In questi ultimi giorni, le scrivanie di chi lavora sul Web sono state scosse da un vero e proprio terremoto: il Garante della Privacy Italiano ha infatti emesso un provvedimento con cui sembra considerare illegale Google Analytics. Una notizia che ha fatto tremare molte aziende e moltissimi professionisti, anche perché non si tratta di un caso isolato: nei mesi scorsi, provvedimenti simili erano già stati presi dal Garante Austriaco e da quello Francese.

Con la decisione italiana sembra quindi venirsi a creare un pattern europeo che potrebbe ulteriormente ampliarsi. E che riguarda tutti coloro che svolgono attività di comunicazione e web marketing che coinvolgono cittadini europei. Per il GDPR infatti non conta dove ha sede l’azienda ma dove si trova l’utente. Se un’azienda australiana, svizzera o canadese fa una campagna di web marketing in cui tratta dati di cittadini UE, è soggetta al GDPR esattamente quanto un’azienda francese o tedesca.

Queste decisioni potrebbero quindi scatenare un effetto-domino di proporzioni enormi.

Purtroppo attorno alla vicenda si è creata la solita nube di confusione mista a infodemia. Cosa è accaduto davvero? E cosa bisogna fare per essere certi di poter continuare con le proprie attività digitali?

Abbiamo provato a fare un po’ di chiarezza. Purtroppo l’argomento è complesso, ma cercheremo di essere schematici e diretti, riducendo i tecnicismi al minimo.

I fatti nudi e crudi  

Tutto nasce dal provvedimento del Garante della Privacy italiano emanato il 9 giugno 2022

contro l’azienda Caffeina Media Srl, che gestisce il sito di notizie https://www.caffeinamagazine.it/

I fatti risalgono all’agosto 2020, quando un utente del sito (anonimo nel provvedimento) ha lamentato l’inadempienza di Caffeina Media al GDPR. Nello specifico, l’azienda aveva raccolto e trasferito i suoi dati a Google LLC “in assenza delle garanzie previste dal capo V del GDPR” (tranquilli: tra poco specificheremo di cosa si tratta ).

Caffeina Media tiene alla privacy dei suoi utenti: si limita a tracciare i dati di navigazione per avere delle statistiche utili alla sua attività e ottimizzare la pubblicità nei limiti consentiti. È vero, per farlo utilizza gli strumenti messi a disposizione da Google, ma… non lo fanno forse tutti?

L’azienda è talmente convinta di aver ottemperato con tutte le richieste del GDPR che presenta ricorso. Dopo quasi due anni di attesa arriva la decisione, che sorprende tutti: il Garante li ammonisce per aver effettuato un trattamento di dati personali in violazione di diversi articoli del GDPR e gli concede 90 giorni per mettersi in regola.

Cosa aveva fatto di sbagliato?

Aveva utilizzato (male) Google Analytics.

Un errore che accomuna però la stragrande maggioranza delle imprese che oggi fanno Marketing e Comunicazione Digitale. Ecco perché è indispensabile capire nel concreto cosa non va e soprattutto come rimediare.

Si fa presto a dire “Google Analytics”: a quale versione ci riferiamo?

(Per gli amanti dei dettagli tecnici: presto faremo un approfondimento solo su questi aspetti. In questo articolo, già molto lungo, preferiamo concentrarci sui princìpi).

Negli anni si sono infatti susseguite diverse versioni dello strumento, che è diventato sempre più potente e permette a chi lo gestisce di configurarlo secondo le proprie necessità, in modo da poter tracciare i dati che ci interessano maggiormente

La versione utilizzata da Caffeina Media per raccogliere e trasferire questi dati è Google Universal Analytics 3. Ed è tuttora la versione più utilizzata nella maggior parte dei siti web. Purtroppo però presenta caratteristiche tecniche che non lo rendono compliant con il GDPR. Nemmeno se configurata con l’avvocato a fianco.

Inizialmente, il Garante italiano si era mostrato più morbido e aveva dichiarato che con opportuni accorgimenti (quali l’anonimizzazione dell’IP) poteva essere paragonato a un cookie tecnico. Ma Google può incrociare altri dati quali i devices che usano gli utenti, la risoluzione dello schermo, i browser, l’età e il sesso; tutti dati che permetterebbero di risalire all’identità di un utente.

Questa consapevolezza ha fatto scegliere alle autorità europee una linea più dura. Anche perché nel frattempo è arrivata un’alternativa possibile, almeno sotto il profilo tecnico. E la dobbiamo sempre a Big G: si tratta di Google Analytics 4.

I vertici di Mountain View sono stati tra i primi a prendere sul serio il GDPR. E sono tuttora tra coloro che hanno fatto i maggiori sforzi per adeguarsi, tra le aziende USA.

