Tag Manager Italia, commento su Google Analytics e GDPR

Sta sollevando discussioni un recente intervento del Garante della Privacy, secondo cui Google Analytics non rispetterebbe le norme del GDPR a causa dell’invio di informazioni personali verso server ubicati negli Stati Uniti. Questo renderebbe illecito il suo impiego con riguardo ai dati personali di cittadini UE. 

Alcuni addetti ai lavori, nel commentare la notizia, hanno semplicemente dichiarato Google Analytics “illegale” e hanno proposto soluzioni alternative. 

Un po' di chiarezza 

Tag Manager Italia, società di consulenza e formazione specializzata nel tracciamento e nella misurazione di siti web, e-commerce e campagne di marketing digitale, desidera fare chiarezza sull’accaduto. 

La comunicazione del Garante non riguarda Google Analytics “tout court”, ma è un provvedimento rivolto a un singolo editore (Caffeina Media). Il Garante non vieta in alcun modo l’uso di Google Analytics: esorta piuttosto le aziende ad adottare tutte le misure necessarie per garantire la legittimità d’uso dello strumento. Il provvedimento non traccia una linea da percorrere: è compito del titolare del trattamento definire e assicurarsi che gli strumenti impiegati non violino il dettato normativo.

Non si fa alcuna menzione alla versione di Google Analytics. Trattandosi di un caso del 2020, si tratta certamente di una configurazione di Google Analytics 3 e sicuramente non della release 4, che alcuni commentatori hanno pensato di dichiarare immediatamente “illegale”. La ratio del provvedimento è peraltro piuttosto chiara: oltre alla definizione di un caso specifico, l’autorità italiana esorta UE e USA a trovare un accordo su questo punto, conciliando le normative vigenti.

 “Il provvedimento stabilisce che l’invio di dati personali degli utenti negli USA è un illecito”, commenta Matteo Zambon, Co-fondatore di Tag Manager Italia. “Ma questo non riguarda solo Google Analytics, bensì migliaia di software di uso quotidiano, sia a livello professionale che di svago. Il problema non è Google Analytics ma il trasferimento dei dati personali dell’utente all’estero effettuato dai vari software, ad esempio remarketing di Google Ads, Pixel di Facebook, Pixel di TikTok, Active Campaign, Mailchimp e altri ancora.” 

Le strade percorribili 

Nella volontà di proporre soluzioni adeguate, Tag Manager Italia sta vagliando tutte le strade percorribili. Alcuni suggeriscono di installare soluzioni on-premise e open-source come Matomo, che però non permette di gestire l’adv online e, in quanto soluzione da installare sui propri server, richiede una gestione molto avanzata della sicurezza. “Con buona probabilità la soluzione è una specifica configurazione di Google Analytics 4 e Server-side tracking, che comunque va personalizzata in ogni caso” continua Zambon. 

Secondo una recente dichiarazione del CNIL – l’Autorità Garante della protezione dei dati francese – l’utilizzo di un server proxy, ovvero un server intermediario europeo su cui far arrivare i dati degli utenti, è una soluzione efficace per rispettare le norme GDPR, poiché evita che i dati personali arrivino sui server di Google situati negli Stati Uniti.

L'azienda consiglia dunque di dismettere Google Analytics 3 il più in fretta possibile passando alla release 4 e di valutare se adottare o meno una configurazione server-side.