fbpx

marketing tips

Google Analytics Universal è illegale in Italia? Cosa sappiamo e cosa fare.
Scritto da: marketingtherapy

Google Analytics Universal è illegale in Italia? Cosa sappiamo e cosa fare.

Questo breve articolo per cercare di fare chiarezza ed informare sul trend topic di questo periodo relativo a Google Analytics, alla sua presunta illegalità e sulla mail che in tanti hanno ricevuto da Federico Leva.

Sommario

Cosa sappiamo?
Cosa viene contestato?
Possiamo ancora usare Google Analytics?
Cosiderazioni
Mail Federico Leva

Cosa Sappiamo

Partiamo dai fatti, le informazioni ufficiali sono le seguenti, riportiamo un estratto dell’articolo pubblicato dal Garante della Privacy.

Il 23 Giugno il garante della privacy ha dichiarato illegale l’utilizzo di google Analitycs nella versione “Universal” perché viola la normativa sulla protezione dei dati e perché trasferisce negli Stati Uniti, Paese privo di un adeguato livello di protezione, i dati degli utenti. 

A questo link potete trovare e leggere l’articolo di approfondimento ufficiale:

https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9782874

Cosa viene contestato

Dall’indagine del Garante è emerso che i gestori dei siti web che utilizzano GA3 (Universal) raccolgono, mediante cookie, informazioni sulle interazioni degli utenti con i predetti siti, le singole pagine visitate e i servizi proposti. Tra i molteplici dati raccolti, indirizzo IP del dispositivo dell’utente e informazioni relative al browser, al sistema operativo, alla risoluzione dello schermo, alla lingua selezionata, nonché data e ora della visita al sito web. Tali informazioni sono risultate oggetto di trasferimento verso gli Stati Uniti.

Il problema di fondo è che la legislazione americana consente alle Autorità di avere accesso a tutti i dati che risiedono negli USA mentre non garantisce mezzi di ricorso effettivi e non fornisce garanzie circa i diritti degli interessati.

In sostanza Google violerebbe la normativa perché per presentarci il dato utilizza dei server USA Based e non EU Based.

Possiamo Usare ancora Google Analytics?

Quello del Garante Privacy non è un divieto assoluto a Google Analytics, ma una sospensione di 90 giorni del trasferimento dati, per trovare meccanismi che non violino il Gdpr. Soluzioni che esistono sia a livello normativo che tecnico e che dovrebbero consentire a GA4 (la nuova versione di Analytics) di poter essere utilizzato.

Al momento, teoricamente ci sarebbero 2 soluzioni!

1 – Google Analytics 4 (GA4)

A livello tecnico ci sono degli strumenti utilizzabili e sembra che Google, con il rilascio di GA4, si sia mosso esattamente in questa direzione, probabilmente anche tenuto conto delle indicazioni del Garante Francese che aveva offerto degli spunti e che si era espresso prima di quello italiano.

Google Analytics 4 (GA4), infatti, ha tutta una serie di parametri che permettono di gestire i dati personali degli utenti, partendo dalla circostanza, tutt’altro che trascurabile che non viene gestito l’indirizzo IP. Inoltre, per la gestione dei dati degli utenti si è dotata di un proxy – quindi di server di Google situati in Europa – che non dovrebbero essere controllati o controllabili da Google LLC*. 

*Su questo però ci sono pareri discordanti, teoricamente Google Irlanda è una controllata di Google LLC quindi farebbe comunque capo alla società con sede in America.

2 – Sistema Server-Side

Un ulteriore strumento che può essere implementato, è l’uso di un proprio sistema server-side in modo da passare, prima dei server Google che fanno da ponte tra Europa ed America, attraverso un filtro ulteriore. In sostanza, per i non addetti ai lavori, l’utente arriva nel sito, la richiesta e l’analisi dei dati passa attraverso un nostro server che è dislocato in Europa; il dato viene pulito e le informazioni passano successivamente ai server di Google Europa che, a loro volta fungono da ulteriore proxy. Questo permette di slegare qualsiasi indirizzo IP e qualsiasi altra informazione prima ancora che arrivi proprio sulla parte del proxy europeo di Google.

Ci sarebbero quindi tutta una serie di configurazioni che è possibile gestire, attivare ed implementare per permettere di essere GDPR compliant in relazione all’anonimizzazione del dato.

Considerazioni

Ovviamente le procedure sopra indicate sono molto tecniche e in certi casi complesse, ed è necessaria la collaborazione con un tecnico in grado di aiutarci nell’implementazione di queste soluzioni, intervento di adeguamento che andrebbe valutato e messo in atto ad hoc.

Al momento non esiste una soluzione veloce e concreta, GA4 potrebbe limitare i danni ma presenterebbe comunque delle problematiche, in una configurazione di base.

