Come ormai ben sappiamo tutti, il 9 Giugno 2022 il Garante privacy italiano ha emesso una sentenza secondo la quale non si può più usare Google Universal Analytics se non si trova un modo per non fare trasferimento dati verso gli Stati Uniti.
L’unico modo in cui è ammesso lavorare ancora con GA, nella sua versione più recente Google Analytics 4, è rendendo anonimi (e non anonimizzati) i dati prima che questi vengano raccolti da Google stesso, oltre ad avere un consenso esplicito da parte degli utenti a tale trattamento.
Qual è la differenza tra dato anonimo e dato anonimizzato?
L’indicazione più importante che il Garante ha dato nella sentenza emessa è, oltre ad avere il consenso al trattamento da parte degli interessati, che il dato raccolto sia in forma anonima, e non anonimizzata come si ottiene impostando Google Analytics 4.
Il dato anonimizzato è quello a cui, tramite una serie di criptazioni, viene resa generica una parte dello stesso (solitamente la parte finale del codice che lo contraddistingue, come può essere l’indirizzo IP), ma, se si è in possesso della chiave crittografica, si può sempre ricostruirlo in chiaro e tornare all’individuazione dell’utente da cui quel dato è derivato. È quindi un processo reversibile, anche infinite volte, all’occorrenza.
Un dato anonimo, invece, è reso generico attraverso un protocollo, e non memorizzato da nessuna parte, in modo che sia impossibile ricostruirlo e ricondurre all’utente che lo ha generato. Non vi è più bisogno di nessuna chiave crittografica, e il processo è irreversibile, una volta applicato.
Quindi, c’è un modo per poter continuare a utilizzare Google Analytics, secondo il Garante italiano e gli altri che hanno emesso sentenze similari?
Come già anticipato all’inizio, SÌ: RENDENDO I DATI ANONIMI E AVENDO IL CONSENSO AL TRATTAMENTO DA PARTE DELL’UTENTE.
Esaurita questa principale domanda, andiamo per ordine rispondendo alle altre che ci sono state rivolte più frequentemente.
1. CHI È IL GARANTE DELLA PRIVACY?
È un collegio di 4 persone altamente esperte in ambito di dati personali che si prefiggono di far rispettare le norme del Regolamento Europeo per la protezione dei dati personali (GDPR) entrato in vigore il 24 maggio 2016 e poi applicato a partire dal 25 maggio 2018.
2. QUALI COMPITI HA IL GARANTE DELLA PRIVACY?
Il Garante, oltre ad avere l’onere di vigilare sulla protezione dei dati personali, ha il compito di controllare che chiunque faccia un trattamento dati sia ligio alle norme, e qualora questo non si verifichi, ha il compito di indicare dove e come è stato fatto un illecito, ammonendo, e a volte anche sanzionando, il Titolare del trattamento che lo ha effettuato, oltre al blocco dell’uso dei dati, sia che il controllo sia pervenuto a seguito di attività regolari dell’autorità, sia che si verifichi a seguito di una segnalazione o di un reclamo da parte di un utente i cui diritti siano stati violati dal trattamento.
3. QUANDO CI SI RIVOLGE AL GARANTE DELLA PRIVACY?
Ogni qualvolta ci accorgiamo che i nostri diritti sono stati violati, per essere stati trattati senza consenso, o a cui non ci è consentito fare accesso, trasportabilità, modifica, cancellazione o, come nel caso di GA, direzionati e raccolti in un paese con cui non sussiste più un accordo valido per il trasferimento secondo i criteri minimi di sicurezza richiesti dal Regolamento Europeo.
4. COME SI RILASCIA IL CONSENSO AL TRATTAMENTO? LA NUOVA COOKIE LAW
Il 9 gennaio 2022 è entrata in vigore la nuova cookie law, ovvero la legge di armonizzazione per le norme riguardanti i cookie e la gestione del loro consenso. I cookie sono delle stringhe di riconoscimento che un sito web a cui accediamo lancia verso il nostro dispositivo, sul quale vengono memorizzate, e che poi vengono raccolte per svariati motivi, quali possono essere esecuzioni tecniche dello svolgimento del sito stesso (scelta della lingua, login, tipo di visualizzazione ecc.), rilievi statistici (momento dell’accesso, quante e quali pagine vengono visualizzate, per quanto tempo, da che tipo di dispositivo, ecc.) o di marketing (tipo di siti visionati, tipi di prodotti, da dove avviene l’accesso, abitudini varie sull’attività online dell’utente, ecc.).
