Google Analytics è conforme al GDPR?

Image of Carlo Cilento

Pubblicato il 15 feb 2023 e modificato il 15 ago 2023 da Carlo Cilento

Questo articolo è stato tradotto automaticamente. Passa alla versione inglese per l'originale.

Probabilmente avrete sentito parlare dei problemi legali di Google Analytics con il GDPR. Gli organi di vigilanza sulla privacy stanno prendendo una posizione dura nei confronti di Google Analytics, i marketer di tutta Europa sono nel panico e Google dice a tutti che tutto andrà bene. Internet è pieno di informazioni su come rendere il vostro sito web conforme al GDPR. Tutto ciò può creare confusione, quindi ecco una panoramica di ciò che sta accadendo con Google Analytics.

  1. Qual è il problema di Google Analytics?
  2. Cosa dicono esattamente le decisioni su Google Analytics?
  3. E l'anonimizzazione dell'IP?
  4. Che dire di Google Analytics 4?
  5. E Google Analytics per Firebase?
  6. Google risolverà il problema?
  7. E il nuovo accordo sul trasferimento dei dati?
  8. Cosa posso fare per rendere Google Analytics conforme?
  9. Ci sono altri rischi per la privacy legati a Google Analytics?
  10. Alternative a Google Analytics
  11. Decidete di rimanere con Google Analytics?
  12. Considerazioni finali
Logo of MichelinMichelin chose Simple AnalyticsJoin them

Qual è il problema di Google Analytics?

Per funzionare, Google Analytics ha bisogno di dati personali. Ecco come: Quando acconsentite a un cookiebanner, i vostri dati personali vengono raccolti e inviati a Google Ireland. Successivamente, Google Ireland invia i dati a Google negli Stati Uniti per l'elaborazione. Infine, la società madre fa la sua magia algoritmica e fornisce al sito web informazioni sul comportamento degli utenti.

Si tratta quindi di un trasferimento di dati extra-UE che coinvolge tre soggetti: il sito web, Google Ireland e Google.

Il GDPR ha stabilito regole severe sul trasferimento dei dati per garantire che i dati personali possano lasciare l'UE in modo sicuro. Purtroppo, questo non può essere fatto nel caso di Google Analytics. Ciò è indipendente da Google: l'azienda è soggetta alla legislazione statunitense che consente un'ampia sorveglianza sui dati esteri, compresi quelli degli utenti europei.

biden.png

La sorveglianza è al centro delle questioni legali relative al trasferimento dei dati. La legge sulla sorveglianza degli Stati Uniti è il motivo per cui la Corte di giustizia dell'UE ha invalidato due quadri di trasferimento dei dati tra l'UE e gli Stati Uniti nelle famose sentenze Schrems I e II. Più recentemente, l'ONG per la privacy noyb ha iniziato una battaglia legale contro Google Analytics e Facebook Connect per il trasferimento dei dati, presentando 101 denunce identiche a molte autorità europee.

Finora la strategia ha dato i suoi frutti. Le autorità hanno coordinato la loro risposta a livello europeo. Di conseguenza, le autorità di vigilanza di Austria, Francia, Italia e Finlandia si sono pronunciate contro Google Analytics. Inoltre, anche l'autorità norvegese ha ritenuto illegale l'uso di Google Analytics in una conclusione preliminare (il caso è ancora in corso) e la Danimarca ha approvato la stessa posizione in un comunicato stampa. Con il coordinamento a livello europeo, e con le influenti autorità francesi e italiane a fare da apripista, è probabile che seguiranno altre decisioni.

US_EU_Cables.png

Cosa dicono esattamente le decisioni su Google Analytics?

Molti siti web e organi di informazione riportano che Google Analytics è stato vietato o dichiarato illegale in alcuni Paesi. È vero?

In ogni decisione, un'autorità ha ordinato a un determinato sito web di smettere di utilizzare Google Analytics perché ha riscontrato che il trasferimento dei dati non garantiva sufficienti garanzie per i dati personali. In teoria, un altro sito web potrebbe adottare misure di protezione più rigorose per i dati personali e utilizzare Google Analytics in modo lecito e sicuro. Ma la teoria è la parola chiave. In pratica, l'implementazione delle garanzie è difficile per molti servizi e impossibile per Google Analytics.

Google Analytics utilizza i cookie per tracciare gli utenti. Questi cookie contengono ID univoci per identificare ogni utente e sono considerati dati personali. Pertanto, l'unico modo per utilizzare Google Analytics in modo conforme al GDPR è l'anonimizzazione di questi dati, ma sono proprio quelli di cui Google Analytics ha più bisogno! Si potrebbe utilizzare Google Analytics in modo legale eseguendolo sul lato server e anonimizzando tutti i dati personali, ma ciò paralizzerebbe le prestazioni di Google Analytics. È una soluzione costosa che dà scarsi risultati.

