Negli ultimi giorni potresti aver sentito molto parlare di Google Analytics e GDPR e potresti aver ricevuto una mail minacciosa da un certo Federico Leva. Purtroppo, le novità non sono delle migliori.
Ma niente panico e andiamo con ordine.
Google Analytics vietato in UE: cosa sta succedendo?
Un paio di settimane fa, a seguito di indagini e ricerche, il Garante Privacy italiano, seguendo quello francese e quello austriaco, ha comunicato che le modalità di trattamento dei dati di Google Analytics non risultano del tutto conformi ai requisiti del GDPR, in vigore ormai da anni nel territorio europeo.
Il motivo?
In sostanza alcuni dei dati raccolti vengono parzialmente trasferiti su server situati negli Stati Uniti senza adeguate garanzie sulla loro tutela, poiché ogni azienda americana, se richiesto, deve fornire questi dati agli organi di sicurezza statali, senza previo consenso esplicito degli utenti europei.
Tra questi dati anche l’indirizzo IP, considerato a tutti gli effetti un dato personale. In aggiunta, l’azienda Google dispone di una mole di dati talmente vasta sugli utenti, che anche con il semplice indirizzo IP potrebbe dettagliare meglio l’utente in questione.
E questo ha allarmato i garanti europei.
Cosa significa che Google Analytics non è conforme alla GDPR?
Per ora il Garante Italiano ha dato 90 giorni di tempo per trovare delle soluzioni, ma è bene sottolineare che l’intervento del Garante Privacy è un avvertimento rivolto ai titolari dei siti web, NON a Google. È loro responsabilità, e non dell’azienda americana (o del responsabile del trattamento), non affidarsi a strumenti ritenuti non conformi alle normative vigenti.
Quindi, corro a cancellare il mio account Analytics?
Per il momento no, niente panico.
In situazioni come questa, è difficile che le autorità competenti prendano provvedimenti così importanti senza lasciare agli interessati il tempo di organizzarsi.
Se come noi siete titolari di un sito web, ecco le vostre opzioni:
1. Aspettare (proattivamente)
La prima opzione è aspettare un intervento: da un lato di Google, che ha sicuramente grossi interessi nel mantenersi il leader di settore anche in Europa e che potrebbe per esempio decidere di trasferire quella parte di elaborazione che attualmente viene svolta sui server americani, in territorio europeo e scorporando il ramo Europeo della sua azienda in, di fatto, un’altra azienda indipendente; dall’altro lato l’Unione Europea, che potrebbe raggiungere un nuovo accordo con gli USA per legalizzare le operazioni, si spera in tempi brevi, ma purtroppo questi tempi sono dettati sia dagli studi tecnici sulla materia, sia da questioni politiche, quindi l’attesa a oltranza è, secondo noi, sconsigliata…meglio procedere con i punti successivi per vedere quali azioni invece è possibile intraprendere ora.
2. Utilizzare strumenti alternativi a Google Analytics
Seconda opzione, trovare un’alternativa a Google Analytics. I requisiti fondamentali che questo nuovo tool dovrà avere sono:
- non sia un’azienda statunitense o in generale extra-europea;
- i dati siano su server europei, altrimenti sarebbe soggetta agli stessi meccanismi di Analytics.
In Web Heroes ne stiamo già testando alcuni:
Appena li avremo adeguatamente analizzati, proporremo la soluzione che reputiamo migliore e che prevediamo potrà essere l’alternativa più diffusa, anche per garantire il maggior livello possibile di portabilità e tracciamento dei dati ed evitare una nuova frammentazione tecnologica su questo tema, che inciderebbe sicuramente e notevolmente sui costi finali per le aziende europee.
Un nuovo strumento sarebbe attualmente l’unico modo di affrontare il problema, ma bisogna considerarne anche gli svantaggi: il servizio sarà quasi sicuramente a pagamento, senza contare i costi di una nuova integrazione e configurazione con il sito, e inoltre si rischia di perdere lo storico dei dati acquisiti fino ad ora su Analytics.
Perché non usare Google Analytics 4?
