Perché Google Analytics 3 non è a norma GDPR e possibili soluzioni alternative

Da alcuni mesi il mondo del web è in fermento. Dopo il “caso Caffeina” Google Analytics 3, strumento di analisi web utilizzato pressoché da tutti, è entrato nell’occhio del ciclone. Molte web agency stanno proponendo l’installazione e la configurazione di Google Analytics 4: ma è davvero compatibile con il GDPR europeo? E quali sono le alternative possibili?

Proviamo a fare chiarezza.

Che cos’è un software di web analytics come Google Analytics 3?

La web analytics è l’analisi del comportamento degli utenti che navigano all’interno di un sito web, sia esso un blog, un sito corporate, un sito vetrina o un ecommerce. Un software di web analytics è quindi uno strumento di marketing che consente di raccogliere, misurare e comparare i dati di utilizzo dei siti. Si tratta di tool diffusissimi, installati dalla quasi totalità delle aziende proprietarie di un sito web, che hanno la finalità di ottimizzare i servizi offerti agli utenti e monitorare le campagne di marketing in essere.

Google Analytics è la più diffusa e potente piattaforma gratuita di web analytics oggi disponibile sul mercato. Traccia e registra il traffico web fornendo statistiche complete, semplici e intuitive su come i visitatori trovano e interagiscono con il sito in oggetto. L’aggregato di questi dati consente di costruire una precisa profilazione del target audience sulla base di numerose metriche personalizzate, di eseguireun tracciamento delle campagne di ADS, social e Digital PR e di misurare il ROI (ritorno sugli investimenti) di tutte le attività di web marketing implementate.

Un tool di web analytics costituisce quindi un’irrinunciabile risorsa per tutte le aziende che intendono sviluppare strategie di marketing consapevoli, mirate ed efficaci, consentendo di migliorare notevolmente la customer experience e l’engagement rate degli utenti.

Google Analytics 3: perché è stato dichiarato non GDPR compliant?

Occorre fare una prima specificazione: non è Google Analytics 3 (anche detto Universal Analytics) ad essere illegale di per sé, ma è il modo in cui il tool gestisce il trattamento dei dati a presentare delle illiceità rispetto all’attuale regolamento europeo sulla privacy. Infatti, come molti servizi che fanno capo ad un’azienda con sede negli Stati Uniti, Google Analytics 3 trasferisce una parte dei dati archiviati nei server europei a quelli degli USA, Paese in cui vige una regolamentazione in materia di trattamento dei dati personali non conforme alle direttive UE. In questo senso, va notato che di fatto tutto internet sarebbe illegale, compresi Facebook e Instagram, ad esempio.

Che cos’è il GDPR?

Il GDPR (General Data Protection Regulation) è il Regolamento europeo sulla protezione dei dati, redatto allo scopo di assicurare un adeguato controllo sulle informazioni personali che i cittadini dell’Unione Europea condividono online.

In particolare, il GDPR tutela qualsiasi informazione relativa a una persona fisica identificata o identificabile. Che cosa significa quest’ultimo aggettivo? Una persona fisica “identificabile” è colei che può essere identificata, in modo diretto o indiretto, tramite un nome, un numero identificativo, dei dati di localizzazione, un identificatore online o uno o più fattori specifici della sua identità fisica, fisiologica, genetica, mentale, economica, culturale o sociale.

In sostanza, sulla base del GDPR pressoché tutti i dati condivisi dall’utente con una piattaforma sono da considerare in qualche modo personali.

Da dove nasce la sentenza emessa dal Garante della Privacy nei confronti di Google Analytics 3?

Per comprendere al meglio i motivi che hanno portato il Garante della Privacy ad ammonire le aziende sull’utilizzo di Google Analytics 3 dobbiamo ripercorrere brevemente gli accordi intercorsi fra USA e UE negli ultimi anni in materia di trattamento dei dati personali.

