Google Alanytics Universal – Comunicazione / Aggiornato!

Ciao a tutti,
questa comunicazione per cercare di fare chiarezza ed informare tutti sul trend topic di questo periodo relativo a Google Analytics e alla sua presunta illegalità

Indice

  1. Cosa sappiamo
  2. Cosa viene contestato
  3. Possiamo Usare ancora Google Analytics?
  4. Considerazioni
  5. Cosa fare nell’immediato
  6. Questione Mail da Federico Leva (Aggiornato)

Cosa Sappiamo

Le informazioni ufficiali sono le seguenti.

Il 23 Giugno il garante della privacy ha dichiarato illegale l’utilizzo di google Analitycs nella versione “Universal” perché viola la normativa sulla protezione dei dati e perché trasferisce negli Stati Uniti, Paese privo di un adeguato livello di protezione, i dati degli utenti.

A questo link potete trovare e leggere l’articolo di approfondimento ufficiale:
https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9782874

Cosa viene contestato

Dall’indagine del Garante è emerso che i gestori dei siti web che utilizzano GA3 raccolgono, mediante cookie, informazioni sulle interazioni degli utenti con i predetti siti, le singole pagine visitate e i servizi proposti. Tra i molteplici dati raccolti, indirizzo IP del dispositivo dell’utente e informazioni relative al browser, al sistema operativo, alla risoluzione dello schermo, alla lingua selezionata, nonché data e ora della visita al sito web. Tali informazioni sono risultate oggetto di trasferimento verso gli Stati Uniti.

Il problema di fondo è che la legislazione americana consente alle Autorità di avere accesso a tutti i dati che risiedono negli USA mentre non garantisce mezzi di ricorso effettivi e non fornisce garanzie circa i diritti degli interessati.

In sostanza Google violerebbe la normativa perché per presentarci il dato utilizza dei server USA Based e non EU Based

Possiamo Usare ancora Google Analytics?

Quello del Garante Privacy non è un divieto assoluto a Google Analytics, ma una sospensione di 90 giorni del trasferimento dati, per trovare meccanismi che non violino il Gdpr. Soluzioni che esistono sia a livello normativo che tecnico e che dovrebbero consentire a GA4 (la nuova versione di Analytics) di poter essere utilizzato.

Al momento, teoricamente ci sarebbero 2 soluzioni!

1 – Google Analytics 4 (GA4)

A livello tecnico ci sono degli strumenti utilizzabili e sembra che Google, con il rilascio di GA4, si sia mosso esattamente in questa direzione, probabilmente anche tenuto conto delle indicazioni del Garante Francese che aveva offerto degli spunti e che si era espresso prima di quello italiano.

Google Analytics 4 (GA4), infatti, ha tutta una serie di parametri che permettono di gestire i dati personali degli utenti, partendo dalla circostanza, tutt’altro che trascurabile che non viene gestito l’indirizzo IP. Inoltre, per la gestione dei dati degli utenti si è dotata di un proxy – quindi di server di Google situati in Europa – che non dovrebbero essere controllati o controllabili da Google LLC*.

*Su questo però ci sono pareri discordanti, teoricamente Google Irlanda è una controllata di Google LLC quindi farebbe comunque capo alla società con sede in America.

2 – Sistema Server-Side

Un ulteriore strumento che può essere implementato, è l’uso di un proprio sistema server-side in modo da passare, prima dei server Google che fanno da ponte tra Europa ed America, attraverso un filtro ulteriore. In sostanza, per i non addetti ai lavori, l’utente arriva nel sito, la richiesta e l’analisi dei dati passa attraverso un nostro server che è dislocato in Europa; il dato viene pulito e le informazioni passano successivamente ai server di Google Europa che, a loro volta fungono da ulteriore proxy. Questo permette di slegare qualsiasi indirizzo IP e qualsiasi altra informazione prima ancora che arrivi proprio sulla parte del proxy europeo di Google.

