Google Analytics: cosa sta succedendo? Delle possibili soluzioni - RIOS
Google Analytics: cosa sta succedendo? Delle possibili soluzioni
28 February 2023
Indice
Introduzione
Il tema della privacy e del rispetto della riservatezza degli utenti su internet è un tema estremamente delicato. Per le aziende e gli enti della Pubblica Amministrazione è infatti indispensabile avere consapevolezza e cultura sul tema per comprendere come analizzare il traffico degli utenti nei propri canali digitali e raccogliere nuovi contatti, gestendo i dati dei quali si viene in possesso nel pieno rispetto di quanto imposto dalle norme in materia.
La svolta del 2018, con l’avvento del regolamento europeo 2016/679 conosciuto con l'acronimo GDPR (General Data Protection Regulation), ha imposto alle aziende private e agli enti della Pubblica Amministrazioni dei significativi adeguamenti per garantire la piena conformità alle regole stabilite in merito alla gestione dei dati sensibili.
Nelle ultime settimane il Garante si è espresso a conclusione di una complessa istruttoria in coordinamento con altre autorità privacy europee, ammonendo la società Caffeina Media srl, che utilizzava Google Analytics 3 sul proprio sito, chiedendole di rimuoverlo entro 90 giorni. L'invito è informalmente rivolto tutte le società che utilizzano Google Analytics 3.
La non conformità alle norme stabilite dal GDPR, risiede nel fatto che le informazioni divengono oggetto di trasferimento all’infuori dell’Unione Europea, in particolare negli Stati Uniti, paese privo di un adeguato livello di protezione.
Nel dichiarare l'illiceità del trattamento è stata ribadito come l'indirizzo IP costituisca un dato personale: anche, se anonimizzato in alcune delle sue cifre, non diverrebbe dato anonimo, data la capacità di Google di arricchirlo con altre informazioni di cui è in possesso, fonte di interesse per vendite a terze parti a fini commerciali/marketing.
L’Autorità ha dunque invitato tutti i gestori italiani di siti web che utilizzano Google Analytics 3 a verificare la conformità alla normativa nell’utilizzo di cookie.
Nel luglio 2021, la sentenza Schrems II della Corte di Giustizia dell’Unione Europea ha dichiarato l’invalidità del regime giuridico previsto dal Privacy Shield poiché non garantisce un livello di protezione adeguato all’Unione europea e al GDPR. Stati Uniti ed Europa stanno negoziando un nuovo accodo che tenga conto di quando previsto da una serie di provvedimenti come il Data Acts e i due pacchetti normativi (Digital Market Act e Digital Services Act) che sono pronti per entrare in vigore nei prossimi mesi.
AGID e le linee guida per la Pubblica Amministrazione
a) “garantire la protezione dei dati personali, nello sviluppo di un sito web o di un servizio digitale, fin dalla progettazione e per impostazione predefinita, nel rispetto dell’art. 25 del GDPR”;
b) “rispettare almeno il livello base di sicurezza stabilito dalle «Misure minime di sicurezza ICT per le pubbliche amministrazioni», ove non sia specificamente richiesto un livello superiore dal citato documento”;
c) “porre in atto misure tecniche e organizzative atte a garantire un livello di sicurezza adeguato al rischio, nel rispetto di quanto richiesto all’art. 32 del GDPR e in ottica di responsabilizzazione ai sensi dell’art. 5, par. 2 del GDPR”;
d) “pubblicare, sul singolo sito, l’informativa sul trattamento dei dati personali e chiedere il consenso laddove necessario, anche con riferimento all’uso dei cookie”;
e) “provvedere a inserire i trattamenti di dati personali nel Registro dei trattamenti e nominare Responsabili del trattamento ai sensi dell’art. 28 del GDPR gli eventuali fornitori dei servizi web che trattano dati personali per conto del soggetto titolare del trattamento”;
Agid ha adeguato le indicazioni in base al parere che il Garante ha data ad una domanda in merito. Adesso per essere conformi AGID si deve anche rispettare questi 5 punti. Saranno, credibilmente, presenti nelle prossime linee guida di luglio 2022.
La soluzione per le Pubbliche Amministrazioni: Web Analytics Italia
Web Analytics Italia è una piattaforma Open Source nazionale messa a disposizione da AGID che consente alle amministrazioni di raccogliere e analizzare i dati statistici sul traffico dei propri siti e servizi digitali.
La soluzione si basa su tre componenti principali:
un sistema di raccolta e analisi dei dati web basata sul software Matomo;
un portale di front-end che gestisce la registrazione e l'accesso all'infrastruttura dati;
un set di API per l'accesso ai dati da parte di applicazioni di terze parti.
Web Analytics Italia si pone dunque come uno strumento ad hoc per semplificare l'accesso alle statistiche sul traffico e sul comportamento degli utenti che usano siti e servizi digitali istituzionali, così come agevolare la comprensione di tali informazioni, avendo come obiettivo il miglioramento costante dell’esperienza utente.
Una soluzione in grado di garantire alle PA italiane numerosi vantaggi:
Piena conformità, ad oggi, al Regolamento 2016/679 (GDPR)
Proprietà del dato e il suo controllo totale;
Assenza di lock-in tecnologico;
Alta modularità e personalizzazione della piattaforma;
Assenza di sampling (campionamento).
La nostra esperienza al fianco degli Enti della Pubblica Amministrazione ci consente di conoscerne a fondo le specificità, per accompagnarli in un percorso di innovazione sicuro, consapevole ed efficace.
Matomo è una alternativa a Google Analytics?
Matomo è una soluzione open source che si posiziona come “Alternativa di Google Analytics che protegge i tuoi dati e la privacy dei tuoi clienti” come descritto nel proprio sito web. Adottata, ad oggi, da oltre 1,5 milioni di siti Web in tutto il mondo, da parte di aziende che hanno ritenuto vantaggioso riprendere in mano la proprietà dei dati dei propri visitatori, differentemente da quello che accade utilizzando i servizi di Google.
Questo perché a differenza di Google Analytics, appunto, Matomo permette il monitoraggio del traffico del proprio sito web sia lato client (client side tracking) che lato server (server side tracking); configurando l’installazione sia On-Premise (quindi in un proprio server), oppure in Cloud acquistando cioè una licenza da Matomo. L’elemento che rende compliant alla normativa privacy risiede nel fatto che i server sono posizionati in Europa e non vi è nessun invio dei dati in paesi extra EU.
Sia nella versione On-Primese che in Cloud, l’elemento da sottolineare é che i database contenenti i dati degli utenti sono direttamente gestibili a differenza di quanto avviene con i servizi Google.
Un altro punto di forza di Matomo rispetto a Google Analitycs è un’impostazione CRO Friendly, in tutte le sue logiche. Oltre ai classici Goals e Funnels, include caratteristiche importanti per la Conversion Rate Optimization, come ad esempio le Heatmaps che mostrano visivamente dove i visitatori cliccano o spostano il mouse o fino a che punto scorrono la pagina.
Un punto di debolezza invece di Matomo potrebbe essere l’integrazione con altri strumenti Google, come Google ADS o Tag Manager. Vi sono diversi plugin installabili che cercano di risolvere tali problematiche.
In conclusione, ad oggi possiamo affermare che Matomo sia GDPR Compliance in ogni sua forma. Ci riserviamo, comunque, di attendere la pronuncia del garante in merito.