Google Analytics è illegale in Europa? Ecco cosa devi sapere

 

Il 23 di Giugno 2022 il Garante per la Privacy Italiano ha dichiarato che usare Google Analytics per raccogliere statistiche viola il documento GDPR.

Questa dichiarazione non ha sorpreso gli addetti ai lavori dato che già si erano espressi allo stesso modo durante il 2022 gli omologhi uffici di:

• Parlamento Europeo
• Austria
• Belgio
• Danimarca
• Francia

Il 10 febbraio, l’agenzia francese per la protezione dei dati CNIL ha emesso una dichiarazione ordinando a un gestore di siti Web francese di conformarsi al Regolamento generale sulla protezione dei dati (GDPR) e, se necessario, di interrompere l’utilizzo di Google Analytics nella sua configurazione attuale.

Molti dei nostri clienti, partner e potenziali clienti si interrogano sulle implicazioni di questa decisione (e di altre decisioni di DPA in tutta Europa) e cercano risposte, motivo per cui abbiamo collaborato con la piattaforma dati e SEO aziendale Oncrawl per ospitare un webinar insieme sull’argomento e fornire alcune raccomandazioni su cosa fare dopo.

Quindi Google Analytics è illegale in Italia?

Attualmente la conformazione con la quale Google Analytics trasferisce i dati lo rende fuori conformità per il Garante Privacy

Quali sono alcune alternative a Google Analytics?

 

Analisi web e panorama della privacy

Gli strumenti di analisi web sono una parte vitale della cassetta degli attrezzi di ogni esperto di digital marketing, poiché i dati che aiutano a raccogliere svolgono un ruolo importante nell’aiutare le aziende a:

• Comprendere le prestazioni del sito Web e/o dell’app
• Analizzare le tendenze e la soddisfazione dei clienti
• Ridurre i costi con informazioni utili per il business

L’implementazione di best pratices delle analitiche sul traffico, fornisce informazioni preziose che possono portare a prodotti e servizi nuovi e migliorati per i clienti. Tuttavia, le normative in tutto il mondo hanno messo in discussione l’uso di questi strumenti di analisi.

In Europa, ePrivacy e GDPR hanno avuto un impatto diretto su questo settore, perché le piattaforme di analisi web, spesso (non sempre) si basano sul cookie o tracker e richiedono il trattamento d’informazioni personali, che in determinate condizioni può essere illegale alla luce delle normative europee.

Negli Stati Uniti, il California Consumer Privacy Act (CCPA) adotta un approccio leggermente diverso richiedendo agli operatori di siti Web di aggiungere un pulsante “non vendere i miei dati” sui loro siti Web. Questo approccio di opt-out ha un impatto sui marketer e sul loro utilizzo degli strumenti di analisi limitando la capacità di eseguire campagne di retargeting.

Ma cosa è successo esattamente per quanto riguarda Google Analytics e il Garante Privacy?

Qual è il contesto dietro la decisione che incide su Google Analytics?

Per comprendere le recenti decisioni che hanno avuto un impatto su Google Analytics, è importante fare un passo indietro verso un’altra decisione fondamentale: la decisione Schrems II, adottata dalla Corte di giustizia dell’Unione Europea nel luglio 2020,

Schrems II ha affermato che lo schema che rende possibili e validi i trasferimenti tra gli Stati Uniti e l’UE (denominato Privacy Shield “Scudo per la privacy”) non è più valido. Ciò ha avuto conseguenze di vasta portata e ha impedito tecnicamente qualsiasi trasferimento di dati tra l’UE e gli Stati Uniti, a meno che non siano state messe in atto misure supplementari (sebbene non definite esplicitamente quali) dai partecipanti, ovvero esportatori e importatori di dati.

Di conseguenza, Google ha implementato misure per conformarsi nel contesto di Google Analytics, che le autorità austriache, danesi e francesi, e in fine italiane che per la protezione dei dati (DPA) hanno ritenuto insufficienti.

Di conseguenza, sono giunti alla conclusione che i trasferimenti che si verificano tra l’UE e gli Stati Uniti con Google Analytics non vengono eseguiti in modo legale.

