Questo è lo strillone che è stato visto campeggiare in tantissimi post nei Social Media da chi si occupa di digital marketing. Ma a parte il sensazionalismo, quali punti è necessario approfondire?
Il 23 giugno 2022 il Garante per la Privacy italiano, così come il corrispettivo austriaco e francese qualche tempo prima, ha emesso un comunicato stampa in cui ammoniva una società editoriale in quanto nel settaggio del proprio Google Analytics non rispettava le norme del GDPR: anche se vi è anonimizzazione dell’ip tale dato è ritenuto sensibile e quindi non può essere trasferito verso gli Stati Uniti “senza adeguate garanzie”.
Questo perché la legge in US consente alla NSA (Agenzia Sicurezza Nazionale Americana) di accedere ai dati di cittadini non residenti nel suolo americano archiviati sui server di aziende americane senza che vi sia l’intervento di un giudice, cosa invece necessaria in EU.
I punti della discussione quindi vertono su due principali filoni:
- Prevedere, tramite sistema di analytics, una adeguata garanzia di protezione dei dati che vengono raccolti
- Il passaggio dei dati da EU a US
Settings e Garanzie per Google Analytics
L’ammonizione del Garante riguarda un settaggio del 2020, quindi di Google Universal Analytics, la versione che tutti i digital marketers conoscono e usano e che sarà dismessa dallo stesso Google il 1 luglio 2023.
In questa versione del software, Google dà la possibilità agli end user di anonimizzare l’IP (cancellando le ultime 6 cifre) dell’utente che naviga il sito, ma non offre garanzie sullo stoccaggio e visualizzazione dello stesso negli USA.
Già con la versione Google Analytics 4 sono stati adottati degli accorgimenti in più verso la privacy dell’utente rispetto alla precedente versione: infatti GA4 non salva più l’IP dell’utente e permette, tramite opportuno settaggio, di non memorizzare altre informazioni di riconoscibilità dell’utente come versione del browser, risoluzione dello schermo, ecc. Inoltre tramite un accorgimento server-side è possibile configurare Analytics in modo da ricevere l’IP del server in cui è installato il software e non quello reale dell’utente.
Quindi tutto risolto? Non proprio. Attraverso alcuni video il team del Garante Privacy italiano ha aperto alla valutazione di proposte “provenienti dal mercato” che possono minimizzare il rischio ma nessuno è sicuro al 100% di essere compliant (inoltre lo stesso team ha confermato che andrà a verificare ogni singolo caso su segnalazione). In questo caso la soluzione proposta da GA4 potrebbe essere un passo in avanti verso la minimizzazione del rischio.
Trasferimento dati EU - US
Google Analytics è solo la punta dell’iceberg: in tanti stanno puntando il dito verso il sistema di tracciamento di Google ma si scordano, ad esempio, che la maggior parte dei tool che vengono utilizzati nel digital marketing sono di matrice americana e quindi passibili di ammonizione o “illegalità”: basti pensare ai sistemi di email marketing piuttosto che di advertising / remarketing o di cart recovery, ecc.
Il transfer dei dati personali tra EU e US è iniziato con la sentenza Schrems II 2020 dove la corte europea ha invalidato il Privacy Shield - attivo tra le due region - in quanto la legge americana non garantisce un livello di protezione dei dati e della privacy pari a quello europeo.
In questo momento, quindi, utilizzare un tool “americano” senza adeguata protezione per i dati significa potenzialmente entrare nell’illegalità in quanto va contro il GDPR: ovviamente bisogna valutare caso per caso e non generalizzare.
Come si può ben vedere, quindi, la questione è molto più ampia rispetto al solo Google Analytics e si sposta sul piano politico: è notizia di qualche mese fa che il presidente US e la presidente della commissione Europea stanno creando un tavolo di lavoro per garantire un adeguato e corretto passaggio dei dati personali in modalità bilaterale. Purtroppo fino a che non sarà definito un accordo tra le parti possiamo aspettarci altre ammonizioni di questo tipo per altri tool utilizzati nel digital marketing.
La soluzione al momento, nell’attesa dell’accordo EU-US, è quella di cercare di minimizzare il rischio di export di dati personali e gli strumenti per farlo esistono ed è il mercato che deve proporli.
© RIPRODUZIONE RISERVATA