A un mese di distanza dalla notizia sull’illiceità di Google Analytics, riprendiamo il tema descrivendo le soluzioni adottate dai più, e offrendo qualche spunto di riflessione. L’obiettivo: trovare una strategia che permetta di evitare rischi di non conformità del sito web.
Indice
Come è stato approcciato finora il problema di Google Analytics?
L’ordine del Garante di cessare l’utilizzo del servizio Google Universal Analytics (“GUA” o “GA3”) ha scatenato varie reazioni. Nell’esperienza del nostro Studio, tra gli editori di piattaforme e siti web abbiamo osservato diverse strategie di sopravvivenza, che – aggiungendo un pizzico di sarcasmo – potrebbero essere così categorizzate.
Il letargo estivo
Tra le tattiche più adottate c’è l’attesa, e se ne riparla a settembre. Si aspetta che il Garante offra nuove indicazioni, si aspetta che Google trovi una scappatoia tecnologica, si aspetta che il polverone mediatico catalizzi il raggiungimento di una soluzione politica.
Il Garante ha concesso 90 giorni, e non c’è niente di sbagliato nello sfruttare questo tempo per raccogliere quante più informazioni utili ad adottare una scelta consapevole. Solo un monito: “aspettare” è diverso da “aspettarsi”. Non ci si aspetti che Google, potendo intervenire a livello tecnico o contrattuale, possa risolvere una faccenda politica (su cui non ha autorità). Né ci si aspetti che, tra una stella e l’altra nella notte di San Lorenzo, cada dal cielo anche un nuovo accordo UE-USA.
Attendiamo anche noi, invece, i prossimi appuntamenti col Garante: le integrazioni alla decisione sul caso di Caffeina Media S.r.l. – una volta scaduto il termine per l’adeguamento – o nuovi elementi derivanti dalle valutazioni del reclamo su repubblica.it, quello diretto a fastweb.it, e sul caso de ilmeteo.it.
Mimetizzazione
Molti si sono nascosti dal pericolo cambiando sembianze, ma non la propria essenza. Dopo il provvedimento del Garante, Google Analytics 4 (GA4) – successore di GA3 – ha guadagnato immediata popolarità. Nelle pagine di supporto, dopotutto, si indica che:
Analytics non registra gli indirizzi IP – Google Analytics 4 non registra né archivia i singoli indirizzi IP. […] Quando Analytics raccoglie i dati di misurazione, tutte le ricerche IP vengono eseguite su server che si trovano nell’UE prima di inoltrare il traffico ai server di Analytics per l’elaborazione.
Su GA4 si stanno spendendo sviluppatori, comunicatori, web-agency. L’esperienza ha insegnato che, in un modo o nell’altro, il futuro ci farà guardare ancora alle big tech oltre l’Atlantico. Dal canto nostro, tuttavia, non possiamo non ribadire che, sul problema del trasferimento di dati, Google, da sola, non può fare molto. Riprendendo le parole di Guido Scorza, nel suo intervento del 5 luglio: “per rendere il servizio conforme alle regole europee non basta né che gli indirizzi IP degli utenti siano cancellati da Google un istante dopo la raccolta, né che non siano affatto raccolti se, al loro posto, sono comunque raccolti e trasferiti […] altri dati che consentano […] di identificare o re-identificare un utente.”
Ma l’Autorità non ha potuto valutare GA4 (su GA4 non si è espressa), e per molti questo è sufficiente. Insomma, i princìpi sono chiari, come è chiaro che lasciare GA3 per passare a GA4 non va vista come una soluzione. Resta il fatto che, almeno per alcune attività, Google sembra non avere equivalenti. E in termini di compliance, abbandonare una situazione certamente illecita in favore di una nuova ancora dubbia, resta pur sempre un passo in avanti.
Evoluzione adattiva
In questa categoria rientrano i più flessibili e aperti al cambiamento. Fortuna? Abilità? Largo spazio alle opinioni. Fatto sta che alcuni gestori di piattaforme non sono così “vincolati” a Google, e possono andare sul sicuro. Nella decisione di evitare ogni forma di rischio, ricade non solo chi si sia preso la libertà di sostituire GA3 con soluzioni alternative di altri fornitori, ma anche chi si è proprio accorto di poter vivere bene senza monitoraggio del traffico in assoluto.
