Il 10 Febbraio, l’Autorità Francese per la Protezione dei Dati Personali CNIL ha emesso una decisione nella quale ordinava a un gestore francese di siti web di conformarsi con la GDPR e, se necessario, di non utilizzare più Google Analytics.

 

Per questo motivo abbiamo organizzato un webinar con il nostro partner Oncrawl, società SEO e piattaforma dati, e abbiamo stipulato insieme alcune raccomandazioni sugli scenari futuri.

 

Il webinar è stato presentato da Clément Hochedez, Senior SEO Manager di Didomi, Thomas Adhumeau, Chief Privacy Officer di Didomi, e Jérôme Salomon, Senior SEO Strategist di Oncrawl. Guarda il replay qui, e continua a leggere per conoscere le informazioni e le raccomandazioni a proposito della decisione su Google Analytics.

 

 

Il Garante per la privacy si é allineato alle decisione prese da Francia, Danimarca e Austria precedentemente, affermando che l’utilizzo attuale di Google Analytics é da considerarsi non conforme alla normativa GDPR.

 

Sommario : 

 

 


 

Il rapporto tra web analytics e privacy

 

Le analitiche web sono parte vitale delle risorse marketing, in quanto aiutano a mettere insieme i dati che sono essenziali per concepire e sviluppare le strategie business. Queste metriche permettono infatti di:

 

  • Comprendere le performance di un website o di un’applicazione

  • Analizzare le tendenze e la soddisfazione cliente

  • Ridurre i costi grazie a insights marketing

 

Implementare delle pratiche efficaci per le analytics permette di sfruttare delle informazioni preziose che possono aiutarti a creare e migliorare i tuoi prodotti e il servizio clienti. Tuttavia, le normative globali stanno mettendo in discussione l’utilizzo degli strumenti analitici.

 

In Europa, la direttiva ePrivacy e la GDPR hanno un impatto diretto perché le piattaforme di web analytics spesso (ma non sempre) si affidano a cookies o tracciatori, e necessitano del trattamento delle informazioni personali, che possono essere illecite in alcune condizioni alla luce delle normative europee.

 

Negli Stati Uniti, il California Consumer Privacy Act (CCPA) assume un approccio leggermente diverso, richiedendo agli operatori web di aggiungere un bottone “non vendere i miei dati” sui propri siti. Questo approccio opt-ou impatta direttamente i marketers e il loro utilizzo degli strumenti analitici, limitando la possibilità di lanciare campagne di retargeting.

 

Ma cos'è esattamente accaduto il 10 Febbraio nel rispetto di Google Analytics e della CNIL?

 

Qual è il contesto dietro la decisione su Google Analytics della CNIL?

 

Per comprendere meglio le decisioni recenti che hanno impattato Google Analytics, è importante fare un passo indietro verso un’altra decisione particolarmente significativa: la decisione Schrems II, presa dalla Corte di Giustizia dell’Unione Europea a Luglio 2020.

 

Schrems II sosteneva che il processo che rendeva il trasferimento dati tra USA e UE possibile e valido (il cosiddetto “Privacy Shield”) fosse illecito. Questa pronuncia ha avuto conseguenze sul lungo periodo e, tecnicamente, ha abolito ogni trasferimento dati tra Unione Europea e Stati Uniti, eccetto il caso in cui delle misure supplementari (sebbene non definendone il tipo) fossero adottate dai partecipanti, i.e. esportatori e importatori di dati.

 

Come risultato, Google ha implementato delle misure per garantire la conformità di Google Analytics, che i Regolatori dell’Austria, Danimarca e Francia hanno considerato insufficienti.

In sostanza, essi hanno ritenuto che i trasferimenti di dati fra UE e USA per mezzo di Google Analytics non rispettassero le normative vigenti.

 

Garante Privacy e il provvedimento su Google Analytics

 

In seguito ad una complessa istruttoria, il 23 giugno 2022 il Garante per la protezione dei dati personali ha pubblicato un Provvedimento, con cui comunica che il trasferimento di dati personali al di fuori dell’UE effettuato dagli utilizzatori di Google Analytics è da considerarsi illecito. Allineandosi con la decisione della CNIL, il Garante Privacy ha dunque sostenuto che l’utilizzo di Google Analytics non è conforme al GDPR. L’autorità ha adottato un primo provvedimento nei confronti di un editore specifico, ma la questione interessa molti altri siti web. Quali sono i dettagli di questa pronuncia?

