Il futuro degli analytics è un argomento di dibattito che ha ottenuto maggiore attenzione negli ultimi mesi. Ciò deriva dall'idea, sostenuta a livello europeo, che Google Analytics violi la legge GDPR. Paesi come Francia, Italia, Austria e, ultimamente, anche Finlandia e Norvegia hanno dichiarato pubblicamente che Google Analytics è illegale.
Nella sua dichiarazione, l'autorità francese per la protezione dei dati (CNIL) ha citato un elenco di opzioni conformi alla privacy che le organizzazioni devono valutare. Una di queste è l'implementazione lato server di Google Analytics. Il CNIL è una delle autorità europee più rispettate in materia di privacy, per cui il suo suggerimento ha suscitato una certa attenzione da parte delle comunità che si occupano di privacy e di marketing e ha indotto alcuni a credere che l'implementazione di Google Analytics sul lato server sia una soluzione a prova di bomba ai problemi legali di Analytics con il trasferimento dei dati.
Tuttavia, l'implementazione lato server non è priva di inconvenienti. In questo blog, esamineremo più da vicino la questione e cercheremo di rispondere a due domande:
L'implementazione lato server di Google Analytics è conforme al GDPR? E vale la pena di implementarla?
- Cosa sono il tracciamento lato client e lato server?
- Quali sono i vantaggi e gli svantaggi del tracciamento lato server?
- Il lato server è la soluzione ai problemi legali di Google Analytics?
- Quali dati devono essere resi anonimi?
- Come si comporta Google Analytics dal lato server?
- L'implementazione lato server di Google Analytics garantisce davvero la conformità?
- Quali sono le implicazioni sulla privacy dell'analisi lato server?
- È necessaria un'implementazione lato server con alternative rispettose della privacy?
- Conclusioni
Immergiamoci!
Cosa sono il tracciamento lato client e lato server?
Il tracciamento lato client e il tracciamento lato server sono modi diversi di raccogliere ed elaborare i dati sul comportamento degli utenti.
Il tracciamento lato client (o tagging lato client) raccoglie informazioni utilizzando script che vengono eseguiti all'interno del browser dell'utente, come i cookie o i pixel. Il tracciamento lato server (o tagging lato server), invece, raccoglie i dati dal server registrando e analizzando le richieste. Ciò consente di raccogliere i dati senza interagire con il dispositivo dell'utente.
Nel caso di Google Analytics, il tracciamento lato server è leggermente diverso. Google Analytics interagisce ancora con il browser dell'utente scrivendo e leggendo i cookie. Tuttavia, i dati raccolti vengono inviati al server anziché a Google. L'amministratore del server può quindi decidere quali dati inoltrare a Google e come. In sostanza, il server funge da proxy per i dati.
Quali sono i vantaggi e gli svantaggi del tracciamento lato server?
Il tracciamento lato server offre un maggiore controllo sulle informazioni inviate al fornitore di analisi, sia esso Google o un'altra azienda. Potete decidere se inviare i dati personali e se renderli anonimi, pseudonimi o in chiaro.
L'implementazione lato server presenta altri vantaggi. Il sito verrà caricato un po' più velocemente perché lo script di analisi non deve essere caricato dal browser. Questo migliora l'esperienza dell'utente e può contribuire al posizionamento sui motori di ricerca. Inoltre, le analisi non sono influenzate negativamente dai software di blocco degli annunci, perché non dipendono più dall'interazione con le impostazioni del browser dell'utente (anche se i cookie di Google Analytics e di altri servizi di analisi basati sui cookie possono essere bloccati).
Lo svantaggio principale delle configurazioni lato server è l'onerosa implementazione. È necessario trovare un server, se non ne avete già uno, e tenerlo al sicuro dalle minacce informatiche. È necessario impostare un'interfaccia utente per rendere leggibili i dati del log del server e trovare un modo per filtrare in modo affidabile il rumore, cosa non banale. È inoltre necessario aggiornare manualmente il codice ogni volta che il software di analisi viene aggiornato.
Inoltre, è necessario avere accesso completo al log del server, cosa che molti fornitori di server non offrono. Questo restringe le possibilità di scelta se si intende affidarsi a un provider (che è l'opzione più conveniente per molte aziende).
In definitiva, impostare Google Analytics sul lato server vi costerà molto di più che abbonarvi a un servizio di analisi web a pagamento conforme al GDPR. In effetti, la stessa CNIL osserva che abbandonare Google Analytics potrebbe essere un'opzione più pratica, a causa dei costi di una configurazione lato server.
