Eliminare Google Analytics dai siti web è la scelta giuridicamente più sicura, ma anche quella che considera meno le conseguenze per il marketing

Google Analytics è uno strumento di analisi statistica fornito gratuitamente da Google ai gestori di siti web che consente di comprendere il comportamento degli utenti con l’obiettivo di ottimizzare i servizi offerti e le campagne di marketing. Si tratta di uno degli strumenti di web analytics più diffusi sul piano internazionale, sicuramente grazie alla sua gratuità e alla sua semplicità di installazione, alla profondità di analisi statistica offerta e infine al dialogo nativo con le altre piattaforme del mondo Google (tra cui Google Ads, che gestisce le campagne a pagamento basate su parole chiave).

Con il provvedimento del 9 Giugno 2022 il Garante per la Protezione dei dati personali ha concluso l’illiceità dell’utilizzo di Google Analytics ordinando al sito caffeinamagazine.it la sospensione dei flussi di dati verso Google LLC ove il Titolare del trattamento non ponga in essere misure supplementari adeguate che rendano tali flussi GDPR compliant: ne ha cioè di fatto imposto la rimozione, dal momento che alla data della redazione di questo articolo non esistono misure supplementari adeguate capaci di rendere i flussi verso Google LLC GDPR compliant.

Non si tratta di una decisione prettamente italiana, ma di una posizione europea che si sta via via consolidando in tutti i Paesi dell’Unione. È, comunque, un provvedimento simbolico sul piano nazionale perché sta inducendo molti Titolari del trattamento a dismettere l’utilizzo dello strumento, in alcuni casi complicando in modo non irrilevante la gestione e l’ottimizzazione delle campagne di marketing.

È in questo scenario che Porto4, con il presente articolo, fornisce ai Titolari del trattamento alcuni elementi utili a operare una scelta consapevole in merito all’opportunità di rimuovere Google Analytics dal sito web, senza dare per scontato che la rimozione sia la risposta universale valida per tutti.

Perché Google Analytics non è più uno strumento GDPR compliant

Semplificando, il provvedimento evidenzia la possibilità per Google, a prescindere dalle tecniche di anonimizzazione dell’indirizzo ip, di identificare la persona fisica associata ad uno specifico cookie concludendo quindi per l’illiceità dell’utilizzo dello strumento

Google infatti avendo la propria sede legale negli Stati Uniti è soggetta alle norme federali cogenti in materia di antiterrorismo secondo le quali, a prescindere dalla posizione fisica dei server, l’azienda e le proprie controllate sono obbligate a dare visibilità, agli enti governativi statunitensi, dei dati trattati : obbligo, questo incompatibile con le previsioni normative eurpee in materia di privacy.

I casi in cui consigliamo di togliere Google Analytics

Google Analytics è un ottimo strumento ma molte volte viene semplicemente installato senza che le sue potenzialità vengano sfruttate appieno. Consigliamo di toglierlo quando non è realmente funzionale al miglioramento dell’usabilità del sito web, quando i dati utilizzati per l’ottimizzazione di campagne pubblicitarie o interventi mirati al miglioramento del posizionamento nei motori di ricerca (SEO – Search Engine Optimization) sono realisticamente rilevabili attraverso altri strumenti di analisi statistica o quando, molto più semplicemente, i report non vengono realmente consultati e analizzati.

Le conseguenze della scelta di mantenere Google Analytics

Pur se in oggettivo contrasto con il provvedimento del 9 giugno, si comprende che talvolta il Titolare del trattamento possa trovarsi nella necessità di continuare a utilizzare Google Analytics: quando, per esempio, rileva che la sua dismissione potrebbe comportare sensibili cali di performance delle azioni di marketing intraprese e quindi si trasformi in una concreta perdita di competitività rispetto alle altre aziende non soggette alla normativa europea

Il considerando 4 al GDPR afferma che il diritto alla protezione dei dati non è una prerogativa assoluta, ma va considerato alla luce della sua funzione sociale e va contemperato con altri diritti fondamentali, in ossequio al principio di proporzionalità e nel rispetto equilibrato di tutti i diritti fondamentali tra cui viene richiamata la libertà d’impresa.

Un’applicazione del diritto alla protezione dei dati che non consideri il corretto bilanciamento e nel caso specifico, che non valuti la conseguente concreta perdita di competitività, limita alla base la libertà d’impresa. Motivo per cui l’applicazione di un provvedimento come quello dello scorso 9 giugno va valutata con attenzione, caso per caso e considerando sempre le alternative che il mercato è in grado di esprimere.

Ad oggi infatti il mercato non è in grado di offrire strumenti che per qualità e costo siano paragonabili a Google Analytics, soprattutto in considerazione dell’ecosistema “Google” composto da tutti i servizi che le aziende continuano a utilizzare (Google Ads per citarne uno); motivo per cui imporre alle aziende di non utilizzare Google Analytics prima che sia reperibile una valida alternativa corrisponde a limitare la libertà d’impresa.

Perché GA4 e il server side tagging non sono una soluzione

Qualsiasi sia la versione utilizzata, e qualunque siano le clausole contrattuali richiamate, Google Analytics è un servizio erogato da Google che come abbiamo visto ricade sotto la giurisdizione statunitense, con tutte le conseguenze in materia di compliance al GDPR.

L’anonimizzazione dell’IP, qualsiasi sia la tecnologia utilizzata, non è considerata dal Garante una tecnica sufficiente a garantire l’irriconoscibilità dell’utente da parte di Google: pertanto anche se è stata creata una nuova architettura di sistema non si può affermare che vada esente dai vizi di compliance rispetto al GDPR (vedi paragrafo “La questione GA4” a questo link sul sito del Garante).

In conclusione

Il presente stato dell’arte informatica e giuridica l’azienda deve chiedersi se disattivare Google Analytics e perdere di competitività oppure se mantenerlo installato e rischiare di un provvedimento sanzionatorio: per tale motivo si ritiene quanto mai opportuno esaminare con attenzione e con costanza le effettive alternative a GA offerte dal mercato e qualora la scelta fosse quella di mantenere Google Analytics argomentare in modo preciso e dettagliato, secondo il principio dell’accountability, le scelte aziendali.

Si tratta in ogni caso di valutazioni delicate dal punto di vista tecnico-giuridico che vanno ponderate con il proprio consulente.

A cura di Giovanni Brancalion Spadon e Debora Oliosi

Giovanni Brancalion Spadon

Giovanni Brancalion Spadon

Nato a Venezia, ha studiato presso l’Università di Bologna e presso l’UCLA California, è iscritto all’Albo Avvocati di Venezia dal 2004. Dopo la laurea ha conseguito un master in Diritto delle Nuove Tecnologie, uno in Diritto Ambientale e uno in Diritto d’Autore e dello spettacolo e si è specializzato in Blockchain Technologies presso il Massachusetts Institute of Technology (MIT) di Boston. Docente presso la Business School dell’Università Ca’Foscari di Venezia, collabora con istituti di formazione per le materie connesse al diritto delle nuove tecnologie, alla privacy e alla blockchain e relative applicazioni, all’amministrazione digitale; è consulente di P.A. per la digitalizzazione e l'adeguamento GDPR. Socio fondatore di Porto4, è dedicato principalmente ai programmi 4ANALYSIS - analisi strategica d'Impresa, 4 GDPR  e 4FORMAZIONE - per la diffusione della cultura legale nelle imprese. Da oltre 15 anni opera nel diritto delle nuove tecnologie, industriale, d’autore e societario. E’ interessato ai processi d’innovazione in ogni ambito, appassionato d’arte contemporanea e insegna teatro.