Lo scorso 23 giugno, dopo una lunga istruttoria, il Garante Privacy italiano si è allineato alla posizione presa da altre autorità di Paesi europei e ha dichiarato che Google Analytics “viola la normativa sulla protezione dei dati perché trasferisce negli Stati Uniti, Paese privo di un adeguato livello di protezione, i dati degli utenti” [puoi leggere la dichiarazione ufficiale cliccando qui].
Cosa comporta per aziende e privati titolari di sito web?
È necessario smettere di usare Google Analytics per studiare il traffico sul nostro sito?
Innanzitutto occorre comprendere che la normativa europea che tutela la privacy – a cui fa ovviamente riferimento il Garante italiano – è il cosiddetto GDPR ( Regolamento 2016/679) che si applica a tutte le aziende, i professionisti e le ONG che hanno sede europea e che analizzano o offrono beni e servizi.
Attenzione! Il GDPR regola la privacy in tutte le attività aziendali e non solo online! Cosa significa, in pratica?
Significa che come aziende, professionisti o organizzazioni senza scopo di lucro abbiamo l’obbligo di garantire ai nostri clienti la tutela dei loro dati personali, affinché essi non siano utilizzati senza esplicito consenso o ceduti a terzi.
Ogni realtà europea deve infatti predisporre una “policy” interna (nel caso dei freelance è semplificata ma la normativa è comunque applicabile) che spieghi in modo trasparente chi avrà accesso ai dati dei clienti e per quale scopo. E una parte di tale policy sarà dedicata proprio alla tutela della privacy dei nostri clienti online.
Per questo, ogni titolare di sito web o app è obbligato dal regolamento a predisporre una privacy policy adeguata e un banner informativo sull’utilizzo dei cookies, cioè di quelle parti di codice di un sito o di un applicativo che forniscono i tanto agognati “dati analitici”: numero di visitatori, pagine visitate, dati demografici e non solo.
Un esempio classico è il cosiddetto modulo di contatto, un form che permette al visitatore di inviare una email dal vostro sito web: compilando il form l’utente fornisce dati personali e di conseguenza deve essere informato sull’uso che ne farete, ad esempio specificando se verrà inserito in liste di email marketing.
Occorre anche specificare quali servizi di “terze parti” il nostro sito o app utilizza: Google Analytics in primis.
E qui nasce la questione: Google Analytics nella sua versione “Universal Analytics”, tutt’ora in uso, raccoglie i dati di navigazione del vostro sito e li trasferisce in server statunitensi dove non sono applicate le stesse restrizioni a tutela della privacy.
Di conseguenza, i dati personali degli utenti vengono trasferiti in un paese e consegnati nelle mani di una realtà multinazionale che non è tenuta a tutelarli con le stesse garanzie europee.
Il 23 giugno il Garante ha quindi ammonito una nota azienda media italiana, dichiarando l’uso di Google Analytics non conforme al GDPR.
Quindi cosa devono fare i titolari di sito web per essere a norma di legge? Eliminare del tutto Google Analytics?
Non è così. Anche se non abbiamo ancora linee guida ufficiali ma possiamo già anticiparvi che Google — da diversi mesi — sta aggiornando il suo sistema di analisi verso una nuova piattaforma, Google Analytics 4 (GA-4) che modificherà radicalmente il sistema di tracciamento e conservazione dei dati che sarà maggiormente conforme alle normative europee e non solo. A quanto dichiarato, GA-4 avrà un sistema di anonimizzazione degli IP che eviterebbe di incappare nel GDPR.
Questa questione non è stata ancora chiarita in modo esplicito dal Garante che riterrebbe “non sufficiente” la semplice anonimizzazione dell’IP come misura di tutela. Noi di Onlime stiamo seguendo con attenzione l’evolversi della vicenda e vi informeremo su come procedere. Ad oggi, possiamo in ogni caso prevenire eventuali sanzioni, cercando di capire se il vostro sito web (e non solo!) sia realmente conforme alle normative attualmente vigenti.
Per quanto riguarda il web, noi siamo in grado di fornirti tutto il supporto tecnico necessario per mettere a norma il tuo sito attraverso alcune attività chiave ai fini del GDPR fra cui:
- inserimento della privacy policy sul tuo sito in modo visibile e comprensibile, attraverso plugin funzionali (come iubenda, di cui siamo partner) o semplicemente caricano il documento del tuo legale di fiducia
- attivare un banner informativo per raccogliere il consenso O IL RIFIUTO da parte dell’utente al tracciamento dei cookies, assicurandoci che dopo il consenso essi risultino bloccati
- attivare ed impostare un registro che conservi le preferenze di un utente: questo “registro delle preferenze dei cookies” è obbligatorio dal 9 gennaio 2022
Inoltre siamo costantemente alla ricerca di nuove indicazioni da parte del Garante e delle indicazioni europee per capire se e come rendere conforme anche i vostri account Google Analytics e supportarvi nel percorso.
Se vuoi, potrai chiederci in qualsiasi momento un’analisi approfondita del tuo sito per verificare la compliance agli standard europei ed eventualmente attivare i servizi che non sono presenti.
Quindi niente panico!
Siamo qui per te e per la tua azienda.
Nel frattempo, se volete continuare ad essere informati in tempo reale su questa ed altre novità del mondo digitale, essenziali per il tuo business, ti invitiamo ad iscriverti alla nostra newsletter: un servizio informativo di aggiornamento e buone prassi digitali per le aziende italiane.
Clicca sul modulo che trovi nel footer e non prederai nemmeno un aggiornamento!