In questo primo episodio di Digitali e Markettari parliamo di un tema molto caldo in questo periodo. Le voci cominciavano a circolare già in Maggio, a seguito della decisione dei Garante della Privacy francese e austriaco. Poi però, pochi giorni fa, è arrivato il Garante italiano, con l’ammonizione di una società italiana per l’uso del popolare strumento.
La domanda che ci poniamo oggi quindi è: ora che si è pronunciato il Garante italiano, si può dire o no che Google Analytics è diventato illegale?
Da addetto ai lavori, senza però essere esperto di materie molto complesse, come quella legale per esempio, ho raccolto quante più informazioni possibili per costruirmi una mia idea a riguardo e ho pensato di riassumerle in questo podcast che è soltanto una sintesi, una ricerca, su tutto quello che di autorevole ho trovato in materia, per permettere anche a voi ascoltatori di farvi la vostra idea.
La sentenza del Garante italiano
Cominciamo dal principio, ovvero da quello che il Garante della Privacy italiano ha contestato alla società che utilizzava Google Analytics. Lo diciamo subito per i più pratici della materia: parte della discussione si è spostata sulla versione del codice implementato sul sito dalla società oggetto dell’ammonizione: essendo un fatto avvenuto nel 2020, la società impiegava Universal Analytics, che pochi giorni fa è stata mandata in pensione per favorire il passaggio a GA4. Quest’ultima versione, GA4 appunto, contiene diversi nuovi strumenti per tutelare la privacy dei visitatori di un sito. Ne parleremo meglio più avanti.
Per ora limitiamoci a osservare quanto dice il provvedimento del Garante. Leggo testualmente dal sito ufficiale “Il sito web che utilizza il servizio Google Analytics (GA), senza le garanzie previste dal Regolamento Ue, viola la normativa sulla protezione dei dati perché trasferisce negli Stati Uniti, Paese privo di un adeguato livello di protezione, i dati degli utenti”.
Quindi un sito web che utilizza Google Analytics, diciamo nella sua configurazione più basilare, vìola la normativa sulla protezione dei dati, perché trasferisce negli Stati Uniti, paese che non garantisce il livello di protezione previsto dal GDPR, i dati personali dei visitatori di un sito.
La questione appare fondata principalmente su due aspetti: il primo legato al tipo di dato che viene raccolto dallo strumento e, secondo, dove poi questo dato viene mandato e memorizzato. Fate attenzione a questi due aspetti perché sono fondamentali. Se io, per assurdo, non raccogliessi nessuno dato personale o sensibile, pur inviandoli fuori dall’Unione Europea, probabilmente non violerei nessuna legge. Quindi la questione può essere risolta lavorando sul tipo di dato raccolto, oppure evitando che questi dati vengano poi inviati negli Stati Uniti.
Perché gli Stati Uniti sono brutti e cattivi
Gli Stati Uniti, quindi, sono brutti e cattivi? Si e no. Diciamo che ad oggi, ovvero da quando sono decaduti gli accordi Safe Harbor e Privacy Shield, non c’è più un vincolo che impegna gli Stati Uniti a non utilizzare liberamente i dati raccolti in altri paesi. Facciamola breve: se un dato viene inviato negli Stati Uniti, poi questi ultimi (il Governo e le sue diverse agenzie) possono accedervi come vogliono, mappando e ricostruendo profili e abitudini degli utenti residenti nell’Unione Europea. E questo, è chiaro a tutti, non va bene.
Come dicevamo prima, finché non si raggiungerà un accordo che limiterà i poteri degli Stati Uniti (ma pure quando questo succederà, ci sarà da ragionare sulla sua reale validità), inviare un dato personale o sensibile fuori dall’UE non è conforme a quanto richiesto dal GDPR e pertanto fuori dalla legge.
Oh, diciamolo subito: lo scopo del GDPR non è quello di rompere le scatole, come molti pensano. Il GDPR è uno strumento, sicuramente perfezionabile, con cui l’Europa protegge i dati dei suoi cittadini. È un principio sacrosanto e a cui tutti noi cittadini europei dovremmo tenere e che dovremmo cercare di difendere con le unghie e con i denti.
