Dopo i pronunciamenti della DBS austriaca, della CNIL francese e del Datatilsynet danese il 23 Giugno scorso è arrivata anche la sentenza del Garante della Privacy italiano: il servizio di statistiche e analisi di Google “viola la normativa sulla protezione dei dati perché trasferisce negli Stati Uniti i dati degli utenti”. Ma facciamo un passo indietro. Cosa prevede la normativa europea circa la protezione dei dati degli utenti e il trasferimento degli stessi?
Indice dei contenuti:
La normativa europea e il trasferimento di dati all’estero
I trasferimenti di dati personali verso Paesi non appartenenti allo Spazio Economico Europeo costituito da UE + Norvegia, Liechtenstein, Islanda o verso un’organizzazione internazionale sono consentiti a patto che il Paese terzo o l’organizzazione internazionale garantiscano un livello di protezione adeguato.
I dati personali in questione sono i più vari: indirizzo IP, Browser utilizzato, lingua selezionata durante la navigazione e altro.
La decisione circa i Paesi Terzi o le organizzazioni verso cui è possibile trasferire dati viene presa dall’Unione Europea che svolge, anche, una revisione con cadenza periodica di decisioni già prese. Questa attività di riesamina può concludersi con la conferma di una decisione precedente ma anche con la sua modifica, sospensione o revoca.
Cosa viene contestato a Google Analytics?
I siti che utilizzano Google Analytics come strumento di monitoraggio possono raccogliere vari tipi di dati, come: indirizzo IP del dispositivo dell’utente, informazioni circa browser, sistema operativo, risoluzione dello schermo, lingua selezionata e data e ora della visita sul portale.
Il punto della questione, però, non è solo quali dati vengono trasferiti ma verso dove e a chi.
Ciò che viene contestato nelle sentenze di altri organi nazionali Europei così come in quella del Garante delle Privacy italiano (che è possibile approfondire qui) è il fatto che questi dati vengano trasferiti negli Stati Uniti, un paese in cui il trattamento dei dati non è ritenuto conforme al regolamento sulla privacy in vigore nell’Unione europea. Il motivo di questa “non conformità” risiede nel CLOUD ACT (Clarifying Lawful Overseas Use of Data Act). Questa legge richiede alle aziende con sede negli Stati Uniti, come Google, di trasmettere alle agenzie governative statunitensi, i dati in loro possesso indipendentemente dal luogo in cui sono conservati (dentro o fuori gli Stati Uniti).
La contro mossa di Google: GA4
Le contestazioni nei confronti di Google riguardano Google Analytics 3 e il fatto che utilizzando questo servizio i dati personali raccolti possano essere resi accessibili a terzi in modo non conforme alle norme di protezione della privacy previste per i cittadini europei.
Un aspetto su cui il Garante si è soffermato in maniera particolare è l’indirizzo IP da considerarsi un dato personale a tutti gli effetti anche troncato di alcune cifre. Google, infatti, dispone di altri dati da poter incrociare rendendo vana questa parziale anonimizzazione.
Nel tentativo di far fronte a queste e altre criticità, già da qualche mese, Google ha rilasciato Analytics 4 che vorrebbe essere a norma con la legge europea.
Tenendo presente che la situazione è ancora in evoluzione, al momento della scrittura di questo articolo non possiamo dire se i cambiamenti apportati a GA4 verranno considerati risolutivi dall’UE e dal Garante italiano (e l’equivalente degli altri stati) e in linea con le norme della privacy. Quindi come comportarsi ora per essere a norma?
Analytics o non Analytics, questo il dilemma
Google Analytics è sicuramente lo strumento più utilizzato a livello globale per monitorare le prestazioni di un sito, il successo o meno di eventuali campagne marketing o più in generale il comportamento degli utenti su piattaforme online. Questa nuova situazione potrebbe, però, essere lo stimolo ad allargare le proprie vedute e cominciare a considerare dei nuovi tool di monitoraggio preferibilmente a norma di legge.
Scegliere servizi alternativi proposti da aziende europee e soluzioni self hosted permetterebbe di risolvere il problema alla radice ma quali sono questi servizi e cosa si intende per soluzioni analytics self hosted?
Cosa si intende per Analytics Self Hosted?
Partiamo dalle basi: cosa si intende per Analytics Self Hosted?
Per Analytics Self Hosted si intende un servizio che raccoglie dati dal sito/siti rendendoli visualizzabili (da qui la parte Analytics) che è ospitato in uno spazio di cui si ha il controllo o affidate a persone di fiducia (da qui Self Hosted). Questo significa che tutti i dati rimangono all’interno dello Spazio Economico Europeo (visto che è self hosted) e che seguiranno le norme del SEE.