La nuova piattaforma è una vera rivoluzione, che cambia il paradigma della tracciabilità dei dati (ne abbiamo parlato in dettaglio in quest’articolo su GA4); soprattutto, Google Analytics 4 può essere configurata rispettando i principi richiesti dal GDPR.

Ma allora, perché Caffeina Media non l’ha usata? Semplice, perché ancora non esisteva! È uscita dalla versione beta tra novembre/dicembre 2020; la denuncia contro di loro era stata presentata nell’agosto di quello stesso anno.

Google è molto orgoglioso della sua nuova “creatura”, tanto che già a inizio di quest’anno aveva annunciato la dismissione della precedente versione per luglio 2023. Infatti, tutti i siti che volevano installare Google Analytics a partire da gennaio 2022, si ritrovano di default Google Analytics 4. A chi utilizza ancora il vecchio Universal Analytics 3 ha dato un anno di tempo per adeguarsi: a luglio 2023, UA3 smetterà ufficialmente ogni attività.

In pratica: il passaggio alla nuova versione sarebbe dovuto avvenire comunque. Vista la decisione del Garante, tanto vale accelerare.

Se il sito di un panettiere diventa una questione geopolitica 

Benissimo, allora. La soluzione è stata trovata: dismettiamo subito Universal Analytics 3, passiamo a Ga4 e potremo dormire sonni tranquilli.  

Beh… non proprio.  

Passare a GA4 migliora sicuramente la situazione. Ma purtroppo c’è un altro aspetto da considerare. Quello giuridico. O meglio ancora: l’aspetto geopolitico. 

Andiamo con ordine.  

All’inizio dell’articolo, abbiamo scritto le motivazioni che hanno portato l’utente anonimo a fare la segnalazione: la raccolta e il trasferimento dei suoi dati a Google LLC “in assenza delle garanzie previste dal capo V del GDPR”.  

Il capo V è la parte in cui il GDPR disciplina i trasferimenti di dati verso Paesi terzi ovvero al di fuori dei confini dello spazio economico europeo: in sintesi, possono avvenire solo se il Paese che il riceve garantisce un livello di protezione dei dati adeguato a quello europeo. Esiste una specifica lista di Paesi “ammessi”: la Svizzera è tra questi. Gli USA, invece, non più (o perlomeno non completamente): il 16 luglio 2020, infatti, la Corte di Giustizia europea ha dichiarato invalido l’accordo Privacy Shield che regolamentava il traffico di dati tra Europa e Stati Uniti. 

Non era la prima volta che tra le due sponde dell’Atlantico volavano stracci: l’accordo, in vigore dal 2016, era infatti nato sulle ceneri del precedente Safe Harbour, affossato nel 2015 in seguito alla sentenza Schrems 1 (a cui sono seguite altre che hanno fatto la storia del Diritto di Internet).  Dal 2020, quindi, le aziende statunitensi sono considerabili “non compliant”.  

Viene da chiedersi come sia possibile, dal momento che gli USA sono la patria delle maggiori aziende digitali del mondo: Google, Meta (leggi: Facebook, Instagram e Whatsapp) ma anche Linkedin, Skype, Mailchimp, Hubspot, servizi cloud quali Google Drive, OneDrive (Microsoft), Dropbox… e l’elenco potrebbe continuare! La ragione (in sintesi) è che la normativa statunitense, in presenza di una supposta “minaccia per la sicurezza nazionale” autorizza le organizzazioni di intelligence nazionali, come FBI e CIA, a mettere il naso nei server di qualunque azienda senza troppa cerimonia e analizzare tutti i dati raccolti. Anche se si tratta di dati di cittadini europei. E senza bisogno dell’avvallo di un giudice.  

Ovviamente, una simile prospettiva non piace a Bruxelles, che da due anni fa pressioni sullo zio Sam per fargli cambiare attitudine. Il risultato? Uno stallo di due anni, complicato ulteriormente dal Covid che ha fatto scalare l’accordo in fondo alla lista delle priorità.  

Caffeina Media aveva tentato di aggrapparsi a una verità indiscutibile: Google ha anche una sede in Irlanda (leggi: nella UE) ed è proprio la società irlandese quella che appare nel contratto di utilizzo di Google Analytics. 

Ma quest’interpretazione non ha convinto il Garante italiano: Google Ireland Ltd fa comunque capo a una società statunitense ed è poco credibile che la “figlia” irlandese vieti alla “madre” americana di guardare nei suoi cassetti. 

Questa situazione complica decisamente la vita a chi lavora sul Web: molte delle aziende sopra citate rivestono una posizione di mercato pressoché dominante e non hanno una valida alternativa europea a cui potersi rivolgere. La loro adozione diventa una specie di scelta obbligata per chi vuole fare business digitale. E le autorità UE lo sanno bene: ecco perché, per due anni, hanno cercato di guadagnare tempo spingendo la politica a raggiungere un’intesa. Un significativo passo avanti è stato fatto nel marzo 2022, quando Ursula Von Der Leyen e Joe Biden hanno annunciato il raggiungimento di un’intesa sui principi di un nuovo possibile accordo. Ma è poco più di una calorosa stretta di mano: per adesso non c’è ancora un accordo definitivo e non sappiamo di preciso quando verrà firmato.  

