analytics-scadenza-31-dicembre

Il 1° luglio 2023 ha segnato un grande cambiamento nel mondo del marketing e della collezione di dati online. In tale data, uno degli strumenti più utilizzati nel web, Analytics 3, ha smesso di funzionare e di raccogliere dati, dando la possibilità di visualizzarli per ulteriori 6 mesi.

Dunque, il 31 dicembre 2023 sarà l’ultimo giorno* in cui avremo modo di consultare le statistiche generate da GA3…e dopo? Voi che strumento utilizzerete?

(*la versione a pagamento prevede 3 ulteriori mesi di consultazione)

ORIGINI di Google Analytics

Ripercorriamo insieme quella che è la nascita di questo strumento di tracciamento.

Cominciamo con il definirlo: Google Analytics è uno strumento di analisi e web marketing, capace di tracciare e registrare le attività degli utenti, analizzarne le azioni e profilare gli utenti per ottimizzare strategie e contenuti di una piattaforma digitale. Insomma, ci dice effettivamente come sta funzionando il nostro sito web e se i dati sono interpretati in maniera corretta, ci dice se le azioni di marketing attuate stiano portando a risultati. Non a caso è uno degli strumenti più utilizzati dalle agenzie SEO-Search Engine Optimization.

Dunque, il 1° luglio vediamo terminare l’era di Universal Analytics (o GA3), la versione del tool di monitoraggio web di Google in uso dal 2012, per assistere alla nuova generazione che prende il nome di GA4.

GA4

Già dal 2019 si ha la versione beta di questo strumento, sviluppata per combinare i dati di app e web ed ottenere report omogenei ed unificati. Ebbene sì, è proprio questa la grande novità, GA4 può rappresentare sia un sito che un’app dando la possibilità di ottenere una panoramica completa dei dati raccolti.

Le potenzialità di GA4 si possono racchiudere in un unico concetto manifesto: accompagnare un utente per tutto il percorso che si accinge a svolgere su un sito web o mediante un app.

È proprio qui che ci sovviene un campanello d’allarme: questa nuova versione è GDPR Compliant? In che modalità accompagna l’utente viene monitorato nelle sue attività? Che dati vengono raccolti? Come li raccoglie? Dove sono trasferiti i dati?

Data Monetization

Risponderei prima ad un quesito che chiarisce la ragion d’essere di Analytics: perché è così importante collezionare dati? Perché Google è disposto a sviluppare un tool decisamente oneroso e a fornirlo in maniera gratuita agli utenti?

I dati personali sono un bene prezioso, attraverso questi è possibile fare del business, trasformarli in denaro. Siamo davanti al fenomeno di Data Monetization, quale vendita dei dati, ma non solo. Viene definito come il processo mediante il quale sia possibile, appunto, ottenere un beneficio economico.

L’Osservatorio Big Data & Business Analytics ha sintetizzato il concetto prevedendo tre tipologie di Data Monetization:

  1. Arricchimento dell’offerta mediante i dati: i dati sono dunque un’estensione del principale servizio offerto a cui sono abbinati;
  2. Condivisione: dati che vengono condivisi gratuitamente per determinate finalità;
  3. Baratto e vendita: dati direttamente barattati o messi in vendita come servizio principale.

In un’intervista del 5 ottobre del 2020 Pasquale Stanzione (Presidente del Garante) si pronuncia in merito alla monetizzazione dei dati: “Una delle sfide più delicate riguarda proprio la monetizzazione dei dati. Se, infatti, si legittimasse la remunerazione del consenso al trattamento, si rischierebbe la rifeudalizzazione dei rapporti sociali, ammettendo che per necessità si possa essere disposti a cedere, con i dati, la propria libertà…” , “I dati personali, prima che una risorsa economica, costituiscono un bene giuridico, oggetto di un diritto “di libertà” che come tale non può essere alienato”.

Fatta questa premessa e avendo spiegato, dunque, l’importanza dei nostri dati personali ed il loro possibile risvolto pecuniario, possiamo intraprendere afferente al connubio Privacy – Google Analytics che spesso ha portato a diverse diatribe.

Il dubbio Privacy

Ciò che dai tempi di GA3 ha destato dubbi e perplessità dei diversi Garanti della Privacy è relativo alla tipologia di dati che vengono raccolti e trasmessi negli Stati Uniti, proprio perché i server dello strumento sono ubicati in USA.

Già nel 2020, infatti, il Garante italiano si è espresso in merito, anche mediante sanzioni come quella nei confronti di Caffeina Media Srl, dichiarando che GA3 non fosse GDPR compliant. Questa deduzione era dovuta al fatto che le informazioni circa l’utente interessato non fossero realmente anonimizzate, dunque non aggregate, e che permettessero di risalire all’identificabilità della persona.

Trasferimento dati

Oltre alla quasi trasparenza delle informazioni inviate negli USA, fino a qualche mese fa sussisteva anche la problematica del trasferimento dati poiché gli Stati Uniti non erano garantiti gli standard di conformità privacy europei. Come sappiamo, infatti, con la sentenza Schrems II del 16 luglio 2020, la Corte di Giustizia dell’Unione Europea ha invalidato il famoso Scudo UE-USA per la privacy, il Privacy Shield.