Soprattutto a chi decide di entrare nella schiera dei primi, ricordiamo i fattori più rilevanti da analizzare nella scelta del nuovo strumento:
- Sede legale del fornitore – sempre meglio in UE
- Luogo in cui sono dislocati i suoi data center – idem
- Tempi e modalità di applicazione di eventuali misure di crittografia dei dati – da preferire nelle prime fasi dopo la raccolta del dato
- Soggetto detentore delle chiavi di decriptazione – ideale che la disponibilità al dato in chiaro resti sotto il proprio controllo
- Eventuali trasferimenti di dati in forma non crittografata – da valutare caso per caso, per tutte le destinazioni extraUE, anche diverse dagli USA
Ritenete sempre valido l’elenco, nella valutazione di fornitori, anche per servizi diversi dagli analytics.
Soluzioni per l’aggiornamento di Google Analytics: un approccio pragmatico
Per tutti coloro che vogliano verificare, riconsiderare, o iniziare a stabilire la propria strategia a seguito del Provvedimento su GA3, abbiamo provato a redigere un albero decisionale che possa supportare l’approccio al problema.
Doverosa premessa: siamo consapevoli che la compliance può essere valorizzata solo trovando un punto di incontro con le esigenze del business. Non adotteremo, quindi, una linea rigida o intransigente. Proponiamo, invece, un approccio pragmatico, nel tentativo di mantenere comunque saldo un po’ di rigore sui temi che lo necessitano.
Il nostro flusso si sviluppa attraverso 3 elementi:
- Caratteristiche e contestualizzazione dell’attività del sito
- Finalità della raccolta degli analytics
- Grado di fidelizzazione a Google
Caratteristiche e contestualizzazione dell’attività del sito
Se parliamo di analytics, stiamo parlando della rilevazione di dati di navigazione. Proviamo quindi a porci qualche semplice domanda:
- Chi è il target di questa piattaforma?
- Cosa mi dice, di una persona, il fatto che abbia navigato su una determinata pagina?
- La consultazione di questi contenuti, può essere connessa a qualche informazione sensibile?
Le risposte non saranno assolute: ad esempio, se visito una pagina che descrive i sintomi della gastrite, potrei effettivamente avere la gastrite. Ma potrei consultarla per dare supporto a un amico, o essere in cerca di approfondimenti per un esame di medicina, ecc.
Posto questo inevitabile grado di incertezza, rimane innegabile che, in relazione ai contenuti, su alcuni siti sarà più probabile intercettare persone interessate, affini o sensibili a determinati temi, anche molto delicati, come idee politiche, fede e religione, orientamento sessuale. Analogamente, alcune piattaforme nascono per offrire servizi specificamente dedicati ai minori, per cui è richiesta una maggiore cautela. Con queste valutazioni, e considerando il grado di vulnerabilità e influenzabilità del target, si potrà evincere un maggiore o minore rischio derivante da un abuso o da un illecito nel trattamento dei dati di navigazione degli utenti.
Finalità della raccolta di analytics
Non possiamo trascurare il fatto che, per una mole enorme di piattaforme (e gran parte degli e-commerce), gli analytics sono solo il primo passo del trattamento di dati. L’obiettivo finale è la pubblicità sul web. In questo scenario, lo strumento preferito per il remarketing/retargeting, le campagne di comunicazione mirate sui visitatori del proprio sito, è Google Ads… anche perché in testa alla classifica dei siti web più visitati al mondo c’è sempre Google Search, e così via.
