Come adeguarsi al provvedimento del Garante sulle Analytics?

Google Analytics viene dichiarato dal Garante della Privacy non a norma in quanto trasmette dati fuori dall’Europa: come attrezzarsi in merito?

Dopo Francia ed Austria anche il Garante italiano per la protezione dei dati personali si è espresso in maniera inequivocabile: stop all’uso degli Analytics in quanto i dati vengono trasferiti negli Usa senza adeguate garanzie.

Una decisione importante che lascia trasparire un braccio di ferro geopolitico in sintonia con l’esigenza sempre più sentita di rendersi autonomi tecnologicamente e non a caso in atto durante la nascita del servizio cloud nazionale.

L’attenzione del Garante è stata indirizzata in data 9 giugno 2022 verso Caffeina Media s.r.l. azienda di Rosignano Marittimo (curiosa la scelta di indirizzare l’attenzione verso una piccola realtà) la cui rappresentazione web è un magazine che ho voluto analizzare con il noto Privacy Badger della statunitense Electronic Frontier Foundation capace di svelare in maniera approfondita i vary tracker che in effetti appaiono numerosi in questo sito web.

Privacy Badger (privacybadger.org) è un’estensione del browser che impara automaticamente a bloccare i tracker invisibili. Privacy Badger è creato da Electronic Frontier Foundation, un’organizzazione senza scopo di lucro che combatte per i tuoi diritti nella rete.
Privacy Badger ha bloccato 28 potenziali tracker su http://www.caffeinamagazine.it:
adx.adform.net
c.amazon-adsystem.com
gum.criteo.com
pubads.g.doubleclick.net
securepubads.g.doubleclick.net
region1.google-analytics.com
http://www.google-analytics.com
adservice.google.com
pagead2.googlesyndication.com
tpc.googlesyndication.com
csi.gstatic.com
fonts.gstatic.com
cdn-gl.imrworldwide.com
cdn.iubenda.com
hits-i.iubenda.com
http://www.iubenda.com
cdn.jsdelivr.net
events.newsroom.bi
gedi.tagger.opecloud.com
gedi.profiles.tagger.opecloud.com
sb.scorecardresearch.com
bs.serving-sys.com
prg.smartadserver.com
vast.smilewanted.com
vid.springserve.com
ads.stickyadstv.com
cdn.taboola.com
a.teads.tv

e alcuni di questi, innegabilmente, trasmettono dati fuori dall’Europa a cominciare dal noto Google Analytics, come peraltro succcede nella maggior parte delle testate online e per molti siti web aziendali.

Cosa fare per continuare ad analizzare l’utenza finale sfuggendo ad attenzioni sanzionatorie? Ecco alcuni consigli:

• prendere atto che qualcosa è cambiato dal Provvedimento del 9 giugno 2022 [9782890] in quanto il Garante boccia l’uso di Google Analytics anche nella sua forma di pseudo-anonimizzazione dato che “l’indirizzo IP costituisce un dato personale e anche nel caso fosse troncato non diverrebbe un dato anonimo, considerata la capacità di Google di arricchirlo con altri dati di cui è in possesso”;
• fare attenzione all’annuncio che con tempismo micidiale (13 giugno 2022) Google ha rilasciato sulla possibile migrazione a GA4 non immagazzinando IP e dando la possibilità di salvare i dati su server localizzati in Europa (non integrando però lo storico di GA3);
• cominciare a preoccuparsi anche dei pixel dei social network che il ragionamento potrebbe essere esteso logicamente da Google Analytics ad altri servizi, Meta (ovvero Facebook) in primis;
• sperimentare l’utilizzo di Matomo magari nella sua versione oper-source On-Premise liberamente scaricabile ed installabile su propri server opzione plugin per wordpress compresa con annessa ed efficace importazione dello storico di GA3 (operazione che richiede tempo e spazio disco ma che peraltro GA4 non consente!?!) configurando i servizi necessari sul server (un normale servizio di hosting non è sufficiente…) con un inevitabile consumo di risorse-macchina e spazio disco non indifferente, oltre al fatto di veder aumentate le responsabilità per i dati personali così conservati “in casa” (provato su strada Matomo si è rilevato uno strumento di web analytics molto utile con molte delle metriche in stile GA3, tag manager e frequenze di rimbalzo incluse, metriche di analisi decisamente preziose come i click sui link in uscita, dettagli molto raffinati sulle provenienze delle visite come quelle sulle tipologia di device, possibilità di personalizzare le url di atterraggio per monitorare campagne di vario tipo, possibilità di configurare obiettivi in maniera molto semplice, eccetera);
• affidarsi a delle statistiche lato server (come Awstats) offerte come opzione (a volte a pagamento) da parte di molti provider che non si portano dietro tutti i problemi di gestione della privacy delle analytics né hanno un utilizzo sfrenato di risorse-macchina per essere prodotte, oltre a non essere intercettati da tool anti-tracciamento e non avere procedure di campionamento dati come la maggior parte delle analytics e così garantire un “conteggio” esatto delle visite ricevute;
• se si è un ente pubblico valutare apposita soluzione sempre basata su matomo denominata Web Analytics Italia.

In conclusione, dopo lo tsunami delle regole su privacy e cookies e l’affacciarsi delle regole per l’accessibilità ecco che si prospetta un nuova rivoluzione copernicana che può essere vista come un momento critico ma anche un’opportunità per chi saprà interpretarla magari meglio, o più velocemente di altri…