Google Analytics: quali scelte possibili, dopo l’intervento del Garante?

Scarica PDF Stampa
Dello stop del Garante Privacy a Google Analytics si è già parlato in lungo e in largo, ma resta ancora il tema caldo del momento. E se ormai gli enti pubblici e privati sanno di avere 90 giorni per “adeguarsi” al provvedimento dell’Autorità, che ha dichiarato illegittimo il trasferimento dei dati verso gli Stati Uniti, il problema vero è: che cosa fare in pratica? Qualcuno dice di eliminare Analytics e basta, altri di utilizzare versioni “compliant” dello stesso tracciatore come GA4, oppure di utilizzare software alternativi, che però non sono e non saranno mai come l’originale. Ma la confusione resta alta.

Che cosa devono fare, quindi, le aziende?

      Indice

  1. Soluzione radicale: rimuovere Google Analytics
  2. Soluzione consapevole: entrare nel merito e continuare ad usare GA facendosi scudo con l’accountability
  3. Soluzione attendista: non fare niente e aspettare
  4. In ogni caso, le aziende dovrebbero cogliere questa opportunità

1. Soluzione radicale: rimuovere Google Analytics

Non tutti si possono permettere di rinunciare tout court ai servizi di GA, ma il mercato offre soluzioni alternative: Web Analytics Italia per le PA (suggerito dalla stessa AgID), Matomo, Piwik, Plausible per i privati. Gli addetti ai lavori affermano che nessuno di questi servizi offre il medesimo grado di utilità ed affidabilità di GA, ma si tratta di soluzioni che non solo permettono un maggior controllo sui dati, ma soprattutto di mantenerli nel perimetro dell’Unione Europea, e dunque di bypassare il problema del trasferimento dei dati verso gli USA; considerati paese pericoloso in ambito di data protection.

2. Soluzione consapevole: entrare nel merito e continuare ad usare GA facendosi scudo con l’accountability

Si fa presto a dire Google Analytics. In verità, scegliere in maniera adeguata e consapevole passa attraverso una analisi, compiuta dal Titolare, sull’effettivo utilizzo di GA nella propria organizzazione, per comprendere in primo luogo quali dati vengono effettivamente fatti transitare verso gli USA (dati comuni, IP, dati particolari).

In assenza di prescrizioni da parte del Garante, che sarebbero incompatibili con il regime di accountability sancito dal GDPR, ciascun Titolare potrebbe, magari attraverso una valutazione di impatto, stabilire innanzi tutto se l’utilizzo di GA è davvero indispensabile, secondariamente se sia possibile sostituirlo con servizi alternativi, oppure rischiare e continuare ad usarlo con correttivi, mettendo in atto le “misure tecniche ed organizzative” necessarie per garantire la sicurezza dei dati anche in caso di utilizzo di GA.

Sulla vicenda leggi anche: Google Analytics dichiarato “illegale” dal Garante: e ora che succede?

3. Soluzione attendista: non fare niente e aspettare

Biden e Von Der Leyen si sono stretti la mano sull’accordo per il trasferimento die dati tra Unione Europea e Stati Uniti, quindi qualcosa prima o poi si muoverà a livello politico. Lo sanno gli addetti ai lavori e lo sa il Garante, che infatti non ha sanzionato la società che ha dato il la a tutta la vicenda, ma l’ha soltanto ammonita e le ha concesso 90 giorni per mettersi in regola.

Una tattica attendista, dunque, potrebbe essere la strategia giusta da adottare per quelle aziende che non possono o non vogliono mettere in campo soluzioni tecniche rischiose e costose, ma al contempo non possono o non vogliono rinunciare ad utilizzare GA sui propri siti: anche in questo caso l’accountability tutto copre e tutto permette, salvo poi essere in grado di documentare questa scelta in maniera consapevole e fondata sulla data protection by design.

4. In ogni caso, le aziende dovrebbero cogliere questa opportunità

Oggi è GA nell’occhio del ciclone, ma considerato che giornalmente utilizziamo soluzioni informatiche made in USA, non possiamo essere certi che domani non toccherà a Microsoft o Apple, tanto per fare due nomi a caso.

Quindi, prima che la tentazione di abbandonare del tutto l’informatica e tronare alla cara vecchia Olivetti Lettera 32, aziende ed enti pubblici dovrebbero utilizzare l’affaire GA per cogliere un’opportunità: quella di sfruttare l’obbligo di compliance come propulsore per ripensare alla propria strategia di data protection, non più in mera ottica di “mi devo adeguare perché è obbligatorio”, ma “voglio gestire consapevolmente i dati, perché sono la ricchezza della mia azienda”: un’ottica innovativa che farebbe veramente entrare le aziende italiane nella rivoluzione digitale di cui si parla tanto e per la quale rischiamo, diversamente, di essere irrimediabilmente in ritardo e pertanto tagliati fuori.

Volume consigliato: