Sta facendo discutere il recente intervento del Garante della Privacy secondo cui Google Analytics non rispetterebbe il dettato del GDPR a causa dell’invio di informazioni personali verso server ubicati negli Stati Uniti. Tutto ciò renderebbe illecito il suo impiego con riguardo ai dati personali di cittadini UE.
Nel commentare la notizia, alcuni addetti ai lavori si sono limitati a dichiarare Google Analytics “illegale” e a proporre soluzioni alternative.
Tag Manager Italia, società di consulenza e formazione specializzata nel tracciamento e nella misurazione di siti web, e-commerce e campagne di marketing digitale, ci tiene a fare chiarezza sull’accaduto per evitare facili allarmismi.
In primis, la comunicazione del Garante non riguarda Google Analytics “tout court”, ma è un provvedimento rivolto a un singolo editore (Caffeina Media). Soprattutto, il Garante non vieta in alcun modo l’uso di Google Analytics, bensì esorta le aziende ad adottare tutte le misure necessarie per garantire la legittimità d’uso dello strumento. Il provvedimento non traccia una linea da percorrere: sta al titolare del trattamento definire e assicurarsi che gli strumenti impiegati non violino il dettato normativo.
Inoltre, non si fa alcuna menzione alla versione di Google Analytics. Trattandosi di un caso del 2020, si tratta certamente di una configurazione di Google Analytics 3 e sicuramente non della release 4, che alcuni commentatori hanno pensato di dichiarare immediatamente “illegale”. La ratio del provvedimento è peraltro piuttosto chiara: oltre alla definizione di un caso specifico, l’autorità italiana esorta UE e USA a trovare un accordo su questo punto, conciliando le normative vigenti.
“Il provvedimento stabilisce che l’invio di dati personali degli utenti negli USA è un illecito”, commenta Matteo Zambon, Co-fondatore di Tag Manager Italia. “Ma questo non riguarda solo Google Analytics, bensì migliaia di software di uso quotidiano, sia a livello professionale che di svago. Il problema non è Google Analytics ma il trasferimento dei dati personali dell’utente all’estero effettuato dai vari software, ad esempio remarketing di Google Ads, Pixel di Facebook, Pixel di TikTok, Active Campaign, Mailchimp e altri ancora.”
Essendo compito del mercato proporre soluzioni adeguate, Tag Manager Italia sta vagliando tutte le strade percorribili. Alcuni suggeriscono di installare soluzioni on-premise e open-source come Matomo, che però non permette di gestire l’adv online e, in quanto soluzione da installare sui propri server, richiede una gestione molto avanzata della sicurezza. “Con buona probabilità la soluzione è una specifica configurazione di Google Analytics 4 e Server-side tracking, che comunque va personalizzata in ogni caso” continua Zambon.
Secondo una recente dichiarazione del CNIL – l’Autorità Garante della protezione dei dati francese – l’utilizzo di un server proxy, ovvero un server intermediario europeo su cui far arrivare i dati degli utenti, è una soluzione efficace per rispettare le norme GDPR, poiché evita che i dati personali arrivino sui server di Google situati negli Stati Uniti.
Il consiglio dell’azienda è dunque di dismettere Google Analytics 3 il più in fretta possibile passando alla release 4 e di valutare se adottare o meno una configurazione server-side.