Infine, va notato che i cookie richiedono comunque il consenso dell'utente, anche per i tag lato server. Ciò include Google Analytics e qualsiasi altro servizio di analisi basato sui cookie.
Scaviamo un po' più a fondo, che ne dite?
Il lato server è la soluzione ai problemi legali di Google Analytics?
Qualsiasi implementazione lato client di Google Analytics invia dati personali negli Stati Uniti. Questo è il fulcro dei problemi legali di Google Analytics relativi al trasferimento dei dati (di cui abbiamo parlato in modo approfondito in un altro blog).
L'implementazione lato server offre all'amministratore del server il controllo completo sull'elaborazione dei dati e consente di decidere quali dati personali vengono trasmessi a Google e quali no. In teoria, si potrebbe impostare Google Analytics sul lato server e impedire a Google di accedere ai dati personali dei visitatori, il che renderebbe Google Analytics conforme.
Ma come funziona in pratica? Quali dati non dovreste trasmettere a Google per rendere Google Analytics conforme al GDPR? E qual è il costo in termini di prestazioni?
I fondatori, Sergey Brin e Larry Page, nascosti dietro Internet
Quali dati devono essere resi anonimi?
Google Analytics trasmette agli Stati Uniti due categorie di dati personali: Indirizzi IP e cookie. Gli IP non sono un problema perché Google Analytics non ne ha bisogno, anzi Google Analytics 4 non li raccoglie e li utilizza solo per la comunicazione. È possibile implementare Google Analytics lato server senza inoltrare l'IP dell'utente a Google, con un impatto minimo o nullo sull'accuratezza delle informazioni di Google Analytics.
I cookie sono una storia diversa. I cookie di Google Analytics includono un identificatore unico chiamato ID cliente. Come gli IP, gli ID cliente sono dati personali ai sensi del GDPR. Tuttavia, gli ID devono essere inviati in qualche modo perché Google Analytics è costruito attorno ad essi.
Gliidentificatori unici non possono essere anonimizzati, almeno non nel senso stretto del termine. I cookie di Google Analytics funzionano perché sono unici e la rimozione della loro parte unica (l'ID cliente) li rende perfettamente inutili. La cosa migliore che si può fare è creare un hash, ma ogni hash deve essere unico per essere di qualche utilità, quindi si sostituisce semplicemente un identificatore unico con un altro.
Come ulteriore salvaguardia, la CNIL suggerisce di cambiare periodicamente gli hash. L'autorità considera la rotazione degli hash come una forma di pseudonimizzazione, qualcosa che non arriva all'anonimizzazione vera e propria ma che offre comunque una certa protezione dei dati. In effetti, la pseudonimizzazione forte è citata come possibile salvaguardia per i trasferimenti di dati dall'European Data Protection Board (l'istituzione in cui siedono tutte le autorità europee per la protezione dei dati). Ma c'è un prezzo da pagare.
Come si comporta Google Analytics dal lato server?
Dipende. Google Analytics si basa su dati dettagliati relativi all'attività online dei visitatori del sito web. Più dati gli vengono forniti, meglio si comporta. Se gli si forniscono tutti i dati che raccoglierebbe sul lato client, le prestazioni saranno pari a quelle di un'impostazione sul lato client (e forse un po' migliori, dato che gli ad-blocker saranno un problema minore). In questo modo, però, l'implementazione lato server diventa invasiva come quella lato client, il che vanifica l'intero scopo dell'implementazione di Google Analytics lato server. D'altra parte, il fatto di non fornire alcuni dati per motivi di privacy influisce negativamente sulle prestazioni dello strumento.
Gli ID cliente di cui abbiamo parlato in precedenza consentono a Google di tracciare i visitatori collegando più eventi, sessioni e visualizzazioni di pagine alla stessa persona. Ad esempio, se accedete due volte allo stesso sito web, Google Analytics leggerà il vostro ID cliente e vi conterà solo una volta come visitatore unico.
Purtroppo, Google Analytics non è in grado di collegare le metriche a un singolo visitatore dopo che il suo ID è stato rielaborato. Questo ha un impatto significativo sull'accuratezza e sul livello di dettaglio delle informazioni di Google Analytics. Ad esempio, dopo la rotazione degli hash, gli utenti che ritornano riceveranno un nuovo hash e saranno di nuovo conteggiati come visitatori unici da Google Analytics, per cui la metrica dei visitatori unici è essenzialmente da buttare.
