Articoli

Statistiche d’uso del sito web: possibile acquisirle legalmente?

Il tema dei “cookie” (e altri identificatori online non meno problematici, come i pixel e i tags) è ormai alla ribalta della vita quotidiana di chiunque si occupi, anche saltuariamente, di data protection per conto di aziende “proprietarie” di siti web (i “titolari” del trattamento) o fornitori di servizi digital marketing (i “responsabili”).

Titolari e responsabili affrontano, giorno dopo giorno, sempre lo stesso dilemma: come acquisire informazioni valide, dirette e affidabili sull’utilizzo e le performance del sito web in conformità con la normativa privacy – ovvero, GDPR e Direttiva ePrivacy, in primo luogo?

Le sanzioni in materia sono già diverse, e tutte puntano contro il medesimo “colpevole”: Google Analytics (o anche “Universal Analytics”), come si è già avuto modo di approfondire in questo articolo di un paio di settimane fa.

Qui di seguito proviamo invece a guardare il tema dal punto di vista tecnico e operativo, cercando una soluzione – per quanto provvisoria – che salvi il salvabile. Il lettore perdonerà se alcuni temi giuridici non sono approfonditi o sono esposti in modo generale: la sintesi non è sempre amica della precisione, ma serve.

Dove sta il problema?

In un settore complesso come quello della data protection anche il nostro tema non poteva avere un problema unico: ne ha infatti due.

Un primo riguarda il “trasferimento internazionale” di dati personali: ogniqualvolta impiego un servizio offerto da un soggetto che direttamente o indirettamente ha sede legale o operativa in un territorio al di fuori dello Spazio Economico Europeo (quindi l’Unione Europea e gli stati di Norvegia, Lichtenstein e Islanda) sto tecnicamente “esportando” il dato e sarò sottoposto ai vincoli previsti dagli artt. 44 e seguenti GDPR (Capo V).

In particolare, sarò tenuto a rispettare dei vincoli per far sì che i dati, anche nel momento in cui si troveranno all’esterno del SEE, godano di un livello di tutela adeguato e conforme ai principi e dettami fissati dalla normativa europea. Senza entrare eccessivamente nel merito, questo concetto è andato in crisi grazie all’operato dell’austriaco Max Schrems (o a causa sua, secondo un altro punto di vista), avendo lui ingaggiato ormai molti anni or sono una battaglia contro Facebook, e avendola – a più riprese – vinta.

Il secondo problema riguarda la tracciabilità dell’utente dopo che sul suo device di navigazione sono stati installati i cookie rilasciati da Google Analytics.

Google dichiara che, troncando l’IP dell’utente (vedi tra poco per i dettagli) sia possibile rendere “anonimo” quel cookie-dato (non più personale quindi) e per questa ragione il cookie stesso sia installabile senza necessità di consenso. Tuttavia, e lo vedremo tra poco, non è così e il tema diviene quello del consenso.

Come se non bastasse, ciascun problema impatta sull’altro, e non è facile uscirne.

Perchè Google Analytics è un problema serio

Come abbiamo visto, per spostare oggi i dati all’estero è necessario svolgere un processo interno di valutazione e avere apposite salvaguardie, tra cui – non solo, ma anche – le Clausole Contrattuali Tipo pubblicate dalla Commissione UE.

Usando Google, in particolare, i dati sono salvati su uno qualunque dei server che il gigante di Mountain View ha nel mondo, tra cui quelli situati in U.S.A. e altri paesi “non adeguati”.

Di qui la prima complicazione, risolta (solo formalmente) da Google tramite stipula delle Clausole Contrattuali Tipo aggiornate: esse non sono però considerate ancora sufficienti da numerose Autorità garanti europee per salvaguardare l’utente dal monitoraggio di NSA e altre entità federali americane.

Fino a ieri, si sosteneva poi che il troncamento dell’IP del device dell’utente – funzionalità offerta da Google e attivabile da qualunque cliente – fosse sufficiente a rendere “anonimo” l’utente che naviga sul sito, e pertanto si potesse inserire il cookie “_ga” tra quelli “tecnici” con finalità statistiche.