Ad esempio se io ho il sito installato a Francoforte e il software installato a Parigi sempre sui miei server risulta self-hosted ma anche se ho tutto integrato nel sito a Parigi è sempre Analytics Self Hosted anche se ha effetti differenti.
Questo però significa che bisogna fare una scelta oculata per selezionare il migliore applicativo per le proprie esigenze cosa che non è così immediata. Quindi come scelgo il software migliore per me?
Cosa devo controllare per scegliere un software di analytics?
Per scegliere correttamente un software di analytics è bene fare una attenta valutazione di caso in caso. Ogni sito ha esigenze diverse e necessità diverse che influiscono su che software è il migliore caso per caso e la soluzione di un sito può non essere quella corretta per un altro sito ma addirittura potrebbe essere quella dannosa. Noi consigliamo che il software abbia delle caratteristiche minime necessarie per avere tutto ciò di cui avete realmente bisogno. Visto che il 43% dei siti usa WordPress prenderemo un ipotetico sito WordPress come esempio per i nostri criteri di scelta.
Deve raccogliere correttamente i dati secondo la GDPR
Sembra ovvio ma il minimo per la scelta del software è che rispetti la legge. Deve seguire la GDPR e poter essere installato in un server in un territorio Europeo e i dati devono essere gestiti e mantenuti in modo da seguire delle specifiche regole.
Deve essere compatibile con il plugin per il Cookie Banner e Privacy Policy che hai installato
Per rispettare la GDPR è necessario avere un Cookie Banner e una Privacy Policy. Solitamente nel mondo di WordPress si usa un plugin che gestisca la cosa e aiuti a scrivere una Privacy Policy quindi è necessario che il software scelto per le metriche sia compatibile con il plugin che genera/gestisce il Cookie Banner e la Privacy Policy e che venga esplicitamente indicato l’uso degli analytics.
Deve essere facile da integrare con il sito
Per quanto è importante avere uno strumento di metriche le funzionalità, la grafica e la leggibilità del sito sono le cose più importanti del sito stesso. Per questo motivo è importante che il sistema di metriche sia facile da integrare con il resto del sistema e non vada ad alterare il funzionamento di nessuna delle altre parti. Per esempio un plugin dedicato che puo’ essere installato e settato velocemente che utilizza le api di WordPress (e quindi non altera o viene alterato dagli altri plugin in funzione) è un plus che permette di non preoccuparsi di problemi quando si aggiorna o modifica il sito.
Deve essere integrabile con gli altri tool che usi
Bisogna fare attenzione a scegliere i tool perché devono essere compatibili. Ad esempio se io preparo una campagna pubblicitaria è importante che il tool delle metriche possa distinguere gli utenti delle campagne pubblicitarie dagli altri utenti. Ed è anche vero il contrario. Per esempio se io ho un tool di monitoraggio per controllare che il sito sia online è bene che queste richieste vengano escluse dalle statistiche prodotte.
Deve essere semplice da gestire e aggiornare
Il software scelto deve essere facile da installare e configurare, in modo che se ci sono problemi di qualunque tipo si riesca a tornare velocemente a una situazione di normalità in caso di problemi.
Il fatto che sia facile da aggiornare è effettivamente un plus ma risulta essenziale una volta che l’applicativo è in produzione. Questo perché, per motivi di sicurezza, per motivi di compatibilità con i nuovi sistemi e per tenere il software in regola con la legge, è importante tenere il software aggiornato.
Inoltre l’interfaccia dove interroghiamo i dati dovrebbe essere facile da usare, facile da leggere e facile da navigare. Quindi la presenza di sezioni di ricerca o grafici filtrabili permette di fare delle analisi delle visite più velocemente e facilmente.
Un paio di esempi
Seguendo questi criteri abbiamo alcuni esempi di software che possono essere alternative valide a Google Analytics:
- Matomo Analytics: solido progetto open source, è utilizzato da entità quali Amnesty, NASA e la Commissione Europea. Non proprio leggerissimo (lato server) è graficamente molto simile a Google Analytics. Per WordPress ha un plugin per l’integrazione disponibile sul marketplace.
- Matomo WordPress: plugin che permette di avere le metriche direttamente dentro il proprio sito WordPress senza dover installare o configurare un server. Molto comodo e semplice da usare, tende a rallentare leggermente il sito in cui viene installato (anche se è una differenza minima si nota comunque).
- Plausible Analytics: progetto privato molto leggero e facile da installare (sia sul server che sul sito) con una grafica molto semplice e intuitiva. Risulta molto più semplice e immediato (almeno graficamente) degli altri due.
Se non sei in grado di decidere quale sia il più adatto alle le tue esigenze o hai bisogno di assistenza per l’installazione o la gestione di uno di questi plugin contattaci!
Saremo lieti di fornirti la consulenza di cui hai bisogno.