Devo ammetterlo: pensare a questo articolo è stato difficile tanto quanto lavorare negli ultimi sei mesi! La prima lezione che ti insegna il Marketing (ancor di più se parliamo di Digital) è accettare che il settore evolva rapidamente, influenzato da molteplici fattori che spesso sfuggono al nostro controllo. In effetti, il provvedimento del Garante Privacy italiano emesso lo scorso giugno (qui il link per saperne di più) ha dato una forte scossa all’intera economia del digitale. Mi trovo a chieder(mi): rinunceremo davvero a Google Analytics? E cosa ne sarà del Digital Marketing?

Google Analytics viene preso di mira dalle Autorità europee

Dovevamo aspettarcelo? Assolutamente sì. Eravamo preparati? Direi di no.

Da luglio 2020, il trasferimento dei dati degli utenti europei agli Stati Uniti non è più lecito.

La sentenza Schrems II della Corte di Giustizia Europea ha invalidato il Privacy Shield che regolava questo flusso di informazioni. Forse non tutti ne erano a conoscenza, forse non se n’è parlato tanto, fatto sta che il problema è stato sottovalutato per ben due anni. Dunque, il recente intervento da parte delle Autorità Garanti dei Paesi UE non avrebbe dovuto sorprenderci. Se non altro, queste sentenze sembrano essere mirate al raggiungimento di un nuovo accordo politico che limiti l’accesso ai dati personali dell’Europa da parte degli enti governativi statunitensi.

Il 2022 ha visto diverse autorità europee dichiarare illecito l’utilizzo di Google Analytics (GA) mettendo in dubbio il futuro del suo utilizzo in Europa. Il tema centrale riguarda il trasferimento di dati personali negli Stati Uniti, dove la normativa sulla privacy è meno rigida rispetto a quella europea. Il primo a esprimersi è stato il Garante austriaco (Datenschutzbehörde o DSB), poi il CNIL francese e il Garante italiano, a seguire quello danese e così via.

Google Analytics è tra gli strumenti di analisi dei siti più conosciuti al mondo, installato su milioni di presidi web. Fornisce statistiche interessanti sui visitatori, sul loro canale di acquisizione, il tempo che trascorrono sulle pagine. 

Anche se in Italia il Garante si è limitato ad ammonire l’azienda oggetto del provvedimento, chiedendole di adeguare il trattamento dei dati al Regolamento generale sulla protezione dei dati (GDPR) entro 90 giorni, la vicenda ha messo in allarme molte aziende. Da decenni Analytics aiuta le aziende a perseguire i propri obiettivi di business e in pochi istanti queste si sono trovate a dover scegliere tra rinunciare ai dati raccolti e rischiare di incorrere in sanzioni per aver violato la normativa. Qualcuno ha rinunciato a qualsiasi servizio di analisi, altri hanno continuato a utilizzare Google Analytics, altri ancora hanno valutato l’impiego di soluzioni di marketing alternative, testando Matomo, Piwik Pro, Plausible, Statcounter, Simple Analytics…

Basterà un semplice cambio di piattaforma? Certamente no.

L’istruttoria del Garante cita anche altri servizi in capo ad aziende americane che raccolgono ed elaborano i dati degli utenti. Quante volte accediamo, nell’arco della giornata lavorativa, a Google Drive, oppure a Dropbox, One Drive, Google Ads, LinkedIn, Meta, Mailchimp e tanti altri servizi utili per le nostre attività? 

Tutte queste tecnologie potenzialmente violano il GDPR perchè sono ospitate su server controllati da aziende negli Stati Uniti. È ragionevole pensare che presto molti di questi strumenti finiranno nel mirino dei Garanti. Quello che deduciamo è che si tratti più di una questione geopolitica che di marketing: esiste un gap legislativo ormai evidente tra i due sistemi di protezione dei dati personali. Gli Stati Uniti, per mantenere attiva una partnership (anche commerciale) con l’Europa, devono necessariamente avvicinarsi ai nostri principi sulla privacy. Ciò è quanto ha affermato anche il Commissario di Stato per la protezione dei dati e la libertà di informazione tedesco (LfDI) Brink.