Ci sarebbero quindi tutta una serie di configurazioni che è possibile gestire, attivare ed implementare per permettere di essere GDPR compliant in relazione all’anonimizzazione del dato.

Considerazioni

Ovviamente le procedure sopra indicate sono molto tecniche e in certi casi complesse, Marketing Therapy in questo caso dovrebbe mettersi nelle condizioni di poter fare questo tipo di interventi, probabilmente creando un progetto di adeguamento che andrebbe valutato e messo in atto ad hoc.

Al momento non esiste una soluzione veloce e concreta, GA4 potrebbe limitare i danni ma presenterebbe comunque delle problematiche, in una configurazione di base.

Bisogna attendere e capire come si pronuncerà il garante alla fine di questi 90 giorni e quali misure decideranno di adottare i grandi player per cercare di limitare i danni.

L’unico modo per essere compliant stando all pronucia, sarebbe quello di utilizzare dei servizi di tracciamento EU Based ossia che non utilizzano server fuori dall’Europa per gestire il dato.

C’è da fare un’ulteriore considerazione però, al momento, il nostro modello di business, come quello dell’98% delle digital Agency europee, si basa sull’utilizzo degli strumenti forniti da google per la gestione del dato, la sua lettura e la sua profilazione, e cambiare approccio vorrebbe dire cambiare le regole. Tabula rasa in poche parole.

Altra considerazione da fare, se tra 90 giorni il garante deciderà di ritenere illegale google analytics di conseguenza (teoricamente) tutti gli strumenti e i tool USA Based potrebbero essere praticamente illegali.

Per farvi avere un idea:

Meta/Facebook
Instagram
WordPress
Mailchimp
Active campaign
Google ADS
Google Optimize
Google Tag Manager

Potrei continuare all’infinito…

Cosa fare nell’immediato

Abbandonare il prima possibile GA3 (Universal Analytics) e passare subito al nuovo sistema GA4.
Questo indipendentemente dal problema attuale. Vi ricordo che da luglio 2023 il sistema Universal Anlytics verrà deprecato, quindi se vogliamo avere uno storico di dati tra un anno meglio muoverci per tempo.

Sui nuovi clienti il sistema viene implementato di default da Eduart, a breve renderemo ufficiale una procedura che coinvolgerà i web master nell’istallazione e l’implementazione dei traccianti di base.

Questo però sarebbe un’intervento di base, poi comunque bisogna capire come implementare il resto citato sopra.

Per i PM, sganciamo la nostra mail dagli account/proprietà che non gestiamo più, se è vero che il proprietario dell’account è il responsabile della gestione dei dati degli utenti, noi siamo in lettura e delegati all’utilizzo, per ovviare a problematiche future, il consiglio è quello di abbandonare gli account/propietà dei clienti che non gestiamo più.

Altro da prendere in seria considerazione.

GA4 rispetto a “Universal” gestisce le metriche in maniera completamente diversa, il consiglio che dò a tutti è quello di spendere del tempo per informasi al meglio sulla lettura delle nuove metriche.

Anche qui , insieme cercheremo di fare una formazione di base, ma vi chiedo di iniziare a leggera qualcosa in merito.

Vi lascio dei link di approfondimento:

Google Analytics 4: Introduzione e aggiornamento


https://support.google.com/analytics/answer/9964640?hl=it#zippy=%2Ccontenuti-di-questo-articolo

Questione Mail da Federico Leva

Nei giorni scorsi alcuni dei nostri clienti hanno ricevuto una mail da tale Federico Leve in cui chiede la rimozione dei suo dati da Google Analytics ai sensi delle norme GDPR.

Naturalmente è una provocazione, messa in atto per creare dei precedenti sui quali poi la giurisprudenza italiana potrebbe basarsi per fare ulteriori ammonimenti.

Il consiglio al momento è quello di lasciar perdere la comunicazione e tranquillizzare i nostri clienti sul fatto che ci stiamo organizzando per arrivare preparati a tutti i possibili scenari conclusi i 90 giorni.