 

Nel provvedimento, il Garante ha rilevato che l'utilizzo di Google Analytics da parte dell'editore web ha portato alla raccolta di molti tipi di dati dell'utente, inclusi indirizzo IP del dispositivo, informazioni sul browser, sistema operativo, risoluzione dello schermo, selezione della lingua, oltre alla data e all'ora della visita al sito: il Garante ha documentato come tutte queste informazioni siano state trasferite negli Stati Uniti senza l'applicazione di adeguate misure supplementari per adeguare il livello di protezione al necessario standard giuridico dell'UE.

 

Il Garante Privacy ha concesso all'editore in questione (la società Caffeina Media Srl) 90 giorni per correggere la violazione di conformità. Ma la decisione ha un significato più ampio in quanto ha anche avvertito altri siti web locali che utilizzano Google Analytics della necessità di verificare la propria conformità. Infine, Guido Scorza (componente del Garante per la protezione dei dati personali), ha sottolineato come un accordo politico non sia sufficiente per risolvere la questione, ma serva una base giuridica.

 

Adesso, cosa puoi fare in quanto utente di Google Analytics? Ecco qualche raccomandazione.

 

Attenzione: la decisione della CNIL non afferma che Google Analytics è abolito. Sostiene che l’uso corrente di Google Analytics sul sito web oggetto dell’audit non sia conforme ai principi della GDPR. Questa è una distinzione importante.

 

Raccomandazioni per avvicinarsi alla conformità

  

image1-Apr-11-2022-09-31-58-93-AM

 

1. Considera alternative

La prima azione raccomandata dalla CNIL nel suo comunicato stampa è di verificare le alternative e i concorrenti di Google Analytics. Troverai alcune opzioni più in basso nell’articolo. 

 

Molte aziende dovrebbero lanciare un’analisi sulla possibilità di migrare da uno strumento a un altro. Inoltre, ti consigliamo di documentare il processo in caso di un’ispezione da parte del Garante Privacy. 

 

Se decidi di continuare ad usare Google Analytics, ci sono altre azioni che puoi attuare immediatamente (dopo aver contattato il tuo rappresentante Google o fornitore per assistenza).

 

2. Usa la funzione IP anonimo fornita da Google Analytics

Google Analytics offre la possibilità di rendere gli indirizzi IP anonimi. Ti suggeriamo di attivare questa funzione (come raccomandato dal Garante Privacy austriaco nella sua decisione).

 

3. Implementa altri controlli privacy

Google offre inoltre una serie di controlli privacy avanzati che puoi implementare per limitare la raccolta dati: dal disattivare le funzionalità pubblicitarie al disattivare completamente la raccolta dati.

 

Ti raccomandiamo di analizzare il tuo utilizzo di Google Analytics internamente, e decidere in seguito quali di queste misure (alcune? tutte?) sono appropriate per il tuo business.

 

4. Ottieni il consenso degli utenti per l’uso di Google Analytics

Ovviamente dovresti già aver implementato questa raccomandazione, in seguito alle numerose decisioni dei Regolatori Europei (i.e. le nuove linee guida del Garante Privacy sull’uso dei cookies): in caso contrario, ti preghiamo di fare in modo di ottenere il consenso per l’uso di Google Analytics da parte dei tuoi utenti.  

 

Alla luce di queste decisioni, non potrai più appellarti al legittimo interesse. Il consenso è presumibilmente sempre richiesto per l’uso di Google Analytics nel setup corrente e nel caso i dati non siano completamente resi anonimi.

 

5. Raccogli il consenso esplicito per il trasferimento di dati agli USA

Questa raccomandazione viene dall’articolo 49 della GDPR:

 

In assenza di una decisione di adeguatezza (...) o di garanzie adeguate (...), avrà luogo un trasferimento o una serie di trasferimenti di dati personali verso un paese terzo (...) (...) se l'interessato ha espressamente acconsentito al trasferimento proposto, dopo essere stato informato dei possibili rischi di tali trasferimenti per l'interessato a causa dell'assenza di una decisione di adeguatezza e di garanzie adeguate.”

 

Questa soluzione non è ideale da un punto di vista utilizzatore, e dovrebbe essere considerata piuttosto una possibilità e non una raccomandazione.

 

Attenzione: ricorda che queste decisioni hanno dirette implicazioni e non riguardano soltanto Google Analytics. Tutti gli strumenti utilizzati e offerte dalle società americane possono essere impattate alla stessa maniera. Tieniti pronto per altre azioni di questo tipo nel 2022, soprattutto dal momento in cui la CNIL ha sostenuto che darà priorità alle sentenze contro i provider di cloud services nel 2022.

 

Quali sono alcune alternative a Google Analytics?