Per questo motivo, Unione Europea e Stati Uniti stanno negoziando un nuovo accordo. Il 7 ottobre 2022 il Presidente Biden ha firmato un Executive Order che, se approvato dalla Commissione Europea, costituirebbe la base giuridica per la nuova normativa sul trasferimento internazionale dei dati, limitando l’accesso ai dati europei da parte dei servizi di intelligence americani solo a quanto necessario e proporzionato per garantire la privacy degli utenti.

Per il momento, questa firma non ha forza di legge, quindi le aziende non possono ancora farvi affidamento. Per lo meno, ci permette di nutrire ancora qualche speranza.

Al tempo stesso, non sono mancati i commenti da parte degli scettici. Primo tra tutti Max Schrems, presidente dell’associazione noyb, secondo cui il nuovo accordo conterrebbe già notevoli ambiguità giuridiche, come la mancanza di una chiara definizione di “proporzionato” in relazione all’accesso ai dati consentito alle intelligence. Aspettiamo quindi a cantar vittoria. Sembra una possibilità remota, ma esiste l’eventualità che questo Privacy Shield 2.0 non venga mai realmente finalizzato. 

A fare le spese di questo periodo di stallo ovviamente è il Digital Marketing, siamo noi.

Insomma, la sospensione degli accordi sul Privacy Shield, la deprecazione dei 3rd party cookie da parte dei browser, l’aggiornamento ad iOS 14 di Apple, la decisione di non conformità di Google Analytics da parte dei Garanti dei Paesi europei hanno reso chiaro quanto sia necessario un cambio di paradigma, del modo di fare il nostro lavoro, di misurare le performance delle attività e di valorizzare gli investimenti. Il tutto, quanto più conforme possibile al GDPR.

Google Analytics 4 è davvero privacy-friendly? 

Sappiamo che la versione contestata dal Garante finora ha riguardato solo Universal Analytics. Lo ha confermato l’Avv. Guido Scorza, componente del Garante Privacy italiano: “Gli uffici del Garante non hanno avuto occasione di esaminare la versione 4 di Google Analytics semplicemente perché il titolare del trattamento oggetto del provvedimento non la utilizzava. […] Impossibile pertanto dire se essa sia o meno in grado di risolvere il problema”. 

Sembrerebbe che Big G abbia effettivamente posto maggiore attenzione alla privacy degli utenti con la nuova release, GA4. Ad esempio non memorizza più gli indirizzi IP: vengono utilizzati inizialmente in modo volatile per la geolocalizzazione. Inoltre, consentirebbe di esercitare un maggiore controllo sui dati raccolti relativi alla posizione degli utenti e al dispositivo usato per la navigazione e offrirebbe la possibilità di eliminare i dati dei visitatori del sito, tutti o in parte.

Rispetto a Universal Analytics, GA4 memorizza i dati su server in Europa. Quindi, secondo quanto afferma Google, la gestione dei dati sottostà al diritto europeo. In realtà, sappiamo che, nonostante questi sforzi, le autorità di intelligence degli Stati Uniti potrebbero comunque richiedere l’accesso a questi dati. 

Tra l’altro, GA4 elabora molte metriche che, anche se non sono di per sé dati sensibili, possono essere combinati tra loro per identificare un utente. È vero che possiamo limitare la raccolta delle informazioni che minacciano la protezione della privacy, ma farlo avrebbe implicazioni negative sulle analisi dei dati e sulle performance stesse delle attività di marketing. Siamo punto e a capo.

Per le aziende, le agenzie di marketing e gli addetti dell’ufficio Marketing, la disabilitazione di Google Analytics o anche solo la sua sostituzione è un problema serio, per questioni non solo economiche, ma anche di tempo necessario alla migrazione, di competenze richieste per la configurazione e il mantenimento di un altro tool, di perdita dello storico dati. Allo stesso modo, potrebbe rivelarsi insostenibile il tracking server-side e l’adozione di un proxy, soluzione suggerita dal CNIL francese.

Allora, cosa dovremmo fare?

È difficile stabilire cosa accadrà in questo e nei prossimi anni, ma è di fondamentale importanza mantenersi aggiornati sugli strumenti a nostra disposizione e sulle norme in vigore. Fino a quando Commissione Europea e Stati Uniti non sigleranno l’accordo sul trasferimento dei dati, è necessario essere meticolosi con i tracciamenti e disporre almeno di un piano B.

