L’antefatto è semplice: l’Unione Europea ritiene che il livello di sicurezza garantito da Google, per i dati raccolti con Analytics e trasferiti/gestiti negli USA, non sia equiparabile a quello in essere in Europa.
Il regolamento europeo in materia di protezione dei dati, il GDPR per intenderci, è particolarmente stringente e se a questo aggiungiamo la c.d. Cookie Law, puoi renderti conto della preoccupazione che desta il trattamento di dati europei su suolo extracontinentale.
Temi di dover investire tempo e risorse per cambiare strumento di analisi o, peggio ancora, multe o perdita di informazioni faticosamente raccolte?
Calma, leggi l’articolo e non saltare a conclusioni affrettate.
C’è veramente un rischio di sicurezza?
Oggi giorno non sembriamo far caso alla leggerezza con la quale concediamo i nostri dati, se non quando riceviamo le classiche telefonate commerciali dagli operatori delle varie utenze. Guardando al nostro orticello, condividere un’email non ci sembra poi tanto grave, ma quando i dati sono sparsi nella rete, tra tanti portali, e-commerce e siti vari, mettendoli insieme è possibile ricostruire le abitudini di chiunque.
La questione è che l’anonimizzazione dell’indirizzo IP non è poi una grande garanzia, secondo il Garante della Privacy, quando puoi (Google può) dedurre le informazioni e potenzialmente identificare un utente, semplicemente incrociando ulteriori dati legittimi provenienti da altre fonti.
I potenziali rischi per il singolo possono sembrare trascurabili, ma quando parliamo di scala globale, come nelle migliori spy-story, diventa una questione molto più complessa.
Allo stato attuale, le autorità governative e le agenzie di intelligence americane, avrebbero libero accesso ai dati dei cittadini dell’Unione europea.
Cosa sta succedendo e cosa devi fare
Se l’anonimizzazione dell’indirizzo IP non è sufficiente, è possibile che anche l’introduzione di Google Analytics 4 (GA4) non risolva il problema.
Ci sono diverse alternative conformi al GDPR che potresti utilizzare, ma il consiglio che ti diamo e che abbiamo dato ai nostri clienti è di aspettare.
Il caso è esploso il 28 giugno, quando il Garante della Privacy ha sollecitato la società Caffeina Media s.r.l. per la rimozione entro 90 giorni di Google Analytics. Il Garante si è quindi espresso non comminando alcuna sanzione, ma solo con un ammonimento e concedendo 90 giorni per “mettersi in regola”.
Per inciso, nel caso in cui tu avessi ricevuto una richiesta di cancellazione dei dati personali, raccolti da Google Analytics durante la navigazione sul tuo sito web, niente panico.
La richiesta è legittima e per evaderla, come abbiamo già provveduto a fare per i nostri clienti, è sufficiente rispondere che per procedere occorrono dati più specifici, in particolare il client_id, rilasciato da Google nel cookie (_ga), e la Classe IP.
Traiamo qualche conclusione
Anche se aspettare non è mai semplice, in questo caso, è l’unica cosa che conviene fare.
All’atto pratico, se hai ricevuto richieste di cancellazione, rispondi in totale serenità, ancora di più se sei un nostro cliente, visto che ci pensiamo noi.
Hai comunque 90 giorni per trovare un’alternativa a Google Analytics e se in questi 90 giorni l’Unione Europea riesce a trovare un accordo con gli Stati Uniti per il trasferimento e la gestione dei dati, tutto si risolverebbe senza che tu abbia mosso un dito.
Dal 25 marzo, infatti, UE e USA hanno aperto un tavolo per definire le regole per un corretto passaggio e trattamento dei dati, un’esigenza che, come suggerisce la data, era presente anche prima del caso Analytics.
La sicurezza dei dati è una questione seria, che potrebbe minare la reputazione e l’affidabilità di qualunque azienda, ecco perché è importante affidarsi a partner con le giuste competenze e i mezzi per agire prontamente, come noi di HotelNerds.
Hai mai valutato i tuoi processi per capire
se ci sono potenziali rischi di data breach?
Clicca e chiedi un consiglio a noi di HotelNerds