Insomma, Google Analytics è uno standard, in quanto inserito in un pacchetto di servizi con cui pochi sono in grado di competere. E se per gli analytics esiste effettivamente un ventaglio di alternative europee, sul web-marketing il monopolio è praticamente tutto oltreoceano. Potrai anche raccogliere analytics con uno strumento alternativo, ma se per continuare a fare marketing devi comunque darli in pasto alle big tech americane, il problema del trasferimento di dati in USA non resta forse immutato? Ecco perché, a meno che non si sia pronti a rivoluzionare le proprie abitudini di marketing, per molte aziende, GA4 rimane una scelta sostanzialmente “costretta”, o se non altro la più sensata, semplice e immediata (per quanto, probabilmente, ancora illecita).
La buona notizia è che, se il monitoraggio delle visite è davvero solo monitoraggio, e le statistiche sono davvero solo statistiche… cosa impedisce di cambiare?
Grado di fidelizzazione a Google
Quanto è importante per voi continuare a operare in ambiente Google? I motivi, in una direzione o nell’altra, possono essere vari. Certamente, il sentimento continuerà a fluttuare nel tempo: future sanzioni, vicende geopolitiche, sviluppi dell’economia digitale europea. Per ora, che ciascuno si metta una mano sulla coscienza e tenti di capire se la propria eventuale fidelizzazione sia guidata da una reale analisi di efficacia, da una semplice resistenza al cambiamento, da una scommessa sul futuro, da valutazioni di budget, ecc.
Consigli di compliance per tutti
A prescindere dalla vostra strategia, recuperiamo alcuni consigli, validi per tutti, che possono fare sempre bene alla conformità dei vostri servizi digitali. Se non l’avete ancora fatto, un check-up generale del sito non può che fare bene. E’ quindi un’ottima occasione per sfogliare le recenti Linee guida di design per i siti internet e i servizi digitali della PA. Fondamentali per la PA, ma utili anche come spunto per i privati. Sempreverdi, i suggerimenti di rendere facilmente raggiungibile la privacy policy da ogni pagina del sito, facendo in modo che le informazioni sul trattamento di dati siano realmente accessibili (concise, semplici, chiare) per il proprio target. Ad esempio, i contenuti devono essere fruibili ad utenti con disabilità? E a utenti minorenni?
Non solo trasparenza, ma anche liceità. Mettendo da parte per un momento Google Analytics, sulla gestione complessiva dei cookie e del consenso ad utilizzarli, restano comunque valide le Linee guida del Garante (vedi anche i nostri precedenti approfondimenti: To banner or not to banner? Questo è il problema, “Altri biscotti? No, grazie.” Dopo quanto tempo ripresentare il banner per il consenso ai cookie?).
E ancora, sicurezza. Ad esempio, avete prestato attenzione a evitare che il sito faccia uso di Dark pattern?
Chiudiamo tornando sui trasferimenti di dati all’estero. Un consiglio è quello di iniziare a stilare l’elenco dei prodotti, servizi, applicativi integrati nel proprio sito. Quanti e quali di loro comportano un trasferimento di dati extra UE? Verso quali paesi? Google è forse un caso emblematico, ma in questa fase funge da rompighiaccio: le cautele richieste ora per gli analytics, dovranno applicarsi anche a molti altri servizi web… vi siete chiesti quale potrebbe essere il prossimo preso di mira?
GDPR e trasferimenti extra UE: cosa ci riserva il prossimo futuro?
Dopo Google Analytics, è probabile che il prossimo capitolo sui difficili rapporti UE-USA si concentrerà su Facebook Connect. Non possiamo esserne certi, non abbiamo infiltrati negli uffici del Garante, né alcuna sfera di cristallo. Semplicemente, Facebook Connect è il focus del reclamo su repubblica.it inviato da NOYB al Garante (mentre per i problemi rilevati in fastweb.it e ilmeteo.it si resterà su servizi Google).
A esser presi di mira, quindi, i trattamenti di dati personali legati al pulsantone celeste “Accedi con Facebook”, particolarmente usato per accelerare la registrazione di un account a un sito web, attraverso le informazioni personali già registrate nel social network. Facilmente, scopriremo che il servizio comporta un trasferimento di dati da Facebook Ireland (UE) a Facebook Inc. (USA), da considerarsi illecito.
Sul resto, si vedrà.