La scelta di consentire o meno la raccolta dei nostri dati facoltativi (ovvero tutti quelli che non siano strettamente necessari alla visualizzazione corretta del sito) deve avvenire attraverso l’uso di un banner, installato sul sito stesso, tramite cui l’utente ha opzione di scegliere quanti e quali cookie accettare sul proprio dispositivo, e quindi disponibili alla raccolta da parte del sito visitato.
5. COSA SUCCEDE SE SI RIFIUTANO TUTTI I COOKIE?
In pratica si accettano esclusivamente i cookie necessari, ovvero quelli che consentono la visualizzazione del sito visitato, e che solitamente vengono conservati giusto il tempo della visualizzazione del sito stesso. Come abbiamo detto, sono cookie tecnici che permettono di leggere, la scelta della lingua con cui vogliamo visionare la pagina, il cookie che ricorda il carrello di un e-commerce a cui ci siamo collegati. Tutti gli altri non vengono memorizzati, e quindi non vengono raccolti e trattati. Il sito non avrà così la possibilità di inviare annunci personalizzati, anche se questo non significa NON ricevere più annunci. Infatti, l’utente riceverà comunque una pubblicità generica, non profilata sui propri interessi, quindi quella delle aziende che pagano di più, come gli annunci pubblicitari dei detersivi.
6. COSA SUCCEDE, INVECE, QUANDO SI ACCETTANO I COOKIE?
Nel caso in cui si accettano i cookie, o almeno parte di essi, questi vengono raccolti e analizzati (e conservati) in maggior parte per realizzare campagne di marketing in base alle scelte, ai gusti, ai dati personali e altri parametri dell’utente che ha rilasciato il proprio consenso. Sono dati preziosi sia per chi realizza le banche dati, che poi vende alle agenzie di marketing, sia per chi realizza le campagne di marketing, perché permettono di mandare a quel determinato utente delle pubblicità mirate proprio sui suoi gusti, sulle sue ricerche online, sulle sue scelte precedenti ecc.
7. COS’È GA4 (GOOGLE ANALYTICS 4)?
Google Analytics 4 è una proprietà progettata per le soluzioni di misurazioni, utilizzata per tracciare le azioni che gli utenti eseguono sul sito o sull’applicazione di proprietà del sito visitato. In pratica, è la piattaforma più usata al mondo per elaborare dati e informazioni degli utenti che svolgono una qualsiasi azione online.
8. COSA SI PUÒ FARE CON GOOGLE ANALYTICS 4?
Questa struttura utilizzata per tracciare i dati ha molte possibilità di personalizzazioni, fino a 25 parametri per ogni evento, e ogni singolo evento può avere parametri differenti. In questo modo si ottengono più informazioni su ogni singola azione dell’utente. Il vantaggio di Google Analytics 4 è evidente: più informazioni si raccolgono e migliore è la capacità di adeguare azioni e strategie per le campagne di marketing.
9. COME CONFIGURARE GOOGLE ANALYTICS 4?
Essenzialmente, nella versione di Google Analytics 4 si ha la possibilità di impostare l’indirizzo IP raccolto in modalità anonimizzato, ma con la sentenza del 9 giugno del Garante italiano contro Caffeina Media srl abbiamo visto che questa azione non è sufficiente, in quanto innanzitutto il dato viene anonimizzato (quindi ricostruibile attraverso le chiavi di decriptazione usate da Google, e non reso anonimo, ovvero non più riconducibile all’utente) solo dopo la raccolta da parte di Google.
Inoltre, appunto, è anonimizzato, per cui pur sempre riconducibile all’utente a cui si riferisce, a volte senza nemmeno aver bisogno di decriptarlo, ma solo incrociando l’immensa mole di dati già raccolti dalla piattaforma di analisi. Quindi, anche impostando i parametri in maniera più generalizzata possibile, non è sufficiente per garantire l’anonimato di un utente. Per farlo occorre rendere anonimo il dato e mettere in atto una “Combo” tra strumenti ad hoc e privacy. Attenzione: GA3 (Google Analytics Universal) non può più essere utilizzato dopo la sentenza del Garante Italiano, nemmeno rendendo anonimo il dato.
10. IL MIO SITO WORDPRESS HA BISOGNO DI UNA COOKIE POLICY?
Ogni volta che un sito effettua una raccolta di dati personali, anche minimi, si ha necessità di avere una cookie policy per informare l’utente che lo sta visitando che si stanno raccogliendo un certo tipo e una certa quantità di dati, senza il suo consenso quando si tratta di cookie necessari al funzionamento della pagina online che si sta consultando, o con il consenso dell’utente stesso, qualora quest’ultimo lo conceda, specificando non solo la tipologia di dati, ma anche le finalità per cui vengono raccolti, e il tempo di conservazione degli stessi.
