Alternative a Google Analytics e consigli pratici dopo la decisione del Garante Privacy
Il tema "caldo" di questi giorni è la ricerca di
alternative a Google Analytics e
consigli pratici su come gestire i dati statistici degli utenti.
Il 23 giugno 2022 il Garante Privacy
ha pubblicato un comunicato dove ha affermato che il sito web che utilizza il servizio Google Analytics (GA), senza specifiche garanzie previste dal
GDPR,
viola la normativa sulla protezione dei dati perché
trasferisce i dati degli utenti negli Stati Uniti, Paese privo di un adeguato livello di protezione.
Sul nostro blog abbiamo già scritto un articolo di approfondimento che spiega perchè il
Garante Privacy ha dichiarato illecito Google Analytics sui siti web.
Di fatto, alla data di pubblicazione del presente articolo,
non si tratta di un vero "divieto" a utilizzare Google Analytics, bensì di una sorta di "sospensione" all'uso del servizio, in attesa che (entro 90 giorni dalla data di pubblicazione del provvedimento), il sito in esame implementi eventuali misure di sicurezza idonee a garantire la conformità del trasferimento di dati personali in USA ai sensi del GDPR.
In questo articolo cerchiamo di capire
eventuali alternative a Google Analytics e offriamo qualche
consiglio pratico per continuare a gestire i dati statistici degli utenti.
Seguici sui nostri social:
Facebook,
LinkedIn e
YouTube.
SOMMARIO
Cosa ha detto il Garante Privacy su Google Analytics, in breve.
Installare Google Analytics 4?
Google Analytics è conforme al GDPR?
GA4 come alternativa a Universal Analytics per la privacy?
Le "risposte" di Google ai provvedimenti delle Autorità europee
Soluzioni alternative a Google Analytics
Attenzione all'uso di dati particolari
Controllare il registro dei trattamenti
Verificare la privacy policy
La decisione del Garante Privacy non riguarda solo Google Analytics
Google Analytics: consigli pratici
Contattaci!
Come già deciso dai
Garanti Privacy di Austria e Francia, anche il Garante Privacy italiano ha dichiarato
illecito l'uso di Google Analytics sui siti web.
L'Autorità ha in sostanza accertato che i siti web che utilizzano GA raccolgono, mediante
cookie, una massa molto consistente di dati personali.
Tra i
dati raccolti tramite Google Analytics figurano:
- indirizzi IP del dispositivo dell’utente
- informazioni relative al browser e al sistema operativo
- lingua selezionata
- data e ora della visita al sito web.
Queste a altre informazioni vengono
trasferiti sui server di Google in USA, Paese la cui legislazione
non offre un grado di protezione dei dati adeguato in base agli standard previsti dal GDPR.
Il Garante ha evidenziato, in particolare, la possibilità, per le Autorità governative e le agenzie di intelligence statunitensi, di accedere ai dati personali trasferiti senza le dovute garanzie.
Le misure di sicurezza impiegate da Google per garantire la riservatezza dei dati personali degli utenti europei non sono state ritenute sufficienti.
L'invito del Garante Privacy sull'uso di Google Analytics
Il Garante Privacy ha invitato tutti i siti web ed e-commerce a verificare la conformità delle modalità di utilizzo di cookie e altri strumenti di tracciamento utilizzati sui propri siti web, con particolare attenzione a Google Analytics e ad altri servizi analoghi, con la normativa prevista dal GDPR.
Cosa ha ingiunto il Garante Privacy al sito web
L'Autorità ha ingiunto al sito di conformarsi al GDPR entro novanta giorni dalla pubblicazione della decisione (23 giugno).
Il tempo indicato è stato ritenuto congruo per al sito di adottare misure adeguate per il trasferimento, pena la sospensione dei flussi di dati effettuati, per il tramite di GA, verso gli Stati Uniti.
Allo scadere del termine di 90 giorni assegnato alla società destinataria del provvedimento, il Garante procederà, anche sulla base di specifiche attività ispettive, a verificare la conformità al Regolamento Ue dei trasferimenti di dati effettuati dal titolare.
