Stop a Google Analytics. Il Garante Privacy ha dichiarato illegittimo il trasferimento dei dati ai server Usa.
Questo è il titolo dell’annuncio uscito sul sito istituzionale del Garante per la Protezione dei Dati Personali italiano, il 23 giugno è che ha scatenato un vera e propria terremoto mediatico per tutti coloro che lavorano con Google Analytics.
Precisiamo subito che non è stato dichiarato illegale l’utilizzo di questa piattaforma. Infatti, l’annuncio è abbastanza fuorviante e ha creato enorme confusione.
Il Garante si è espresso in particolare su un comportamento tenuto da una società la Caffeina Media S.r.l, senza prendere una vera e propria posizione. Cosa sta succedendo? Come comportarsi con Google Analytics.
La nostra web agency, Unidevs è andata ad indagare sul problema, analizzando le informazioni, il parere del Garante Privacy e le possibili soluzioni. Scoprile leggendo il nostro articolo.
Indice
Google Analytics è illegale?
Precisammo subito questo aspetto. Il Garante Privacy non ha bloccato Google Analytics. Quindi se apri il tuo account Google Ads potrai perfettamente gestire le tue campagne e le attività di advertising.
Dopo questa affermazione ti domanderai il perché di tutto questo allarmismo. Il problema che è stato sollevato riguarda il rispetto della privacy degli utenti. Andiamo con ordine.
Il 17 agosto del 2020 fu presentato un reclamo al Garante, da parte di un utente, che ovviamente è rimasto inanonimo contro la società Caffeina Media S.r.l. Questa avrebbe trasferito a Google LLC, nelle sedi Usa, i dati sensibili trattati all’interno del relativo sito , andando a violare il Regolamento UE 2016/679.
Senza addentrarsi nel dettaglio, questa normativa responsabile ogni azienda che utilizza i dati della loro tutela e salvaguardi. Tra le iniziativa richieste proteggere i dati sensibili si prevede l’obbligo di un sito di accettare i cookie, oltre alla presenza di una pagina sulla Privacy.
Leggi a questo proposito la nostra guida sul GDPR.
Dopo due anni, è stata dato finalmente una parere. Ed è questo quello che si deve considerare. Il Garante Privacy ha espresso un suo giudizio sul caso in particolare non una condanna.
Considerando necessaria da parte della società Caffeina Media adottare una maggiore salvaguardia della privacy dell’utente. Questo ha però suscitato il problema del trasferimento dei dati di Google Analytics ai server Usa. Vediamo il perché.
Google Analytics e la tutela della privacy
Il diritto alla privacy con la protezione dei propri dati personali inseriti su un sito e quelli finanziari è un aspetto fondatale per il web. Ciò comporta sicurezza per il cliente che ti ha chiesto di creare una pagina web e per l’utente di acquistare sul tuo e-commerce o sul tuo sito web, interagire con esso ed effettuare conversioni.
Per questo nel momento in cui un utente accede alla tua pagina web dovrà accettare o rifiutare l’utilizzo dei dati. Le informazioni diventano fondamentali se hai uno shop online oppure un’attività di servizi.
Attraverso di esse potrai gestire al meglio le tue campagne di advertising impostare una strategia come quella di remarketing, di e-mail marketing o di Sms Advertising.
I dati che vengono acquisti da Google sono quindi fondamentali per tutto il comparto del digital marketing. Senza di esso si ritornerebbe agli anni 90’ in cui si viveva con siti completamene isolati e trovare clienti veniva fatto con sistemi pubblicitari tradizionali e risultati limitati.
Ora potrai dire che hai adeguato il tuo e-commerce e il tuo sito nel rispetto della normativa sulla privacy.
Anonimizzazzione Indirizzo IP
Il problema non riguarda la tua pagina, oppure la piattaforma Google Analytics ma il fatto che l’IP del sito e i dati vengono salvati direttamente sui server di Google LLC, con sede negli Stati Uniti.
