Analytics, GDPR, Privacy ci sarà una soluzione a breve?

Tools Antifrodi

Google Analytics è veramente illegale? Da qualche giorno stiamo assistendo a numerose discussioni sul tema, con questo post proviamo a fare ordine e capire quali possono essere le strade da percorrere e gli eventuali pro e contro di ciascuna.

Il fatto

Il 23 giugno 2022 il Garante delle Privacy ha ammonito Caffeina Media srl per l’utilizzo di Google Analytics in modo improprio e quindi violando le garanzie previste dal Regolamento Europeo, in quanto trasferendo i dati negli Stati Uniti non garantisce un adeguato livello di protezione ai dati degli utenti.

Come leggiamo sul comunicato stampa del garante della privacy “dall’indagine del Garante è emerso che i gestori dei siti web che utilizzano Google Analytics raccolgono, mediante cookie, informazioni sulle interazioni degli utenti con i predetti siti, le singole pagine visitate e i servizi proposti. Tra i molteplici dati raccolti, indirizzo IP del dispositivo dell’utente e informazioni relative al browser, al sistema operativo, alla risoluzione dello schermo, alla lingua selezionata, nonché data e ora della visita al sito web. Tali informazioni sono risultate oggetto di trasferimento verso gli Stati Uniti. Nel dichiarare l’illiceità del trattamento è stato ribadito che l’indirizzo IP costituisce un dato personale e anche nel caso fosse troncato non diverrebbe un dato anonimo, considerata la capacità di Google di arricchirlo con altri dati di cui è in possesso”

È stato chiesto quindi all’azienda di conformarsi al regolamento europeo entro 90 giorni.

L’Autorità richiama tutti i gestori di siti italiani all’illiceità dei trasferimenti effettuati verso gli Stati Uniti attraverso Google Analytics. Inoltre invita tutti i titolari del trattamento a verificare la conformità delle modalità di utilizzo di cookie e altri strumenti di tracciamento utilizzati sui propri siti web, con particolare attenzione a Google Analytics e ad altri servizi analoghi, con la normativa in materia di protezione dei dati personali.

Ricordiamo che nei mesi scorsi anche Austria e Francia avevano fatto considerazioni analoghe chiedendo ai titolari dei dati di provvedere a sanare tale situazione.

Ma perché Google Analytics viola il GDPR e la privacy?

Fondamentalmente i problemi sono 2:

  • Il primo è un problema formale: Google Analytics tracciando i dati degli utenti dei siti web, diviene il responsabile del trattamento come da art 28 del GDPR e quindi servirebbe una sua nomina e dovrebbe essere istruito circa il trattamento dei dati. Non essendo questa cosa fattibile da nessun titolare verso Google questo diventa un cortocircuito del GDPR.
  • Il secondo problema è più sostanziale in quanto i dati raccolti vengono trasferiti negli USA che dopo l’annullamento del Privacy Shield dalla Corte di Giustizia Europea, non offre un livello di protezione dei dati adeguati per quanto previsto dalla normativa dell’Europa. USA e Europa stanno definendo un nuovo accordo di collaborazione sul trasferimento dei dati, ma ad oggi non è ancora stato siglato e non è detto che lo sarà nel breve termine. I dati raccolti oggetto del problema sono infatti dati che possono identificare l’utente (IP del dispositivo utilizzato, localizzazione, data e ora della visita etc) e ad aggravare la situazione l’utente potrebbe essere anche loggato in Google in modo da poter associare tutte le informazioni definite in tale account.

E ora cosa si può fare per la privacy?

Negli scorsi giorni i vari esperti del settore hanno provato a proporre soluzioni tecniche alternative, ma la situazione in realtà è molto più ampia e non riguarda sono Google Analytics che è incriminato nel provvedimento del garante della privacy. Non si troverà infatti una soluzione definitiva fino al momento in cui non ci sarà un nuovo accordo sul trasferimento dei dati personale fra UE e Stati Uniti.

Per rispondere al provvedimento il gestore del sito dovrebbe ottenere la disponibilità della chiave di cifratura dei dati (necessaria per lavorare sui dati in chiaro) o adottare ulteriori provvedimenti che impediscano alle Autorità degli Usa di accedere ai dati trasferiti oltreoceano.

Google Analytics 4 può bastare?