L'importanza del termine di 90 giorni concesso al sito web
Come visto, il Garante ha dato tempo
90 giorni al sito per adottare misure adeguate inerenti il trasferimento dei dati personali degli utenti in USA.
Questo termine è molto importante perchè permetterà al sito web in esame di implementare eventuali misure di protezione particolari.
Inoltre,
permetterà anche a siti web ed e-commerce di sapere se le eventuali misure di sicurezza implementate sono state ritenute sufficienti dal Garante Privacy per permettere il trasferimento di dati personali in USA.
Pertanto, non è da escludere che alcune delle considerazioni contenute nel presente articolo verranno
aggiornate in base a nuovi scenari.
Installare GA4 sembra una delle opzioni più natuali dopo la decisione del Garante Privacy italiano.
Infatti, la pronuncia della Autorità
riguarda Universal Analytics e non il nuovo applicativo di Big G.
Pertanto, potrebbe valutarsi la possibilità di installare questo strumento di profilazione sul sito, in attesa di chiarimenti o di un nuovo provvedimento del Garante avente ad oggetto GA4.
Cos'è Google Analytics 4
E' il nuovo software di misurazione e tracciamento
lanciato da Google a metà 2020 e che dal 1° luglio 2023 costituirà l'unica piattaforma di analisi dati di Big G.
Senza in questa sede analizzare il nuovo tool dal punto di vista tecnico (in rete trovate numerosi articoli al riguardo) è sufficiente evidenziare che GA4 si baserà su:
- approccio ai Data-Model. I dati saranno conservati basandosi sulle interazioni degli utenti;
- gestione degli aventi più completa
- personalizzazione delle sessioni.
Questa è la domanda da porsi se si vuole
sostituire Universal Analytics con Google Analytics 4.
A questa domanda solo il Garante Privacy potrà fornire una adeguata risposta.
Con riferimento al ruolo dei Garanti privacy nazionali, vale la pena di ricordare che il
CNIL (il Garante Privacy francese)
ha espresso delle perplessità sulla versione beta di GA4.
Questo
non significa ovviamente che anche Google Analytics 4 non sia conforme al GDPR.
Singifica solo che non bisogna dare per scontato che Google Analytics 4 non trasferisca dati personali in USA.
In tal senso, sarà molto importante utilizzare tutte le opzioni di anonimizzazione offerte da questo strumento, quanto meno per ridurre il rischio di contestazioni da parte della Autorità.
Inoltre, potrebbe essere utile implementare delle
soluzioni "server-side", come anche paventato dal
CNIL.
In tal senso, si potrebbe attivare un servizio server-side europeo che si intrapone nel proxy di default di GA4 (Proxy di GA4 di default:
https://support.google.com/analytics/answer/12017362?hl=en#:~:text=When%20collecting%20data%2C%20Google%20Analytics,via%20EU%20domains%20and%20servers.)
In tal senso, è stato lo stesso Garante europeo ad affermare in una live che questa soluzione avrebbe come risultato il mancato passaggio di dati personali a Google.
Di fatto, ci sono alcuni elementi in GA4 che si muovono in favore della
conformità del nuovo tool al GDPR.
Infatti, sembra che GA4
non gestisca gli indirizzi IP degli utenti.
Inoltre la gestione dei dati dati avviene tramite un
proxy - server collocato in Europa - che non dovrebbe (il condizionale è d'obbligo) trasferire i dati personali degli utenti in USA.
Inoltre, la suite offre tutta una serie di opzioni che è possibile configurare e implementare per
anonimizzare i dati personali dei visitatori del sito web o e-commerce.
Tra gli strumenti che possono essere implementati figura la soluzione
c.d. "server-side".
Questa implementazione comporta il passaggio dei dati su un server dedicato e allocato in Europa.