Un confronto con il proprio DPO (Data Protection Officer) o il consulente legale può rivelarsi utile per assicurarti che le informative e la gestione del consenso dei cookie siano conformi. La trasparenza ripaga: oggi sappiamo che “le esperienze di privacy incidono sulla fiducia degli utenti”.

Mitiga il rischio di sanzioni interrompendo la raccolta dei dati in Universal Analytics. Piuttosto migra a GA4 anche se la sua semplice configurazione non basterà a risolvere i problemi di cui ti ho parlato poco fa. Nel frattempo, però, puoi disabilitare Google Signals e la funzione di personalizzazione della pubblicità e puoi usare dati “autonomi” a fini statistici.

Se hai dei timori o delle riserve verso Google Analytics, considera altri strumenti di tracciamento con hosting europeo. Valuta bene l’effort e l’investimento che potrebbero richiedere (anche in questo il legale può darti supporto e aiutarti a prendere la decisione migliore per il tuo caso specifico). Purtroppo, non esiste uno strumento perfetto, che risponda a tutte le nostre esigenze. L’importante è non prendere sottogamba il problema e non rinunciare a monitorare il tuo sito web. Ti sconsiglio quindi di abbandonare del tutto gli strumenti di analisi. Ciò comporterebbe ottusità nella definizione delle attività da avviare e nella stima dei risultati.

Il “paradosso della privacy”

Chiunque sosterrà l’esigenza di spostare il focus sulla privacy degli utenti. Ma fino a che punto questa attenzione ai dati delle persone sarà sostenibile anche per le aziende per veicolare messaggi rilevanti? Fino a che punto tutto questo ha senso?

Viviamo perennemente connessi a Internet, bombardati da contenuti (notizie, foto, video, chat). È l’era della privacy più assoluta, eppure i nostri dati vengono condivisi molto velocemente sul web. La pioggia di dati che produciamo online e le nuove tecnologie stanno cambiando la nostra routine e le nostre relazioni, ma anche altri aspetti socio-politici ed economici.

Pretendiamo riservatezza, ma difficilmente ci sforziamo di proteggere i nostri dati in prima persona. Siamo profondamente incoerenti e incauti. Pochi semplici esempi: (1) postiamo sui social network foto che ritraggono ogni aspetto della nostra vita, evidentemente per riprova sociale; (2) spesso cediamo le nostre informazioni in modo volontario in cambio di accessibilità a servizi e contenuti di nostro interesse; (3) permettiamo al GPS di localizzarci per guidarci verso la destinazione che vogliamo raggiungere. E poi…hai mai utilizzato un assistente vocale? Comodo, no? Ti semplifica la vita. Ebbene, per poterti rispondere quando li chiami, Siri, Alexa o Google devono rimanere in ascolto, quindi il microfono del nostro dispositivo rimane acceso, fornendo alle applicazioni molte più informazioni di quanto pensiamo. 

Anche quando ci diciamo intenzionati a proteggere la nostra privacy o ci lamentiamo per gli annunci che ci rincorrono, non modifichiamo le nostre abitudini. Vale tanto per l’online quanto per l’offline. È il cosiddetto “paradosso della privacy”, cioè la presenza di una discrepanza tra le preoccupazioni o gli atteggiamenti espressi dagli individui e i loro comportamenti effettivi in materia di privacy.

In questo contesto, i professionisti del marketing lavorano in una situazione di presunto conflitto: da una parte vediamo il diritto degli utenti alla loro privacy e dall’altra la necessità del marketing di rimanere pertinenti. Come scrive Matteo Zambon sul suo ultimo libro “GA4: Google Analytics 4 per chi inizia” sembra che ci si stia spostando pericolosamente verso il “non devi tracciare gli utenti” dando avvio a quanto Matteo stesso chiama “Trackingeddon”. Da un lato, sarà nostro compito cercare alternative per continuare a operare bene sul mercato; dall’altro dobbiamo auspicare a un sostegno dal punto legislativo da parte delle autorità. Probabilmente i prossimi mesi saranno decisivi!