Il Privacy Shield (lo “scudo per la privacy”) tra UE e USA, entrato in vigore il 1° agosto 2016, era un meccanismo di autocertificazione per le società collocate in territorio statunitense che ricevevano dati personali dall’Unione europea. Con tale accordo le società in causa si impegnavano a fornire a tutti i soggetti coinvolti adeguati strumenti di tutela, pena l’eliminazione dalla lista delle società certificate e possibili sanzioni. Era sufficiente che la società USA destinataria dei dati avesse autocertificato la propria adesione al meccanismo perché fosse riconosciuta come autorizzata a ricevere gli stessi.

Con la sentenza Schrems II, emessa il 16 luglio 2020, la Corte di Giustizia europea ha dichiarato non più valido il regime dello scudo UE-USA in quanto, dopo l’entrata in vigore del GDPR, la normativa USA, e quindi anche lo scudo UE-USA, risultava non in linea con le garanzie fornite in Unione Europea dalla nuova legge e quindi inadeguata a garantire la protezione dei dati personali trasmessi dalle aziende europee a quelle americane.

Con questa sentenza la Corte di Giustizia europea ha voluto affermare è che la tutela dei dati deve essere oggettiva, ossia avere una rilevanza pubblica, e non essere rilegata ad affare privato.

Successivamente, nell’agosto 2020, l’European Center for Digital Rights ha presentato 101 reclami a varie autorità europee sulla protezione dei dati raccolti sui siti web da software di web analytics con sede negli Stati Uniti, fra cui il diffusissimo tool Google Analytics 3.

Google infatti non assicurava l’aderenza di GA3 alle misure aggiuntive previste dal GDPR.

Quali dati raccoglie Google Analytics 3?

I dati raccolti da GA3 consistono in:

• Identificatori online unici che consentono sia l’identificazione del browser che del dispositivo dell’utente che visita il sito web
• Indirizzo, nome del sito web e dati di navigazione;
• Indirizzo IP del dispositivo utilizzato dall’utente che, per quanto anonimizzato, è considerato dato personale;
• Informazioni relative al browser, al sistema operativo, alla risoluzione dello schermo, alla lingua selezionata, nonché a data e ora della visita al sito web.

Inoltre, come sottolineato dal Garante, se un utente accede ad un sito attraverso il proprio account di Google, risulta molto semplice associare altre informazioni, come il numero di telefono o l’indirizzo email, alla navigazione dell’utente.

Il caso italiano di Caffeina Media Srl

La vicenda italiana che ha destato grande confusione e scompiglio fra i proprietari di siti web che utilizzano GA3 ha riguardato la sentenza emessa il 9 giugno 2022 dal Garante della privacy nei confronti di Caffeina Media Srl, nota agenzia di informazione che utilizzava Google Analytics 3 per l’analisi dei dati degli utenti che navigavano sul proprio sito.

In particolare, il Garante ha rilevato che Caffeina Media Srl non avesse attivato la funzione di IP-Anonymization e ha inoltre specificato non fosse sufficiente questa implementazione per garantire l’anonimizzazione dei dati, in quanto sia la crittografia che la pseudonimizzazione fornite dalla funzione potevano essere reversibili e quindi permettere a Google di avere accesso ai dati degli utenti.

Pseudonimizzazione e anonimizzazione dei dati: cosa significano questi termini?

La pseudonimizzazione è il trattamento dei dati personali che rende non più possibile attribuire gli stessi ad una persona fisica, senza avere a disposizione ulteriori informazioni. In pratica, la pseudonimizzazione consiste nel sostituire i dati direttamente identificativi (come nome, cognome, etc) con dati indirettamente identificativi (come un numero sequenziale).

L’anonimizzazione, invece, consiste nel servirsi di un insieme di tecniche al fine di rendere impossibile l’identificazione della persona con qualsiasi mezzo in modo irreversibile. I dati anonimizzati quindi non sono più soggetti al GDPR.