 

Hai Bisogno di Conformità GDPR per il tuo sito WEB? Vedi i nostri servizi GDPR

Ora, cosa puoi fare come utente di Google Analytics? Abbiamo raccolto alcuni consigli.

Disclaimer: la decisione del Garante Francese non dice che Google Analytics è vietato. Dice che l’attuale implementazione di Google Analytics sul sito Web specifico che è stata verificata come non conforme ai principi chiave del GDPR. Questa è una distinzione importante ai fini della Conformità.

Raccomandazioni per avvicinarsi alla conformità GDPR

 

1. Considera le alternative
   IL CNIL Ufficio protezione Privacy Francese ha rilasciato delle linee guida. La prima azione raccomandata dal CNIL nel suo comunicato stampa è guardare i concorrenti Europei di Google Analytics. Ne abbiamo creato un elenco nella sezione seguente.

E’ richiesto inoltre a tutte le aziende di eseguire un’analisi per verificare se è possibile migrare a un altro strumento. Inoltre, consigliamo di documentare il processo in caso di audit da parte del Garante.

Se decidi di continuare a utilizzare Google Analytics, ci sono alcune cose che puoi implementare immediatamente (dopo aver contattato il tuo rappresentante o rivenditore Google per assistenza):

2. Utilizzare la funzione di anonimizzazione IP offerta da Google Analytics
   Google Analytics offre la possibilità di rendere anonimi gli indirizzi IP. Raccomandiamo vivamente di abilitare questa funzione poiché è direttamente raccomandato anche nella decisione dell’autorità austriaca per la Privacy.
3. Considerare l’implementazione di ulteriori controlli sulla privacy
   Google offre anche una serie di controlli avanzati sulla privacy che puoi implementare per limitare la raccolta di dati, che vanno dalla disattivazione delle funzionalità pubblicitarie alla disattivazione completa della raccolta dei dati.

Ti consigliamo di controllare internamente il tuo utilizzo di Google Analytics e di decidere se alcune o tutte queste misure sono appropriate per la tua attività.

4. Ottieni il consenso degli utenti per l’utilizzo di Google Analytics
   Questa è una raccomandazione che avresti dovuto già attuare vista l’ultima raccomandazione del testo GDPR valido per tutta Europa (ad esempio le raccomandazioni del Garante sui cookie), ma in caso contrario assicurati di ottenere il consenso per l’uso di Google Analytics dai tuoi utenti.

Alla luce di queste decisioni, non dovresti fare affidamento su un interesse legittimo. Il consenso è presumibilmente sempre richiesto per l’utilizzo di Google Analytics nella sua configurazione attuale a meno che i dati non siano completamente anonimi.

5. Considera di ottenere il consenso esplicito per il trasferimento negli Stati Uniti
   Questa raccomandazione deriva dall’articolo 49 del GDPR:

“In assenza di una decisione di adeguatezza (…) o di garanzie adeguate (…), avrà luogo un trasferimento o una serie di trasferimenti di dati personali verso un paese terzo (…) (…) se l’interessato ha espressamente acconsentito al trasferimento proposto, dopo essere stato informato dei possibili rischi di tali trasferimenti per l’interessato a causa dell’assenza di una decisione di adeguatezza e di garanzie adeguate.

Questa non è una soluzione ideale dal punto di vista dell’utente, e come tale può essere considerata più come una possibilità che come una raccomandazione per ora.

Nota: tieni presente che queste decisioni hanno profonde implicazioni e non riguardano solo Google Analytics. Anche tutti gli strumenti utilizzati e offerti dalle società statunitensi potrebbero essere influenzati allo stesso modo. Preparati per ulteriori azioni su questo fronte nel 2022, soprattutto da quando la CNIL ha affermato che darà la priorità all’applicazione nei confronti dei fornitori di servizi cloud nel 2022.

 

Hai Bisogno di Conformità GDPR per il tuo sito WEB? Vedi i nostri servizi GDPR

 

Scarica il kit per creare un Audit SEO 

 

 

 

Quali sono le alternative a Google Analytics?

