Google Analytics incompatibile con il GDPR: facciamo chiarezza
È dello scorso 9 giugno la notizia che il Garante della privacy italiano ha dichiarato illegittimo l’uso di Google Analytics sui siti web europei. Il suo utilizzo, infatti, comporta il trasferimento di dati e informazioni verso un paese esterno all’Unione Europea, gli Stati Uniti, dove le normative in materia di privacy sono ben diverse rispetto alle regole europee in fatto di protezione dei dati personali.
Vediamo come questa pronuncia del GDPR può modificare, di fatto, il modo in cui le piccole e medie imprese italiane tracciano i dati di navigazione dei propri siti web e come è opportuno ovviare a questa situazione.
La decisione del Garante della privacy
Il Garante per la protezione dei dati personali ha stabilito, in sostanza, che ogni sito web che utilizza il servizio Google Analytics (GA), senza le garanzie previste dal Regolamento Ue, viola la normativa sulla protezione dei dati poiché li trasferisce negli Stati Uniti, paese che non ha un adeguato livello di protezione. Tra questi dati vi sono, tra le altre cose, l’indirizzo IP del dispositivo dell’utente, nonché le informazioni relative al browser e al sistema operativo.
Il Garante ha quindi dato alle aziende 90 giorni per verificare la conformità del trattamento dei dati al GDPR, ma non ha stabilito sanzioni per le eventuali violazioni. (Fonte: Garante per la Protezione dei Dati Personali)
Come comportarsi dopo la pronuncia del Garante?
Ad oggi non si sono verificate conseguenze legali per le imprese italiane a seguito della decisione del Garante della privacy. Nonostante sia stata espressa la necessità di “spegnere” Google Analytics entro settembre 2022, infatti, il Garante non ha fornito alternative tecniche all’utilizzo della piattaforma. Come fare, quindi, per continuare a tracciare i dati di traffico del proprio sito web e mantenersi in linea con il GDPR?
Spegnere Google Analytics Universal
Google Analytics Universal, il tool di Google utilizzato dalla stragrande maggioranza delle aziende per monitorare il traffico e le performance dei propri siti web, è al centro della controversia creatasi con il Garante della privacy italiano. Nel frattempo Google ha però lanciato una nuova piattaforma di monitoring, Google Analytics 4, che permette di tracciare i dati in modo meno dettagliato rispetto al suo predecessore. In attesa di un accordo legale tra USA e UE in materia di GDPR, una soluzione è quella di spegnere GA Universale e usare Google Analytics 4.
Google Analytics 4: pro e contro
Come detto poc’anzi, l’aggiornamento di Google Analytics e Google Analytics 4 (GA4) permette in un certo senso di aggirare il problema dell’invio di dati sensibili europei su server statunitensi, ma rappresenta una soluzione “di compromesso” nell’attesa che USA e UE trovino un accordo ufficiale. L’identità dell’utente, infatti, viene comunque trasmessa ai server di Google negli Stati Uniti.
Le soluzioni alternative
Fatte queste premesse, com’è possibile riuscire a essere in regola con il GDPR e non rischiare sanzioni? Vediamo quali sono le possibili soluzioni alternative per riuscire a tracciare ugualmente i dati dei propri siti web.
GA4 Server Side
Si tratta di una variante di Google Analytics 4, che inserisce un ulteriore server tra quello di Google e sito web. Questo server proxy modifica l’indirizzo IP, rendendo così impossibile a GA4 e a Google risalire all’utente.
Usare altri tool di tracciamento
Oltre al colosso americano, esistono altri strumenti per tracciare il traffico web, approvati dal Garante della Privacy italiano. Tra questi vi è Matomo, strumento open source che offre opzioni di monitoraggio simili a quelle di Google. Anche Hubspot, un CRM, è uno strumento utile allo scopo, così come altri tool quali Simple Analytics, Plausible, Umami.
A che punto sono gli accordi tra USA e UE?
In merito alla controversia tra Google e Analytics in Europa e il GDPR, sembra esserci un nuovo accordo sulla privacy all’orizzonte. Per cercare di risolvere il problema del trasferimento dei dati tra Stati Uniti e Unione Europea, infatti, è stato firmato di recente dal Presidente Joe Biden un nuovo ordine esecutivo per adempiere agli obblighi del Privacy Framework UE-USA.
Speriamo quindi che si possa arrivare in breve tempo a una soluzione ufficiale che renda meno nebulosa e incerta la soluzione nella quale ci troviamo ormai da diversi mesi. (Fonte: Iubenda)