Il Garante Privacy mette al bando Google Analytics

Dopo oltre 90 giorni dallo stop all’uso degli Analytics, la tua azienda è in regola?

google analytics

Nel mese di giugno, il Garante Privacy era stato molto chiaro: stop all’uso degli Analytics.
I dati sono trasferiti negli Usa senza adeguate garanzie.
Il sito web che utilizza il servizio Google Analytics (GA), senza le garanzie previste dal Regolamento Ue, viola la normativa sulla protezione dei dati perché trasferisce i dati degli utenti negli Stati Uniti, Paese privo di un adeguato livello di protezione.

Google Analytics e il trasferimento dati extra UE

Dall’indagine del Garante è emerso che i gestori dei siti web che utilizzano GA raccolgono, mediante cookie, informazioni sulle interazioni degli utenti con i predetti siti, le singole pagine visitate e i servizi proposti. Tra i molteplici dati raccolti, indirizzo IP del dispositivo dell’utente e informazioni relative al browser, al sistema operativo, alla risoluzione dello schermo, alla lingua selezionata, nonché data e ora della visita al sito web. Tali informazioni sono risultate oggetto di trasferimento verso gli Stati Uniti. Nel dichiarare l’illiceità del trattamento è stato ribadito che l’indirizzo IP costituisce un dato personale e anche nel caso fosse troncato non diverrebbe un dato anonimo, considerata la capacità di Google di arricchirlo con altri dati di cui è in possesso.

Come adeguare la propria impresa?

Oggi è stato superato il termine di 90 giorni concessi dal Garante per adeguarsi al provvedimento. Il rischio è di incorrere a pesanti sanzioni per violazione del GDPR, le quali possono arrivare fino al 4% del fatturato. Quali sono le soluzioni?

Innanzitutto va rimosso lo script di Google Analytics 3, perché non sembra esistere una procedura per evitare che questi trasferisca dati negli Stati Uniti. L’aggregazione di questi dati consente di risalire all’identità della persona coinvolta.

Come risolvere la questione? È possibile installare software di statistica che non trasferiscono i dati negli Stati Uniti, ad esempio Matomo che è già stato consigliato per la PA.

Google Analytics 4 Server Side

Un’altra opzione sembrerebbe usare Google Analytics 4, definita Server Side, che permette di modificare l’indirizzo IP, rendendo così impossibile a Google risalire all’identità degli utenti. In ogni caso, tale soluzione non è stata confermata esplicitamente dal Garante della Privacy italiano, quindi anche su questa non c’è nessuna certezza.

Si dovrà attendere che il Garante della Privacy si esprima in modo chiaro, oppure che Google si muova in direzione dell’Europa o anche che, a livello internazionale, vengano presi degli accordi ad ampio raggio sul trasferimento dei dati da un continente all’altro.

È Google Analytics ma con una variante molto importante: tra il sito dove è installato GA4 e il server di Google c’è un ulteriore server chiamato proxy, il quale modifica l’indirizzo IP dell’utente che sta navigando, rendendo così impossibile a GA4 e a Google risalire all’utente stesso. Questo significa che, anche se Google dovesse continuare a trasferire dati negli USA, questa soluzione dovrebbe negare la possibilità di identificare l’utente. Il Server può essere costruito in casa o può essere trovato in cloud. Ad oggi esistono software in cloud che permettono questa opzione.

Matomo

È uno strumento analitico open source, già approvato dal Garante della Privacy italiano, che offre funzionalità simili a quelle di Google Analytics. Ci sono però diverse possibilità e opzioni che mancano in Matomo rispetto a strumenti come GA3 o GA4.

Hubspot

È un CRM, non un software di Analytics. Nonostante questo è un buon strumento da tenere in considerazione. La versione Marketing Hub Starter permette, tra le altre cose, di avere dashboard per monitorare l’andamento delle visite, delle conversioni degli utenti sul sito web, fino alla vendita effettiva.

Come abbiamo visto, dunque, la situazione attuale è in evoluzione: si attendono le pronunce definitive da parte del Garante e, al contempo, si verifica se e in che misura arriveranno i controlli e le sanzioni.

Il consiglio migliore rimane comunque quello di adeguarsi alla pronuncia e di eliminare GA3 dai propri siti.