La scorsa settimana, è giunto l’intevento del Garante Privacy su Google Analytics. Una comunicazione le cui ripercussioni potrebbero impattare in modo importante sull’attività di chi, quotidianamente, ha a che fare con la gestione di siti, portali e network. Lo strumento, infatti, è tra i più utilizzati (se non il più utilizzato) in Italia per monitorare visite, fonti del traffico e statistiche di altro tipo.
Secondo l’autorità nostrana, le modalità di trattamento dei dati non risultano conformi ai requisiti del GDPR, in vigore ormai da anni nel territorio europeo. Il motivo è da ricercarsi nel trasferimento delle informazioni oltreoceano, verso server situati negli Stati Uniti, senza adeguate garanzie sulla loro tutela. Tra quelle interessate c’è anche l’indirizzo IP dei visitatori, considerato a tutti gli effetti un dato personale. È quanto emerso da un’istruttoria lunga e complessa. Il pronunciamento è il linea con quelli già registrati in Austria (nel dicembre 2021) e in Francia (nel febbraio 2022). Non è escluso che altri paesi possano seguire a ruota.
Quale futuro per Google Analytics in Italia?
Al momento, non si registrano commenti né repliche ufficiali da parte del gruppo di Mountain View a proposito di quanto stabilito con il comunicato “Google: Garante Privacy stop all’uso degli Analytics” del 23 giugno. Sebbene un ban del servizio sia da escludere, almeno a stretto giro, l’invito a chi gestisce i siti Web è stato messo nero su bianco: meglio iniziare a pensare a un’alternativa. E in fretta.
… l’Autorità richiama all’attenzione di tutti i gestori italiani di siti Web, pubblici e privati, l’illiceità dei trasferimenti effettuati verso gli Stati Uniti attraverso GA, anche in considerazione delle numerose segnalazioni e quesiti che stanno pervenendo all’Ufficio. E invita tutti i titolari del trattamento a verificare la conformità delle modalità di utilizzo di cookie e altri strumenti di tracciamento utilizzati sui propri siti Web, con particolare attenzione a Google Analytics e ad altri servizi analoghi, con la normativa in materia di protezione dei dati personali.
Il primo provvedimento (il primo di una serie, secondo il Garante) è già stato emesso in data 9 giugno, nei confronti della società Caffeina Media S.r.l.: ha a disposizione 90 giorni per adeguarsi.
La responsabilità è di chi gestisce i siti, non di Google
Di fatto, allo stato attuale e secondo quanto stabilito dall’autorità, non è possibile utilizzare Google Analytics garantendo la conformità a quanto prevede il GDPR.
È proprio questo il punto. L’intervento del Garante è rivolto ai gestori dei siti Web, chiamando in causa direttamente loro e non il gruppo di Mountain View. È sul loro capo, e non su quello di bigG, che pende la responsabilità di non affidarsi a strumenti ritenuti non conformi alle normative vigenti.
Il sito Web che utilizza il servizio Google Analytics (GA), senza le garanzie previste dal Regolamento UE, viola la normativa sulla protezione dei dati perché trasferisce negli Stati Uniti, Paese privo di un adeguato livello di protezione, i dati degli utenti.
La stessa bigG è a conoscenza del fatto che qualcosa deve cambiare. Lo testimonia il messaggio mostrato in cima alla dashboard del servizio che anticipa il passaggio dalla Universal Analytics a GA4. L’obiettivo è proprio quello di adottare modalità di raccolta e analisi più attente alle esigenze manifestate sul fronte privacy.
A partire dal 1° luglio 2023, Universal Analytics non elaborerà più i nuovi dati nelle proprietà standard. Preparati oggi stesso configurando e iniziando a utilizzare una proprietà Google Analytics 4.
Ci sono alternative a Google Analytics?
La risposta è Sì
, ci sono alternative a Google Analytics. Non si può ad ogni modo ignorare come la prospettiva di dover affrontare una migrazione verso altri servizi possa spaventare gli addetti ai lavori. Questi i link ad alcune delle risorse che meritano di essere prese in considerazione:
- Simple Analytics: non impiega cookie, non salva l’indirizzo IP, non trasferisce i dati oltreoceano;
- Plausible: non impiega cookie, salva l’indirizzo IP (hash per 24 ore), non trasferisce i dati oltreoceano;
- Matomo: impiega cookie, salva l’indirizzo IP (reso anonimo), non trasferisce i dati oltreoceano;
- Fathom: non impiega cookie, salva l’indirizzo IP (hash per 24 ore), non trasferisce i dati oltreoceano.