Google Analytics e Privacy Policy UE: facciamo chiarezza

Nell’ultimo periodo si è fatto un gran parlare, online e offline, di Google Analytics e del fatto che sia stato dichiarato non conforme alle direttive del GDPR. Questo è un grosso problema poiché GA, e nello specifico Universal Analytics o GA3, è uno dei servizi gratuiti di Google tra i più utilizzati e serve per monitorare e analizzare le visite degli utenti sui siti web. Ho deciso quindi di documentarmi e cercare di farmi una mia opinione per aiutare i miei clienti nell’individuare la soluzione migliore. Ma partiamo dall’inizio.

Cosa sta succedendo con Google Analytics?

Google Analitics dashboard   Il 23 giugno 2022 il Garante privacy italiano ha detto stop all’uso di GA, nello specifico di Universal Analytics, dichiarando che:

Il sito web che utilizza il servizio Google Analytics (GA), senza le garanzie previste dal Regolamento Ue, viola la normativa sulla protezione dei dati perché trasferisce negli Stati Uniti, Paese privo di un adeguato livello di protezione, i dati degli utenti.”

Questo vuol dire che tutti i proprietari di siti web europei che stanno utilizzando GA devono fare qualcosa per rendere i loro siti conformi a questa normativa. Intanto una associazione di attivisti no-profit ha già segnalato da diverso tempo ai Garanti privacy di alcuni paesi europei 101 siti web che violano la normativa. Tra questi soltanto 4 sono siti italiani (repubblica.it, caffeinamagazine.it, fastweb.it e ilmeteo.it) e su di loro il Garante si è già espresso ammonendo i proprietari dei siti web, aggiungendo che dovranno essere resi conformi alla normativa entro un tempo di 90 giorni dalla data di comunicazione della violazione. 90 giorni di tempo possono sembrare pochi ma erano 2 anni che si era a conoscenza di questa problematica, che oggi riguarda soltanto GA e che riguarderà a breve tutti quei servizi web che trasferiscono i dati a server di aziende statunitensi. Quindi il problema alla base non è Google Analytics in quanto tale ma la differenza di normative tra UE e USA sull’utilizzo dei dati degli utenti. In pratica negli Stati Uniti le autorità governative e di intelligence possono avere accesso ai server delle aziende statunitensi che raccolgono i dati degli utenti senza un livello adeguato di protezione di questi dati mentre la normativa UE stabilisce al contrario un diritto alla privacy degli utenti molto più regolamentato. Sicuramente il Garante si pronuncerà su altri siti e su altri servizi finché non avverrà un cambiamento normativo.

GA4 può essere una soluzione?

Inizialmente si pensava di poter risolvere il tutto con il nuovo strumento GA4 che sostituirà completamente Universal Analytics a partire dal 1/7/2023,  e verranno anche cancellati completamente tutti i dati antecedenti a quella data. Quindi il passaggio a GA4 da questo punto di vista diventa una necessità. GA4 come strumento di analisi è molto più evoluto di Universal Analytics e la sua implementazione può prevedere moltissime personalizzazioni, tra cui l’anonimizzazione dell’IP dell’utente più accurata, la possibilità di non avvalersi dei Google Signals, e altre cose. Ma se andiamo a leggere con attenzione quello che dice la normativa e quello che scrive il Garante quando si pronuncia capiamo subito che GA4 non può essere una soluzione poiché i dati degli utenti vengono comunque trasferiti sui server di un’azienda soggetta alla normativa USA, anche se questi server potrebbero trovarsi fisicamente in Europa, che l’IP anche se troncato non diverrebbe comunque un dato anonimo, che comunque attraverso una moltitudine di dati trasmessi l’utente potrebbe essere lo stesso identificato. In definitiva la soluzione del problema non può essere l’implementazione di GA4 in sostituzione di Universal Analytics, almeno nella sua configurazione solita, in modalità client-side.

Cosa si dovrà fare per adeguare i siti web?

Sono diverse le fonti che ho utilizzato per documentarmi per risolvere questo problema, che va a modificare tante cose nelle strategie di marketing online di un sito web e di conseguenza di un’azienda. La fonte più autorevole e più completa che ho utilizzato è sicuramente la due giorni di formazione organizzata da Search On Consulting con Google Analytics 4 BootCamp, in cui si sono pronunciati gli esperti più autorevoli del settore, e le discussioni sul forum Connect.gt. Ho trovato anche molto interessante l’intervista online fatta con il Garante privacy italiano che è possibile vedere sul YouTube. Diverse possono essere le soluzioni che dipendono dall’utilizzo che abbiamo fatto fino ad oggi di Universal Analytics, dipendono da quanto il proprio business è dipendente da Campagne su Google Ads e da quanto è importante per queste campagne il collegamento one-to-one con GA e da ultimo, ma non per importanza, da quanto ammonta il nostro budget per gli investimenti sulla web analytics.

Possibili soluzioni

  • Staccarsi completamente da GA e da tutti i servizi che trasmettano i dati dei nostri utenti negli USA.
  • Lasciare tutto così come è ora, magari implementare anche GA4, e attendere che si verifichi un cambiamento normativo nei rapporti tra UE e USA.
  • Utilizzare strumenti di web analytics diversi da quelli di Google (es: Matomo)
  • Utilizzare GA4 ma con una configurazione server-side.

