05.08.2022

Google Analytics, dopo la pronuncia del Garante: cosa fare a settembre? Soluzioni e alternative

Dopo lo stop a Google Analytics da parte del Garante della Privacy, torniamo con un approfondimento su cosa è consigliabile fare a settembre 2022.

Google Analytics, dopo la pronuncia del Garante: cosa fare a settembre? Soluzioni e alternative

Come avevamo promesso a fine giugno, dopo lo stop a Google Analytics da parte del Garante della Privacy da noi commentato su LinkedIn, torniamo con un approfondimento su cosa è consigliabile fare a settembre, alla scadere dei 90 giorni indicati dal Garante stesso.

Perché il garante ha dato uno stop all'uso di Google Analytics? 

I nodi della questione sono due:

  • L’indirizzo IP è un dato personale (e purtroppo la funzione “Anonymize IP” offerta da Universal Analytics di Google non sembrerebbe mascherare a dovere questo dato);
  • Il trasferimento dei dati in USA, soprattutto con la caduta dell’accordo denominato “Privacy Shield”, pone seri problemi di privacy, in quanto gli USA sono un “Paese privo di un adeguato livello di protezione”, come lo etichetta lo stesso Garante, nel suo comunicato.

Il problema non riguarda quindi solo Google Analytics, ma qualsiasi servizio erogato al di fuori dell’UE e/o qualsiasi servizio per il quale i dati dei nostri utenti siano trattati da un’azienda statunitense (anche se erogato tramite server che risiedono nel nostro continente).

Lo stesso Garante invita tutti i titolari i gestori di siti italiani a (ri)verificare la conformità non solo per quanto riguarda GA, ma anche per tutti i servizi utilizzati.

Il comunicato recita, infatti [grassetto e sottolineature aggiunti da noi, NdR]:

Con l’occasione l’Autorità richiama all’attenzione di tutti i gestori italiani di siti web, pubblici e privati, l’illiceità dei trasferimenti effettuati verso gli Stati Uniti attraverso GA, anche in considerazione delle numerose segnalazioni e quesiti che stanno pervenendo all’Ufficio. E invita tutti i titolari del trattamento a verificare la conformità delle modalità di utilizzo di cookie e altri strumenti di tracciamento utilizzati sui propri siti web, con particolare attenzione a Google Analytics e ad altri servizi analoghi, con la normativa in materia di protezione dei dati personali. 

“Google Analytics e ad altri servizi analoghi”, si legge. Quindi non solo Google Analytics.
E non solo tracciamento, ma qualsiasi “modalità di utilizzo di cookie”.

Avere un video Youtube sul sito (persino se incorporato con la versione di YouTube con privacy avanzata), avere il sito su un server Amazon, utilizzare il servizio AddThis, solo per citare degli esempi, sono tutte attività che potrebbero potenzialmente minare la privacy dei nostri utenti, e quindi la nostra conformità al GDPR.

Di fatto, però, il provvedimento del Garante si concentra su GA.
Inoltre, nello specifico, l’azienda che è stata ammonita dal Garante utilizzava la “vecchia” versione di GA, denominata Universal Analytics (che l’anno prossimo sarà dismessa a favore della nuova versione, denominata “GA4”, già attivabile da qualche mese).
Quindi il consiglio è di iniziare subito a mettersi in regola da questo punto di vista, dando cioè priorità alla sostituzione di Universal Analytics (“UA”) con un altro servizio.

Su molti siti viene indicato che è sufficiente passare a GA4, per dormire sonni tranquilli.
Ma le soluzioni presentate non si riducono a questo. Sono, anzi, diverse.
Purtroppo, però, nessuno sa con certezza quale sia quella corretta. Ammesso che ci sia.

Uso di Google Analytics: quello che sappiamo

Quello che è certo, è:

  1. All’interno dell’informativa che deve essere obbligatoriamente presente nel sito, va specificato se e quali dati saranno trasferiti al di fuori dell’UE, con la possibilità di negare il consenso al trasferimento;
  2. Il “banner consenso”  - questa non è una novità - deve essere visibile e rimanere attivo finché non sarà chiuso dall’utente. La semplice azione di scrollare il sito o interagire con esso non giustifica la chiusura del banner. Se l’utente inoltre chiude il banner tramite pulsante CHIUDI o “X”, senza aver accettato esplicitamente l’informativa Cookie / Privacy, nessun tracciamento deve avere luogo, come se l’utente avesse negato il consenso;
  3. L’uso di Universal Analytics di GA, versione finita sotto l’occhio del ciclone, è a questo punto altamente sconsigliato.

Per chi volesse approfondire, uno degli articoli più chiari e esaurienti sull’argomento è quello che è stato pubblicato su Netcomm.

