Sono trascorsi più di 90 giorni di tempo che il Garante della Privacy aveva concesso ai gestori di siti web per adeguarsi al provvedimento con cui l’Autorità aveva dichiarato Google Analytics 3 non a norma con il GDPR: le aziende che usano questa soluzione devono quindi agire velocemente per non incorrere in pesanti sanzioni. Ecco alcune soluzioni per mettersi in regola.
Google Analytics 3 (Universal Analytics) non rispetta la normativa GDPR.
Il Garante della Privacy è stato chiaro a riguardo con la sua pronuncia dello scorso 9 giugno. Sono passati i 90 giorni dati per adeguarsi a tutti i gestori di siti web, ora il rischio di possibili sanzioni è reale e una recente ricerca sostiene che queste ultime potrebbero ammontare a 4,5 miliardi di euro nella sola Lombardia.
Numeri che fanno capire come questa potrebbe diventare una vera emergenza per le aziende e per gli operatori del settore.
Google Analytics e il trasferimento dati extra UE
In sintesi, nel 2020 è pervenuto un reclamo all’Autorità Garante della privacy italiana, nel quale si è fatto riferimento al fatto che Google Analytics 3 trasferisce alcune informazioni dell’utente europeo negli Stati Uniti. Informazioni che consentono di risalire, aggregando diverse tipologie di dati, all’identità delle persone interessate.
Quindi, il 9 giugno 2022 il Garante della Privacy si è espresso dichiarando che Google Analytics 3 (Universal Analytics) non è a norma con il GDPR.
Il tutto è nato dall’ammonizione alla società Caffeina Media srl, che utilizza Analytics sul proprio sito. Questa ammonizione, implicita per tutti i gestori, spiega che i siti web che utilizzano il servizio Google Analytics 3, senza le garanzie previste dal Regolamento UE, vìolano la normativa sulla protezione dei dati poiché trasferiscono i dati degli utenti negli Stati Uniti, Paese privo di un adeguato livello di protezione.
Le possibili sanzioni per violazione del GDPR
Quello che preoccupa gli addetti ai lavori, ma che dovrebbe allarmare anche le aziende, sono i valori emersi dalla ricerca elaborando gli ultimi dati ISTAT. L’indagine rivela che l’ammontare delle sanzioni che potrebbero arrivare alle aziende lombarde a causa della recente pronuncia del Garante della Privacy, sia pari a più di 4 miliardi e mezzo di euro.
Le sanzioni previste dal regolamento possono infatti arrivare fino al 4% del fatturato mondiale totale annuo delle imprese. Gli ultimi dati disponibili sul fatturato delle aziende lombarde che si occupano di servizi di informazione e comunicazione, di supporto alle imprese e di attività professionali, scientifiche e tecniche, dicono che l’ammontare è pari a 113.391.260.000 euro.
Calcolando le sanzioni per il mancato adeguamento rispetto a tutte queste aziende, la somma arriverebbe a un totale di 4.535.650.400 euro. Una cifra altissima, ma che tiene conto solo di una piccola parte dell’intero fatturato della regione “motore d’Italia”.
La ricerca ha infatti preso in esame i settori di attività che risultano emblematici e che potenzialmente usano il service di Google. Il rischio di sanzioni esiste però per tutte le imprese proprietarie di un sito web sul quale è attivo Google Analytics 3.
Questo fa capire come in una regione come la Lombardia, dove le ultime stime parlano di circa mille miliardi di fatturato per 550 mila imprese, pari al 25% del totale nazionale (Watch PMI Banca IFIS – aprile 2022), il rischio di sanzioni possa raggiungere cifre decisamente più onerose.
L’unica azione certa per mitigare il rischio di sanzioni
L’unica azione certa per evitare le sanzioni è quella di rimuovere lo script di Google Analytics 3, posto che il garante si è espresso solo su Google Analytics 3 e non su altri software che trasferiscono i dati negli Stati Uniti. Questo perché non sembra esistere una procedura per evitare che Google Analytics 3 (chiamato anche Universal o GA3) trasferisca dati negli USA.
Come accennato, l’aggregazione di questi dati consente di risalire all’identità della persona coinvolta: ciò è legale negli US ma non in UE. Di fatto, GA3 è fuori norma GDPR e non a caso presto verrà dismesso.