Per il motivo specificato sopra al punto 2: anche Google Analytics 4 trasferisce a Google, su server statunitensi, i dati personali degli utenti europei. Non è, quindi, GDPR compliant in quanto non risolve tutti i problemi segnalati dai Garanti Ue.
Anche se con GA4 si avrebbe l’anonimizzazione degli IP, ciò risulta un’insufficiente protezione dei dati personali, perché comunque Google resterebbe sempre in possesso di molti altri dati con cui può identificare, tracciare e profilare l’utente.
3. Rinunciare agli strumenti di analisi dati
Inutile dire, opzione altamente sconsigliata da parte dei Web Heroes. Nel mondo della comunicazione digitale, i dati sono la base di partenza per qualsiasi strategia: perché rinunciarvi e procedere a tentoni o addirittura vanificare il lavoro di anni per la paura e la fretta causati da un provvedimento di questo calibro?
Per una maggior chiarezza sulla questione Google Analytics e GDPR, ti invitiamo a guardare questi due video di Matteo Flora, esperto di cyber security e divulgatore. Il primo video, con il contributo di Guido Scorza, da un quadro generale della situazione; il secondo video invece tratta di possibili soluzioni.
Hai ricevuto una mail minacciosa da un certo Federico Leva?
Altra simpatica bomba estiva che va ad aggiungersi alla precedente.
Decine di Clienti ci stanno scrivendo perché hanno ricevuto una email da un certo Federico Leva.
Anche noi nei giorni scorsi abbiamo ricevuto un’email firmata Federico Leva, che chiede la rimozione di tutti suoi dati in nostro possesso, raccolti nel nostro database in quanto gestori di un sito web che utilizza Google Analytics come strumento di tracciamento.
Se siete proprietari di un sito web, la stessa cosa potrebbe succedere o essere successa anche a voi.
Chi è Federico Leva e cosa vuole da noi?
Prima di tutto, per fugare ogni dubbio in merito a possibili frodi o teorie del complotto, va chiarita una cosa: Federico è una persona reale. Non è un bot, non è spam.
Come si legge sul suo sito web personale, Federico è uno sviluppatore e consulente ICT e un attivista, molto sensibile al tema di diritti digitali e software liberi.
Come da lui stesso dichiarato in un’intervista con Matteo Flora, che ti consigliamo di guardare, la richiesta di Federico Leva nasce a seguito dell’avvertimento del Garante Privacy.
Federico non ha quindi cattive intenzioni, ma, da attivista qual è, vuole solo informare e sensibilizzare sul tema che, diciamocelo, è molto importante e forse troppo poco trattato.
Per la serie “mai giudicare dalle apparenze”, se il primo impatto con il nome Federico Leva non è stato dei più simpatici, ora possiamo dire con certezza che la sua opera di informazione ha tutto il nostro appoggio.
Ma Federico chi vuole informare?
- le aziende su ciò che sta succedendo, in modo che affrontino la questione GDPR e dati sensibili, o che almeno ne siano consapevoli
- i cittadini in merito a quello che è un loro diritto – la richiesta di rimozione dei dati conforme al GDPR
Federico è quindi l’eroe di cui non conoscevamo l’esistenza fino ad ora, ma di cui avevamo bisogno.
Come comportarsi quindi dopo aver ricevuto l’email di Federico Leva?
L’azione più semplice è fare esattamente ciò che ha chiesto nell’email: accedere a Google Analytics ed eliminare ogni dato relativo a Federico Leva.
Per farlo però serve il suo Client ID – che va dunque richiesto al diretto interessato, scrivendo alla mail indicata nel corpo del testo del messaggio che avete ricevuto (domande@leva.li).
Non serve seguire il link alla survey perché è stata disattivata, né possibile rispondere all’indirizzo che vi ha scritto in quanto no-reply.
Conclusione
Morale della favola: niente panico!
La situazione è complessa e in continuo mutamento (dopotutto è il bello del Web, sempre in costante evoluzione), ma la buona notizia è che i Web Heroes si stanno già muovendo per tenerti aggiornato, informato e consapevole di tutte le strade percorribili.
Un commento su “Google Analytics, GDPR, UE e Federico Leva. Cosa sta succedendo?”