Quindi, a tutti i fini pratici, le decisioni contro Google Analytics equivalgono a un divieto a livello nazionale. E abbiamo già decisioni di questo tipo per due mercati nazionali chiave dell'UE, l'Italia e la Francia.

google-lawsuit.png

E l'anonimizzazione dell'IP?

Universal Analytics include un'opzione per anonimizzare gli indirizzi IP, ma non è l'opzione predefinita. Google Analytics 4 è migliore da questo punto di vista e anonimizza automaticamente gli indirizzi IP.

Purtroppo, l 'opzione di anonimizzazione dell'IP di Google Analytics non rende Google Analytics conforme al GDPR. Le autorità europee hanno rilevato che la tecnica di mascheramento dell'IP di Google è piuttosto debole e non soddisfa gli standard di anonimizzazione del GDPR. Inoltre, i cookie di Google Analytics sono ancora dati personali ai sensi del GDPR, indipendentemente dall'anonimizzazione dell'IP. Pertanto, l'anonimizzazione degli indirizzi IP non risolve il problema legale fondamentale del trasferimento dei dati personali.

Che dire di Google Analytics 4?

È più rispettoso della privacy rispetto a Universal Analytics? Sì. È conforme al GDPR? È conforme al GDPR? Probabilmente no. Non abbiamo decisioni su Google Analytics 4, ma la nuova versione non risolve le questioni legali cruciali relative al trasferimento dei dati.

Google Analytics 4 presenta alcuni miglioramenti rispetto a Universal Analytics. Google Analytics 4 si basa su cookie di prima parte, meno invasivi di quelli di terza parte. Inoltre, l'anonimizzazione dell'IP è sempre attiva e l'IP non viene raccolto da Google. Tuttavia, a un attento esame, Google Analytics 4 soffre degli stessi problemi di conformità perché si basa ancora sui cookie e i cookie sono dati personali. Le modifiche sono benvenute, ma non risolvono il problema legale.

E Google Analytics per Firebase?

È sicuro che Firebase soffre degli stessi problemi legali di Google Analytics. Come Google Analytics, Google Analytics per Firebase utilizza cookie con identificatori unici, che sono dati personali ai sensi del GDPR. Tratta anche altri dati personali, tra cui gli identificatori invasivi dei dispositivi mobili. Tutti questi dati vengono elaborati sull'infrastruttura di Google, perché Google è proprietaria di Firebase.

Google risolverà il problema?

Non lo farà perché non esiste una soluzione semplice. Google non può risolvere il problema modificando i propri termini di elaborazione. Se le agenzie di intelligence richiedono i dati, Google deve consegnarli in base alla legislazione statunitense.

Al momento, l'unica soluzione è spostare l'elaborazione dei dati europei direttamente nell'UE, come sta iniziando a fare Microsoft con il suo EU Data Boundary Program. Naturalmente si tratta di una soluzione costosa, che richiede un'infrastruttura robusta in Europa. Ma Google non ha mai annunciato un programma simile e probabilmente non ha intenzione di investire nella localizzazione dei dati.

E il nuovo accordo sul trasferimento dei dati?

Dopo lunghe trattative, gli Stati Uniti e l'UE hanno concordato un nuovo quadro per il trasferimento dei dati (il Trans Atlantic Data Privacy Framework). La Commissione europea è in procinto di implementarlo nel diritto dell'UE attraverso una decisione di adeguatezza: un atto che esamina il quadro normativo sulla privacy di un altro Paese ed essenzialmente "dà il via libera" al Paese come destinazione sicura per il trasferimento dei dati.

La decisione di adeguatezza probabilmente passerà il voto, ma non sarà la fine della storia. La Commissione può emettere una decisione di adeguatezza solo quando il quadro normativo sulla privacy di un paese può garantire la sicurezza dei dati. Non può emettere una decisione di adeguatezza per gli Stati Uniti solo perché le piacciono o perché l'Europa ha bisogno dei loro fornitori di servizi. La nuova decisione di adeguatezza sarà sicuramente contestata dalla Corte di giustizia dell'UE perché la legge statunitense non garantisce un livello sufficiente di protezione dei dati europei.

La Corte ha già invalidato due quadri normativi sul trasferimento dei dati per questo motivo e potrebbe farlo di nuovo nel prossimo caso Schrems III. Il nuovo quadro normativo è complesso ed è difficile dire come andrà a finire, ma per il momento il futuro dei trasferimenti di dati rimane incerto.

Cosa posso fare per rendere Google Analytics conforme?

Non si può fare nulla per proteggere i dati personali dalla sorveglianza degli Stati Uniti. Si può passare a un altro strumento di analisi web o accettare un certo grado di rischio di conformità.

Ci sono altri rischi per la privacy legati a Google Analytics?