Perché questo problema? Dopo l’11 settembre del 2001, in base alle normative sulle sicurezza e al Patriot Act, in America si prevede la possibilità da parte degli enti i sicurezza preposti, di andare a chiedere a qualunque azienda statunitense i dati di ogni utente.
Questi potranno essere carataci o presenti su un server, non fa differenza. Ciò significa che i tuoi dati, presenti nei server di Google americani, potranno essere controllati.
Inoltre, per evitare danni alle imprese che gestiscono le informazioni, è stato stabilito che in caso di una verifica del governo USA, l’azienda non dovrà comunicarti che ha trasferito le tue informazioni personali e finanziarie, e l’indirizzo IP è uno dei tanti dati personali. Quindi non saprai di essere stato soggetto ad eventuali controlli.
Come funziona il trasferimento dei dati di Google Analytics
Prima di approfondire la problematica della privacy su Google Analytics, andiamo a chiarire come funziona il trasferimento dei dati. Ogni sito prevede al suo interno una serie di informazioni, tra le quali un IP, ovvero una sorta di indirizzo che ti identifica, fornendo alcuni dati su di te.
Inoltre, ogni cliente che accede al tua pagina a sua volta effettuerà delle attività. Quando colleghi il tuo IP a Google Analytics il programma registrerà tutte le varie informazioni e le trasmetterà direttamente sui server presenti in America come forma di archiviazione.
Questo è il problema principale, dato che il sistema americano prevede, in casi particolari ed eccezionali di acquisire i tuoi dati. Non avrai la possibilità di utilizzare un avvocato o un altro organo istituzione che interverrà in questo caso per proteggere la tua identità digitale.
Tutelare le tue informazioni personali e finanziare è un diritto in quanto cittadino europeo. Su questo aspetto è nata quindi la problematica che ha suscitato l’interesse da parte del Garante Privacy.
Come comportarsi allora?
Chiariamo un altro aspetto. Il problema fa riferimento al sistema di Universal Analytics, che ricordiamo dal 1 Luglio del 2023 cesserà di immagazzinare dati, dato che in Google Analytics GA4 i dati vengono salvati su dei server in Irlanda e inoltre, come vedremo più avanti, sono presenti una serie di impostazioni differenti e che possono essere una possibile soluzione al problema.
Cosa dice il Garante Privacy
Soffermiamoci un attimo sul parere del Garante Privacy che ha fatto nascere una serie di problematiche e dubbi. In particolare, gli aspetti da considerare sono:
- è stato dato un parere senza specificare le soluzioni per risolvere il problema;
- non è stato vietato l’uso di Google Analytics;
- non è stata fatta menzione di quale versione di GA4 è sotto il mirino;
- il caso in esame è del 2020 quindi con configurazioni di Universal Analytics obsolete;
- viene sottolineata la necessità d trovare un accordo tra UE e Usa.
Come abbiamo più volte ripetuto, il garante ha espresso un parere per un singolo editore, quindi, non ha disposto un blocco del sistema di analisi di Google.
All’interno del testo viene citato più volte il Regolamento UE 2016/679, andando ad indicare quali sono gli aspetti che non rispecchiamo le direttive della privacy, esortando a utilizzare tutti gli strumenti necessari a garantire la legittimità d’uso di Google Analytics.
Non vi è traccia di indicazioni da percorrere. Dovrà essere il titolare del sito o l’agenzia che la gestisce a dover adottare misure idonee. Ovviamente questo ha generato molti dubbi su cosa fare.
Un aspetto da sottolineare è il caso stesso in questione. Si fa riferimento a un utilizzo di Google Analytics 3, quindi un sistema obsoleto rispetto alla GA4, che già aveva portato dei dubbi sulla sua legalità.
Basta vedere la direttiva prevista in alcuni Paesi Europei, come la Francia. Infatti, già nel febbraio 2020 questi Paesi Avevano richiesto un adeguamento della privacy per il sistema di Universal Analytics, con la necessità di integrare una serie di funzionalità per evitare la comunicazione degli IP negli Stati Uniti.
Infine, data la complessità della materia e soprattutto gli effetti che si potrebbero determinare sul settore del digital marketing e delle aziende online, il Garante Privacy invita l’Europa e gli stati Uniti a trovare un accordo per una gestione diversa della privacy.