La soluzione implementata da Google Analytics, nominata impropriamente “IP-Anonymization”, oscura le ultime 8 cifre dell’IP, rendendolo virtualmente anonimo e quindi non più elemento soggetto al GDPR. Tuttavia tale strumento non è implementato di default, ma si tratta di una personalizzazione che deve essere selezionata dagli utenti stessi, spesso non a conoscenza dell’esistenza di tale opzione.

L’Ip-Anonymization, nonostante il suo nome, è in realtà una funzione di pseudonimizzazione e non di anonimizzazione: il troncamento dell’ultimo ottetto dell’IP non impedisce a Google di re-identificare l’utente, grazie all’aggregazione di questo dato a tutte le altre informazioni raccolte dall’azienda, come i dati contenuti nell’account Google.

I provvedimenti emessi del Garante della privacy nei confronti di Caffeina Media

Alla luce di quanto rilevato, il Garante della Privacy ha ammonito l’azienda, senza tuttavia dare alcuna sanzione, concedendo al titolare del trattamento dei dati 90 giorni di tempo (scaduti a settembre 2022) per adottare misure giuridiche/organizzative/tecnologiche capaci di garantire un trasferimento dei dati compatibile con il GDPR.

Il Garante ha inoltre sottolineato che spetta al titolare stesso del trattamento dei dati il compito di verificare che essi vengano protetti nella maniera corretta e che siano prese le sufficienti precauzioni per tutelare la privacy degli utenti.Pertanto il Garante non ha indicato le misure da adottare e ha rimesso la decisione nelle mani del titolare del trattamento dati.

Proprio per questo motivo non è stato emanato nessuno divieto di trasferimento dati, ma solo una sospensione fino a che il titolare non trovi delle soluzioni in grado di proteggere gli utenti e rispettare il GDPR.

Alla luce dei fatti e dei provvedimenti presi, GA3, così come è implementato, non è a norma di legge.

I novanta giorni per adeguarsi alla normativa valgono per tutte le aziende?

Trascorsi i tre mesi in questione, il Garante ha dichiarato che “inizierà a fare ispezioni e verifiche per fare in modo, per quanto possibile, che tutti quanti si trovino in posizioni identiche siano trattati allo stesso modo, così da evitare il crearsi di antipatiche asimmetrie”. 

Tuttavia va chiarito che la sentenza in questione (e di conseguenza la fatidica scadenza dei tre mesi) riguarda il caso specifico di Caffeina Media Srl.

Le possibili sanzioni per gli utilizzatori di GA3 nel proprio sito

Il rischio di sanzioni esiste per tutte le imprese proprietarie di un sito web sul quale è attivo Google Analytics 3. Il Regolamento prevede che la sanzione stabilita per ogni caso sia efficace, dissuasiva e proporzionata. Gli importi delle sanzioni possono variare da 10 a 20 milioni di euro e dal 2 al 4% del fatturato mondiale totale annuo dell’azienda, a seconda delle caratteristiche e del tipo di violazione.

Al momento, l’unica azione certa per evitare le sanzioni è quella di rimuovere lo script di Google Analytics 3. Va detto comunque che anche se ad oggi è Google Analytics 3 ad essere sotto la lente di ingrandimento, la lista dei software di web analytics potrebbe allungarsi e comprenderne molti altri.

Google Analytics 4: l’ultimo tool di web analytics firmato Google

Google Analytics 4 è l’ultima piattaforma sviluppata da Google, attiva da ottobre 2020 e che, a partire dal 1° luglio 2023, diventerà l’unico tool di web analytics di proprietà Google, andando completamente a soppiantare GA3.

Una delle grandi novità è che con Google Analytics 4 è possibile monitorare attraverso un’unica piattaforma sia il traffico proveniente da sito web che da applicazioni mobile. Avere tutti i dati nello stesso contenitore di analisi consente di vedere come gli utenti interagiscono con tutti i contenuti della stessa azienda in modo completo.

