Google analytics è il più usato sistema di statistiche online gratuitamente messo a disposizione dal Big G.
E’ anche praticamente lo strumento indispensabile per chi vuole acquistare click (Google ads) e tracciare le conversioni.
Analytics è a tutti gli effetti uno strumento (software as a service) ideato per la profilazione dei visitatori di un sito web, sviluppato negli USA dove non si applica il GDPR.
E’ proprio per questo motivo che i Garanti della privacy degli stati europei stanno uno dopo l’altro dichiarando illegittimo tale strumento di analisi non tanto perchè sia uno strumento di profilazione, che sarebbe comunque bypassabile con il consenso sul cookie banner, ma per il trasferimento dei dati all’estero.
La questione dei cookie di profilazione e del cookie banner:
Il GDPR prevedere il divieto di profilare, a meno che l’interessato esprima la volontà di essere profilato con il proprio consenso, che per essere valido deve essere liberamente espresso, specifico ed informato.
Se il cookie banner fosse a norma, l’interessato dovrebbe poter scegliere se ricevere il cookie _ga (Google Analytics) premendo su OK oppure su una X delle pari misure per non accettarlo, Voi cosa fareste?
Evidentemente in molti sceglierebbero l’opzione X, quindi a cosa servirebbe la profilazione se inesatta e nemmeno veritiera nell’elaborazione delle statistiche?
Il trasferimento di dati all’estero:
Tutti i pareri dei Garanti, in ultimo del Garante italiano (Prof. Stanzione) fondano l’illecito sul fatto che accettando il cookies _ga si permette a tutti gli effetti la lettura di alcuni parametri di colui che ha accettato e che tali informazioni (es. provenienza, ip, data ora ultima vista ecc.) vengano trasferite ai datacenter di Google, negli USA, dove il GDPR e quindi le garanzie dei diritti e delle libertà dei cittadini europei non godono di un equivalente garanzia.
Tale garanzia, in effetti, per un accordo UE – USA era garantita da un patto detto Privacy Shield, un accordo che permetteva alle aziende statunitensi di trattare dati degli europei applicando volontariamente il GDPR, tale accordo è però sfumato il 16 giugno 2020 per effetto della sentenza Shrems II.
Le alternative a Google analytics:
Le Pubbliche amministrazioni non solo non devono trasferire dati all’estero, non solo per il considerando 47 del GDPR non possono legittimare un trattamento sul consenso, quindi non possono implicitamente utilizzare la profilazione e il cookie banner per la raccolta del consenso, dovranno inoltre attenersi alle regole dettate dall’Agenzia per l’Italia digitale (Ag.ID) che richiede l’uso di fornitori di servizi/piattaforme/infrastrutture in cloud qualificati da Ag.ID ritenuti sicuri dal punto di vista della sicurezza.
Agid stessa ha rilasciato WAI (Web Analytics Italia), gratuitamente utilizzabile dalla P.A.
www.shinystat.it è un altro sistema di statistiche sviluppato in Italia utilizzabile da privati e aziende.