 

Sebbene al momento sia difficile valutare l'impatto della decisione contro Google Analytics, abbiamo deciso di raccogliere alcune alternative non statunitensi, i cui dati non possono potenzialmente (e teoricamente) essere trasferiti negli Stati Uniti. Per motivi di chiarezza, abbiamo raccolto i pro, i contro, la fascia di prezzo e la posizione di hosting dei dati per ogni strumento.

 

IT_DecisionTree

 

Si prega di notare che queste raccomandazioni non sostituiscono gli accorgimenti giuridici che potrete aver intrapreso.

 

Piwik Pro

 

Piwik Pro

 

Piwik Pro è una soluzione cookie based con integrazioni simili a Google Analytics. 

 

Prezzo: Core Plan gratis (500k visite/max) / Enterprise su richiesta

Data hosting: UE (Elastix)

Sede: Polonia, UE

Pro:

  • Eccellente Interfaccia Utenti

  • Nessun campionamento dei dati

Contro:  

  • L’integrazione con altri strumenti puo’ essere complicata

  • Meno opzioni disponibili rispetto a Google Analytics

 

AT Internet

 

AT

 

AT Internet è un’azienda francese che è stata acquistata da Piano Software Inc.in 2021.

 

Prezzo: a partire di 355€/month

Data hosting: UE (SFR & AWS)

Sede: UE, Francia

Pro:

  • Funzionalità e-commerce specifiche

Contro:  

  • Secondo le recensioni online, l’integrazione non è delle più semplici

 

Fathom

 

Fathom

 

Fathom è una soluzione cookie-free, che quindi risolve la questione del consenso e del trattamento dei dati. Sfortunatamente, cio’ implica la mancanza di alcune informazioni normalmente raccolte con strumenti come Google Analytics (no channels, no fonti, solo referrals).

 

Prezzo: da $14/mese (100k page views)

Data hosting: Germania (Hetzner)

Sede: Canada

Pro:

  • Non è richiesto alcun avviso del consenso

  • Le dimensioni dello script sono ridotte, ottimizzando così il caricamento della pagina

Contro:

  • Analytics di alto livello

  • Nessun tracciamento di comportamento

 

Plausible

 

Plausible

 

Altra soluzione cookie-free, Plausible è open-source e puo’ essere quindi ospitata sui tuoi server.

 

Prezzo: da 9€/mese (10k page views)

Data hosting: Germania (Hetzner)

Sede: Estonia

Pro:

  • Non è richiesto alcun avviso del consenso

  • Le dimensioni dello script sono ridotte, ottimizzando così il caricamento della pagina

  • Open source

Contro:  

  • Livello di analytics molto alto

  • Nessun tracciamento di comportamento

 

Matomo

 

Matomo_Updated (1)

 

Matomo è la versione open-source Piwik Pro, con 3 modi di integrazione: cookie free, cookie-based e server-side tracking.

 

Prezzo: Free (ospitato sul tuo server) / A partire di 13€ (cloud-based)

Data hosting: UE (ma il contratto è con AWS New Zealand)

Sede: Nuova Zelanda

Pro:

  • Molte statistiche

  • Web vitals

  • Nessun campionamento dati

  • Non è richiesto alcun avviso del consenso (a seconda del set-up)

Contro:

  • Nessuna integrazione con Google Ads

 

Nota bene: Adobe Analytics e altre piattaforme americane sono alternative valide, ma nel contesto di questa decisione e trattandosi di piattaforme basate negli Stati Uniti, scegliamo di non incluederlend other US platforms are valuable alternatives, but in the context of this decision and because they are US-based, we decided to not include them.

 

Domande & Risponde (Q&A)

 

Vi dispiacerebbe approfondire le implicazioni di vasta portata della decisione?

Questa decisione potrebbe avere conseguenze su molti settori diversi, allo stesso modo l'industria Adtech è stata influenzata dalla decisione dell'autorità belga in merito al TCF di IAB Europe.

 

Ad esempio, anche le soluzioni sviluppate di recente come la pubblicità contestuale, in risposta alla mancanza di dati, potrebbero risentirne poiché i trasferimenti avverranno allo stesso modo e si avrà dunque accesso agli indirizzi IP.

 

È possibile che queste decisioni impediscano in una certa misura il libero flusso di dati tra gli Stati Uniti e l'UE e, di conseguenza, la maggior parte dei servizi o degli strumenti che utilizziamo quotidianamente non sarebbero più compatibili o accessibili nella prospettiva della GDPR e della ePrivacy.

 

In breve, la portata di questa decisione è molto vasta.

