Durante gli ultimi giorni abbiamo visto il Garante della privacy italiana allinearsi agli analoghi organismi di controllo della privacy europei nei confronti del più famoso ed utilizzato applicativo di analisi dati del mondo, Google Analytics (GA), definito non conforme al GDPR (General Data Protection Regulation).
Cosa viene accusato a GA? Non fornisce quelle garanzie previste dal Regolamento Ue in materia di protezione dei dati perché trasferisce queste informazioni su server che sono localizzati negli Stati Uniti, che è notoriamente un paese privo di un adeguato livello di protezione dei dati degli utenti.
In poche parole, se il nostro sito trasferisce dati a GA, una parte delle informazioni raccolte, quelle più sensibili, dall’ IP del dispositivo, alla lingua utilizzata, alla risoluzione schermo, sistema operativo, data e ora della visita al sito, verranno trasferite su data center residenti negli Stati Uniti e non in Europa come prevede il GDPR.
Perché ne parliamo
Il Garante della privacy, anche sulla base di quanto stabilito nei confronti della società Caffeina Media S.r.l. (90 giorni di tempo per adeguarsi), ha stabilito che non è possibile utilizzare Google Analytics garantendo la conformità prevista dal GDPR.
Quindi è palese che il Garante non interviene nei confronti della società di Mountain View, ma verso i gestori dei siti Web sui quali pende la responsabilità di non affidarsi a strumenti ritenuti non conformi alle normative vigenti.
Dichiara il Garante: “Il sito Web che utilizza il servizio Google Analytics (GA), senza le garanzie previste dal Regolamento UE, viola la normativa sulla protezione dei dati perché trasferisce negli Stati Uniti, Paese privo di un adeguato livello di protezione, i dati degli utenti”,
La risposta di Google a tutto questo trambusto è ben visibile su Analytic con la seguente dicitura: “A partire dal 1° luglio 2023, Universal Analytics non elaborerà più i nuovi dati nelle proprietà standard. Preparati oggi stesso configurando e iniziando a utilizzare una proprietà Google Analytics 4”.
Perché è importante
Date le condizioni fin qui esposte, i gestori dei siti web si trovano a dover affrontare una scelta spinosa, migrare a GA4 con la prospettiva di risolvere in parte il problema, oppure valutare un’alternativa a GA che sia realmente GDPR compliant e trasferisca i dati sensibili all’interno dell’area euro ed evitare in questo modo i provvedimenti che il Garante ha adottato verso Caffeina Media s.r.l., imponendo di adottare le misure adeguate per il trasferimento dei dati entro 90 giorni.
In caso contrario, alla scadenza dei termini non potrà più utilizzare Google Analytics e potrebbe essere applicata una sanzione amministrativa.
Di seguito un elenco delle alternative a Google Analytics:
Detto ciò passiamo a considerare le reali alternative a GA che siano compliant GDPR.
Cosa c’è da sapere: le alternative a Google Analytics
Matomo rappresenta la soluzione privacy-friendly più diffusa e popolare utilizzata su oltre 1 milione di siti Web in oltre 190 paesi .Tra le aziende ed organizzazioni più importanti che lo impiegano possiamo menzionare le Nazioni Unite, la NASA e la Commissione europea.
Matomo è una soluzione open source e gratuita se viene ospitato sui propri server, altrimenti è possibile adottare la soluzione in cloud che parte da €19 per 50.000 hits di traffico mensile.
I dati sono al 100% di proprietà degli utilizzatori e a differenza di GA gli utenti possono utilizzare in sicurezza l’analisi senza preoccuparsi che i dati vengano utilizzati per scopi di marketing.
Matomo è stato realizzato in ottica privacy-safe e questo consente di essere configurato nel rispetto delle principali normative privacy: GDPR, HIPAA, CCPA, LGPD e PECR.