L'implementazione lato server di Google Analytics garantisce davvero la conformità?
Supponiamo che abbiate abboccato all'amo. Si affronta il problema dell'implementazione di Google Analytics sul lato server. Seguite alla lettera i suggerimenti della CNIL: le uniche informazioni personali trasmesse dal vostro server sono gli ID cliente con hash e questi hash vengono ruotati frequentemente. Siete conformi alle norme sul trasferimento dei dati del GDPR?
Forse.
Come abbiamo spiegato, gli hash ruotati sono dati pseudonimizzati. La pseudonimizzazione è utile perché rende improbabile l'identificazione dei dati personali (cioè rende difficile capire a chi appartengono i dati). Questa tecnica viene talvolta utilizzata dai concorrenti di Google Analytics per preservare la privacy, come ad esempio Fathom e Plausible (noi di Simple Analytics non abbiamo bisogno di hash perché non memorizziamo affatto gli IP).
Tuttavia, se un'entità controlla molti dati, potrebbe essere in grado di metterli insieme per identificare i dati pseudonimizzati. Una tecnica chiamata fingerprinting.
Ad esempio, se siete attivi su Reddit, il vostro nome utente Reddit è probabilmente uno pseudonimo spiritoso. Tuttavia, se pubblicate un numero sufficiente di informazioni sulla vostra età, lavoro, luogo di nascita e così via, sarà possibile per gli altri utenti di Reddit capire chi siete. (Sì, questo esempio è troppo semplice, ma si capisce cosa intendo).
Idatabase incrociati sono la stessa cosa, ma su scala più ampia: qualcuno mette insieme vasti database e, con un po' di magia nera dell'intelligenza artificiale, i dati pseudonimi possono talvolta essere reidentificati.
Quanto sono al sicuro i dati personali dei vostri visitatori dopo che li avete sottoposti a hashish e li avete inoltrati a Google?
Google controlla alcuni dei più grandi database di dati personali esistenti. Può contare su un know-how eccezionale e su una tecnologia all'avanguardia. Inoltre, ha un forte incentivo a collegare tra loro i database perché la pubblicità è la sua principale fonte di guadagno e la profilazione è la vera fonte di denaro.
Anche se un visitatore potrebbe non essere identificabile sulla base del solo hash aggiornato, Google potrebbe combinare questi dati con quelli raccolti altrove, ad esempio tramite l'account Google del visitatore, le API di Google o i tracker pubblicitari sui dispositivi Android(AAID). Ciò è probabilmente sufficiente a rendere identificabili molti visitatori. Questo, a sua volta, significa che gli hash potrebbero essere ancora dati personali ai sensi del GDPR anche se il server li ruota.
Per essere chiari: non stiamo sostenendo che Google reidentifichi i dati pseudonimizzati e anonimizzati. Google afferma di non farlo. A nostro avviso, i precedenti dell'azienda in materia di privacy suggeriscono una certa cautela.
Non sosteniamo nemmeno che gli hash di rotazione siano dati personali nello scenario che abbiamo descritto. Spetta ai tribunali e alle autorità stabilirlo. Ma si può certamente sostenere che lo siano: dopo tutto, nelle loro decisioni contro Google Analytics, alcune autorità per la protezione dei dati (tra cui la stessa CNIL) hanno riconosciuto che la questione dell'identificazione incrociata era rilevante per i casi. Questo è un buon motivo per essere cauti.
In conclusione, non è chiaro se un'implementazione di Google Analytics lato server garantisca la conformità alle norme del GDPR sul trasferimento dei dati, anche supponendo che si prendano tutte le precauzioni possibili.
Quali sono le implicazioni sulla privacy dell'analisi lato server?
L'analisi lato server ha implicazioni interessanti per la privacy. Sulla carta, è potenzialmente più rispettosa della privacy perché consente di decidere esattamente quali dati raccogliere e se condividerli.
Tuttavia, la raccolta dei dati potrebbe essere meno trasparente. L'analisi lato server consente di lavorare sui dati personali direttamente dal log del server. I vostri utenti non hanno idea di cosa stia accadendo, perché non possono aprire le impostazioni del loro browser e controllare i loro cookie.