Riportiamo alcuni passaggi di questo articolo:

  • L’Utilizzo di Analytics è illegale? No, ma occorre verificare nel concreto, caso per caso, il tipo di settaggio applicato;
  • Trasferire i dati negli USA è illegale? No in termini assoluti ma non avendo una decisione di adeguatezza occorre prestare estrema attenzione;
  • La pronuncia si estende anche a GA4? No, la decisione del Garante in esame non considera Analytics 4. L’Autorità non si è ancora pronunciata su tale soluzione;
  • In relazione al consenso esplicito degli interessati, che costituisce una delle possibili deroghe previste dal GDPR (articolo 49), occorre ricordare che questa deroga può trovare applicazione in determinati casi e soprattutto in occasione di trasferimenti occasionali e non sistematici;
  • Sul mercato esistono soluzioni tecniche applicabili che possono essere risolutive? Al momento non è possibile dare questa risposta;

Possibili alternative a Google Analytics UA

Ciò detto, i possibili interventi che vengono suggeriti in Rete sono:

  1. Eliminare qualsiasi script di tracciamento.
    È una soluzione, certo. D’altronde moltissimi proprietari di siti non hanno mai dato un’occhiata alle statistiche del sito.
    Sconsigliamo tuttavia questa scelta, per diversi motivi che non stiamo ad elencare qui ma che possiamo ovviamente spiegare per chi volesse approfondire (contattaci, nel caso siate interessati).
  2. Passare ad uno script di tracciamento erogato da società europea, meglio ancora italiana.
    Sono stati fatti diversi nomi tra i possibili sostituti (Matomo, Plausible e AT Internet). Noi consigliamo l’italiana Shinystat (che offre diversi piani, tra cui uno gratuito).
    Indipendentemente dal provider che si vorrà adottare, questa soluzione è un compromesso che permette di avere almeno delle informazioni base quali ad esempio numero visitatori, sessioni e pagine viste (nelle versioni gratuite) o anche dati più approfonditi (a pagamento).
  3. Passare da Universal Analytics (UA) a GA4 di Google.
    Come già detto, il Garante non si è pronunciato su GA4 e non è così certo che sia una soluzione accettabile.
    Perché allora in molti lo suggeriscono?
    Perché intanto si elimina UA, sul quale il Garante si è espresso negativamente.
    E perché Google ha garantito nelle sue pagine che, con gli opportuni settaggi, i dati di GA4 hanno un livello di privacy superiore rispetta a UA.
    Sembra comunque un rischio, è vero… però si tratta di bilanciare pro e contro.
    Mantenendo una soluzione Google, infatti, è molto più semplice fare campagne Google Ads e far sì che queste performino meglio.
    Molti gestori di siti hanno questo approccio: “Il Garante non si è pronunciato su GA4, quindi al limite, se proprio vorrà venire a bussare alla mia porta, sarò anch’io ammonito e avrò il tempo per modificare di nuovo, prima di essere multato. Nel frattempo, però, non stravolgo tutte le mie campagne”. Ci può stare. L’importante è che lo facciate consci di ciò a cui potreste andare incontro.
  4. Passare a GA4 di Google adottando una soluzione server side.
    Questa soluzione è quella che è stata giudicata da molti DPO e Responsabili Marketing come la migliore in assoluto, perché…”salva capra e cavoli”.
    Il dato non viene trasmesso immediatamente a Google, ma viene prima salvato su un server che risiede in Europa e solo da lì trasmesso a Google. È possibile in questo modo decidere se e cosa inviare a Google.
    Siamo noi che mettiamo un filtro ai dati inviati. Se non mandiamo l’indirizzo IP a Google, non ci sarà modo per Google di ricostruirlo.
    Ci sono, inoltre, altri vantaggi: queste soluzioni server side danno migliori performance in termini di velocità del sito, di posizionamento nei motori di ricerca (miglioramento SEO in virtù del miglioramento dei parametri di velocità), di qualità del tracciamento (perché non risente del blocco dei cookie di terze parti che sarà introdotto in futuro su tutti i browser, ma che già oggi è possibile attivare), di performance delle campagne pubblicitarie.
    Il rovescio della medaglia è che si tratta di una soluzione che richiede un budget non alla portata di tutti.

Google Analytics, settembre 2022: cosa fare?

In questa tabella riepiloghiamo le possibili soluzioni che abbiamo trattato in quest'articolo riguardo al "caso Google Analytics", il quale richiede un intervento entro la seconda metà di settembre 2022.

Abbiamo dato un voto ad ogni soluzione, prendendo in considerazione il grado di conformità al GDPR, l'efficacia nel monitoraggio (tracciamento delle visite sul sito), l'efficacia delle campagne Ads e ovviamente il costo.

Soluzioni alternative a Google UA

 

Le soluzioni alternative a pagamento e “GA4 server side” hanno un costo che varia a seconda del traffico del sito. Possono arrivare a costare anche diverse migliaia di euro all’anno, con una base di partenza di circa 500 euro all’anno, per darvi un'idea.

Per chi ha necessità di monitorare le visite e/o fa campagne, ma non ha un budget come quello qui sopra ipotizzato, suggeriamo di passare intanto a GA4, sganciando del tutto UA.

Per chi infine ha pochissime visite e non fa campagne, consigliamo Shinystat nella versione gratuita. Il costo sarà semplicemente quello una tantum di sostituzione dello script.

Contattate Aleide Web Agency per avere informazioni su tempistiche e costi o per qualsiasi approfondimento relativamente a ciascuna delle soluzioni di cui sopra.

Con l’occasione vi ricordiamo, inoltre, che dal 10 gennaio 2022 è cambiata la normativa sull'accettazione dei cookies.
Se nel vostro sito c'è ancora il banner con una dicitura simile a “Questo sito utilizza i cookies. Continuando la navigazione acconsenti al loro impiego” non siete in regola.
Serve avere nel sito uno strumento che permetta agli utenti di poter decidere la tipologia di cookies che intende accettare e che blocchi Google Analytics e altri cookie nel caso in cui il banner venga chiuso senza aver prestato il consenso.