Staccare Google Analytics

Staccare GA è sicuramente una soluzione efficace che ci mette al riparo da qualsiasi segnalazione, almeno per ora, ed consigliabile soltanto nel caso in cui siamo completamente svincolati da qualsiasi interesse nel tracciare e comprendere quello che fanno gli utenti sul nostro sito web, nel caso, ad esempio in cui non utilizziamo il sito web come uno strumento di marketing, non facciamo attività SEO e non facciamo campagne di advertising.

Tenere Google Analytics senza fare nulla

Anche lasciare tutto così come è ora e mettersi in una posizione di attesa può essere una soluzione, che naturalmente ci espone a possibili segnalazioni e anche a possibili sanzioni. Molti proprietari di siti web hanno già ricevuto una mail da Federico Leva, che chiede la cancellazione dei suoi dati di navigazione e che siamo obbligati a rimuovere. Bisognerà armarsi di pazienza e rimuovere i dati degli utenti che ne faranno richiesta da GA, è possibile. Anche il Garante ha espresso la sua fiducia che nell’arco di settimane si possa trovare una soluzione normativa tra UE e USA, ma ad oggi questo accordo tra le parti non c’è e non sappiamo quanto dobbiamo aspettare ancora. Una cosa è certa, la possibile sanzione potrà essere commisurata al 4% del fatturato, e molte saranno le aziende che preferiranno rischiare di pagare il 4% del fatturato piuttosto che rinunciare al fatturato che arriva dalle campagne Google Ads, sostenute dal collegamento con GA e dall’accuratezza dei dati che ci fornisce.

Utilizzo di servizi alternativi

Altra soluzione possibile è utilizzare un servizio alternativo a GA, un servizio che sia conforme alla normativa europea. Sto testando in questi giorni su alcuni miei siti Matomo, nella sua configurazione On Premise, che devo dire mi ha sorpreso in positivo, da alcuni punti di vista. Matomo è un servizio, gratuito nella versione base, che non invia i dati degli utenti a nessuno, in pratica il rapporto riguarda soltanto il proprietario del sito e l’utente senza che fonti esterne possano intervenire, potrebbe essere una valida alternativa per siti web non eccessivamente grandi. Non contiene tutte le funzioni disponibili con GA, specie quando parliamo di collegamento one-to-one con Google Ads, ma può essere integrato con dei plugin a pagamento. Personalmente lo sto ancora testando ma sono sicuro che può essere una valida soluzione per quei siti web che non utilizzano campagne di advertising e non hanno grosse esigenze di segmentazione del pubblico.

Tag Manager in modalità Server-Side

Interessantissima invece la soluzione proposta da Matteo Zambon, di Tag Manager Italia, con l’utilizzo di Tag Manager nell’implementazione server-side, in cui si potrebbe continuare ad utilizzare Google Analytics, anzi GA4, inserendo nella comunicazione tra il sito web e Google Analytics una specie di filtro, un server proxy, che filtri i dati degli utenti rendendoli non identificabili in alcun modo prima di inviarli a Google o a qualsiasi altra società che abbia sede negli Stati Uniti. Questa è una soluzione molto interessante, che sicuramente può risolvere la problematica legata al trasferimento dei dati in USA, ma che ha un costo. Un server che svolga queste funzioni ha un costo, che ricade sull’azienda proprietaria del sito web. Sarà necessario quindi confrontare costi e benefici di questa soluzione: se il nostro business necessita di attività di web analytics per individuare segmenti di pubblico, audience target, fare remarketing ed investire in campagne di advertising online che siano realmente efficaci allora dobbiamo capire che l’investimento da fare per essere conformi è l’implementazione e l’utilizzo di Tag Manager nella modalità server-side.

Conclusione

Credo che ciò che è scaturito da questa discussione sulla illegalità o meno dell’utilizzo di GA, sulle email inviate dal Sig. Leva, dalle soluzioni più o meno efficienti ed efficaci, debba essere valutato caso per caso, sito per sito, business per business. Perché la privacy dell’utente che naviga è sacrosanta e va tutelata in ogni modo, ma anche gli investimenti in campagne di advertising subiranno di conseguenza un grosso rialzo nei costi, perché sarà sempre meno facile riuscire a mostrare annunci pubblicitari solo a persone realmente interessate, e sono tante le aziende che vivono grazie all’efficacia delle campagne di advertising. Gli utenti utilizzano sempre più spesso servizi come Siri, l’assistente vocale di Google, Alexa, Facebook, Instagram, Google Maps e tanti altri, in questi casi che fine fa la privacy? Siamo sicuri che il male sia utilizzare Google Analytics? Un utilizzo consapevole dello strumento potrebbe essere sufficiente? Oppure dobbiamo solo attendere e sperare che Unione Europea e USA giungano ad un accordo che cerchi di soddisfare entrambe le esigenze?

 

Ti interessa l’argomento della web analytics?

Contattami per una consulenza.