logo google analytics
GDPRPrivacyTop

Davvero dobbiamo abbandonare Google Analytics?

di Alexander Quarella
di Alexander Quarella

Tra una lettura e l’altra, sotto l’ombrellone, vi sarete accorti che il Garante della Privacy in questi giorni ha deciso di agitare questo caldo periodo estivo toccando un tema molto scottante: Google Analytics e la privacy.

Come spesso succede, però, titoli sensazionalistici e allarmi social tendono a confondere le idee. A noi, invece, piace sederci con calma, raccogliere informazioni e provare a spiegarle nel modo più semplice possibile.

Se anche voi volete schiarirvi un po’ le idee, siete nel posto giusto!

Cos’è Google Analytics? È davvero così importante?

Nel momento in cui il GDPR è entrato in vigore, si sapeva che le Big Tech (le grandi aziende tecnologiche) avrebbero dovuto farci i conti. La prima ad essere attenzionata non poteva che essere Google che, tramite il suo ecosistema fatto di motori di ricerca, pubblicità, assistenti vocali, statistiche e un mare di altri servizi, fa del trattamento dei dati dei naviganti la sua vera chiave di successo. Non solo, questo ecosistema interconnesso rappresenta anche la leva per convincere (nel caso ce ne fosse bisogno) sempre più clienti ad affidarsi ai suoi servizi.

Per questo motivo, non solo in Italia ma in quasi tutti gli Stati europei, negli ultimi anni sono apparse una serie di interrogazioni alle diverse istituzioni di garanzia della privacy che richiedono di indagare sul modello di Google e più precisamente su Analytics.

Come si può intuire dal nome, questo strumento consente al gestore di un sito di avere statistiche approfondite sul traffico. Allo stesso tempo, però, è un requisito fondamentale per far entrare la propria pagina all’interno del circuito di Google. In pratica, per accedere in maniera ottimale agli esiti del motore di ricerca di big G., per guadagnare con le pubblicità, o al contrario apparire all’interno del suo circuito pubblicitario e tutta un’altra lunghissima serie di servizi, integrare Analytics al proprio sito è un passaggio fondamentale.

Questi sono i motivi per cui è di gran lunga lo strumento più usato al mondo su un numero incalcolabile di siti. Si capisce quindi, perché il provvedimento del Garante della Privacy può avere un impatto davvero significativo per molte realtà.

Scopriamo se è davvero così.

Perché il Garante della Privacy se la sta prendendo con Google.

Prima di tutto vale la pena chiarire tre cose, poi approfondiamo:

  • La prima è che il Garante non ce l’ha unicamente con Google Analytics, che è semplicemente l’oggetto dell’indagine il cui risultato è stato diffuso in questi giorni. È assai probabile che altre indagini condotte su altri servizi simili porterebbero a medesime conclusioni.
  • In secondo luogo il Garante non ha in realtà nulla da ridire sulla raccolta dei dati in sè, quanto sul fatto che questi dati vengano poi “spediti” negli Stati Uniti d’America (e tra poco vediamo perché è un problema).
  • Infine, sorpresa, il Garante non ce l’ha con Google! Ce l’ha coi siti che usano Google Analytics poiché è loro la responsabilità su come vengono raccolti e gestiti i dati. Per farla breve, non è “colpa” di Google, ma di chi infila Analytics nel proprio sito.

Ora, chiariti questi punti cerchiamo di capire qual è il vero problema.

La privacy non è la stessa tra Stati Uniti ed Europa

Il modo in cui l’Unione europea e i singoli stati membri gestiscono e garantiscono la privacy dei propri cittadini è profondamente diverso da quello statunitense. Sarebbe inutile analizzare tutte le singole differenze, ma basti sapere che l’11 settembre ha marcato una profonda differenza sulla percezione di privacy tra Stati Uniti ed Europa. Ancor più semplicemente: per certi enti USA accedere ai dati dei privati cittadini è incredibilmente facile.
Altresì possono prendere visione di dati inaccessibili invece alle controparti europee.

Possiamo intuire quindi che l’Unione Europea, a un certo punto, si sia trovata in una situazione paradossale.
Garantire, sul proprio suolo, il rispetto per la privacy dei dati dei propri cittadini. Perderne invece il controllo nel momento in cui questi, da un’azienda privata, venivano “esportati” in uno Stato con una legislazione totalmente diversa.

È proprio per questo che l’Italia ha ammonito le aziende sull’uso di Google Analytics. E non siamo il primo Stato membro. Prima di noi il divieto è scattato in Francia e Austria e presumibilmente altri stati stanno per prendere decisioni simili.