Ricapitolando:
- la piattaforma Google Analytics è legale;
- è necessario evitare il trasferimento dei dati sui server statunitensi;
- è richiesto un accorso immediato per la soluzione di questo problematica.
Google GA4 e privacy
Veniamo ora a Google Analytics 4. Ribadiamo questo concetto. Il problema è legato a Universal Analytics. Invece, la versione GA4, non è solo l’evoluzione di quella precedente, ma prevede una serie di settaggi e di impostazioni finalizzate alla problematica della privacy.
Configurare Google Analytics 4 diventa fondamentale a questo fine. Quindi può essere utile rivolgersi a un consulente ADS al fine di avere la certezza di andare a rispettare in modo completo la normativa sulla privacy. Vediamo quali sono le caratteristiche di GA4:
- IP viene anonimizzato di default
- Google Signal può essere disabilitato facilmente;
- Personalizzazione dei settaggi per la privacy;
- Potrai escludere gli eventi con NPA (No Personalized ADS);
- Data retention control per 2/14 mesi
- Possibilità di cancellare i dati;
- Sistema di consent mode.
1. IP viene anonimizzato di default
Il problema dell’IP in GA4 non si pone. Infatti, il sistema prevede dei proxy con server in Europa presenti in Irlanda, di proprietà di Google Europe, in cui verranno archiviate le informazioni.
Una considerazione è d’obbligo. In ogni caso le filiali europee sono sotto il controllo di Google LLC negli Stati Uniti. Questo potrebbe comportare che comunque il governo americano potrebbe richiedere una verifica sui tuoi dati personali, ordinando all’azienda degli Stati Uniti di aprire i server di quelli Europei.
Ovviamente il passaggio è indiretto. In ogni caso il sistema GA4 prevede che l’indirizzo IP originario verrà anonimizzato, dato che sarà cambiato. Inoltre, non si ha nessun riferimento con gli Stati.
Infine, è stato dichiarato che l’IP non verrà salvato sul server. L’indirizzo IP viene solo utilizzato per effettuare una geolocalizzazione del tuo sito. L’impostazione è di base, quindi non dovrai configurare nulla.
2. Google Signals è disabilitato
Altro aspetto utile di GA4 è la possibilità di gestire Google Signals.
Cos’è esattamene? Google Signals è un algoritmo che il motore di ricerca utilizza per identificare un utente anche se non si è registrato a Google o ha fatto un login a uno dei suoi servizi.
In questo modo Google riesce ad identificare un soggetto anche in cross-device. Ciò è possibile grazie ai dati che vengono salvati sulle varie piattaforme di Google, come Chrome, Gmail, YouTube ecc.
Questo sottolinea come il problema sulla privacy non è quello di Google Analytics, ma il fatto che l’universo Google ha una potenzialità praticamente quasi illimitate di riuscire a intercettare ed archiviare dati.
La disattivazione di Google Signals può essere gestita (anche dinamicamente) tramite Google Tag Manager:
Con GA4 potrai abilitare e disabilitare Google Signal. Ovviamente per il rispetto della privacy devi considerare la seconda opzione.
3. Personalizzazione dei settaggi per la privacy
Altro aspetto utile per affrontare la tematica della privacy è la possibilità di gestire la personalizzazione delle app. Infatti, potrai disattivare la possibilità di Google di andare ad analizzare quali sono stati gli utilizzi delle app sul tuo sito.
Inoltre, potrai selezionare anche l’opzione Country, in base alla quale andrai ad eleminare la configurazione solo in Italia, dove per adesso possono sorgere problemi, lasciando abilitata quella dei vari Paesi in cui non vi sono restrizioni sulla privacy.
Potrai decidere di gestire le informazioni riguardanti la glocalizzazione, come il punto da cui è stata fatto l’accesso, la città o la regione di riferimento. Queste opzione sono di default, un qualcosa che ad esempio Universal Analytics non esistevano proprio.