In GG4 è stato ripensato completamente il funzionamento dei modelli di dati (che servono ad indicare a Google Analytics come gestire le informazioni raccolte), in quanto app mobili e siti web producono dati completamente differenti. Le sessioni e le pageview utilizzate da GA3 sono state sostituite con il concetto unitario di “evento”, che identifica ogni tipo di interazione compiuta dall’utente (la sessione stessa diventa un evento). Questo permette di raccogliere dati con un alto livello di accuratezza e personalizzazione.

Anche i report, che hanno lo scopo di spiegare i dati, non sono più standardizzati come in GA3 ma possono essere costruiti ad hoc, divenendo uno strumento di analisi molto più flessibile.

Infine, GA4 sta basando sempre di più le sue funzionalità sul machine learning e sull’intelligenza artificiale, che rendono disponibile un ventaglio molto più ampio di informazioni utili a stabilire la migliore strategia di marketing. 

Google Analytics 4 è a norma di GDPR?

Rispetto alla conformità di GA4 al GDPR, il Garante non ha ancora fornito risposte certe e pienamente rassicuranti. Al momento, infatti, UE e Google non hanno trovato un accordo affinché il trasferimento dei dati ai server americani possa avvenire in modo lecito.

GA4 ha introdotto una serie di impostazioni sulla privacy configurabili per limitare il tracciamento, riducendo, ma non eliminando, il rischio di accesso governativo ai dati di re-identificazione degli utenti. 

Guardando all’orizzonte europeo, l’unica raccomandazione governativa pervenuta è quella del Garante francese, che ha suggerito di passare a GA4 e parallelamente utilizzare un server proxy per filtrare il trasferimento dati. Questa soluzione, definita “Server Side”, permette di modificare l’indirizzo IP, rendendo così impossibile a Google risalire all’identità degli utenti.

Al momento comunque è ancora presto per prendere una strada definitiva, compresa una gestione server side dello strumento.

Si dovrà attendere che il Garante della Privacy si esprima in modo chiaro o che, a livello internazionale, vengano presi degli accordi ad ampio raggio in merito al trasferimento dei dati da un continente all’altro.

In Europa si sono già verificati diversi casi di alto profilo che hanno costretto i siti web a rimuovere Google Analytics per rispettare le linee guida del GDPR. Questo ha spinto molti proprietari di siti web a prendere in considerazione differenti alternative a Google Analytics.

Matomo è una valida alternativa a Google Analytics?

Matomo è uno strumento analitico open source, già approvato dal Garante della Privacy italiano, che si configura come una delle alternative più interessanti a Google Analytics, in quanto offre varie funzionalità sovrapponibili, come i parametri per la realizzazione delle campagne, la gestione dei canali di acquisizione degli utenti con i relativi tassi di conversione, il monitoraggio degli eventi e l’impostazione degli obiettivi.

Matomo fornisce report in tempo reale sui visitatori di un sito web, ha un’interfaccia intuitiva e può essere liberamente personalizzato, così da soddisfare le esigenze di tutti gli utenti.

Matomo presenta però dei limiti nell’integrazione con i servizi Google, come Google Ads, Google Search Console e i Referral.

Cosa fare dunque se nel proprio sito è installato Google Analytics 3?

Non c’è una risposta univoca. Sicuramente va disinstallato. Se sia il caso o meno di sostituirlo subito con Google Analytics 4 resta un rebus. A mio parere, GA4 non fornisce al momento alcuna garanzia, anche se è chiaro che – in caso di controlli – aver installato GA4 anziché GA3 darebbe prova di chiara buona fede da parte dell’azienda, che ha voluto adeguarsi. Per non sbagliare? Disinstalliamo tutti Google Analytics 3, utilizzando temporaneamente i dati “rozzi” che ogni Awstats ci fornisce tramite il nostro hosting. Monitoriamo la questione e poi capiamo, nel giro di breve, se procedere con GA4 o se utilizzare soluzioni alternative, come Matomo o altri.