Sebbene al momento sia difficile valutare l’impatto della decisione contro Google Analytics, abbiamo deciso di raccogliere alcune alternative non statunitensi, i cui dati non possono potenzialmente (e teoricamente) essere trasferiti negli Stati Uniti. Per motivi di chiarezza, abbiamo raccolto i pro, i contro, la fascia di prezzo e la posizione di hosting dei dati per ogni strumento.

Piwik Pro

Piwik Pro è una soluzione basata su cookie con un’integrazione simile a Google Analytics.

Fascia di prezzo: Piano Core gratuito (500.000 visite/max) / Enterprise su richiesta

Dati ospitati in: UE (Elastix)

Sede: Polonia, UE

Pro:

• Ottima interfaccia utente
• Nessun campionamento dei dati

Contro:

• Potrebbe essere difficile integrarlo con altri strumenti
• Meno opzioni disponibili rispetto a Google Analytics

AT Internet

 

AT Internet è una società francese acquisita da Piano Software Inc. nel 2021.

Fascia di prezzo: A partire da 355€/mese

Dati ospitati in: UE (SFR e AWS)

Sede: UE, Francia

Pro:

Funzionalità di e-commerce dedicate

Contro:

Si Afferma nelle recensioni online che lo strumento potrebbe essere difficile da usare

 

Fathom

 

Fathom è una soluzione senza cookie, che risolve la questione del consenso e la questione dell’affidabilità dei dati, poiché si basa solo sui risultati. Sfortunatamente, significa anche che i dati saranno davvero di alto livello (nessun canale, nessuna fonte, solo referral).

Fascia di prezzo: a partire da $ 14 al mese (100.000 visualizzazioni di pagina)

Dati ospitati in: Germania (Hetzner)

Sede: Canada

Pro:

• Nessun avviso di consenso richiesto
• La dimensione dello script è molto piccola, con conseguente caricamento rapido

Contro:

• Analisi di altissimo livello
• Nessun monitoraggio comportamentale

Plausible

 

Un’altra soluzione priva di cookie, Plausible è open-source e può essere ospitata sui propri server.

Fascia di prezzo: a partire da 9€/mese (10k pagine visualizzate)

Dati ospitati in: Germania (Hetzner)

Sede: Estonia

Pro:

• Nessun avviso di consenso richiesto
• La dimensione dello script è molto piccola, con conseguente caricamento rapido
• Open source

Contro:

• Analisi di altissimo livello
• Nessun monitoraggio comportamentale

Matomo

 

Matomo è la versione open source di Piwik Pro, con tre modalità di integrazione: cookie free, cookie based e tracking lato server.

Fascia di prezzo: Gratuito (ospitato sul proprio server) / A partire da 13€ (basato su cloud)

Dati ospitati in: UE (ma il contratto è con AWS Nuova Zelanda)

Sede: Nuova Zelanda

Pro:

• Molte statistiche
• Vitali web
• Nessun campionamento dei dati
• Nessun avviso di consenso richiesto (a seconda della configurazione)

Contro:

Nessuna integrazione con Google Ads (nessun dato PPC)

Nota: Adobe Analytics e altre piattaforme statunitensi sono valide alternative, ma nel contesto di questa decisione e poiché hanno sede negli Stati Uniti, abbiamo deciso di non includerle.

 

Hai Bisogno di Conformità GDPR per il tuo sito WEB? Vedi i nostri servizi GDPR

Domande e risposte (FAQ)

Potreste approfondire le implicazioni di vasta portata della decisione?

Questa decisione potrebbe avere conseguenze su molti settori diversi, allo stesso modo l’industria dell’advertising online è stata influenzata dalla decisione, soprattutto quella dell’autorità belga in merito al TCF di IAB Europe.

Sicuramente se hai un sito un buon Esperto WordPress o un servizio di Conformità del GDPR . Possono darti una certa tranquillità.

Ad esempio, anche le soluzioni sviluppate di recente come la pubblicità contestuale, in risposta alla mancanza di dati, potrebbero risentirne poiché i trasferimenti avvengono allo stesso modo e si accede agli indirizzi IP.