L’invito, per tutti, è quello nei limiti del possibile di rimanere informati sull’evoluzione del caso in maniera personale, sicuramente noi cercheremo di aggiornarvi appena avremo nuove informazioni.

Cosa consigliamo di fare.

Prendiamo in prestito una risorsa di Matteo Zambon e pubblichiamo un estratto.
Rimandiamo l’approfondimento alla sua guida che potete trovare a questo indirizzo:
https://www.tagmanageritalia.it/cosa-fare-mail-federico-leva-come-rispondere/

Estratto:

Attenzione: il termine di legge entro cui devi rispondere è 30 giorni, e non 31 giorni come indicato da Federico Leva all’interno dell’email che ha inviato.

La buona notizia è che rispondere in maniera opportuna a questa email è molto facile. 

Ecco il nostro consiglio su come procedere:

  • Rispondi via email alla richiesta. Non utilizzare il modulo linkato all’interno della mail (che tra le altre cose non è più funzionante perché è stato bannato dal servizio di survey).
    • Se il contatto email di Federico Leva non è indicato all’interno della mail che ti ha inviato, puoi trovare il suo contatto diretto all’interno del suo sito web personale (cerca il suo nome e cognome su Google)
  • Chiedi che ti vengano inviate tutte le informazioni necessarie per procedere alla cancellazione dei dati personali. Nello specifico le informazioni da richiedere sono le seguenti:
    • Il suo indirizzo IP esatto
    • la data e l’ora della sua visita più recente sul tuo sito web
    • il valore “Client ID” dei cookie di Google Analytics chiamato _ga (il valore dovrebbe essere simile a questo: GA1.1.834041420.1636040627)
    • altri identificativi esibiti da Google relativi alla sua visita più recente sul tuo sito web

Ecco un fac-simile della risposta da inviare alla mail di Federico Leva:

Buongiorno Federico,

per dare seguito alla tua richiesta avente per oggetto “Uso illegittimo di Google Analytics: richiesta di rimozione ex art. 17 GDPR” e riferita al sito “NOMESITO.IT” abbiamo bisogno di conoscere le informazioni tecniche necessarie ad identificare le visite menzionate nella tua richiesta.

Siamo quindi a chiederti i dati di cui affermi di essere in possesso (l’indirizzo IP esatto, la data e ora della visita più recente, nonché i cookie e altri identificativi esibiti da Google in corrispondenza della stessa) e, in particolare, il valore “Client ID” dei cookie di Google Analytics (_ga).

In mancanza di queste informazioni siamo impossibilitati ad eseguire la procedura di cancellazione dati utente su Google Analytics.

In attesa di una sollecita risposta, ti ringraziamo in anticipo per la collaborazione.

Prima di inviare l’email di risposta, ricordati di sostituire NOMESITO.IT con il vero nome del dominio del tuo sito, ad esempio studiodentisticonomesito.it oppure odontoiatrianomesito.it e così via.

Una volta che il Sig. Federico Leva invierà il suo Client-ID, bisogna attuare una procedura per rimuoverlo dal proprio Google Universal Analytics.

Per questa procedura dettagliata vi rimandiamo volentieri all’articolo pubblicato da Matteo Zambon sul sito di Tag Manager italia a questo indirizzo: 

Cosa fare con la mail di Federico Leva? È necessario rispondere? E se sì, come?

Rimango a disposizioni per un confronto.
Buon lavoro a tutti.
Fra.

L'autore

Dir. Produzione | Digital Marketing Specialist

2 Comments

  1. Stefano La Mendola

    Grazie Francesco, perfetto. Darò comunicazione ai clienti che hanno ricevuto la mail di Leva e inizio ad informarmi su GA4, sperando venga mantenuto.

  2. Massimiliano Polidori

    Grazie Fra, appena possibile aggiorna il contenuto in base alle evoluzioni

Vuoi lasciare un commento?