Lo dico perché, al di là di quelle che saranno le vostre conclusioni, c’è sempre da ragionare sulla questione etica nell’utilizzo di strumenti che, in un modo o nell’altro, cercano di fare profitti su un dato raccolto fuori dal loro territorio. Il che, se permesso dalle leggi di quel paese, è perfettamente legittimo e legale. Qui però entriamo in un terreno molto più vasto e scivolo, che forse sfugge alla legislazione e che viene oscurato dalle leggi del libero mercato. Vi faccio una domanda per spiegarvi cosa voglio dire: secondo voi è giusto che le piattaforme turistiche come Booking o Expedia facciano enormi profitti su una buona fetta della ricchezza prodotta dalle perle turistiche che possiede il nostro paese e l’Europa intera? È corretto che un settore così vitale per molte regioni italiane come quello turistico ed enogastronomici debba pagare dazio a società che pagano le tasse al di fuori non solo dell’Italia, ma anche dell’UE?
La risposta giusta ovviamente non esiste e la domanda, credetemi, non nasconde la risposta. È veramente una cosa che personalmente mi chiedo spesso: in un mercato libero e regolamentato, se un servizio è più performante di un altro o addirittura è l’unico, e per questo riesce quindi a intercettare più clienti e a realizzare profitti enormi, pur non avendo nulla a che fare col bed&breakfast di Alberobello, tanto per fare un esempio, è davvero da condannare? Ve lo chiedo perché un giorno, se arriveremo a poter utilizzare Google Analytics liberamente senza infrangere nessuna legge, rimarrà comunque la decisione, chiamiamola etica, se utilizzare un servizio americano o una sua controparte europea. Cosa è più giusto fare? La risposta datela voi.
Le tesi di chi difende l’usabilità di Google Analytics
Chi sostiene l’usabilità di Google Analytics lo fa quasi sempre basandosi sull’ultima implementazione del codice, ovvero GA4. Questo perché Google ha implementato una serie di funzionalità specifiche per rispettare le leggi, sottolineo il termine al plurale, che tutelano la privacy presenti in diversi paesi del mondo, non soltanto il GDPR europeo.
Innanzi tutto bisogna considerare che, nel caso di Google Anlytics, i dati verranno comunque inviati sempre negli Stati Uniti, ma se faccio in modo di ripulire questi dati da qualsiasi riferimento all’utente, allora il problema non sussiste. Se, in altre parole, prima di inviare il dato ai server di Google, li ripulisco da tutte quelle che caratteristiche poi possono permettere a Google di ricostruire il profilo di un utente, anche se poi questo dato viene trasferito negli Stati Uniti, non può danneggiare nessuno (piccola anticipazione di una domanda a cui risponderemo più tardi: un dato così povero a cosa ci servirebbe?).
Arrivati a questo punto della discussione è anche bene spiegare una cosa che spesso genera confusione, ovvero la differenza tra dato personale e dato sensibile. Ho trovato in rete una bella definizione:
“[…] I dati personali sono TUTTE le informazioni che rendono identificabile una persona e che possono fornire informazioni sulle sue caratteristiche personali. I dati sensibili invece sono un sottoinsieme dei dati personali e sono spesso legati a informazioni sulla persona particolarmente delicati (opinione politica, orientamento sessuale, informazioni mediche).“
La teoria è questa: utilizzando la più recente implementazione di Google Analytics, ovvero GA4, posso processare il dato lato server, ripulirlo da tutti i dati personali prima di inviarlo ai server di Google. Di più, potrei addirittura creare un’istanza di Google Big Query (in parole povere un database) situata in un datacenter di Google sul territorio europeo e successivamente analizzarlo con Google Data Studio, evitando proprio di inviare i dati ai server americani di Google. Ho trovato questa tesi di Matteo Zambon, vero Guru italiano di alcuni servizi Google, davvero molto interessante e stimolante. Peccato che si tratti di costruirsi una sorta di Google Analytics fatto in casa, impiegando i servizi di Google che permettono di scegliere la posizione del datacenter.
Che tutto questo sia realmente fattibile da freelance, agenzie grandi e piccole e webmaster, e che soprattutto questo dia veramente la sicurezza che il dato rimanga soltanto nei data center di Google, è un altro paio di maniche. Anche in questo caso, la risposta la lascio a voi.
Le tesi di chi invece sostiene il contrario
Dall’altra parte, a sostenere cioè che Google Analytics, anche nella sua versione GA4, non sia legale, c’è una folta schiera di pareri, tutti appoggiati da argomentazioni più che valide. Tra tutti spicca sicuramente Matteo Flora, che ne ha discusso in un video su YouTube insieme a Guido Sforza, che del Garante per la privacy fa parte. Parere più autorevole di questo, si potrebbe dire, non esiste.