Erano dunque anni che l’Europa attendeva un nuovo accordo che permettesse il trasferimento dati verso gli USA in conformità al Regolamento 679/2016 da noi adottato. Ebbene, il 10 luglio 2023 si è giunti al famoso DPF, ma di cosa si tratta? La Commissione Europea ha adottato la decisione di adeguatezza del sistema giuridico statunitense rispetto alla tutela ed alla circolazione dei dati personali negli USA, anche conosciuta come US-UE Data Privacy Framework (d’ora n poi “USA-UE DPF”).

Grazie a questo strumento, oggi le organizzazioni che soddisfano una serie di requisiti possono trasferire dati legalmente tra UE e USA.

Immagino vi sovvenga la seguente domanda: Google è nella DPF List? La risposta è Sì, Google LLC è presente, in stato Active à Participant Detail (dataprivacyframework.gov).

La presenza di Google nella lista delle società conformi al nuovo accordo ci permette di dormire sonni più tranquilli per quanto riguarda le modalità di gestione dei nostri dati personali da parte degli USA e, dunque, da parte della Big G.

Tuttavia, è bene esser pronti ad un papabile e probabilissimo Schrems III, il quale potrebbe andare ad invalidare il DPF. In realtà abbiamo già avuto un caso simile volto alla sospensione del quadro normativo, la causa intentata da Philippe Latombe (cittadino francese, utilizzatore di strumenti con server in USA), che però è stata respinta, poiché risultata infondata.

Tipologia di dati trattati

Abbiamo visto da un lato il trasferimento dati e attualmente abbiamo un quadro normativo dettato dal Data Privacy Framework che ci permette di utilizzare una piattaforma come GA4 ed essere conformi in materia privacy. Siamo davvero sicuri?

Certo non possiamo mettere in dubbio ciò che la Commissione Europea ha sancito mediante il Framework, d’altro canto però, dobbiamo comunque valutare, in qualità di Titolari del trattamento, la tipologia dei dati inviati ai server negli USA. La presenza del quadro normativo non esclude che sia in capo al Titolare la verifica e l’adozione dei principi del Regolamento.

Fa sorridere che, qualche giorno prima dell’emanazione del DPF, il Garante svedese IMY abbia comminato una sanzione gravosa nei confronti di quattro aziende reclamate da parte di NOYB. Secondo gli audit svolti presso le stesse, è emerso che i dati trasferiti riguardassero l’indirizzo IP, il Client ID e le relative attività di visita ed esplorazione del sito web, registrate mediante cookies. Insomma… non proprio dati anonimizzati, come in realtà dichiara di garantire GA4. Lo stesso, infatti, prevede che l’indirizzo IP sia troncato all’ultimo ottetto, non potendo più identificare il dispositivo originario (anonimizzazione).

Il quesito da porsi, in qualità di Titolare del trattamento, è il seguente: utilizzo GA4 e consapevole di una anonimizzazione incerta dei dati dei miei utenti o scelgo piattaforme alternative?

Strumenti GDPR compliant

Abbiamo a disposizione diverse vie da percorrere quando si parla di web marketing, infatti possiamo ipotizzare tre alternative:

  • Chiederci se Google Analytics sia uno strumento realmente necessario ed indispensabile per il nostro core business, tale da intraprendere il rischio di non essere, in un futuro pressoché prossimo, GDPR compliant;
  • Utilizzare GA4, perché ritenuto fondamentale per la nostra mansione, ma impedire in qualche modo che il tracciamento trasferisca dati negli USA (es. utilizzo di server proxy, soluzione valida ma che necessità di un minimo di competenza per essere implementata);
  • Optare per tool alternativi, che siano comunque validi e che rispettino le modalità di gestione dei dati personali come dettate dal Regolamento.

Vediamo insieme quale strumento alternativo a GA4:

  • Matomo, del Pikwik Team, è GDPR compliant garantendo in primo luogo completa gestione dei dati da parte dell’utente e anonimizzazione degli indirizzi IP;
  • Plausible Analytics, di un team che elabora tutto in Europa e che osserva i principi del GDPR come quello di minimizzazione dei dati (ex art.5, par. 1, lett.c), del GDPR);
  • Metrica Yandex, della Yandex LLC sita in Russia, conforme al GDPR per le modalità di impostazioni implementate;
  • Burst, tool molto molto semplice legato a WordPress;

Insomma, le possibilità ci sono e sono molteplici; il Titolare del trattamento ha l’obbligo di scegliere strumenti opportuni apportando misure tecniche adeguate, sempre ottemperando al principio della privacy by design.

Quindi, chiediamoci prima – in fase di implementazione dello strumento – se strettamente necessario ed in che modo andrà a trattare i dati che gli fornisco. Preoccupiamoci ex ante se ciò che ho scelto è conforme al Regolamento o potrebbe crearmi problemi ex post.

Google manifesta il suo pupillo – GA4 – come conforme al GDPR… e tu? Da che parte stai?

Ti serve una consulenza privacy?

Il nostro team sarà felice di trovare la soluzione perfetta per te!