11. COME POSSO AGGIUNGERE UNA COOKIE POLICY AD UN SITO WORDPRESS?
Il sistema più comodo in assoluto per aggiungere una cookie policy è quello di installare dei plug-in. Questi sono dei piccoli programmi, che non agiscono in modo autonomo, ma sono di supporto ad altri programmi con lo scopo di migliorarne ed ampliarne le funzioni. Praticamente, sono dei pezzi di codice che interagiscono con altri programmi. Ve ne sono di varia natura, fatti più o meno bene, sia a pagamento che gratuiti, sul web. L’importante è sceglierne uno che sia conforme alla normativa GDPR per non incorrere in sanzioni e blocchi delle banche dati da parte del Garante.
12. QUAL È IL MIGLIORE PLUG-IN PER IL CONSENSO AI COOKIE PER I SITI IN WORDPRESS?
Il migliore plug-in è quello conforme alle norme, costruito per soddisfare le specifiche richieste del Garante italiano, ma anche gli altri Garanti europei che hanno dato indicazioni leggermente diverse. Deve avere tutte e tre le opzioni di scelta per il consenso, ovvero “Consenti tutti”, “Nega il consenso” e “Personalizza”, tramite il quale l’utente può scegliere quali cookie accettare e quali invece declinare, in modo granulare e non in blocco.
In più, richiesta esclusivamente dal Garante italiano, deve avere la “X” di chiusura in alto a destra impostata di default sull’opzione “Nega il consenso” a tutti i cookie non necessari. Noi consigliamo “MyAgilePrivacy”, in quanto costruito per soddisfare in todo tutte le indicazioni dei Garanti europei, compreso quello italiano che ne ha date di ulteriori rispetto ai colleghi comunitari.
13. ESISTE UN MODO PER RENDERE ANONIMI (e non anonimizzati) I DATI DI CUI OTTENIAMO IL CONSENSO, PER NON INCORRERE IN EVENTUALI TRASFERIMENTI ILLECITI?
Certo. Esiste un plug-in che permette di rendere anonimo un dato raccolto prima che questo venga inviato ad un qualsiasi sistema di analisi, centro raccolta o altro, permettendo così di non poter più risalire al dato in chiaro. “MyAgilePixel” è il plug-in che ti permette, con il sistema “Combo”, di continuare ad usare Google Analytics 4 senza più incorrere in un illecito con cui rischiare una sonora multa del Garante, e continuando a progettare e mettere in pratica le tue campagne di advertising con strumenti efficienti e legalmente sicuri.
14. CHE COS’È IL SISTEMA “COMBO” DI CUI TI PARLIAMO?
Si tratta dei due strumenti già citati sopra, abbinati al consenso privacy richiesto dal Garante italiano. Il plug-in “MyAgilePrivacy” ti permette di raccogliere il consenso privacy richiesto dal Garante, con l’opportunità di far scegliere all’utente quali cookie accettare sul proprio device (tanto per fare un esempio, sì alla geolocalizzazione, no alla condivisione sui social Meta, sì su LinkedIn, ecc), mentre con il plug-in “MyAgilePixel” rendi anonimi i dati, così che, in caso di trasferimento al di fuori dei paesi con accordi privacy con l’UE, non vi siano problemi di illeciti, continuando a gestire le tue campagne di marketing in tutta la loro potenzialità, ma senza più rischiare sanzioni e blocco dei dati raccolti.
Conclusioni
Per spiegare più approfonditamente le sentenze, le indicazioni dei vari Garanti, le conclusioni a cui sono arrivati, le scelte che sono rimaste percorribili dopo la sentenza Schrems (che ha fatto decadere l’accordo privacy sul trasferimento dati tra UE e USA, e tutta la storia dell’accordo stesso e i suoi protagonisti) io Stefano Schmidt insieme a Daniele Bianco, abbiamo scritto un libro intitolato “GDPR vs GOOGLE”.
Lo puoi trovare in vendita su Amazon in versione cartacea ed eBook, dove abbiamo spiegato in parole comprensibili anche ai non-tecnici come funziona il plug-in “MyAgilePixel” per poter continuare ad usare Google Analytics 4 sul tuo sito senza più preoccuparti delle parti legali della tua privacy.