In conclusione, la trasparenza è fondamentale per una corretta implementazione del tracciamento lato server. Gli utenti hanno il diritto di essere informati su quali dati personali vengono elaborati per l'analisi web e su quale base giuridica. L'implementazione dell'analisi lato server in modo trasparente e conforme dipende da voi.
L'analisi lato server ha anche alcune implicazioni per il consenso. Come abbiamo spiegato, i cookie di Google Analytics richiedono il consenso anche quando il software è implementato lato server. Lo stesso vale per qualsiasi software di analisi web che utilizzi cookie: tutti i cookie non essenziali richiedono il consenso ai sensi della Direttiva ePrivacy, sia che l'analisi sia implementata lato client che lato server.
Il tagging lato server consente inoltre di raccogliere altri dati senza interagire con il browser dell'utente. Ma questo non significa che non sia necessario il consenso.
Le cose si fanno un po' complesse, ma come regola generale, se i dati raccolti vi permettono di individuare un utente tra tutti i vostri visitatori, allora dovreste raccogliere quei dati solo con il consenso, perché è molto probabile che il consenso sia richiesto. Questo vale anche se non utilizzate effettivamente queste metriche per individuare gli utenti: il solo fatto che vi permettano di farlo li rende dati personali e, con ogni probabilità, rende obbligatorio il consenso.
D'altro canto, è possibile raccogliere alcune metriche senza consenso, purché non consentano di individuare un utente, anche se collegate ad altre metriche. Ad esempio, non c'è nulla di male nel raccogliere le interazioni dal vostro server e utilizzarle per l'analisi, purché questi dati non vi permettano di tracciare gli utenti.
In conclusione, se i dati consentono di tracciare gli utenti, è bene essere prudenti e chiedere il consenso.
È necessaria un'implementazione lato server con alternative rispettose della privacy?
Dipende dal servizio. Nel caso di Google Analytics, l'implementazione lato server risolve i problemi legali legati alle regole di trasferimento dei dati. Se un'alternativa rispettosa della privacy non trasmette i dati personali negli Stati Uniti, l'implementazione lato server non è necessaria per rispettare le norme sul trasferimento dei dati.
Tuttavia, l'analisi lato server offre altri vantaggi per la conformità. Ad esempio, può consentire di eliminare gli indirizzi IP prima di inoltrarli. Se state valutando un'alternativa a Google Analytics, dovreste esaminare attentamente la sua documentazione legale e considerare i possibili vantaggi dell'implementazione lato server per quel servizio specifico.
Nel caso specifico di Simple Analytics, l'implementazione lato server non è necessaria, perché non raccogliamo dati personali dai vostri visitatori né li inoltriamo al di fuori dell'UE.
Conclusioni
Per riassumere:
- L'inoltro degli ID cliente a Google in chiaro o l'utilizzo di hash statici equivalgono all'implementazione di Google Analytics lato client e non rendono Google Analytics conforme alle norme sul trasferimento dei dati;
- Non inviare affatto gli ID cliente rende Google Analytics completamente inutile;
- la rotazione degli hashish paralizza le prestazioni di Google Analytics e non garantisce al 100% la conformità alle norme sul trasferimento dei dati, perché l'utente potrebbe essere ancora identificabile;
- Tutte queste opzioni sono onerose da implementare.
In definitiva, l'implementazione lato server di Google Analytics non sembra una soluzione praticabile. È troppo costosa da implementare per le piccole imprese, fa sì che lo strumento abbia prestazioni peggiori rispetto alla concorrenza e non garantisce completamente che i trasferimenti di dati siano conformi al 100% al GDPR.
Il nocciolo del problema è che Google Analytics non è uno strumento adatto alla privacy. È stato progettato per raccogliere informazioni a grana fine tracciando in modo aggressivo i visitatori. Cercare di implementare Google Analytics in modo rispettoso della privacy va contro il suo stesso progetto. Per questo motivo è molto faticoso e dà scarsi risultati.
Ovviamente siamo orientati verso la nostra soluzione, ma passare a un servizio rispettoso della privacy è più facile, più economico e porta a prestazioni migliori rispetto all'implementazione di Google Analytics lato server. Noi di Simple Analytics crediamo in un Internet indipendente e rispettoso dei visitatori dei siti web. Ci assicuriamo che i proprietari dei siti web possano ottenere le informazioni di cui hanno bisogno senza violare la legge. Se tutto questo vi sembra interessante, non esitate a provarci!