Son passate diverse settimane dal giorno del terremoto che ha visto protagonisti Google Analytics e “Caffeina Media Srl” e quindi la situazione è un po’ più chiara sebbene sia ancora lontana dalla soluzione.
Analizziamo insieme cosa sappiamo, ad oggi, e quali prospettive ci sono per tutti i gestori di siti web pubblici e privati.
Cosa è successo: Universal Analytics 3 non è conforme al GDPR
Nel mese di Giugno, la società “Caffeina Media Srl” è stata raggiunta da un’ammonizione del Garante della Privacy per violazioni alle norme sulle data protection.
Semplifichiamo la situazione: la società, come quasi tutti i gestori di siti web, utilizza il noto strumento Google Analytics per il tracciamento ed il monitoraggio. Google Analytics conserva i dati in America ed il trasferimento di questi dati avviene a condizioni che non tutelano la privacy, prendendo come metro di misura l’attuale normativa europea. Per cui, chiunque utilizzi questo tipo di strumento (ma non solo) è a rischio sanzione o comunque commette qualcosa di illegale.
Perchè il trasferimento dei dati in America è un problema?
In 23 Marzo 2018, il Congresso degli Stati uniti ha approvato il Clarifying Lawful Overseas Use of Data Act (CLOUD Act), che dà il potere alle autorità statunitensi, forze dell’ordine e agenzie di intelligence di acquisire dati informatici dagli operatori di servizi IT (che hanno sede legale in America), anche se fisicamente i server non sono ubicati sul continente Americano.
Questo vuol dire che il dato di un utente europeo, in qualsiasi momento potrebbe essere richiesto dalle autorità Americane. La regolamentazione sulla Privacy (GDPR) però specifica che tale dato deve essere conservato all’interno del continente Europeo e non può essere veicolato al di fuori senza le dovute garanzie.
Perchè abbiamo parlato di terremoto?
Abbiamo utilizzato questo termine forte perchè le implicazioni di questa vicenda sono molto molto più ampie. Se mastichi un pochino di web, sicuramente conoscerai molti strumenti che si utilizzano nelle web agency ma non solo: mailchimp, facebook ads, tiktok ads, youtube ads, piuttosto che zoom o meet e potremmo continuare a lungo. Tutti questi strumenti – ahinoi – trasferiscono dati all’estero.
Che vuol dire? Vuol dire che se non viene trovata una soluzione alla discrepanza normativa riguardo alla privacy, il problema non sarà più limitato a Google Analytics ma avrà una portata devastante per tante aziende, gestori di siti, etc.
Tutte queste paure sono fondate?
Al momento, sembrerebbe improbabile che il Garante vada a sanzionare tutte le aziende che utilizzano Analytics ma di questo non possiamo averne la certezza. Secondo una ricerca effettuata da Yourbiz, agenzia di Demand Generation, solo in Lombardia le sanzioni che potrebbero arrivare – a causa della persistenza dell’utilizzo di Google Analytics 3 – è di oltre 4 miliardi e mezzo di euro. Quindi, lo stato di agitazione di tutti gli addetti al settore e non solo, è più che lecito e giustificato.
Le prossime settimane saranno decisive
In realtà, ci si aspettava qualche risvolto già prima della scadenza dei 90 giorni concessi alla società accusata ma i nodi non sono ancora stati sciolti.
Dopo il 25 Marzo, quando Biden e Ursula Von Der Leyen hanno annunciato un accordo sul tema, non ci sono stati ulteriori sviluppi.
Attendiamo con ansia gli sviluppi nelle prossime settimane, nel frattempo forse sarà necessario interrompere l’utilizzo di questo strumento.
Una soluzione è necessaria
Probabilmente dietro questo “temporeggiare” ci sono motivazioni politiche, ma non entreremo nel merito della questione. Quello che è certo è che una soluzione è necessaria perchè se anche tutti smettessimo di utilizzare Google Analytics 3 (Universal Analytics), il problema si replicherebbe con tutti gli strumenti/software che abbiamo citato prima.
Oltre a questo, le aziende fornitrici di servizi che abbiamo citato non accetteranno mai di perdere tutti i clienti e gli utenti europei, motivo per cui saranno le prime a premere e forzare una soluzione a stretto giro.
Quindi, non sappiamo quando, ma un accordo verrà fatto.
Passare a Google Analytics 4 è una soluzione?
In data 25/07/2022 si è tenuta una tavola rotonda voluta dall’associazione 4ecom dove ha partecipato l’Avvocato Guido Scorza in quaità di Rappresentante del Garante della Privacy.
Potete visionare il video integrale di seguito:
Ad oggi il Garante della Privacy, per quanto riguarda l’utilizzo di GA4, dichiara che non può esaminare tale strumento sino a quando non ci sarà un procedimento a tutti gli effetti, quindi ufficialmente non prende una posizione nel dichiarare se Google Analytics 4 è compliance GDPR o meno.
Conclusione
Tanti avvocati si sono espressi nel merito ma nessuno riesce a prevedere – giustamente – quale potrebbe essere la soluzione nè riescono ad escludere l’invio massivo di sanzioni che darebbe un ulteriore mazzata a molte aziende, già pesantemente provate dalla situazione economica insistente in questo periodo.
Noi non siamo avvocati, per cui la nostra è un’opinione: per quanto riguarda Google Analytics, si potrebbe tentare la migrazione al sistema 4 in quanto – visto che non c’è alcun provvedimento e quindi non può essere analizzato – non può essere contestato come non conforme al GDPR. Resta il problema di tutti gli altri strumenti: la bolla potrebbe ingigantirsi prima di una soluzione e saremmo tutti in grosse difficoltà, soprattutto noi che con alcuni strumenti ci lavoriamo quotidianamente per la gestione social, l’advertising piuttosto che per la SEO o altre attività .
In conclusione, non ci resta che aspettare.