Infine vale la pena sottolineare nuovamente che il problema non è tanto che Google fornisca un certo strumento, ma che i gestori dei siti e i responsabili del trattamento dei dati lo usino violando le leggi del proprio Stato.

“Io uso Google Analytics, non dirmi che sono nei guai!”

Fortunatamente no, o meglio non ancora.

Il Garante ha dato una prova di responsabilità non scontata. Preso atto dell’argomento complicato, della diffusione dello strumento e quanto questo sia interconnesso a tanti altri servizi Google di diversa utilità, ha preferito non optare per il pugno di ferro. Anzi, ha preferito passare per un ammonimento che parte da un singolo caso ma che fissa un principio per tutti.

In pratica il Garante è partito studiando il caso di una singola azienda (tra le 4 italiane incluse in una lista di 101, oggetto di una richiesta di indagine campione) per chiarire una cosa ben precisa.

Allo stato attuale, con le configurazioni più comuni di Google Analytics, non è possibile ritenere questo strumento compatibile con il GDPR. In pratica non è garantita la tutela dei dati dei cittadini europei una volta scaricati sui server di Google negli Stati Uniti. Quindi, se usiamo Google Analytics, dobbiamo porre un blocco a questo trasferimento illecito di dati. Per farlo, abbiamo due possibilità: o usiamo un altro strumento o facciamo in modo che Google Analytics non comunichi certi dati. E dobbiamo farlo entro 90 giorni da quando è stato emanato il provvedimento: il 23 giugno 2022 (in pratica abbiamo tempo fino a metà settembre, circa).

“La faccenda si fa complicata o sbaglio?”

Mettiamola così: al netto del fatto che tra qualche giorno non cambino gli scenari e Google prenda una qualche iniziativa, dobbiamo capire perché usiamo Analytics.

Se lo facevamo solo perché era gratis, o perché ce l’avevano consigliato come il migliore, da qui a 90 giorni possiamo tranquillamente valutare le alternative che soddisfano il GDPR e cambiare strumento di analisi.

Più complicato il discorso nel caso in cui Analytics sia per noi vitale nella misura in cui ci guadagniamo con le pubblicità o lo usiamo per apparire meglio nei motori di ricerca, nelle mappe di Google o per le inserzioni a pagamento. In questo caso in questi 90 giorni ci converrà seguire le notizie a riguardo e vedere se in qualche modo emerge una configurazione utile di Analytics per essere 100% “GDPR compliant”.

A dire il vero Google sostiene che già oggi, passando a GA4 (la nuova versione di Google Analytics), modificando specifici parametri e mettendo tra il nostro sito e Google un proxy che renda anonimi certi dati, non ci sia alcun problema.

Siamo tutti d’accordo che a leggerla così non sia la più semplice delle soluzioni e che si dovrebbe passare per tecnici decisamente competenti in materia.
Da qui la riflessione iniziale. Stando così le cose, è più conveniente adottare un altro strumento, o pagare qualcuno che ci metta in regola per usare Google Analytics senza rischi?

In conclusione

Come detto, il Garante ha semplicemente dichiarato che Analytics di Google, così com’è configurato nella maggior parte dei siti, non è “GDPR compliant”. Non è nelle sue mansioni suggerire una soluzione che al momento appaiono essere tre:

  • cambiare strumento;
  • aspettare (non più di 90 giorni) che Google aggiorni Analytics suggerendo una configurazione “user friendly” (ovvero alla portata di tutti) e che lo renda GDPR compliant. Nota: qualunque “nuova configurazione” sarà presumibilmente oggetto di nuovi studi da parte del Garante;
  • affidarsi a dei tecnici specializzati e di fiducia che già allo stato attuale “filtrino” i dati comunicati oltre oceano in modo tale che garantiscano gli standard europei in termini di privacy.

Insomma come spesso accade nei nostri articoli, ci rendiamo conto che titoli acchiappa clic e letture troppo semplificate nascondono situazioni un attimino più complesse. Siamo però convinti che, se spiegate bene, siano in realtà alla portata di tutti. Speriamo, con questo articolo, di aver fatto proprio questo! In ogni caso ricordate che la sezione dei commenti è sempre attiva è pronta ad accogliere ogni vostra opinione!

Classe 1979 nato a Monaco di Baviera, orgogliosamente geek, spende una vita a "smanettare" con tutto ciò che tecnologicamente può essere considerato "novità". Il tempo libero è suddiviso molto poco equamente tra famiglia, telefilm e la mia più grande passione: i giochi da tavolo. In Omicron mi occupo di assistenza, demo online, addestramento e di digital marketing.

Scrivi un commento

* Ho letto e accetto l'Informativa