A nostro avviso comunque il consiglio è quello di attendere e capire come si pronuncerà il garante alla fine di questi 90 giorni e quali misure decideranno di adottare i grandi player per cercare di limitare i danni. Noi ovviamente speriamo in un’intesa politica.

Anche perché, come spesso dice il caro Matteo Zambon (punto di riferimento ormai per la comunità italiana sull’argomento) questo è solo un fiocco di neve che cade sulla punta dell’iceberg. 

Se il garante si pronuncerà contro Google, qualsiasi strumento/servizio americano che trasferisce dati personali di persone EU sarebbe tecnicamente illegale.

Questione Mail da Federico Leva

Nei giorni scorsi in tanti hanno ricevuto una mail da tale Federico Leva in cui chiede la rimozione dei suo dati da Google Analytics ai sensi delle norme GDPR.

Naturalmente è una provocazione, messa in atto per creare dei precedenti sui quali poi la giurisprudenza italiana potrebbe basarsi per fare ulteriori ammonimenti.

Cosa consigliamo di fare.

Anche qui, prendiamo in prestito una risorsa di Matteo Zambon e pubblichiamo un estratto.
Rimandiamo l’approfondimento alla sua guida che potete trovare a questo indirizzo:
https://www.tagmanageritalia.it/cosa-fare-mail-federico-leva-come-rispondere/

Estratto:

Attenzione: il termine di legge entro cui devi rispondere è 30 giorni, e non 31 giorni come indicato da Federico Leva all’interno dell’email che ha inviato.

La buona notizia è che rispondere in maniera opportuna a questa email è molto facile. 

Ecco il nostro consiglio su come procedere:

  • Rispondi via email alla richiesta. Non utilizzare il modulo linkato all’interno della mail (che tra le altre cose non è più funzionante perché è stato bannato dal servizio di survey).
    • Se il contatto email di Federico Leva non è indicato all’interno della mail che ti ha inviato, puoi trovare il suo contatto diretto all’interno del suo sito web personale (cerca il suo nome e cognome su Google)
  • Chiedi che ti vengano inviate tutte le informazioni necessarie per procedere alla cancellazione dei dati personali. Nello specifico le informazioni da richiedere sono le seguenti:
    • Il suo indirizzo IP esatto
    • la data e l’ora della sua visita più recente sul tuo sito web
    • il valore “Client ID” dei cookie di Google Analytics chiamato _ga (il valore dovrebbe essere simile a questo: GA1.1.834041420.1636040627)
    • altri identificativi esibiti da Google relativi alla sua visita più recente sul tuo sito web

Ecco un fac-simile della risposta da inviare alla mail di Federico Leva:

Buongiorno Federico,

per dare seguito alla tua richiesta avente per oggetto “Uso illegittimo di Google Analytics: richiesta di rimozione ex art. 17 GDPR” e riferita al sito “NOMESITO.IT” abbiamo bisogno di conoscere le informazioni tecniche necessarie ad identificare le visite menzionate nella tua richiesta.

Siamo quindi a chiederti i dati di cui affermi di essere in possesso (l’indirizzo IP esatto, la data e ora della visita più recente, nonché i cookie e altri identificativi esibiti da Google in corrispondenza della stessa) e, in particolare, il valore “Client ID” dei cookie di Google Analytics (_ga).

In mancanza di queste informazioni siamo impossibilitati ad eseguire la procedura di cancellazione dati utente su Google Analytics.

In attesa di una sollecita risposta, ti ringraziamo in anticipo per la collaborazione.

Prima di inviare l’email di risposta, ricordati di sostituire NOMESITO.IT con il vero nome del dominio del tuo sito, ad esempio studiodentisticonomesito.it oppure odontoiatrianomesito.it e così via.

Una volta che il Sig. Federico Leva invierà il suo Client-ID, bisogna attuare una procedura per rimuoverlo dal proprio Google Universal Analytics.

Per questa procedura dettagliata vi rimandiamo volentieri all’articolo pubblicato da Matteo Zambon sul sito di Tag Manager italia a questo indirizzo: 

https://www.tagmanageritalia.it/cosa-fare-mail-federico-leva-come-rispondere/

Hai bisogno di un'aiuto nella gestione del tuo analytics?

Insieme cercheremo di capire come organizzare il nuovo setup!

Ricevi gli approfondimenti
direttamente nella tua casella mail

iscriviti alla nostra
newsletter!

RICHIEDI UN ANALISI PERSONALIZZATA PER IL TUO
STUDIO DENTISTICO.

COMPILA IL FORM CON I DATI RICHIESTI E TI RICONTATTEREMO PRESTO.

O SE PREFERISCI
CHIAMACI

SCRIVICI

GDPR

9 + 11 =