Negli ultimi mesi si è fatto un gran parlare di Google Analytics e di come vari organi europei specializzati in materia di protezione dei dati personali, come la CNIL francese, la DSB austriaca e il Datatilsynet danese, lo abbiano dichiarato illegale. Non da ultimo, anche il Garante per la protezione dei dati personali (GPDP) italiano ha imposto alla società italiana Caffeina Media SRL, che gestisce vari portali come Caffeina Magazine, di adeguarsi alla normativa, ossia rimuovere lo strumento entro 90 giorni, senza però procedere con delle sanzioni monetarie.
Il problema di fondo evidenziato nelle pronunce di tutti questi organi è il seguente: Google Analytics trasmetterebbe i dati raccolti, tra cui l’indirizzo IP dell’utente, che viene considerato un dato personale, al di fuori del “suolo digitale” europeo e, più precisamente, negli Stati Uniti. Trasferire dati al di fuori dell’Europa non viene considerato legittimo dall’ormai celebre GPDR a cui tutti i siti dovrebbero adeguarsi, dal momento che non è possibile attuare dei controlli sui sistemi esteri di protezione di tali informazioni.
Tuttavia, è bene sottolineare che tali organi hanno preso in analisi degli account di Google Analytics Universal o GA3, ossia la versione dello strumento lanciata nel 2014 e ancora in uso, la quale, però, cesserà di funzionare a partire dal 1 luglio 2023 e verrà sostituita da una nuova versione. Sì, perché, in questa data avverrà l’upgrade del tool e GA4 farà il suo ingresso in campo.
La nuova versione di Google Analytics potrebbe risolvere il problema descritto in precedenza e rimediare così alla dispersione dei dati in paesi in cui la regolamentazione non è chiara oppure è del tutto assente. Vediamo come!
Google Analytics 4 ci viene in aiuto
Partiamo subito con il dire che GA4 offre delle funzionalità totalmente nuove rispetto al suo predecessore Universal Analytics per quel che riguarda il tracciamento degli utenti e la protezione dei loro dati personali. Infatti, la versione più recente dello strumento si basa sul tracciamento server-side, ossia sul trasferimento dei dati presso un server, una tipologia di tracking contrapposta al classico client-side.
Tutti gli organi sono concordi nel segnalare che l’utilizzo di un server proxy proprietario, indipendente da quello di GA4 e in cui immagazzinare i dati personali dei visitatori del sito web sia un ottimo modo per conformarsi alle indicazioni del GDPR. Il motivo di ciò risiede nel fatto che agendo in questa maniera è possibile scegliere dove conservare i dati, i settaggi per la privacy e, soprattutto, evitare che le informazioni sensibili vengano indirizzati nei server Google europei e, in un secondo momento, statunitensi.
Per implementare questa tipologia di tracciamento è possibile utilizzare Google Tag Manager, ossia uno strumento che consente di applicare dei tag all’interno del sito web senza dover per forza possedere le conoscenze di uno sviluppatore web, seguendo questa guida redatta proprio dal motore di ricerca statunitense.
Altre caratteristiche che rendono Google Analytics 4 una soluzione ideale per prendersi cura della privacy degli utenti sono:
- la non memorizzazione dell’indirizzo IP del visitatore (in GA3 l’indirizzo IP poteva essere oscurato ma era comunque salvato).
- il focus sugli eventi che si verificano all’interno del sito web. Da un lato, questo cambia il modo in cui sono tracciate le azioni degli utenti, dall’altro, è possibile monitorare solo alcuni eventi decidendo, perciò, di conservare solo alcune informazioni riferite ai visitatori del dominio.
Cosa fare concretamente
Sebbene le valutazioni siano ancora in corso, la prima azione da compiere per conformarsi al GDPR è fare l’upgrade a GA4 al più presto possibile. Abbiamo visto come, con le dovute accortezze, grazie alla nuova tecnologia sia possibile proteggere i dati personali degli utenti in maniera più efficiente e affidabile.
Dal momento che le valutazioni sono ancora in corso, rimuovere Google Analytics dal proprio sito web e perdere così tutti i dati raccolti nel corso delle settimane e degli anni non è consigliabile. È giusto sottolineare che, però, vanno intraprese delle azioni per tutelare la privacy dei visitatori del sito web. È il caso delle mail che stanno circolando nel web e che sono state inviate, attraverso uno specifico tool, da un informatico, Federico Leva, che si batte per la protezione dei dati personali nel Web. In esse, viene richiesta la cancellazione dei dati di navigazione, richiesta che deve essere accolta rispondendo alla mail per poi procedere con la rimozione dell’informazione.