Torniamo a parlare di Google Analytics e GDPR. La questione, dopo il polverone e i molti mal di pancia di luglio, sembra essere ad un punto morto e ciò ha portato molti a non preoccuparsene più. In realtà è soltanto calma apparente e il problema è più vivo che mai.
Cerchiamo quindi di capire se ci sono novità, come muoversi ora e soprattutto qual è l’alternativa più valida a Google Analytics.
Nell’articolo Google Analytics, GDPR, UE e Federico Leva. Cosa sta succedendo? avevamo consigliato due strade da percorrere:
- Aspettare, proattivamente, un accordo tra USA e UE per legalizzare le operazioni in materia di privacy.
- Assecondare il consiglio del Garante della Privacy e attivare strumenti alternativi a Google Analytics.
Sono ancora strade percorribili?
Prima di rispondere, vediamo insieme se in questi tre mesi ci sono stati nuovi sviluppi.
The road so far: Google Analytics è ancora illegale?
Si, lo è.
La situazione è ancora ferma a luglio 2022, quando il Garante della Privacy ci ha comunicato che le modalità di trattamento dei dati di Google Analytics non risultano del tutto conformi ai requisiti del GDPR.
Se ricordi, il Garante diede alle aziende che utilizzano GA sui propri siti web 90 giorni di tempo dall’emissione del Provvedimento per adeguarsi. Tre mesi che sono scaduti a inizio settembre. Purtroppo, lo sperato accordo tra USA e UE non c’è ancora stato, quindi di fatto Google Analytics resta illegale. Ciò significa che potrebbero già iniziare i controlli, con relative sanzioni.
Solo Google Analytics è illegale?
Per il momento, sì.
Se, tuttavia, si continuerà su questa strada e questo accordo USA-UE non arriverà mai, Google Analytics sarà solo il primo strumento di tanti ad essere valutato non a norma dal Garante.
In futuro la stessa sorte potrebbe toccare anche a Google Ads, Gmail, Facebook, Instagram, Linkedin, Microsoft ecc ecc, ovvero tutti i software e piattaforme che fanno capo ad aziende statunitensi e che quindi inviano dati personali di cittadini europei negli USA.
Questo scenario comporterebbe enormi conseguenze sia per i Big del web sopra citati, sia soprattutto per le attivtà che sfruttano questi strumenti per ottenere visibilità online e nuovi clienti.
Riteniamo quindi ragionevole pensare che prima o poi USA e UE troveranno questo accordo. Non sapendo però quando questo accordo effettivamente avverrà, reputiamo buon senso adeguarsi il prima possibile a quanto richiesto dal Garante.
Come adeguarsi con Matomo
Noi Web Heroes, nel mentre non siamo rimasti con le mani in mano. In questi mesi abbiamo testato alcuni strumenti alternativi a Google Analytics e quello più adatto ai nostri usi è risultato essere Matomo.
È disponibile in due modalità:
- In Cloud: Ha un costo mensile di 19€ al mese, che può aumentare all’aumentare del traffico al sito web. Per l’utilizzo ci si appoggia ai server Matomo, situati in Germania. I dati, quindi, vengono conservati su server europei. Non essendoci trasferimento dei dati verso paesi al di fuori dell’Unione Europea senza consenso, questa soluzione risulta GDPR compliant;
- On Premise: Per un utilizzo base di questo strumento è sufficiente la versione gratuita. Va installata direttamente su un server (necessariamente europeo), in una cartella dedicata e dovrà avere un database associato. In questo modo se i server sono in Europa, come nel nostro caso, i dati tracciati da Matomo restano in UE e, non venendo spediti negli USA né in nessun’altra parte, questa tipologia di tracking risulta conforme alla GDPR. Con la versione On Premise è inoltre possibile importare i dati da Google Analytics a Matomo.
Purtroppo però, per un utilizzo più approfondito (quale potrebbe essere ad esempio per un ecommerce su Woocommerce) la versione gratuita non basta, ma serve:
- attivare pacchetti aggiuntivi alla versione free, con costi annuali variabili da pacchetto a pacchetto (es: integrazione Woocommerce 39€/anno), oppure
- passare alla versione premium, a costo mensile in base alle visite che un sito web ha (19€/mese per 50.000 visite).
La scelta tra le varie soluzioni va quindi valutata attentamente.
Quindi, sostanzialmente, che fare?
La decisione ora spetta a te.
Il Garante è stato chiaro su questo aspetto: la responsabilità è tutta del Titolare del trattamento, quindi di fatto, tu.
Ora, hai tre possibilità:
1. Mantenere Google Analytics 3
È una strada, ma è altamente sconsigliata perché corri un grosso rischio in caso il Garante decida di controllare proprio te (non succede, ma se succede…). Se scegli questa strada, sappi anche che a luglio 2023 Google Analytics andrà in pensione e dovrà essere sostituito da Google Analytics 4.
2. Passare a Google Analytics 4
Ovvero, togliere sì GA3 prima della sua naturale cessazione a luglio 2023, ma mantenere comunque Google Analytics. Se vuoi seguire questa strada ti consigliamo di chiedere prima di tutto conferma ad un tuo consulente Privacy: non è detto che GA4 sia conforme alla GDPR, in quanto è sempre uno strumento di proprietà di Google e quindi c’è sempre quel problemino dei dati personali di cittadini europei trasferiti negli USA e, anche al netto di una parziale anonimizzazione, Google può di fatto risalire con esattezza all’utente finale. A tal proposito, ci attendiamo nei prossimi mesi altri pareri del garante anche su GA4, una volta terminati i suoi test.
3. Togliere Google Analytics e installare Matomo
È la soluzione che consigliamo, in quanto evita qualsiasi pensiero e ci si mette di fatto in regola con le richieste del Garante della Privacy.
Qualora la versione free di Matomo non fosse sufficiente per le tue esigenze di tracking, dovrai valutare pacchetti aggiuntivi o direttamente la versione Premium o In Cloud.
Se in futuro USA e UE troveranno una soluzione, potrai sempre tornare ad usare Google Analytics, ma questo punto andrà valutato alla luce dell’eventuale nuovo accordo raggiunto tra le parti.