Oggi non è più così: diverse analisi svolte sia da soggetti privati (NOYB in primis) che dalle Autorità garanti (in particolare, quelle belga e austriaca) hanno reso evidente come Google, anche a seguito del troncamento dell’IP utente, sia comunque in grado di effettuare una re-identificazione di chi sta navigando, attraverso altri dati e strumenti, così potendo poi riproporre advertising e altri meccanismi di marketing all’interno di altri siti o piattaforme.

Il dato (l’IP troncato), quindi, da anonimo diventa “pseudonimo” e per questo gli si applica, di nuovo, il GDPR: la conseguenza è che per qualunque sito web è necessario, se si impiega Google Analytics, richiedere il consenso libero, espresso e consapevole. In mancanza, il cookie non potrà essere installato e si perderà, così, tutto il flusso di dati statistici generati da quell’utente.

Riassumendo: Analytics manda dati in giro per il mondo – e soprattutto negli USA – e permette al suo fornitore (è gratis..) di reidentificare gli utenti e conoscerne gusti e abitudini di consumo, per targettizzare poi al meglio la pubblicità online.

Tutto questo ricade direttamente sull’utilizzatore dello strumento: il “titolare” del sito e del trattamento diviene, a questo punto, il soggetto esposto da una pratica svolta dal proprio fornitore diretto o indiretto – Google – che l’Autorità italiana, tra le altre, ha dichiarato più volte che non tollererà oltre (vedi Linee Guida in vigore dal 10 gennaio 2022).

E l’agenzia che per anni ha sviluppato Google Analytics e tutti i tool che ad esso si appoggiano potrebbe trovarsi da un lato come “fuori legge”, e dall’altro vedersi spegnere d’improvviso il flusso di dati, tutte le volte che l’utente clicca “Rifiuta tutti i cookie” nei banner aggiornati alle ultime linee guida.

Quindi se uso Google Analytics?

Se proprio non puoi fare a meno di Google Analytics (e vedremo tra poco che.. si può uscirne!) riguardo al tema del trasferimento di dati sarai costretto a fare (o far fare, al tuo cliente) un “TIA” ovvero Transfer Impact Assessment, in cui dare atto delle contromisure assunte per rendere meno semplice il tracciamento degli utenti quando i dati sono all’esterno del SEE.

Quanto invece al secondo aspetto, sarai forzato a mettere i tracciatori di Analytics nei cookie non tecnici, anche laddove tu proceda con l’IP troncato.

Questo causerà la necessità di acquisire il consenso dell’utente che accede al sito, nel rispetto delle linee guida – per l’Italia – fissate con il provvedimento di giugno 2021, valido ed applicabile dal 10 gennaio 2022. Quindi perderai tutti i dati di navigazione di chi clicca su “rifiuta tutti”, se hai ben configurato il banner.

Attenzione: i banner che provano a nascondere il “rifiuta tutti”, tramite dark patterns o semplicemente non esponendolo, non sono compliant alla normativa e passibili di sanzione anche più grave di quella di aver male classificato i cookie di analytics.

Allora, cosa faccio?

Semplice: usa un altro tool!

Nessuno ha prescritto di utilizzare Google Analytics, che è piattaforma certamente ben sviluppata e leader di mercato nell’ambito del digital advertising. Ma se non devi fare marketing con quei dati, rischi di perdere le statistiche del sito senza motivo, per la sola pigrizia di passare ad un altro tool.

Ce ne sono diversi, configurabili come “GDPR compliant“, tra cui:

  • Matomo (meglio se on premise, come suggerisce il garante francese CNIL);
  • Piwik PRO (già utilizzato da numerose grandi aziende);
  • Plausbile (progetto open source e giovane, ma molto interessante);

Sappi tra l’altro che potrai importare i dati storici di Google Analytics e continuare a fare statistica e orientare le tue scelte di marketing (o quelle del tuo cliente) adeguatamente e con attenzione, senza però violare frontalmente il GDPR.

Attenzione che questo, naturalmente, non basta: anche il cookie banner deve essere di qualità e ben impostato.

Senza citare l’ovvia necessità di compliance aziendale a monte (quindi, interna) che deve essere valida e concreta: registro dei trattamenti adeguato, nomine interne ed esterne ben costruite e complete, istruzioni agli operatori che trattano i dati, procedure in caso di richieste o data breach, ecc.

