivo, a condizione che le condizioni siano soddisfatte. Al fine di soddisfare tali condizioni, applichiamo numerose misure” come servirsi di “accordi di trasferimento dei dati come le Clausole Contrattuali Standard dell’UE, che sono state affermate come un meccanismo valido per il trasferimento dei dati negli Stati Uniti, insieme ad ulteriori salvaguardie che mantengono i dati al sicuro: crittografia dei dati, sicurezza fisica nei nostri data center e politiche solide per la gestione delle richieste governative di informazioni sugli utenti.»
R. Ketchum (Director, Product Management, Google Analytics) “Some facts about Google Analytics data privacy”, 13 gennaio 2022.
Conclusione
Google Analytics ha fatto sapere che si adeguerà alla sentenza. La versione presa in esame dal Garante nella sentenza contro Google Analytics era la 3. C’è quindi ancora la possibilità che Google Analytics 4 sia perfettamente conforme con la disciplina europea, ma di questo non si può ancora esserne sicuri.
Alternative a Google Analytics esistono (solo per citarne alcuni: Matomo e Plausible open source; Simple Analytics e Iubenda a pagamento), ma rimane l’incertezza sulla possibilità di utilizzare Google Analytics in futuro.
Certo è che questa faccenda giudiziaria ha destabilizzato il mondo del digital marketing. La corsa all’adeguamento sta investendo in pieno centinaia di migliaia di aziende e lavoratori (consulenti, tecnici, e-commerce manager, esperti SEO, web marketer e analyst, specialisti SEM e le loro campagne ads Facebook, Google, YouTube etc.) del settore del digital europeo. Un settore, quello del digital, che in Europa si stima conti una spesa di 57,64 miliardi di dollari per il solo ramo del advertising del 2022.
