E’ di qualche giorno ormai la notizia – ancora calda e che difficilmente si raffredderà – della affermazione e presa di posizione a gamba tesa del Garante Privacy italiano, questa:

Il sito web che utilizza il servizio Google Analytics (GA), senza le garanzie previste dal Regolamento Ue, viola la normativa sulla protezione dei dati perché trasferisce negli Stati Uniti, Paese privo di un adeguato livello di protezione, i dati degli utenti. – Fonte: https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9782874

Cosa significa questo?

La vicenda parte, a monte, da una segnalazione verso un sito web di proprietà di una azienda italiana (che muove molto traffico su web) la quale ha ricevuto un ammonimento dal Garante, a seguito della segnalazione di privati cittadini riguardo l’uso improprio dei loro dati di navigazione.

Qui il testo integrale del Provvedimento, datato 9 giugno 2022.

Si è quindi aperto un Caso Nazionale.

Sì, perché tutti i gestori di siti web che utilizzano Google Analytics per le statistiche di traffico e per la user targeting/experience, hanno formalmente lo stesso problema.

Perché Google Analytics è fuori legge?

Non è un servizio illegale, intanto. Va precisato. E’ tuttavia in disaccordo con le politiche di privacy comunitarie, raccolte sotto l’ombrello della normativa GDPR e sì, sembra che se ne siano accorti solo ora.

La parte in disaccordo riguarda il conferimento di dati di utenti comunitari verso server statunitensi, non importa se questi dati sono resi in forma anonima o pseudonimizzata: il solo fatto che vengano spostati e gestiti da una società statunitense rende il tutto non conforme al GDPR.

E se Google apre un servizio analytics in EU?

No. Non si risolve, perché la società è e sarà sempre formalmente extra-EU, sita in un Paese le cui norme di tutela della privacy sono meno stringenti ed in ogni caso non conformi GDPR.

Ci sono sanzioni? Dovrò pagare una multa?

No, al momento è stato emesso un ammonimento, alla società di cui il Procedimento, e indicazioni su cosa fare. Lo stesso Garante Privacy ha razionalizzato la portata delle cose, la vasta scala su cui ha preso posizione – uniformandosi peraltro alla presa di posizione di altri Garanti EU di Stati membri. L’ammonimento ha un termine di 90 giorni, termine che TUTTI dovranno tenere a mente per regolarizzare la propria posizione. Oltre questo termine, le sanzioni saranno possibili, caso per caso, sulle centinaia di migliaia di siti web italiani che utilizzano Google Analytics.

Sono davvero molti provvedimenti, ma non pensate “tanto a me non capiterà mai”. Non fate questo errore. Non si tratta in ogni caso di un furto di un pacchetto di caramelle (illegale, ma non da galera, quasi mai), si tratta pur sempre della Privacy degli Utenti dei vostri siti web.

Posso fare a meno di Google Analytics?

Si e No.

Si, se la tua presenza su internet è hobbystica, come può esserlo questo blog, sul quale a conti fatti non ho installato alcun plug-in “professionale” per le statistiche, accontentandomi di quelli integrati e che sono, bontà divina, a norma GDPR.

No, se la tua presenza su internet è professionale, se sei un Social Media Manager, un SEO Manager, se lavori col web e hai Clienti a cui segui la presenza sul web.

Il problema è che Google Analytics è fortemente integrato con Google Ads e tutte le piattaforme di traffico sponsorizzato che permettono di gestire il posizionamento dei siti web nel motore di ricerca (e per estensione in molti altri motori di ricerca).

Come si fa a valutare le performance di una campagna senza Google Analytics?

Cosa posso fare per non perdere il lavoro?

Per tutti i SMM – Social Media Manager e per tutti quelli che lavorano con il web, le soluzioni ci sono – ci sono sempre state invero – ma sono meno facili, meno accessibili, forse più legnose e scarsamente comode; e sì, anche costose.

Sì, perché il servizio Google Analytics oltre ad essere integrato nell’ecosistema Google, ha il grandissimo vantaggio di essere gratuito.

Se professionalmente gestisci centinaia o migliaia di clienti sai già che Google Analytics ti va stretto. Non è fatto per quello del resto. Avrai già un tuo server o insieme di server di analisi del traffico dei tuoi clienti, nel tuo datacenter aziendale o presso un housing nazionale.

Questa soluzione diventa ora anche un buon suggerimento per chi di clienti ne ha molti meno. E’ una soluzione “mi faccio tutto in casa”. Costa quanto può costare una VM (Virtual Machine), un VPS (Virtual Private Server) presso un – a caso – datacenter italiano, tipo Aruba.

Cosa ci metto in questa VM? Questo ad esempio: https://www.openwebanalytics.com/

Oppure ci sono aziende che danno questo servizio già pronto chiavi in mano, come ad esempio https://matomo.org/

Si, ma io non ne so nulla di VPS, di server…

Chi sa fare tutto, sa fare nulla. Anche se ci sono eccezioni, sopratutto in ambito informatico.

E’ però vero che se la tua formazione è quella del SMM – Social Media Manager, per farlo bene lo devi fare a tempo pieno, e tanto altro tempo in più non si ritaglia.

Chiedi aiuto! Tra di loro i SMM si aiutano, ci sono diverse comunità in Italia.

Chiedi aiuto anche a me se vuoi: questo è il mio lavoro del resto.

Ma.. solo Google Analytics è il cattivone?

Ecco, no. Ce ne sono altri. Considera che tutte le società che offrono servizi come fa Google e non hanno sede in EU sono parimenti non conformi GDPR.

E’ da tenere a mente. Ora i riflettori sono accesi su Google Analytics ma non passerà molto tempo prima che il polverone prenda corpo.

Ad esempio, Facebook dov’è che ha sede?