Ma dove finiremo? Un’idea la dà il nostro Alessandro, qui, parlando di FLoC ovvero del nuovo sistema ideato da Google, sostanzialmente già aggiornato e ripreso – dopo le compiute critiche di molti esperti del settore – con un nuovo nome: “Topics API“. Con questi, o con qualunque altro strumento dell’era post-cookie, speriamo che la situazione si chiarisce e renda a tutti – operatori del diritto e tecnici – la vita un po’ meno complicata.

____________________________________________

Photo by path digital on Unsplash

Cookie: a che punto siamo?

Nelle ultime settimane, al di là della fatidica data del 10 gennaio in cui le Linee Guida in materia cookie del Garante italiano sono divenute “applicabili”, si sono succeduti diversi eventi che hanno modificato il quadro della gestione, da parte delle aziende, di questo aspetto tanto importante quanto spinoso.

Vediamo allora gli elementi che si possono derivare dalle più recenti decisioni e novità.

La decisione dell’Autorità austriaca

L’uso di Google Analytics (“GA”) comporta il trasferimento di dati verso gli U.S.A. (oltre che verso altri paesi considerati non adeguati, stante il posizionamento dei server di Google in diverse parti del mondo).

L’uso di tale tool di statistiche, retargeting e adv implica inoltre la possibilità per il gigante di Mountain View di re-identificare gli utenti anche laddove si utilizzino cookie con IP “troncato”.

Per queste ragioni, l’Autorità di Vienna ha deciso di porsi nel solco della decisione “Schrems II” e di dichiarare illegittimo l’uso di tale tool, anche laddove il titolare del sito web lo utilizzo esclusivamente per attività di statistica dell’utilizzo del proprio portale.

La posizione del Garante belga

Con il provvedimento del 22 gennaio 2022, l’Autorità in oggetto ha chiarito alcuni punti ulteriori e fondamentali di come interpretare e maneggiare i cookie:

  • i cookie “tecnici” sono esclusivamente quelli che permettono all’utente di compiere attività e utilizzare funzioni “base” del sito web, e sono forniti dalla prima parte (cioè il proprietario del sito);
  • per tutti gli altri cookie e identificatori, anche e soprattutto quelli che “chiamano” funzionalità e servizi esterni al sito web visitato, è necessario il consenso;
  • detto consenso può essere raccolto per categorie;
  • la pratica di utilizzare un link su “come gestire i cookie nel browser” è comprensibile e corretta verso l’utente.

In Francia, il CNIL sanziona Google e Facebook

All’inizio di gennaio, l’Autorità francese ha emanato due sanzioni pesantissime nei confronti dei principali player del mercato adv, proprio per l’utilizzo non conforme alla normativa GDPR dei cookie e tracciatori online.

In particolare, il Garante transalpino ha ritenuto che i due soggetti sanzionati abbiano volontariamente reso complesso e arduo per l’utente rifiutare l’uso dei cookie, rispetto invece alla fornitura di un “comodo” pulsate di accettazione dell’intero pacchetto di identificatori.

Tale pratica, come le più note tecniche di c.d. “dark patterns” che disegnano flussi di accettazione che favoriscono (illecitamente) l’assenso e non il rifiuto dei cookie, sono ritenute illegali e pericolose, in quanto minano alla base la natura libera da vincoli del consenso richiesto.

Questa specifica decisione ha anche costituito un interessante precedente in merito alla competenza dell’autorità, in quanto Google e Facebook asserivano fosse la DPC (irlandese, quindi) il Garante che – in forza del meccanismo one-stop-shop – avrebbe dovuto decidere il caso.

E in tale sede, come per altre vicende, sappiamo che le cose vanno tendenzialmente molto più per le lunghe.

Quindi?

Restiamo alla finestra, sapendo anche che NOYB (con Max Schrems alla guida) ha inviato numerose contestazioni anche al Garante italiano.

Forse, prima dell’estate, avremo anche noi il primo “leading case” nostrano in materia, e il quadro diverrà un po’ più chiaro tra GDPR, Direttiva ePrivacy tutt’ora in vigore (del Regolamento ePrivacy non si hanno notizie da parecchio) e interpretazione “locale” del mondo cookie.

Intanto, prossimamente proveremo ad approfondire il tema delle “alternative plausibili” a Google Analytics.

_____________________________________________

Photo by Sara Sperry on Unsplash