Lo scorso 23 giugno è stato pubblicato sul Sole 24 Ore un articolo intitolato “I dati finiscono in Usa: vietato l’uso di Google Analytics”. Il titolo sarà risultato un po’ criptico per alcuni, ma ha provocato qualche brivido lungo la schiena di chi si occupa di web marketing e di chi, semplicemente, gestisce un sito internet o un blog.
Per comprendere meglio, occorre fare un piccolo passo indietro e cercare di spiegare in poche righe cosa sia questo Google Analytics.
Quando visitiamo un sito web, il proprietario del sito, o chi se ne occupa, soprattutto a fini di marketing, ha tutto l’interesse, o almeno la curiosità, di sapere quanto il sito venga visitato, quali pagine siano le più lette, quali i documenti più scaricati, ecc.
Tutte queste informazioni possono essere raccolte da strumenti statistici che vengono collegati al sito in questione. Google Analytics è il più famoso e di gran lunga il più utilizzato tra questi strumenti, soprattutto perché, oltre ad essere ottimo, è gratuito.
Un elemento importante da introdurre a questo punto è che ciascuno di noi, quando naviga su internet, è identificato da un numero, chiamato indirizzo IP, che lascia una traccia e ci rende identificabili. Per capire meglio, pensatelo come il numero di telefono. Non è proprio la stessa cosa (nessuno può contattarvi direttamente, attraverso quel numero), ma il concetto è il medesimo: io, quando navigo su internet, sono identificato con un numero.
Per motivi di privacy, Google Analytics elimina da questo indirizzo IP le ultime tre cifre, rendendo dunque impossibile a chi dovesse leggere questo numero collegarlo a una persona specifica. I dati sono dunque raccolti in maniera anonima. I titolari del sito Professione Acqua non sappiamo chi sia lei, gentile lettore di questo articolo. Sanno solo che QUALCUNO lo ha letto.
Ma Google non è Professione Acqua. Google ha la possibilità di incrociare miliardi di informazioni che possono identificarci esattamente. Quando navighiamo siamo facilmente identificabili e riconoscibili da Google, che potrà archiviare in modo molto specifico quello che abbiamo scritto in un commento su un blog, dove abbiamo cliccato sul un certo sito, quali ricerche abbiamo effettuato nell’ultimo anno, quali video abbiamo guardato, e ancora, attraverso Google Maps, sapere dove siamo stati in vacanza, in quali negozi siamo entrati, in quali ospedali, quali opinioni abbiamo espresso pubblicamente sul Covid o su Donald Trump…, eccetera, eccetera.
Dunque noi, proprietari di siti, non possiamo sapere è CHI sia entrato nel nostro sito. Ma Google può. Per dirla con le parole del Garante: “l’indirizzo Ip costituisce un dato personale e anche nel caso fosse troncato non diverrebbe un dato anonimo, considerata la capacità di Google di arricchirlo con altri dati di cui è in possesso”.
E qui scatta il collegamento alla notizia data dal Sole 24 Ore.
La Comunità Europea ha legiferato in modo molto restrittivo sui dati che possono essere raccolti da Google (ma anche da Facebook e da chiunque altro). E la questione è ancora più seria quando i dati vengono raccolti ed elaborati fuori dal territorio della Comunità Europea.
Nello specifico, Google raccoglie i dati nei suoi mega-computer installati negli Stati Uniti, dove le regole sulla tutela dela privacy non sono restrittive come le nostre. I garanti della privacy europei sono molto chiari: i dati personali non possono essere inviati a Paesi che non fanno parte della CE. Se ne parla da anni, e da parecchio tempo esiste una regolamentazione sulla privacy (avrete sentito parlare della sigla GDPR). Si rischiano sanzioni anche piuttosto elevate.
Dunque adesso i casi sono due, o forse tre.
1. Tutti i gestori dei siti internet europei eliminano qualsiasi collegamento a Google Analytics rinunciando a sapere quante persone li hanno visitati, con danno non indifferente per le strategie di marketing e comunicazione;
2. Tutti i gestori dei siti internet europei attivano sui propri siti strumenti diversi da Google Analytics, realizzati in Europa e compatibili con le normative sulla privacy.
3. Google decide di attivare sul territorio europeo i propri centri di elaborazione dati, impegnandosi a non inviarli al di fuori del territorio CE. Oppure si arriva ad una conclusione del “nuovo accordo di collaborazione (tra Usa ed Europa) sul trasferimento dati”.
4. (e questo è il “forse”): i proprietari dei siti avvisano chiaramente il visitatore del fatto che i suoi dati potrebbero essere inviati al di fuori della CE e attivano lo strumento di raccolta dei dati solo previa autorizzazione consapevole da parte dell’utente. Questo punto è controverso, perché la normativa specifica che i dati NON POSSONO essere inviati negli USA (né in CIna, o altro Paese extra-EU). Dunque non è chiaro se l’avviso e l’autorizzazione consapevole siano sufficienti.
La cosa che più probabilmente accadrà sarà quella illustrata al punto 3., ma ci vorrà tempo. Nel frattempo, o si rinuncia a dati importanti oppure, come scrive il Sole, “si è in un limbo di incertezza per le aziende che usano servizi americani.”
