EP Digital Skills – Dallo scudo di Capitan America alla GDPR

Di cosa stiamo parlando? Di fumetti o di tracciamenti Analytics e GDPR? Sarebbe più avvincente parlare dei primi. Forse.

Lo scudo di Capitan America è il nuovo emendamento che aggiorna le specifiche del Privacy Shield e che costituisce un nuovo framework per la protezione dei dati dei cittadini americani ed europei. Sarà uno scudo di cartone o di una lega indistruttibile?

Partiamo quindi dagli ultimi avvenimenti che hanno impattato sulla tutela della privacy e dei dati personali dei cittadini europei con un obiettivo preciso: rispondere alle domande principali che, in differenti modalità, abbiamo ricevuto dai nostri clienti e studi legali:

• Dobbiamo abbandonare Google Analytics 3 (Universal Analytics)?
• Dobbiamo cancellare l’account?
• Google Analytics 4 è compliant con la GDRP?
• Ci sono altre soluzioni per i tracciamenti?

Per rispondere iniziamo dal Privacy Shield, quindi dall’ultimo atto di queste vicende, che in realtà, non hanno molto a che fare con gli strumenti di Analytics, con campagne pubblicitarie e IP degli utenti.

Si tratta più di geopolitica, accordi internazionali e sicurezza nazionale, per questo noi esperti di Web Marketing e tecnologie digitali dobbiamo avere cautela nel trattare questi temi.

Esistono studi e avvocati che si occupano di questo, chi si occupa di marketing non si può e deve sostituire a loro, deve solo fornire le informazioni per tracciare il quadro tecnico e tecnologico e le possibili soluzioni.

Gli Stati Uniti hanno quindi emanato lo scorso 7 Ottobre un nuovo Data Privacy Framework che dovrebbe sostituire/aggiornare l’attuale Privacy Shield dopo le ultime discussioni con l’Unione Europea. Il Privacy Shield è nato come strumento che avrebbe dovuto normare il flusso di informazioni che si muovono tra UE e Stati Uniti: come gli Stati Uniti possono entrare in possesso di dati dei cittadini europei nel caso di indagini e cosa dovrebbero fare le aziende per rispettare queste direttive.

Questo nuovo Data Privacy Framework dovrebbe essere un passo in avanti rispetto al precedente accordo, che è stato invalidato dalla Corte di Giustizia europea. Dovrebbe prevedere obblighi e procedure più restrittive di accesso ai dati da parte di entità esterne alle aziende che li stanno raccogliendo e utilizzando per il loro business.

Ma tralasciamo la politica internazionale, torniamo con i piedi per terra: cosa deve fare quindi chi gestisce e lavora sui siti Internet?

Una linea generale: avere cura dei dati degli utenti (compresi i cookie): quindi mappare come vengono gestiti i dati e dimostrare, pianificare e intraprendere azioni a tutela dei dati degli utenti.

Dal punto di visto tecnico riassumiamo i punti salienti:

• GA4 processa ma non salva gli IP (GA3 su questo non è compliant), da qui anche il provvedimento contro Caffeina Media Ltd. Questi dati possono anche non essere inviati a Google Analytics, sfruttando le impostazioni presenti in GA4.
  Il problema è che non è escluso che incrociando i dati Google possa essere in grado di risalire ai dati personali, a prescindere dalla mancanza del salvataggio dell’IP di GA4; 
• Utilizzando il tracciamento Server Side e salvando i dati su server europei si rientra all’interno delle disposizioni della GDPR.
  Non basta implementare GA4, in quanto i dati finiscono negli Stati Uniti comunque, mentre secondo la GDPR devono essere salvati in Europa.
  Si tratta quindi di implementare il tracciamento Server Side utilizzando server europei; 
• Qualche azienda sta iniziando a tenere conto della sede legale di chi offre il servizio di hosting server, quindi oltre al server in Europa nell’interpretazione più restrittiva della GDPR alcuni scelgono anche un server di un’azienda con sede legale in Europa. Si tratta di specifiche non contenute nella GDPR, sono interpretazioni della stessa, esistono comunque servizi che permettono di farlo; 
• GA4, come lo era GA3, è molto importante per l’integrazione con Adwords e quindi per valorizzare gli investimenti Media. Altri strumenti di Analytics non permettono di fare le stesse cose, per cui gli algoritmi di Adwords funzionano peggio, in quanto gli mancherebbero dei dati. Questo può incidere su un aspetto rilevante in sede legale, cioè il legittimo interesse dell’azienda, che potrebbe essere usato come argomento per l’utilizzo di GA4; 
• GA3 smetterà di tracciare a prescindere nel Luglio 2023; 
• Strumenti di Analytics come Matomo possono essere una buona soluzione che al momento sconsigliamo a chi fa importanti investimenti su canali Google per i motivi precedenti; 
• Chiudere GA3 è un’opzione valida, tanto più perché comunque smetterà di tracciare a Luglio 2023.
  Per chiudere intendiamo eliminare il codice GA3 dai propri siti in modalità light o in modalità più restrittiva effettuare la cancellazione di tutti i dati storici nell’account attraverso l’opzione relativa che si trova nello strumento (sapendo che i dati nel mondo digitale non si possono cancellare ma su questo potete approfondire altrove…); 
• Google Analytics è solo uno dei tanti strumenti che le aziende utilizzano quotidianamente e trasferiscono dati in giro per il mondo (non solo negli Stati Uniti). Interessante questa mappa sulle infrastrutture Cloud dei principali player. 

Tecnicamente noi di EP sappiamo cosa è possibile fare, dopodiché bisogna affrontare il tema con i singoli consulenti o uffici legali delle aziende e decidere quale sia la strada migliore da intraprendere!