Se la tua azienda possiede un sito web, è molto probabile che per monitorare le visite e raccogliere dati rilevanti ai fini di marketing stiate utilizzando, come molte realtà italiane, Google Analytics.
Tuttavia, a seguito di un’istruttoria del Garante, si è stabilito che Google Analytics viola il GDPR perché i dati personali raccolti tramite il sito vengono trasferiti negli Stati Uniti, Paese privo di un adeguato livello di protezione dei dati.
Cosa fare per essere a norma?
Si tratta di una domanda che si stanno ponendo tutte quelle (numerose) aziende italiane che adoperano Google Analytics. Sul web si è notato un proliferarsi di articoli che promettono di svelare scorciatoie e spiegazioni facili per aggirare il problema, ma la realtà è che la soluzione non è così chiara.
Vediamo assieme quali sono valide e quali no.
Soluzioni (o presunte tali) alle violazioni del GDPR con Google Analytics
Configurare Google Analytics in modo che sia compliance al GDPR
Questa opzione non è possibile. In particolare per il Titolare del Trattamento:
- Non c’è la facoltà di impostare lo strumento Google Analytics in modo che i dati personali non vengano trasferiti al di fuori dell’Unione Europea
- Non è possibile far sì che la piattaforma trasferisca solo dati anonimi negli Stati Uniti.
Continuare ad utilizzare Google Analytics adottando un server proxy per cifrare i dati prima della trasmissione agli Stati Uniti
Si tratta di un’operazione molto tecnica ipotizzata dal CNIL, cioè il Garante Privacy francese, implementabile seguendo le indicazioni rilasciate dal CNIL consultabili sul sito dell’ente a questo link.
Tuttavia questa strada richiede un impegno alquanto oneroso sia dal punto di vista tecnico che economico, nasconde molte insidie e limiti di applicabilità non indifferenti. Per tale motivo questa opzione, detta “proxyficazione”, risulta più una possibilità teorica che pratica.
Passare a Google Analytics 4
Google Analytics 4 (o GA4) è la nuova versione di Google Analytics. Molti sperano che il passaggio a questa versione della piattaforma risolva i problemi di applicazione del GDPR in quanto promette strumenti di tutela della privacy maggiori rispetto alla precedente versione che dovrebbero riuscire a tutelare i dati anche se trasferiti negli USA.
Il suo funzionamento però non è così chiaro pertanto il Garante non si è ancora pronunciato in merito. Siamo in attesa di specifiche al riguardo.
Usare strade “legali” come il continuare a trasferire i dati col consenso esplicito delle persone o tramite un approccio risk-based
Anche queste strade non sono percorribili. In particolare, in merito al primo punto, il consenso esplicito rappresenterebbe una deroga e, in quanto tale, non può essere adoperata come regola e non può essere applicata per trasferimenti di dati sistemici come quelli che si verificano con Google Analytics.
Sperare che si arrivi a un nuovo accorto tra Unione Europea e Stati Uniti in merito al trasferimento dei dati
In tal caso gli USA potrebbero essere definiti un “Paese dotato di un adeguato livello di protezione dei dati” e, di conseguenza, si potrebbe continuare ad utilizzare Google Analytics anche in Italia con il trasferimento dei dati all’estero.
Questa opzione, per quanto auspicata, non è fattibile nei tempi previsti per l’adeguamento. Il provvedimento che ha stabilito che i siti web che adoperano Google Analytics violano il GDPR è stato pubblicato il 9 giugno 2022, a seguito del quale il Garante Privacy italiano ha concesso 90 giorni di tempo per conformarsi. Pertanto, qualora un’azienda decidesse di continuare ad utilizzare Google Analytics oltre questo lasso di tempo, rischierebbe una sanzione.
Sostituire Google Analytics con altre soluzioni compliant al GDPR
Al momento, la strada più plausibile risulta quella di procedere alla sostituzione del servizio di Google Analytics con i servizi di altri fornitori.
Google Analytics non è l’unica soluzione presente sul mercato che permette di raccogliere dati dal sito web utili per finalità di marketing. Le aziende possono quindi valutare di adottare altre soluzioni come Matomo, Piwik Pro, Plausible, Open Web Analytics e molte altre.
Tuttavia è bene ricordare che:
- È necessario controllare che l’alternativa scelta sia compliance al GDPR (es. anche Microsoft offre uno strumento con funzionalità simili a Google Analytics ma, poiché la società è americana, non risolverebbe il problema del trasferimento di dati negli USA).
- L’obiettivo della raccolta dati del sito web è quello di ottenere informazioni rilevanti utilizzabili dalla direzione e dal reparto marketing per prendere decisioni strategiche e di comunicazione. È bene pertanto verificare che lo strumento sia in grado di rispondere alle effettive esigenze di informazione alla base di questa attività per non rendere la raccolta di dati una mera attività fine a se stessa.
Conclusioni
Vi è ancora molta incertezza sul cosa fare in merito alla questione Google Analytics vs. GDPR.
Auspicando che le Autorità provvedano a fornire indicazioni operative e di supporto per consentire alle aziende italiane di poter continuare a raccogliere in modo lecito dati e informazioni utili allo sviluppo del business nel rispetto della privacy degli utenti, il consiglio è quello di valutare le soluzioni alternative a Google Analytics così da arrivare preparati allo scadere dei 90 giorni indicati dal Garante.
In tal caso si ricorda l’importanza di aggiornare l’informativa privacy del sito.
Desideri una consulenza per verificare che la tua azienda sia conforme al GDPR, sia per quanto riguarda il sito web sia per il resto dell’organizzazione? Richiedi una consulenza ai nostri esperti!
