Il Garante della Privacy vieta Google Analytics, quali sono le alternative conformi al GDPR?

Ebbene sì, alle volte anche i Giganti sbagliano. Sono più o meno 10 giorni che c’è un grande fermento all’interno delle Digital Agency e in generale di tutto il settore. Tutto nasce da una sentenza del Garante della Privacy, la massima autorità italiana per la protezione dei dati personali, che dichiara Google Analytics 3 non conforme al GDPR.

Se lavorate nel mondo del marketing e della comunicazione probabilmente negli scorsi giorni vi è capitato di sentire il nome Federico Leva. Ma chi è e perchè sta creando così tanto scalpore? Federico Leva è un ragazzo italiano residente a Helsinki che ha mandato una mail a diverse aziende richiedendo l’eliminazione dei propri dati personali dopo la sentenza del Garante. Vi invitiamo alla visione dell’intervista realizzata da Matteo Flora in cui viene spiegato molto bene qual è il tema. 

Molte aziende hanno reagito con il panico, non sapendo che in realtà la cancellazione dei dati personali di un utente dal proprio sito (e quindi da Google Analytics) è un’attività molto semplice e che richiede molti meno sforzi e problemi di quanto si possa credere? Se hai bisogno di consigli su come rispondere alla mail di Federico Leva e su come eliminare i suoi dati, scrivici! Potrebbe essere l’inizio di una meravigliosa collaborazione.  

La prima domanda che viene da farsi a questo punto è: che cos’è il GDPR? Cosa significa che Google Analytics Italia non gli è conforme? E soprattutto, che cosa comporta questa sentenza?

In questo articolo risponderemo a tutte le vostre domande toccando i seguenti temi:

• Che cos’è il GDPR?
• Chi è il Garante della Privacy?
• Perché il Garante ha dichiarato Google Analytics 3 non conforme al GDPR?
• Alternative a Google Analytics

Che cos’è il GDPR?

Prima di entrare nello specifico e capire qual è l’effettivo tema principale è bene chiarire alcune nozioni fondamentali, di cui pochissimi utenti e aziende si interessano, rischiando grosso.

Innanzitutto, GDPR (Regolamento 2016/679) è l’acronimo di General Data Protection Regulation ed è il Regolamento Europeo relativo alla protezione delle persone fisiche in tema di trattamento e circolazione dei dati personali. 

Si tratta di un testo normativo che spiega dettagliatamente quali sono tutti i passaggi e le prerogative da rispettare nel trattamento dei dati personali. Inoltre, tutte le aziende che trattano dati personali devono (o meglio, avrebbero dovuto) applicarlo dal 2018.

Purtroppo, ancora oggi nel 2022, persone e aziende sono tendenzialmente ignoranti in materia e non lo applicano. Oltre a risultare vecchie e non al passo coi tempi, le aziende (in particolare i titolari del trattamento dei dati personali) rischiano grosso: le sanzioni sancite dal GDPR per coloro che non lo applicano o commettono errori nell’applicazione sono di tipo amministrativo e possono arrivare fino a 20milioni di euro o fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.

Chi è il Garante della Privacy?

Il Garante della Privacy, noto anche con l’acronimo GPDP (Garante per la Protezione dei Dati Personali), è l’autorità amministrativa italiana e indipendente che si occupa di assicurare la tutela dei diritti dell’interessato in materia di trattamento di dati personali. Tra i suoi compiti rientrano:

• Controllare che il trattamento dei dati avvenga in ottemperanza al GDPR;
• Ricevere ed esaminare i reclami e le segnalazioni;
• Vietare e sanzionare i trattamenti illeciti;
• Segnalare al Governo e al Parlamento eventuali provvedimenti normativi in tema di trattamento di dati personali;
• Ecc.

Il Garante dichiara Google Analytics non conforme al GDPR

Eccoci arrivati al tema principale dell’articolo: la non conformità di Google Analytics al GDPR. Innanzitutto, cerchiamo di capire bene che cosa è successo. La questione fondamentale sollevata dal Garante della Privacy è che Google Analytics invia alcuni dati personali (informazioni degli utenti) verso server che hanno sede fuori dalla UE, più precisamente negli USA.

All’interno del GDPR vi è una sezione dedicata al Trasferimento dei Dati personali extra-UE che spiega in modo molto chiaro che all’interno dell’UE vige il Free Flow Principle, ovvero la libera circolazione dei dati personali; fuori dall’Unione Europea bisogna assicurare che il livello di protezione delle persone garantito dalla normativa UE a protezione dei dati personali non sia pregiudicato. Vale, perciò, il “Controlled Flow” o “Regulated Flow Principle” secondo cui, per trasferire dati fuori dall’UE:

1. Bisogna fare richiesta di consenso ad hoc agli interessati;
2. Le multinazionali non europee devono avere una policy di gruppo che venga approvata da almeno un garante europeo;
3. Dev’esserci un data export agreement secondo il modello della commissione europea, fra esportatore europeo e imprenditore extra europeo;
4. Nessun adempimento per il trasferimento in paesi extra UE oggetto di una decisione di adeguatezza.

Ecco: Google, con Google Analytics, non ha fatto nulla di tutto ciò e ha trasferito dati fuori dall’UE senza rispettare il GDPR: per questo motivo il Garante l’ha dichiarato illecito.

Verrebbe da chiedersi: come è possibile che una delle aziende più grandi al mondo (fa parte, infatti, delle Big Tech) non abbia ottemperato alle richieste e alle indicazioni del GDPR?

Queste però sono domande al di sopra della nostra portata e ci porterebbero fuori dal Main Topic dell’articolo.

Privacy Google Analytics, dichiarato illecito: le alternative

Fortunatamente Google non ha il monopolio sulle piattaforme di analisi e reportistica dei dati e, perciò, sono presenti numerose alternative sul mercato. Eccone alcune.

Web Analytics Italia

Si tratta del portale delle statistiche dei siti web delle Pubblica Amministrazione italiana. È un’alternativa gratuita che offre statistiche in tempo reale, analizzate dalla piattaforma WAI.

Plausible Analytics

Soluzione Open Source per le Web Analytics che, non utilizzando alcun cookie nel suo funzionamento, è completamente conforme al GDPR. Si tratta di una piattaforma che si basa su un’infrastruttura Cloud Europea che garantisce che i dati raccolti non vengano utilizzati da siti d terze parti.

Simple Analytics

È un’alternativa che mette la privacy al primo posto in tutti gli aspetti della piattaforma. Proprio per questo fanno della conformità al GDPR uno dei loro punti di forza. Simple Anlytics garantisce che tutti i dati raccolti siano cifrati e resi anonimi o pseudonimizzati cosicché non possano essere letti da esterni o estranei.

Matomo

Stiamo parlando di una piattaforma innovativa che, fin dalla sua creazione, si propone non solo di fornire statiche sui siti web e sugli utenti che ne fanno visita ma anche di garantire che i possessori di quei dati rimangano gli interessati stessi.

ShinyStats

Si tratta di una delle piattaforme di Real Time Analytics più famose tra le alternative software a Google Analytics. Il suo punto di forza è proprio la privacy compliance: tutti i loro software sono creati, sviluppati e raccolgono dati solo in Italia e in Europa, garantendo così la più stretta conformità alle norme del GDPR.

Se vuoi ricevere maggiori informazioni sul GDPR e su come assicurarti che la tua azienda ne sia conforme, contattaci! Saremo più che felici di aiutarti a garantire la sicurezza dei tuoi utent