GDPR e Google Analytics
Utilizzi Google Analytics per raccogliere informazioni sugli utenti che visitano il tuo sito web?
Se la risposta è sì ti consiglio di spendere due minuti del tuo tempo per leggere questo articolo in cui ti forniremo delle preziose informazioni sulla conformità di Analytics alla normativa GDPR, informazioni che ti potrebbero salvare da pesanti sanzioni. È molto probabile, infatti, che utilizzando Google Analytics tu stia commettendo delle gravi infrazioni agli occhi della GDPR.
Perché? Semplice, lo strumento di analisi più famoso del web, così com’è, NON è aggiornato alla GDPR.
Per renderlo GDPR Compliant è necessario apportare delle modifiche alle impostazioni di base che ti illustreremo nei prossimi paragrafi. Prima però facciamo chiarezza sul motivo per cui Analytics nella sua versione “originale” non supera i test in ambito privacy.
Come dichiarato dal Garante, i cookies analitici che possono essere diffusi anche a terzi sono esenti da obblighi in ambito privacy qualora il potere identificativo del cookie sia ridotto attraverso appositi strumenti, e la terza parte che ne entra in possesso non incroci le informazioni contenute nei cookies con informazioni di cui già dispone.
Sebbene Analytics rientri in questa categoria, in quanto le informazioni raccolte attraverso i cookies sono messe a disposizione di Google e/o dei suoi partner, non rispetta nessuno dei requisiti appena descritti. Come fare quindi? Se ti stavi già preparando a dire addio al tuo account Analytics, ti farà piacere sapere che non è necessario. Esistono infatti tre possibili soluzioni che ti permetteranno di continuare a raccogliere preziose informazioni per il tuo business senza rischi.
1) RICHIESTA DEL CONSENSO
Il metodo forse più tradizionale ed ovvio consiste nel chiedere il consenso all’utente per il trattamento dei dati. Il consenso si ottiene attraverso il click su un apposito tasto “ACCONSENTO” presente nella barra dei cookies. Tutto qua? Ebbene se si sceglie questa prima opzione, ci sono delle importanti considerazioni da tenere in mente. Prima di tutto è chiaro che non sarà possibile raccogliere informazioni sino a quando l’utente non deciderà, e soprattutto se deciderà, di darci il suo agognato benestare. Inoltre la legge prevede che il consenso sia esplicito ed informato.Non basta che la barra dei cookies venga visualizzata dall’utente, in quanto esplicito significa che i cookies devono essere installati solo ed esclusivamente ad accettazione ricevuta. Per informato invece si intende che il messaggio in cui vengono veicolate tutte le informazioni che portano l’utente a decidere se approvare il trattamento o meno, deve essere redatto con un linguaggio chiaro e comprensibile. “Come faccio a sapere se il testo che ho redatto può essere considerato comprensibile?”, ti starai chiedendo. La comprensibilità di un testo è soggettiva, motivo per cui questo metodo è molto rischioso, considerando la possibilità di controllo da parte delle autorità, perché tutto dipenderebbe da un parametro altamente variabile.
2) MODIFICA DELLO SCRIPT
Decisamente più sicuro è il metodo che ti proponiamo ora. Si tratta dell’ anonimizzazione dell’indirizzo ip, ossia un comando che diamo a Google attraverso un codice con cui gli diciamo di nascondere una parte dell’indirizzo ip dell’utente. Con l’anonimizzazione viene nascosta solo una parte dell’indirizzo, quindi sarà comunque possibile conoscere l’origine geografica delle visite che riceviamo. Per fare ciò ti basterà entrare nella sezione Amministrazione del tuo account Analytics, nella colonna Proprietà clicca su Informazioni sul monitoraggio e poi su Codice di monitoraggio. A questo punto troverai il codice di monitoraggio del tuo sito che sarà più o meno così:
window.dataLayer = window.dataLayer || []; function gtag(){dataLayer.push(arguments);}
gtag(‘js’, new Date());
gtag(‘config’, ‘UA-XXX-X’);
Ti basterà aggiungere questa “formula” nella riga config:
, { ‘anonymize_ip’: true }
Otterrai quindi:
window.dataLayer = window.dataLayer || []; function gtag(){dataLayer.push(arguments);}
gtag(‘js’, new Date());
gtag(‘config’, ‘UA-XXX-X’, { ‘anonymize_ip’: true });
3) EVITARE CHE GOOGLE UTILIZZI I DATI CHE COLLEZIONI
Altro accorgimento fondamentale sta nel modificare le impostazioni dell’account in modo che le informazioni che hai raccolto non vengano condivise con altre piattaforme Google. Dal tuo account Analytics entra su Amministrazione, clicca su Impostazioni Account e deseleziona tutte le voci.
In questo articolo ti abbiamo fornito le soluzioni che tu stesso puoi applicare al tuo profilo Analytics per essere in regola con la GDPR. Inutile dire che esistono moltissimi altri aspetti che devono essere adeguati con la normativa per cui è indispensabile l’intervento di figure qualificate. La privacy non è uno scherzo e con la nuova legge il rischio di commettere infrazioni è molto più alto e reale di quanto tu immagini. Adeguarsi al GDPR è fondamentale per evitare sanzioni ma anche, e soprattutto, per proteggere la propria azienda da attacchi informatici, furti di dati o diffusione involontaria a causa di errore da parte dell’operatore. Basti pensare alla possibilità di furto di pc o altri dispositivi mobili o, come ci è capitato di affrontare, nel caso in cui un dipendente per errore invii via mail dei documenti con dati particolari, lasciando in copia una lista di indirizzi a cui non è destinata la comunicazione.