Eppure anche in questo caso nessuno ha detto in maniera netta e precisa che Google Analytics è illegale. Piuttosto che lo è nell’implementazione al centro dell’ammonizione del Garante. Scorza, al contrario, conclude l’intervista dicendo che una qualche soluzione è stata avanzata dalla Francia, nella misura di un proxy per anonimizzare e ripulire i dati prima dell’invio a Google. Nè più né meno della soluzione proposta da Zambon di Tag Manager Italia.
Altri però, è il caso proprio di Matteo Flora, sostengono che il solo scaricare un javascript da un server negli Stati Uniti (si fa riferimento ovviamente al codice che permette il tracciamento da parte di Google Analytics), significa lasciare il proprio indirizzo IP in mano a chi, tramite tutto il mondo di servizi che possiede (Android, YouTube, il motore di ricerca, etc.), riuscirà di sicuro a ricostruire un profilo ben preciso. Per chi sostiene questa tesi non c’è scampo: Google Analytics è e rimarrà illegale.
Strumenti alternativi ne esistono?
Arrivati a questo punto la domanda più plausibile è: ma non si possono usare strumenti alternativi che hanno sede in Europa? Ovviamente si, anzi, di strumenti alternativi ce n’è veramente una quantità importantissima, molti di questi si possono anche installare su un proprio server. Ma allora perché Google Analytics è così popolare?
È evidente che ad attrarre tanti utenti è la sinergia e l’integrazione di questo strumento con tutta una serie di altri strumenti, importanti soprattutto per chi si occupa di marketing digitale. La piattaforma Google Ads permette infatti di fare pubblicità sul motore di ricerca, su YouTube, sulla rete di siti che inglobano pezzi di Google e più in generale su tutti i siti che integrano i banner pubblicitari di Google. Poi c’è tutto il mondo delle app Android e molto altro. A fare da base a tutti questi sistemi, ci sono gli analitici di Google Analytics. Ecco perché è particolarmente difficile staccarsi da questo strumento.
Ma facciamo un passo più in là: ipotizziamo di costruirci una soluzione per gli analitici fatta in casa, usando un prodotto open source e un server ospitato in qualche data center in Europa. Io stesso ho fatto un tentativo per pura curiosità. A quel punto titolari del trattamento dei dati diventeremo noi. La domanda che devo farmi quindi è: in caso di violazione del server, ovvero in caso di data breach, a quali problemi andrei incontro? E di quale portata? Vi sarete ormai stufati, ma anche in questo caso l’unica risposta che vi darò è: a voi la soluzione. È chiaro che non esiste una soluzione giusta per tutti: chi ha in casa sviluppatori e sistemisti farà poca fatica a considerare questa alternativa. Tutti gli altri, forse no.
Perché parliamo solo di Google Analytics?
Infine c’è un’ultima cosa da trattare, ancora più ampia, se possibile. Ammettiamo di aver risolto il problema di Google Analytics, in un modo o nell’altro. Diciamo che chi lo usa per vedere semplicemente quanti utenti visitano il proprio sito o blog è a posto e ha trovato una soluzione compatibile col GDPR e con quanto richiesto dal Garante italiano.
Chi ha un ecommerce o una piattaforma che vende qualsiasi genere di servizi invece? Tutte queste persone sarebbero ancora nei guai perché, se è vero che il Garante non è ancora arrivato a contestare tutti quei servizi (americani, s’intende) che tracciano gli utenti in maniera ancora più importante, è sicuro che a breve lo farà.
Parliamo di Google Ads con i suoi codici di analisi delle conversioni, il Pixel di Facebook, l’Insight Tag di LinkedIn e chi più ne ha più ne metta. Tutti servizi che hanno sede negli Stati Uniti e che di dati personali ne tratta un bel po’. Insomma, la sensazione è quella di aver appena urtato la punta di un iceberg davvero profondo e che, stando alle prime conseguenze, di acqua ne abbiamo già imbarcata parecchia. È il caso di abbandonare la nave e tuffarsi in mare? Personalmente direi di no. Un’ancora di salvataggio esiste ancora ed è l’accordo paventato da Joe Biden e la Presidente della Commissione Europea Ursula Von Der Leyen. Uno nuovo Safe Harbor o Privacy-Shield, per capirci, dove Europa e USA troveranno un accordo per consentire il trasferimento dei dati personali dei cittadini Europei su server statunitensi, senza che l’intelligence americana possa fare di questi dati ciò che vuole. Ci potremo fidare? Chi lo sa, ma su questo vi rimando alla quesitone etica di cui abbiamo già parlato.