Più di quanti se ne possano contare. Google è una delle aziende meno rispettose della privacy. Si guadagna una fortuna tracciando gli utenti di Internet, raccogliendo enormi quantità di dati personali su di loro e creando profili comportamentali per la pubblicità mirata.

Google Analytics è una parte fondamentale dell'attività di Google, ma non è l'unico modo in cui estrae dati. Servizi popolari come Search, Maps e Youtube forniscono a Google enormi quantità di dati. Ogni messaggio inviato o ricevuto tramite Gmail viene elaborato per la profilazione e gli utenti che accedono al proprio account Gmail tramite il browser vengono tracciati su tutti i siti web. Anche Android traccia gli utenti. Questa quantità inimmaginabile di dati personali viene messa insieme e utilizzata per la profilazione e la previsione per dedurre ancora più dati personali senza bisogno di raccoglierli.

Naturalmente, Google giura di prendere sul serio la vostra privacy e promette di lavorare per offrirvi sempre più privacy in futuro. Ma le cose non cambieranno perché l'invasione della vostra privacy non è un effetto collaterale del loro modello di business, ma è il loro modello di business.

Alternative a Google Analytics

Potete rimanere fedeli a Google Analytics e sperare di non avere problemi, oppure passare a un'alternativa rispettosa della privacy e basata sull'UE come Simple Analytics (sì, lo so che siamo noi).

Non siamo certo gli unici in questo settore. Esistonomolte alternative a Google Analytics, come Matomo, Pirsch e Fathom. Sono tutte più rispettose della privacy rispetto a Google.

Lo stesso vale per noi (Simple Analytics). Abbiamo progettato Simple Analytics in modo da fornire tutte le informazioni di cui avete bisogno senza raccogliere alcun dato personale. Questo rende il nostro strumento conforme al 100% a qualsiasi normativa sulla privacy, compreso il GDPR. Abbiamo sede nei Paesi Bassi e non trasferiamo i dati al di fuori dell'UE. Inoltre, è possibile importare i dati storici da Google Analytics! Se tutto ciò vi sembra interessante, non esitate a darci un'occhiata!

Decidete di rimanere con Google Analytics?

Se decidete di rimanere con Google Analytics, le cose non si mettono bene. Universal Analytics sarà eliminato gradualmente entro il 2024, quindi se lo utilizzate, dovrete passare a Google Analytics 4 il prima possibile. In questo modo perderete i dati storici di Universal Analytics, poiché Google Analytics 4 non offre alcuna funzione di importazione per la maggior parte dei dati raccolti da Universal Analytics (lo fa invece Simple Analytics).

Per ridurre al minimo i rischi, il vostro sito web dovrebbe includere una politica sui cookie chiara e completa. È più facile a dirsi che a farsi. Una buona informativa sui cookie deve fornire molte informazioni ed essere al contempo breve e leggibile. Sul nostro blog sono presenti alcuni suggerimenti, ma naturalmente dovete trovare qualcosa che vada bene per voi e che tenga conto dei dati che raccogliete e delle politiche che avete in vigore.

Infine, è necessario prestare attenzione ai banner sui cookie. Ci sono segnali di un possibile giro di vite in tutta l'UE sui banner cookie non conformi(ne abbiamo scritto sul nostro blog). Assicuratevi che i vostri banner sui cookie siano trasparenti e presentino agli utenti un pulsante "rifiuta tutto" visibile e facilmente accessibile (o un'opzione chiaramente formulata in tal senso). In questo modo, probabilmente, un maggior numero di utenti rifiuterà i cookie e avrà un impatto sulle prestazioni di Google Analytics sul vostro sito web. Le persone non amano essere tracciate e spesso dicono "no grazie" quando viene loro presentata una scelta trasparente.

Considerazioni finali

Google Analytics è un rischio di conformità per la vostra azienda (etica a parte). In teoria, è ancora discutibile se sia considerato illegale o meno nell'UE, ma continuare a usare Google Analytics (anche GA4) è un rischio. Anche se decidete di correre questo rischio, dovete assicurarvi che i vostri banner di cookie siano conformi al 100%. È necessaria una buona politica sui cookie, il che è più facile a dirsi che a farsi. Inoltre, è necessario familiarizzare con Google Analytics 4 e passare ad esso il prima possibile, poiché Google sta eliminando Universal Analytics.

Potete anche scegliere di abbandonare completamente Google Analytics. Diversi strumenti forniscono le informazioni necessarie per monitorare le prestazioni del vostro sito web senza correre rischi di conformità. Eliminare Google Analytics è facile, così come passare a una soluzione rispettosa della privacy. Non sapete da dove cominciare? Lasciate che i ragazzi di New Metrics vi aiutino con una consulenza indipendente o provate Simple Analytics per vedere se vi piace.

La scelta è vostra!

GA4 è complesso. Prova Simple Analytics

GA4 è come sedersi in cabina di un aereo senza licenza di pilota

Inizia prova di 14 giorni