Google Analytics non è all’angolo #gdpr #privacy #garante

   di Pierluigi Lido

“Non siamo in America” direbbe Fabri Fibra, ma lo direbbe anche Pasquale Stanzione, presidente della Protezione per i dati personali, meglio conosciuto come il Garante della Privacy italiano.

Stanzione è in ottima compagnia visto che il suo personale “ban” ai trasferimenti di dati sensibili di cittadini italiani negli Stati Uniti da parte di Google Analytics avviene dopo gli interventi di Paesi quali Austria e Francia.

Il tema è tutto in un principio sacrosanto e semplice vale a dire che i dati di navigazione web degli utenti italiani, e quindi europei, possono sì essere tracciati dai siti web italiani che utilizzano Google Analytics, ma non possono essere trasferiti negli Stati Uniti poiché necessiterebbero dell’autorizzazione di un giudice, nel nostro caso un giudice italiano.

Facciamo un passo indietro e spieghiamo che cos’è Google Analytics e chi lo utilizza.

Ogni sito presente sul web (e quindi i suoi gestori) ha il fisiologico bisogno di capire quanti accessi quotidiani ci sono al proprio portale, sapere da dove provengono i propri visitatori, quante e quali pagine web visitano, quali parole cercano di più all’interno della barra di ricerca (in serp si usa dire in gergo tecnico) ecc. ecc. Quando questo sito scandaglia i dati di navigazione del proprio utente significa sta avviando una attività di “profilazione” di quell’utente, legittimamente autorizzata dall’accettazione dei famosi cookie di navigazione che tutti noi flagghiamo sempre con una certa disinvoltura. Tutti questi dati belli e pronti li raccoglie per “noi” gestori di siti web uno strumento molto potente e gratuito che si chiama Google Analytics.

Il contendere è che G.Analytics non si limita a raccogliere questi dati ma li trasferisce in America senza autorizzazione alcuna. Bisogna ricordare che dal 2018 è stato istituito il Gdpr (Regolamento 2016/679 General Data Protection Regulation) che tratta i dati come “materia prima” dei cittadini residenti in Europa dove questi dati sono tutelati a livello comunitario.

Bisogna ulteriormente chiarire che alla fine di giugno 2022 il Garante ha ammonito Caffeina Media Srl di sospendere l’uso di G.A. in assenza di soluzioni tecniche che evitino il trasferimento di dati aggregati (così come sono oggi aggregati) negli Stati Uniti. Questo intervento ha aperto a soluzioni già presenti e avanzante in Francia che suggeriscono degli aggiustamenti all’anonimizzazione e quindi armonizzazione del dato stesso. Inizialmente Google Analytics stesso ha suggerito che gli indirizzi Ip degli utenti fossero troncati, poi crittografati, ma in nessun caso il garante ha accettato questi giochini tecnici che possono essere facilmente ricostruiti in reverse engineering con tanti altri dati aggregati.

La soluzione tutta italiana proviene dal più grande esperto italiano di Google Tag Manager e Google Analytics, Matteo Zambon, il quale ha espresso diverse riflessioni sul tema. La prima riflessione è che utilizzando la nuova versione di Google Analytics 4, gli IP non vengono proprio trattati. In seconda istanza Zambon afferma pubblicamente che “per la gestione dei dati degli utenti Google si è dotata di un proxy – quindi di server di Google situati in Europa – che non dovrebbero essere controllati o controllabili da Google LLC”.

Il condizionale “dovrebbero” a me non piace, ma Zambon avanza un’idea davvero semplice quanto geniale. L’azienda che gestisce il dato può dotarsi di un server proprio posizionato in Europa in modo da ripulire il più possibile i dati rendendoli anonimi per poi consegnarli e trasferirli in America, passaggio quest’ultimo non eliminabile.

Su Agenda Digitale Zambon afferma:

“In sostanza, per i non addetti ai lavori, l’utente arriva nel sito, la richiesta e l’analisi dei dati passa attraverso un nostro server che è dislocato in Europa; il dato viene pulito e le informazioni passano successivamente ai server di Google Europa che, a loro volta fungono da ulteriore proxy. Questo permette di slegare qualsiasi indirizzo IP e qualsiasi altra informazione prima ancora che arrivi proprio sulla parte del proxy europeo di Google.”

Il tema è sempre lo stesso: ancor prima di chiederci chi sia consapevole di questo tsunami ci sarà da chiedersi: chi è capace di dotarsi di tali filtri? Con quali costi? Con quali barriere di accesso tecnologico? La risposta è che lo farà spietatamente chi vorrà rimanere sul mercato tracciando i dati per sé stesso e per la propria azienda; tutti gli altri, come sempre, rimarranno indietro e pagheranno il conto, se e mai dovessero essere intercettati e sanzionati dal Garante della Privacy.

Come dicevo all’inizio, è vero che non siamo in America, ma è vero pure che siamo in Italia dove spesso alle intenzioni non seguono le azioni e alle parole non si dà seguito con i fatti.