 

Google Analytics 4 risolve il problema di conformità con la GDPR?

 

Data la consapevolezza della mancata conformità della versione precedente di Google Analytics con la GDPR – soprattutto perché manca una disciplina organica post-Schrems II – il motore di ricerca ha recentemente introdotto Analytics 4: questo aggiornamento non registra né archivia gli indirizzi Ip e dunque rispetta la normativa attuale (per maggiori informazioni consultare la pagina di supporto).

 

Secondo Google i gestori di siti italiani possono dunque aggiornare Analytics all’ultima versione per mettersi in linea con il Gdpr e non incorrere in sanzioni da parte del Garante Privacy. Tuttavia occorre specificare che si tratta di una misura transitoria, in attesa della stipula della nuova versione del Privacy Shield.

 

Qualcuno ha sentito della risposta di Google in merito a questo problema specifico con il sito Web di e-commerce incriminato?

Google ha condiviso una risposta interessante.

 

In una certa misura, Google sembra non essere d'accordo con la decisione. In definitiva, la migliore opzione disponibile per tutti per andare avanti è assicurarsi che gli Stati Uniti e l'UE concludano un accordo sui trasferimenti di dati. Ciò significherebbe che gli Stati Uniti dovrebbero tornare indietro su alcuni dei loro atti e regolamenti di sorveglianza, il che non sarà una vittoria facile, ma è ciò che salverebbe parte della questione della conformità.

 

Google sembra spingere per questo. Sono coinvolti nelle trattative e nel frattempo sembrano lavorare su funzionalità e controlli aggiuntivi per i loro clienti.

 

Come si calcola il tasso di consenso corrente di un sito web? 

Puoi calcolare facilmente il tasso di consenso del tuo sito web con una Consent Management Platform (CMP).

 

Qualcuno dei regolatori ha stabilito un periodo di conservazione limite di tempo sui file di registro? In che modo un periodo di conservazione influenzerebbe le tariffe degli utenti per la correzione o la distruzione dei dati?

Non ci sono indicazioni in merito a quanto ci risulta. Questa dovrebbe essere una valutazione da eseguire per ogni proprietario di sito web. Ma dovrebbe essere sempre proporzionato alle attività di trattamento in corso. 5 anni per esempio probabilmente non sono una buona idea ma un giorno probabilmente non è abbastanza.

 

Il criterio principale sarà sempre se sei in grado di individuare qualcuno utilizzando le informazioni che hai a disposizione? In tal caso, significa che possono essere considerate informazioni personali.

 

Oncrawl rende anonimi i dati nei log, ad esempio, per assicurarsi che siano conformi al GDPR.

 

Gli e-commerce dovrebbero pensare a un nuovo modo per ottenere il consenso per il monitoraggio? Ad esempio chiedere di creare un account e/o di effettuare il login prima di utilizzare il sito?

Non si tratta tanto di come raccogli i dati, ma di come li condividi. In un ambiente connesso sarà indubbiamente più facile raccogliere i dati in modo conforme, ma quando li condividi con altre parti, rimarranno gli stessi problemi.

 

Strumenti come Mixpanel e Amplitude non si basano sui cookie ma sugli ID utente. Potrebbe essere un'alternativa a Google Analytics?

È leggermente migliore a causa dell'assenza di cookie, ma non risolverà il problema del trasferimento dei dati negli Stati Uniti. In questo caso, gli ID utente permetterebbero a chiunque di individuare e/o identificare un utente e sarebbero quindi considerati come informazioni personali.

 

Se hai un'integrazione lato server e crittografi i dati prima di condividerli con Google, o li rendi anonimi in un certo senso, puoi essere considerato conforme?

Uno dei problemi principali è che Google ha così tanti dati oltre a Google Analytics che i Regolatori sono preoccupati che alla fine possano tracciare gli utenti in tutti questi servizi. 

 

In questo senso, rielaborare i dati prima di condividerli in modo che Google non sia in grado di collegarli ad altri asset di dati in loro possesso, potrebbe probabilmente renderlo conforme. Da definire.

 

Conservare i dati nell’UE non risolve tutto

La memorizzazione delle informazioni in Europa non risolverà necessariamente le cose, poiché potrai lavorare con un'azienda statunitense a cui potrebbe essere chiesto e richiesto dal governo degli Stati Uniti di condividere i dati. Quindi, anche se i dati sono archiviati nell'UE, il rischio di trasferimento esiste e potrebbe potenzialmente causare un problema.

 


 

Per saperne di più di Didomi prendi appuntamento con uno dei nostri esperti:

 

Richiedi una demo