Infine, com’era prevedibile, anche il garante per la privacy ha dichiarato l’illecita del trattamento dati di Google Analytics. Il provvedimento segue quelli del garante europeo, francese e austriaco sul divieto di trasferimento in paesi privi di adeguati livelli di protezione dei dati personali degli utenti.
La decisione era decisamente scontata, l’autorità italiana a ritenuto che Google analytics, il servizio di tracciamento dei clienti del gigante di Mountain View, non sia in regola con le norme del GDPR. Il motivo è molto semplice: alcuni dei dati personali degli utenti, e dati come l’IP sono considerati tali, vengono trasferiti nei server statunitensi. La natura delle norme statunitensi non è considerata adeguata al nostro livello di trattamento dei dati personali.
Secondo il garante, ad esempio, nemmeno l’indirizzo IP troncato diventa dato anonimo, poiché Google ha la possibilità di intrecciarlo e arricchirlo con altri dati in suo possesso.
La decisione è deflagrata come un avere propria bomba atomica tra tutti gli operatori del settore tecnologico. Questo perché Google Analytics è ancora oggi, nonostante la decisione del Garante, lo strumento più usato in assoluto per il tracciamento dei clienti. La reazione del mondo degli operatori di marketing però è stata molto scomposta e molto varia passando dall’ “e allora gli altri servizi che tracciano i dati?” all “come faremo a lavorare ora?”.
Sfortunatamente vi è la tendenza per gli operatori del settore di impostare la loro visione sulla privacy e il trattamento dati solo ed esclusivamente come limitazione al loro lavoro: come se non fossero anche loro cittadini e consumatori.
Probabilmente il divieto di utilizzare Google analytics è il più grande freno a una tendenza che si era ormai consolidata: la possibilità per le aziende di raccogliere in modo non sempre trasparente tantissimi dati degli utenti.
Se questo, per un operatore del settore, significava avere una profilazione perfetta degli utenti e quindi la possibilità di mostrare pubblicità particolarmente personalizzate alla persona che veniva a visitare il sito, per l’utente significava regalare tantissimi dati, i cosiddetti metadati e non solo, alle grandi aziende come Google che poi provvederanno a venderli o utilizzarli sotto forma di profilazioni accurate.
La questione è molto complicata e probabilmente per la maggior parte degli utenti e consumatori non molto chiara. Invece dovrebbe esserlo perché è una questione che ha molto a che fare con la nostra libertà e con la nostra sicurezza.
Tantissime persone sono convinte che la nostra profilazione avvenga solo ed esclusivamente attraverso la raccolta di dati specifici legati a una nostra azione: se io visito una pagina di un venditore di pannolini Google penserà che io ho bisogno di pannolini.
Ma l’algoritmo, anzi gli algoritmi, sono molto più complessi e sono sempre più raffinati, questo perché Google ha a disposizione un’enorme mole di dati su di noi, dati che a volte non pensiamo nemmeno di aver ceduto.
Come funziona nella realtà
Qui si entra in un campo un mondo che sembra avere affinità con un certo complottismo: ma chiunque almeno una volta abbia provato a sponsorizzare un articolo o un prodotto attraverso le piattaforme principali sa che in realtà Google conosce molto più di quello che noi gli abbiamo detto.
È vero, Google sa che ci servono dei pannolini. Ma conosce anche la nostra età, probabilmente sa che lavoro facciamo, che abbiamo appena cambiato macchina perché quella vecchia non era più sufficientemente spaziosa per il nuovo arrivo, sa quindi abbiamo appena avuto un figlio o una figlia.
E qui avviene la magia: Google a questo punto riuscirà a mettere, tecnicamente aggregare, tutti questi dati e il risultato di questa aggregazione sarà l’accurata fotografia della nostra condizione socioeconomica attuale.
Siamo degli adulti che hanno appena avuto un bambino o una bambina, dalla macchina che abbiamo cercato su Internet può risalire al nostro livello medio di salario, dalla zona in cui viviamo può desumere tantissime altre informazioni e così via.
Quindi Google non sa solamente che ho bisogno di pannolini ma l’informazione sui pannolini servirà a creare un profilo perfetto a cui mostrare nuove pubblicità: se ha acquistato i pannolini probabilmente mi servirà anche un seggiolone per la macchina, potrei aver bisogno di latte in polvere, potrei cercare un pediatra oppure semplicemente qualcosa che mi aiuti a dormire a causa delle notti insonni e dei pianti dei neonati.
La faccenda si complica in questo caso perché non avevamo intenzione di dare tutte queste informazioni e, qualora queste non dovessero essere adeguatamente trattate, o peggio ancora cedute a terzi a fini commerciali, per il solo fatto di aver navigato in alcuni siti specifici saremo oggetto di campagne, a volte martellanti, su prodotti e servizi destinati ai genitori.