Per adesso ci troviamo quindi in una “palude normativa” che può creare situazioni paradossali. 

Intendiamoci: dopo lo scandalo Cambridge Analytica, la preoccupazione nella tutela della privacy degli utenti è più che giustificata. Persino un’azienda privata come Apple ne ha fatto il suo cavallo di battaglia. Le istituzioni non possono certo essere da meno. 

Tuttavia, è indispensabile che si giunga presto a una reale soluzione. Attualmente, se si applicassero le risoluzioni del Garante alla lettera, basterebbe un blog di ricette per trasformare il panettiere sottocasa nel cattivo del prossimo film di James Bond, “beccato” a passare sottobanco alla CIA preziose informazioni sulla passione per il pane integrale degli abitanti di Vertemate con Minoprio.  

Abbiamo alternative a Google Analytics?

Attualmente, sul mercato non ci sono strumenti paragonabili a Google Analytics. La sua forza deriva proprio dal fatto di essere inserito in un “ecosistema digitale” di cui fanno parte altri strumenti che comunicano virtuosamente tra loro, consentendoci di avere rapidamente tutte le informazioni più utili ad orientare decisioni di Marketing. Inoltre, dettaglio da non dimenticare, è uno strumento gratuito: altre soluzioni, meno potenti, richiedono il pagamento di un abbonamento. Il più citato, in questi giorni, è sicuramente Matomo, che è stato indicato come possibile alternativa anche dal CNIL, ovvero il Garante francese. Si tratta certamente di un ottimo strumento, anche se non può avere la stessa “potenza di fuoco” della suite creata da una delle aziende più potenti del globo.

Ma per una piccola azienda che magari non fa pubblicità potrebbe essere sufficiente. Tuttavia, anche in questo caso potrebbero sorgere questioni: Matomo on premise è una soluzione server-side, ovvero può essere configurato direttamente sui server aziendali. Questo da un lato consente un maggiore controllo, ma dall’altro aumenta le responsabilità dell’azienda che lo adotta anche da un punto di vista tecnico e di sicurezza. Insomma, se si presentassero problemi o data breach, non ci sarà un americano cattivo a cui dare la colpa… resterebbe soltanto l’autodenuncia al Garante, proprio come prevede la normativa. 

E gli altri “zii” d’America? Facebook? Instagram? Whatsapp?

Il provvedimento del Garante non è contro Google Analytics ma contro il trasferimento dei dati negli USA. Quindi, potenzialmente coinvolge tutte le piattaforme statunitensi. A cominciare dai social media, ma non solo:  le aziende che “esportano” dati europei negli USA sono tante. Tantissime. E toccano da vicino non solo il Marketing delle aziende ma tutti gli aspetti della nostra vita quotidiana e del lavoro (pensiamo soltanto ai sistemi cloud, alle piattaforme di invio newsletter, ai sistemi di messaggistica). 

Se decidiamo di uniformarci alla lettera ai princìpi che esprime, non basta eliminare Google Analytics: bisogna rinunciare a buona parte delle nostre attività di Digital Marketing! A cominciare dalla pubblicità, in particolare la pubblicità retargeting. Ma tornare al Web dei primi anni Duemila sarà davvero la soluzione giusta?  

E soprattutto: i nostri competitor faranno altrettanto? E se nel frattempo le due sponde dell’Atlantico decidessero di avvicinarsi e firmare il sospirato accordo, magari dopo che abbiamo appena finito di configurare Matomo? Cosa facciamo in questo caso? Torniamo di nuovo indietro a ri-abbracciare GA4? 

Conclusioni 

Da questo garbuglio tecnico-giuridico emergono alcune certezze:  

• oggi più che mai nelle attività digitali serve il consiglio di un legale esperto e “ferrato” in materia digitale: se non l’avete, dovete trovare un interlocutore quanto prima; 

• Se la vostra azienda è soggetta al GDPR e ancora non vi siete messi in regola, è arrivato il momento di farlo. E ricordate: non si tratta di inserire un banner sul sito ma di rivedere completamente i propri processi aziendali in materia di raccolta e trattamento dati!  
• Le decisioni finali su questi temi spettano all’azienda, ovvero al titolare del trattamento dei dati. Non possono essere delegati né ai professionisti autonomi né alle agenzie. Per cui, se vi sentite insicuri, prendetevi il tempo per formarvi e approfondirli. Ma non sottovalutateli: potrebbe costarvi caro! 

Se siete giunti alla fine di questo articolo e avete ancora energia per approfondire…complimenti! 😊 Saremo lieti di farlo insieme davanti a un caffè oppure online. Contattateci per i prossimi step!