Come risolvere la questione? È possibile installare software di statistica che non trasferiscono i dati negli Stati Uniti, ad esempio Matomo che è già stato consigliato per la PA.
Un’altra opzione sarebbe usare Google Analytics 4. Su quest’ultimo, la soluzione definita Server Side permette di modificare l’indirizzo IP, rendendo così impossibile a Google risalire all’identità degli utenti.
Questa soluzione non è stata confermata esplicitamente dal Garante della Privacy italiano, mentre l’omologo francese si è già espresso a favore. Ma, se da un lato siamo sicuri che GA3 non rispetti il GDPR, dall’altro “affermare con altrettanta certezza che GA4 sia una soluzione sicura sarebbe troppo azzardato”, così quantomeno si è espresso Legal for Digital.
Al momento è ancora presto per prendere una strada definitiva, nemmeno quella di una gestione server side dello strumento. Resta innegabile il rischio di pesanti sanzioni per chi ha GA3 sul proprio sito.
Si dovrà attendere che il Garante della Privacy si esprima in modo chiaro, oppure che Google si muova in direzione dell’Europa o anche che, a livello internazionale, vengano presi degli accordi ad ampio raggio sul trasferimento dei dati da un continente all’altro.
Quel che è certo è che le sanzioni al momento sono un rischio reale. Il loro ammontare è a discrezione dell’autorità di vigilanza che valuterà caso per caso l’importo basandosi sulle indicazioni del GDPR.
Il Regolamento prevede che la sanzione stabilita per ogni caso sia efficace, dissuasiva e proporzionata, come indicato nell’articolo 83, comma 1. Gli importi delle sanzioni, come da provvedimento del 23/06/22 nr 9782874, possono variare da 10 a 20 milioni di euro e dal 2 al 4% del fatturato mondiale totale annuo dell’azienda, a seconda delle caratteristiche e del tipo di violazione.
Seppur tutti i possessori di un sito web siano a rischio, con molta probabilità ci si concentrerà dapprima sui BIG digitali, per poi muoversi anche sui più piccoli.
Quando si afferma che tutti sono a rischio, si intende chiunque sia proprietario di un sito web con un software che trasferisce i dati degli utenti negli Stati Uniti. A oggi, l’indagato speciale è Google Analytics 3 ma la lista potrebbe allungarsi e veder comparire molti altri software.
Le soluzioni alternative a Google Analytics 3
A tal proposito, ecco alcune opzioni alternative a GA3, sempre in attesa che il Garante si esprima in via definitiva, ricordando che esistono diversi altri software in commercio, sia gratuiti che a pagamento.
Google Analytics 4
Per chi lavora con campagne di digital marketing è uno strumento irrinunciabile. Permette di prendere decisioni strategiche su quali strumenti di marketing funzionano meglio e come direzionare il budget.
Google Analytics 4 Server Side
È sempre Google Analytics 4 ma con una variante molto importante: tra il sito dove è installato GA4 e il server di Google c’è un ulteriore server chiamato proxy, il quale modifica l’indirizzo IP dell’utente che sta navigando, rendendo così impossibile a GA4 e a Google risalire all’utente stesso. Questo significa che, anche se Google dovesse continuare a trasferire dati negli US, questa soluzione dovrebbe negare la possibilità di identificare l’utente. Il Server può essere costruito in casa o può essere trovato in cloud. Ad oggi esistono software in cloud che permettono questa opzione.
Matomo
È uno strumento analitico open source, già approvato dal Garante della Privacy italiano, che offre funzionalità simili a quelle di Google Analytics. Ci sono però diverse possibilità e opzioni che mancano in Matomo rispetto a strumenti come GA3 o GA4.
Hubspot
È un CRM, non un software di Analytics. Nonostante questo è un buon strumento da tenere in considerazione. La versione Marketing Hub Starter permette, tra le altre cose, di avere dashboard per monitorare l’andamento delle visite, delle conversioni degli utenti sul sito web, fino alla vendita effettiva.
Come abbiamo visto, dunque, la situazione attuale è in evoluzione: si attendono le pronunce definitive da parte del Garante e, al contempo, si verifica se e in che misura arriveranno i controlli e le sanzioni.
Il consiglio migliore rimane comunque quello di adeguarsi alla pronuncia e di eliminare GA3 dai propri siti.