Nel caso in esame del garante delle privacy era stato utilizzato Google Analytics 3, ma nonostante Google Analytics 4 possa Anonimizzare IP, questa soluzione non è sufficiente in quando Google stessa può sempre risalire all’identità di chi ha visitato il sito.

Le soluzioni tecniche proposte dai GURU del settore sono diverse e abbiamo provato ad analizzare per capire insieme quali ci sembrano più sensate soprattutto con l’utilizzo di Analytics come base dati per migliorare le performance di ADS e non solo come mero strumento di analisi.

MATOMO

È la soluzione più diffusa dopo Analytics, si tratta di un progetto open source e il maggior vantaggio rispetto ad Analytics è il fatto che i dati possano essere salvati sui propri server rendendo possibile un controllo completo dei dati. Questo aspetto si porta dietro che la responsabilità del dato è completamente in carico al titolare del dato.

Dal punto di vista delle funzionalità possiamo dire che siano molto simili a quelle di Analytics, anche se manca la funzionalità di importazione dei report.

PLAUSIBLE

Si tratta di una soluzione open source che non utilizza cookie e per questo la rende conforme con quanto previsto dal GDPR e dagli altri regolamenti internazionali in materia di rispetto della privacy. Dal punto di vista infrastrutturale non fa alcun tipo di tracciamento né cross device né cross site e garantisce che i dati non siano utilizzati da aziende di terze parti

SIMPLE ANALYTICS

È una soluzione denominata “privacy first” proprio per distinguersi da Analytics. I dati vengono raccolti in modo cifrato in modo che non possano essere letti da terze parti; inoltre tutti i server sono posizionati in Europa

GOOGLE TAG MANAGER Server Side

Questo è un approccio proposto da “Tag Manager Italia” che dal punto di vista tecnico prevede un disaccoppiamento tramite server della collezione dei dati che transitano in un server dedicato a far sì che tutte le informazioni personali non finiscano sui server di Google in USA. Tale soluzione con determinati accorgimenti è anche prevista dal Garante della privacy francese ed in particolare:

  • Assenza di trasferimento dell’indirizzo IP ai server dello strumento di misura
  • Sostituzione dell’identificativo dell’utente da parte del Server proxy
  • Cancellazione delle informazioni di “referer” esterne al sito
  • la cancellazione di qualsiasi parametro contenuto negli URL raccolti
  • il ritrattamento di informazioni che possono in qualche modo aiutare la generazione di un’impronta digitale , come gli “ user-agents”, per rimuovere le configurazioni che possono portare alla reidentificazione;
  • l’assenza di qualsiasi raccolta di identificatori tra siti (cross-site) o deterministici
  • cancellazione di ogni altro dato che possa comportare una reidentificazione

Come scegliere?

La scelta è tutt’altro che banale soprattutto per tutti coloro che utilizzano Analytics come collettore di dati per ADS. Staccarsi infatti di Google e approdare a soluzioni europee eviterebbe il problema contingente sullo strumento medesimo, ma il problema è molto più ampio. Usare Google Analytics 4 server side secondo quanto espresso dalla Garante francese dovrebbe aiutarci a rispettare la normativa europea, anche se potenzialmente le limitazioni imposte non permettono alle campagne di ADS di lavorare al meglio.

In questi ultimi giorni inoltre l’autorità tedesca per la privacy sta vagliando Microsoft Office 365 sempre per possibili violazioni del GDPR e proprio ieri anche il garante irlandese ha fatto considerazioni analoghe sul trasferimento dei dati verso gli States da parte di Facebook/Meta.

Come si può intuire gli strumenti potenzialmente implicati potrebbero essere decisamente tanti (hosting di siti web, CDN, servizi cloud, altri social, etc.) – tutti coloro che hanno la sede principale negli USA indipendentemente da dove poi dicano di usare i server, perché comunque rimangono sotto la giurisdizione americana.

Ci auguriamo che un accordo possa esser presto trovato fra EU e USA perché le segnalazioni potrebbero diventare all’ordine del giorno e mezzo web potrebbe essere implicato in queste problematiche.

Vi terremo aggiornati.

Fonti:

Garante della privacy

Tagmanageritalia

https://www.html.it/magazine/google-analytics-4-alternative-conformi-al-gdpr/

https://www.cnil.fr/fr/cookies-et-autres-traceurs/regles/google-analytics-et-transferts-de-donnees-comment-mettre-son-outil-de-mesure-daudience-en-conformite