4. Escludere gli eventi con NPA (No Personalized ADS)
Avrai anche l’opzione di escludere singolarmente delle conversione utilizzando l’opzione NPA, acronimo che identifica il No Personalized Ads.
Potrai scegliere quali sono i dati che GA4 debba analizzare. Quindi avrai la possibilità di impostare la scelta Country e quindi in base al Paese verranno eleminate in automatico delle conversioni, oppure quella manuale.
5. Data retention control per 2/14 mesi
La piattaforma GA4 nasce con il presupposto di migliore la gestione di una serie di informazioni. In questa prospettiva si colloca il sistema di data retention. Potrai avere informazioni a livello storico dai 2 mesi ai 14 mesi.
6. Possibilità di cancellare i dati
Un aspetto completamente innovativo è la possibilità di cancellare qualunque informazione riguardante un utente. Potrai anche personalizzare cosa eliminare.
Ad esempio, potrai togliere tutti gli eventi collegati all’utente, oppure cancellare un evento, o i vari parametri contenuti in una specifica attività. In questo modo potrai eleminare in maniera completa un comportamento di un cliente, ma anche agire in maniera mirata.
7. Sistema di consent mode
Infine, vi è l’opzione consent mode, che se configurata correttamente riesce a tracciare i dati di conversione anche quando un utente ha deciso di non attivare i dati di profilazione quando naviga un sito web.
Come comportarsi con Google Analytics oggi: le alternative
A questo punto del nostro articolo diventa spontaneo domandarsi come comportarsi al fine di evitare eventuali interventi del Garante della Privacy. Le situazioni sono diverse:
- clienti che richiedono di cancellare Google Analytics;
- settaggio di GA4;
- alternative a GA4
- attendere eventuali sviluppi della situazione.
Il primo aspetto da considerare è la reazione dei clienti. Potrebbe capitare di ricevere l’e-mail dal proprietario del sito che gestisci richiedendo di cancellare Google Analytics. Niente di più semplice, potrai pensare.
Sai benissimo che, se lavori nel settore del marketing , questa condizione andrà a produrre enormi riflessi sull’andamento del sito. Infatti, senza Google Analytics, ti troverai privo di dati e informazioni necessarie per sviluppare le tue campagne di Advertising.
Quindi potrà essere utile spiegare che vi sono altre soluzione e far leggere il nostro articolo, in cui viene chiarito come una valida opportunità per tutelare la privacy è l’utilizzo di GA4.
Quindi, la soluzioni più immediata è quella di utilizzare Google Analytics 4 e affidarsi a un consulente senior di web marketing per il settaggio che ti abbiamo indicato precedentemente.
Potrai anche scegliere di rivolerti ad altri sistemi di advertising a livello europeo e che quindi utilizzino dei server che non hanno nulla a che fare con gli Stati Uniti.
Inoltre, un suggerimento è quello di impiegare un proxy hosting che abbia dei server europei, in modo da archiviare al suo interno le informazioni ed evitare quindi eventuali trasferimento dell’IP direttamente a quelli di Google Analytics.
Per adesso l’attenzione deve essere posta nel trovare il settaggio migliore di GA4 in rispetto della privacy, oltre a limitare l’utilizzo di altre piattaforme che prevedono server negli Stati Uniti.
Nei prossimi mesi è stato ipotizzato e a gran voce richiesto dallo stesso Garante Privacy un accordo tra la Comunità Europea e gli stati Uniti al fine di trovare una soluzione che rispetti la privacy degli utenti europei. Per ora bisognerà attendere e porre la massima attenzione.
Desideri effettuare il Passaggio da Universal Analytics a GA4?
Noi di Unidevs all’interno del nostro team vantiamo personale altamente qualificato nella gestione di Google Analytics.
Google Search Console: I 9 errori di indicizzazione più comuni
Google Search Console è lo strumento che aiuta a ...
Web Analytics: Cos’è e ambiti di utilizzo
Le Web Analytics, dette anche analitiche web, sono...
GDPR E-commerce: Metti a norma il tuo e-commerce
Il nuovo GDPR, acronimo di General Data Protection...
