Il dibattito sul provvedimento del Garante privacy del 9 giugno scorso, riferito all’illegittimità di una specifica configurazione di Google Universal Analytics (GA3) che risale al 2020, ha suscitato un comprensibile clamore tra gli addetti ai lavori e portato con sé – inevitabilmente – una serie di fake news, speculazioni e allarmismi.
Se senza dubbio è necessario rimuovere quanto prima GA3 dai siti che si gestiscono ottemperando al provvedimento del Garante, a nostro avviso è ragionevole attendersi che venga trovato un accordo giuridico in tempi ragionevoli.
Questo perché ogni alternativa appare francamente impraticabile.
Google Analytics, Scorza: “Ecco cosa devono sapere le aziende”
Posto che l’intento del Garante è stato interpretato da diversi esperti come di carattere non sanzionatorio, “spegnere” Google (o YouTube, Facebook, etc.) per un’azienda che si sostiene grazie all’online advertising appare come un’operazione estrema, tale da mettere a rischio la sopravvivenza stessa dell’azienda. Un’operazione estrema che peraltro potrebbe essere resa inutile da un momento all’altro dall’avvento di un accordo giuridico.
In termini pratici, se l’advertising online (pay-per-click) venisse di fatto reso antieconomico, o venisse addirittura vietato in un prossimo futuro, verrebbero messi a rischio centinaia di migliaia di posti di lavoro in Italia (e milioni di posti di lavoro in Europa).
Ma quali sono le alternative? Facciamo prima un passo indietro.
Trasferimento dati extra-Ue: chi controlla le condizioni di legittimità?
In questo contesto, vale la pena ricordare ancora una volta che il provvedimento è riferito nello specifico alla versione 3 di Google Analytics, ossia a Google Universal Analytics, un software che è attualmente in fase di dismissione da parte di Google stessa in favore del nuovo Google Analytics (GA4). Quest’ultimo è oggetto di un fervente sviluppo da parte di Big G, con nuove funzionalità che vengono introdotte di mese in mese anche (ma non solo) in materia di privacy.
Ciò premesso, è altrettanto importante sottolineare che la questione evidenziata dal Garante non è relativa a GA3 in quanto tale, ma bensì al trasferimento dei dati personali degli utenti al di fuori dell’Europa: il problema è che questo trasferimento coinvolge verosimilmente non solo GA3, ma la quasi totalità dei servizi internet che sia gli addetti ai lavori, sia gli utenti utilizzano quotidianamente. (es. Facebook Ads, Google Ads, Youtube Ads, software di email marketing, CRM, CDN, etc.)
Come giustamente riportato in questo articolo, il GDPR prevede una serie di condizioni di legittimità riguardo il trasferimento dei dati personali degli utenti al di fuori dall’Europa; condizioni che richiedono un accertamento caso per caso per capire se il trasferimento al di fuori dall’Europa sia lecito o meno.
Ora, in termini pratici, chi controlla queste condizioni di legittimità caso per caso? I titolari del trattamento dei dati? I loro consulenti, i loro fornitori? L’autorità Garante?
Il tema non è secondario. Se stiamo guidando la nostra automobile e vediamo il limite dei 50 km/h, sappiamo di non doverlo superare per non essere multati. Ma se invece di un cartello con la scritta 50 ci troviamo davanti un cartello che riporta un’equazione di terzo grado, non siamo messi nelle condizioni di poter rispettare i limiti di velocità. Semplicemente, non sappiamo quali sono.
Quali servizi web si possono usare?
Fuori di metafora, quali sono i servizi web che è legittimo utilizzare? Ad oggi l’unico dato certo è che – in Italia – una specifica configurazione di Google Universal Analytics (GA3) è illegittima rispetto al GDPR.
Google Analytics, l’effetto domino del provvedimento del Garante: come superare l’impasse?
A nostro avviso, questa situazione di grave incertezza – se possibile – è perfino peggiore dell’ammettere che il trasferimento dei dati degli utenti al di fuori dall’Europa sia illegale tout-court.
Peraltro, non bastano tutti gli avvocati esperti di diritto di internet del pianeta per controllare gli oltre 9,932 servizi SaaS presenti sul mercato, tutte le loro possibili configurazioni e la legittimità del loro utilizzo in ogni singolo paese UE.
Mentre attendiamo con fiducia un accordo giuridico che metta fine a questa situazione paradossale, vale la pena rileggere questo editoriale di Alessandro Longo, dal quale prendiamo spunto per approfondire a nostra volta le tre possibili soluzioni che le aziende hanno a disposizione, una volta rimosso GA3 dai propri siti.
Google Analytics, che devono fare le aziende? Qualche risposta possibile
Non installare GA4, preferendo altri software
Il problema insito in questa soluzione è che – semplicemente – non c’è un altro Google Analytics.
Come scrive Manuela Borgese in questo articolo, la funzione di Google Analytics è “essenziale e difficilmente replicabile“, perché GA è utile non solo e non soltanto per analizzare il traffico di un sito internet, ma soprattutto per la sua sinergia con i principali strumenti del digital marketing (Google Ads, YouTube Ads, Facebook Ads, etc.), sinergia che è pressoché indispensabile alla stragrande maggioranza dei digital marketer per rendere profittevoli le proprie campagne pay-per-click.
È precisamente per questo motivo che la quasi totalità dei digital marketer utilizzano Google Analytics, che non a caso ha una fetta di mercato dell’85,8%.
In altre parole, tranne casi particolari, i marketer professionisti che investono denaro nell’acquisto di inserzioni non hanno una vera e propria alternativa a Google Analytics, a meno che non accettino di rinunciare ad una serie di funzionalità (in primis, il retargeting) che renderebbero con ogni probabilità antieconomiche le proprie campagne online.
Tutto questo al netto dei non trascurabili costi di migrazione e dei rischi legati alla affidabilità e alla sicurezza delle presunte alternative a Google Analytics, in particolare riguardo alle soluzioni on-premise. Nel dettaglio, la decisione di installare, mettere in sicurezza e manutenere un server dove tenere i dati personali dei clienti al riparo da eventuali data breach comporta un’assunzione di responsabilità molto onerosa, oltre che delle competenze tecniche (e dei costi) notevoli.
Installare Google Analytics 4
Abbiamo illustrato nel dettaglio una soluzione che preveda l’utilizzo di GA4 e di una configurazione server-side in questo articolo.
Attendere
Non ci sono alternative praticabili. Questo perché buona parte degli e-commerce, costituita da piccole e piccolissime imprese, basa la propria stessa esistenza sulla possibilità di pubblicare inserzioni online su Google, YouTube, Facebook, Instagram, etc. Questi strumenti sono a tutti gli effetti un unicum. Non ci sono aziende europee che possono sostituirli, né nel breve, né nel medio termine.
Google Analytics, minacciata la pubblicità online: che devono fare le aziende
Beninteso, la tutela della privacy degli utenti è un principio sacrosanto. Ma al netto delle ragioni degli attivisti che si battono per la tutela della privacy (ragioni nel merito delle quali non entriamo) crediamo sia opportuno dire a chiare lettere che ci sono centinaia di migliaia di posti di lavoro che – in Italia e in Europa – si basano sull’ecosistema di digital marketing di Google, di Meta e di altre aziende USA.
In attesa di un accordo giuridico, e in mancanza di una reale e concreta alternativa a Google (e Facebook, Youtube, Instagram, etc.) crediamo che i lavoratori di queste aziende meritino delle risposte.
Anzi, meritino delle soluzioni concrete.