Marketer o consumatori?
Il nodo della questione secondo il garante sta proprio qui: la legislazione europea sul trattamento dei dati personali è ritenuta tra le più avanzate al mondo, ovvero quella che garantisce maggiore tutele al consumatore.
Il GDPR, questo il nome del regolamento, stabilisce alcuni diritti e fissa alcuni paletti per le aziende nel trattamento dei dati personali, compreso il loro trattamento e l’eventuale cessione a terzi ai fini commerciali.
L’equivalente statunitense del regolamento invece pone molti meno limiti ed è ritenuto inadeguato dal garante a gestire la stessa protezione dei dati così come viene Europa. Per questo motivo il garante ha deciso di rendere il legittimo l’uso di GA, almeno nella versione attuale, poiché Google nell’elaborazione dei dati trasmette gli stessi a server statunitensi, facendo venir meno il livello di protezione stabilito dal regolamento europeo.
Questa scelta tra gli operatori del settore ha determinato una sorta di sconforto generale, come se non fosse più possibile lavorare senza quello strumento.
Raramente mi è capitato di leggere in questi giorni prese di posizioni a favore della sicurezza del trattamento dei dati degli utenti dei consumatori. È indubbio, Google Analytics era uno strumento molto potente e molto utile da utilizzare nel nostro lavoro, perché ci permetteva di effettuare campagne specializzate e tener traccia degli utenti e del comportamento degli utenti al passaggio nei nostri siti.
Ma in realtà il garante non hai inteso limitarne la funzionalità quanto garantire che quelle funzionalità non fossero trattate in modo diverso da come imposto in Europa, magari con cessioni che qui sarebbero considerate illegittime.
La questione si pone all’interno di un ondata, che ormai dura da qualche anno e che si è intensificata nell’ultimo periodo, che vede i nostri marketer gridare allo scandalo per la limitazione di alcuni strumenti.
Le recenti modifiche al GDPR avevano già provocato momenti di panico tra gli operatori. Questo, a mio avviso, principalmente perché anche tra gli operatori si è sviluppata una certa pigrizia nel provare a ragionare da consumatori e soprattutto nel voler riconosce il diritto dei consumatori a non essere tracciati e quindi magari rincorsi da pubblicità troppo personali. Che queste rimostranze avvengano dagli operatori del marketing è quasi fisiologico, soprattutto se questi non sono adeguatamente formati sulle questioni giuridiche di base legate alla privacy. Quello che è particolarmente strano è la scarsa consapevolezza del consumatore verso i propri diritti. Il cookie banner, lo strumento obbligatorio che si apre nel momento in cui visitiamo per la prima volta un sito, non viene visto come un avviso sui nostri diritti e sulla possibilità di scegliere quali dati cedere alle aziende ma con un fastidioso appello inserito lì da una normativa insensata.invece la possibilità di negare l’utilizzo dei cookie non tecnici è un grande passo in avanti per la privacy online. In fin dei conti è proprio la nostra mancanza di cultura giuridica unita alla scarsa conoscenza dei nostri diritti a far scandalizzare i marketer e anche i consumatori. Appare evidente che sia necessario che Google, e tutte le altre aziende che tracciano dati per poi trasferirli – ad esempio – negli Stati Uniti debba adeguarsi alla nostra normativa: questo non per patriottismo ma perché la normativa che garantisce maggiori diritti al consumatore.
E in fondo non siamo anche noi consumatori, oltre che marketer?
Che fare?
In attesa di capire se Google Analytics 4, un aggiornamento / riscrittura del popolare tool di analisi, sia conforme o meno al GDPR – questione su cui il Garante non si è espresso, limitandosi a dichiarare l’illiceità della versione 3 – è possibile migrare a strumenti pienamente compatibili col regolamento.
Io ne sto sperimentando alcuni, nei prossimi giorni vi farò sapere com’è andata, come funzionano e se davvero sono alternative all’altezza della funzionalità di Google Analytics.
Il vero nodo però è ancora da sciogliere: perché sono tantissimi i servizi, considerati fondamentali, che trasferiscono i dati raccolti dagli utenti negli USA e non solo. Quindi nelle prossime settimane potremmo avere ulteriori novità se questi tool dovessero essere dichiarati illegittimi.
Dobbiamo prepararci a cambiare il nostro workflow? Probabilmente sì, a meno che i giganti dei servizi web non si adeguino al più presto. Soluzione auspicabile sia per chi coi dati ci lavora sia per i consumatori, che vedrebbero tutelati i loro diritti.