Il server anonimizza i dati personali e li trasferisce ai server europei di Google in modo da rendere impossibile (almeno teoricamente) ricondurre i dati a una persona fisica identificata o identificabile.
Anonimizzare i dati personali tramite Google Analytics 4 garantisce il rispetto del GDPR? E' una valida alternativa a Google Analytics?
Nel provvedimento pubblicato settimana scorsa, il Garante Privacy ha già chiarito che la anonimizzazione dei dati non è sufficiente.
Infatti, anche se i dati personali (es. IP anonimizzati) vengono trasferiti in USA, Google possiede una così ingente massa di dati personali che è in grado di ricondurre i dati a uno specifico device, e quindi a uno specifico utente.
Questo può accadere anche con Google Analytics? Questo tool
rappresenta realmente una valida alternativa a Google Analytics?
Gli operatori del settore (sopratutto software house) hanno opinioni discordanti su questo punto.
Se si vuole continuare a utilizzare gli strumenti di Google, abbiamo due
consigli alternativi:
- continuare a usare Universal Analytics in attesa di sapere se il sito oggetto del provvedimento ha implementato misure di sicurezza ritenute idonee dal Garante Privacy per permettere il trasferimento di dati in USA
- sostituire Universal Analytics con Google Analytics 4.
Già il lancio di Google Analytics 4 è considerata da molti addetti ai lavori una risposta di Big G. ai provvedimenti emessi dalle Autorità privacy europee sul tema del trasferimento dei dati personali in USA.
Un'altra possibile soluzione, che diventa sempre più concreta, è quella di creare una c.d. "zona" Google anche in Europa.
In questo scenario si creerebbe una
"divisione" Google in Europa (che tra l'altro potrebbe avere sede proprio a Milano) la quale non trasferirebbe dati personali in USA, ma li conserverebbe e userebbe solo all'interno dell'Unione europea.
Ovviamente è sempre possibile valutare tool alternativi a Google Analytics.
L'articolo che abbiamo pubblicato poche ore dopo la decisione del Garante Privacy già conteneva l'indicazione di alcune
alternative a Google Analytics.
In questa guida vogliamo approfondire il tema con riferimento al tool Matomo.
Matomo come una alternativa a Google Analytics?
Matomo è un tool open-source per l'analisi statistica dei dati installabile sul proprio server.
La società che ha creato questo tool è neozelandese ma il
tool conserva i dati in Europa e non li trasferisce all'estero.
In tema privacy, la differenza principale tra Matomo e Google Analytics riguarda la
proprietà dei dati.
Tramite Matomo, l'accesso e la
proprietà dei dati rimane nella esclusiva titolarità del sito web o del sito ecommerce, proprio perchè i dati personali sono allocati sul server del sito.
Usando i tool di analisi statistica di Google, invece, i dati finiscono sui server di questa società.
Elemento negativo di Matomo potrebbe però riguardare la
sicurezza dei dati personali degli utenti.
Infatti, proprio per il fatto che i dati personali sono allocati sul server del sito, se hacker dovesse "bucare" il server la responsabilità (in prima battuta) è tutta del sito stesso.
Pertanto, qualora si stia pensando di
valutare Mamoto come alternativa a Google Analytics si tenga conto anche di questa possibili criticità legale.
I dati "particoli" sono quelli che rivelano l'origine razziale od etnica, le convinzioni religiose, filosofiche, le opinioni politiche, l'appartenenza sindacale, relativi alla salute o alla vita sessuale. Il GDPR ha incluso nella nozione anche i dati genetici, i dati biometrici e quelli relativi all'orientamento sessuale.
Al di là della valutazione sulle alternative a Google Analytics è importante che il sito web o e-commerce controllli se conserva dati di tracciamento inerenti queste informazioni.
Con particolare riferimento a siti e-commerce, è abbastanza raro che eventuali dati particolari siano realmente utili per il business.
Pertanto, è consigliabile valutare di cancellare dati di tracciamento inerenti a dati particolari eventualmente presenti su Google Analytics o tool simili.