È possibile che queste decisioni impediscano in una certa misura il libero flusso di dati tra gli Stati Uniti e l’UE e, di conseguenza, la maggior parte dei servizi o degli strumenti che utilizziamo quotidianamente non sarebbero più compatibili o accessibili da un GDPR e Punto di vista della ePrivacy.

In breve, le ripercussioni sono enormi. Per dare un ordine di grandezza tutti i servizi Gmail, Facebook, Instgram non avrebbero il consenso Gdpr a lavorare su EU.

Leggi anche: Come configurare Google Analytics su WordPress

Qualcuno ha sentito della risposta di Google in merito a questo problema specifico con il sito Web di e-commerce incriminato?

Google ha condiviso una risposta interessante rispondendo al Garante Austriaco mentre non ha dato una risposta generale oltre alla sua dichiarazione ufficiale Google riguardo la conformità GDPR

In una certa misura, Google sembra non essere d’accordo con la decisione. In definitiva, la migliore opzione disponibile per tutti per andare avanti è assicurarsi che gli Stati Uniti e l’UE concludano un accordo sui trasferimenti di dati. Ciò significherebbe che gli Stati Uniti dovrebbero tornare indietro su alcuni dei loro atti e regolamenti di sorveglianza, il che non sarà semplice da ottenere, ma è ciò che salverebbe la maggior parte dei siti web dando conformità, e renderebbe più facile alzarsi la mattina e andare a lavoro.

Google sembra spingere in questa direzione. Sono coinvolti nelle trattative e nel frattempo sembrano lavorare su funzionalità e controlli aggiuntivi per i propri clienti.

 

Qualcuno dei regolatori ha stabilito un periodo di conservazione limite di tempo sui file di registro?

In che modo un periodo di conservazione influenzerebbe le tariffe degli utenti per la correzione o la distruzione dei dati?

Non ci sono indicazioni in merito a quanto ci risulta. Questa è una valutazione da eseguire per ogni proprietario di sito web. Ma dovrebbe essere sempre proporzionata alle attività di trattamento in corso. 5 anni per esempio probabilmente non sono una buona idea ma un giorno probabilmente non è abbastanza.

 

Leggi anche: Errori di Google Analytics

Il criterio principale sarà sempre “se sei in grado di distinguere qualcuno” utilizzando le informazioni che hai a disposizione?

In tal caso, significa che possono essere considerate informazioni personali.

L’e-commerce dovrebbe pensare a un nuovo modo per ottenere il consenso per il monitoraggio?

Ad esempio chiedere di creare un account e/o di effettuare il login prima di utilizzare il sito?
Non si tratta tanto di come raccogli i dati, ma di come li condividi. In un ambiente connesso sarà più facile raccogliere i dati in modo conforme, ma quando li condividi con altre parti, rimarranno gli stessi problemi.

 

Se Vuoi sapere come funziona Google Analytics, leggi la nostra Guida Google Analytics

Strumenti come Mixpanel e Amplitude non si basano sui cookie ma sugli ID utente. Potrebbe essere un’alternativa a Google Analytics?

È leggermente migliore a data l’assenza di cookie, ma non risolve il problema del trasferimento dei dati negli Stati Uniti. In questo caso, gli ID utente permetterebbero a chiunque d’individuare e/o identificare un utente e sarebbero quindi considerate informazioni personali.

Se hai un’integrazione lato server e crittografi i dati prima di condividerli con Google, o li rendi anonimi in un certo senso, sarebbe conforme?

Uno dei problemi principali è che Google ha così tanti dati oltre a Google Analytics che i DPA sono preoccupati che alla fine possano tracciare gli utenti in tutti questi servizi.

In questo senso, rielaborare i dati prima di condividerli, in modo che Google non sia in grado di collegarli ad altri asset di dati in loro possesso, potrebbe probabilmente renderlo conforme. Da vedere.

Lo stoccaggio nell’UE non risolve tutto

La memorizzazione delle informazioni in Europa non risolverà necessariamente le cose, se poi lavorerai con un’azienda statunitense a cui potrebbe essere chiesto e richiesto dal governo degli Stati Uniti di condividere i dati. Quindi, anche se i dati sono archiviati nell’UE, il rischio di trasferimento esiste e potrebbe potenzialmente causare un problema.