Come verrà detto nel proseguo di questo articolo, la decisione del Garante Privacy coinvologe tutti i casi di trasferimento di dati personali in Paesi extra-Ue che non offrono un grado di protezione dei dati personali adeguato in base agli standard del GDPR.
Ciò implica
controllare e se del caso rivedere il registro dei trattamenti.
Ricordiamo che il registro dei trattamenti è un documento che "mappa" il trattamento dei dati personali dell'azienda (e quindi anche del sito web o sito di commercio elettronico).
Alla luce del provvedimento del Garante Privacy, quindi, sarà molto importante controllare sul sito sono installati tool che trasferiscono dati personali nei predetti Paesi e aggiornare il registro e agire per impedire il trasferimento/implementare ulteriori misure di sicurezza.
Se vuoi approfondire questo tema, puoi leggere la nostra guida sul
registro dei trattamenti per siti web.
Il Garante Privacy ha anche
contestato la privacy policy del sito in esame (generata tramite il tool di
Iubenda).
L'informativa privacy, infatti,
non conteneva il riferimento al fatto che i dati potevano essere trasferiti in un Paese privo della decisione di adeguatezza della Commissione europea (nel caso di specie, USA).
Pertanto, per
pubblicare una privacy policy a norma, è consigliabile:
- controllare se sul sito sono installati tool che permettono il trasferimento di dati personali in Paesi
- verificare se l'informativa privacy contiene i corretti riferimenti normativi in caso di trasferimento in Paesi extra-UE.
Su questo punto, riteniamo opportuno evidenziare che il
generatore di privacy policy di LegalBlink da sempre offre la
possibilità di indicare:
- i Paesi per i quali sussiste un giudizio di adeguatezza della Commissione europea. Per ogni Paese poi sono indicati i riferimenti del giudizio di adeguatezza
- se il trasferimento avviene in USA, con quantomeno l'indicazione che il trasferimento avviene in un Paese che non ha ricevuto un giudizio di adeguatezza da parte della Commissione europea
- se il trasferimento avviene in altri Paesi rispetto a quelli indicati.
Prima di analizzare i consigli pratici su come gestire i dati di tracciamento degli utenti a seguito della
decisione del Garante Privacy una precisazione è d'obbligo.
La decisione del Garante Privacy è stata resa con riferimento a un sito web specifico (
https://www.caffeinamagazine.it) che
utilizza Google Analytics ma i principi espressi sono applicabili per qualsiasi contesto dove i dati personali degli utenti del sito web o del sito ecommerce vengono trasferiti in USA.
La decisione, pertanto, riguarda sia i prodotto di Google diversi da Google Analytics (es.: Google Drive),
sia i servizi di società che hanno i server in USA e alle quali i dati personali degli utenti europei vengono trasferiti.
Non solo.
Riguarda anche tutti i servizi che trasferiscono i dati personali degli utenti europei in
Paesi per i quali non c'è stato un giudizio di adeguatezza da parte della Commissione europa (es.: l'India, la Cina o la Russia).
Cosa deve fare un sito web o e-commerce per essere il più possibile conforme al GDPR?
Qualsiasi suggerimento legale ovviamente non può prescindere dal caso concreto riferito al singolo sito web o e-commerce.
Alla luce di quanto sopra, ecco alcuni
consigli pratici:
- valutare se installare GA4 oppure una delle alternative a Google Analytics
- controllare e se del caso aggiornare la privacy policy e cookie policy
- eliminare i dati particolari eventualmente conservati dal sito tramite strumenti di tracciamento (molto spesso sono dati che non servono al business)
- controllare e se del caso aggiornare il registro dei trattamenti.
Vuoi approfondire i nostri
consigli pratici per gestire al meglio Google Analytics?
Contattaci e il nostro Team di legali ed esperti IT assisterà la tua azienda per adeguare al meglio la modalità di tracciamentod degli utenti ai principi del GDPR.
Scrivi a
legalblink@legalblink.it e prenota una consulenza.
Team LegalBlink