Con Matomo possiamo fare tutto quello che facciamo di solito con GA, tracciare eventi, impostare UTM, Heatmap, funnel e flow tracking, definire cluster di clienti e tanto altro.
Il suo punto di forza sta nell’assistenza per l’utente.
Plausible Analytics rappresenta un’ altra valida alternativa open source a Google Analytics. Allo stesso modo di GA, Plausible traccia le informazioni attraverso uno snippet code da inserire nel proprio sito. Per impostazione predefinita i dati degli utenti sono privati, ma è possibile renderli pubblici attraverso un link che consente a chiunque di visualizzarli.
Come strumento di web analytics di tipo privacy-friendly, Plausible non utilizza cookie, non conserva dati sensibili ed è pienamente conforme al GDPR, CCPA e PECR. In oltre i dati vengono conservati in un data center localizzato in Europa. In una nota a margine, Plausible viene lanciato apertamente su GitHub.
Nonostante tutto è bene far presente che Plausible rispetto a Matomo manca di un supporto per gli utenti, tra l’altro viene sconsigliato per un utilizzo a livello enterprise.
Il modello di pricing utilizzato è quello per pageviews e il taglio minimo è di €9 al mese per un traffico di 10K pageviews.
Fathom Analytics rappresenta una soluzione alternativa a GA, open source e compliant GDPR, CCPA, ePrivacy, PECR.
Fathom aiuta i gestori di siti web a capire il comportamento dei visitatori senza spiarli e per questo motivo viene utilizzato da migliaia di aziende, dalle società di software bootstrapped alle aziende Fortune’s100 come IBM, Intel, Sony, Dell e Uber.
Fathom non utilizza cookies per raccogliere i dati degli utenti, si installa tramite un piccolo snippet che risulta essere molto più leggero di quello di Google e quindi ad impatto zero per quanto riguarda la velocità di caricamento delle pagine web.
Al pari di Google GA, Fathom traccia eventi, e gestisce gli UTM; inoltre può inviare informazioni via email, Telegram e Slack non appena il sito smette di rispondere ed è idoneo per il monitoraggio di soluzioni enterprise.
Anche per Fathom segnaliamo l’assenza di un supporto per gli utenti che non sia il classico forum dove attendere la risposta di un buon samaritano.
Anche per Fathom il modello di pricing utilizzato è quello per pageviews e il taglio minimo è di $14 al mese per un traffico di 100K pageviews per oltre 50 siti gestibili.
Smartlook rispetto alle alternative fino ad ora proposte, Smartlook non è proprio un web analytic quanto uno strumento per l’analisi del user behavior.
Al pari di Matomo, Smartlook può essere utilizzato sia per web che mobile e consente di combinare analisi quantitative e qualitative di vario genere, di registrare il comportamento dei clienti sul sito (alla stregua di Hotjar), di applicare oltre 30 filtri per effettuare segmentazioni molto dettagliate e profonde, di generare heatmap, tracciare eventi, funnel e molto altro creando dashboard customizzate e report inviate via email.
Rispetto GA, Smartlook non mostra alcun dato acquisito dagli utenti, ma solo la loro journey e la curva di apprendimento di questo strumento è abbastanza alta.
Nonostante tutto Smartlook viene utilizzato da importanti brand come Sky, Vogue, Sanofi ed è sia GDPR che PCI DSS compliant. Per una ulteriore tutela dei dati, viene utilizzato un’algoritmo di crittografia a 256 bit, l’AES-256.
La politica di pricing prevede un piano free fino a 1.500 sessioni di registrazioni al mese per poi passare al piano “start up” da €31 al mese, “Business” da €93 al mese ed infine “ultimate” da concordare.
Simple Analytics si presenta tra le alternative privacy-first a Google Analytics, per questo motivo la conformità con il GDPR (ma anche al CCPA e PECR) viene indicata come una delle caratteristiche principali della piattaforma.
Si tratta in buona sostanza di uno strumento di data visualization e data analytics che non fa utilizzo di cookies.
Tutti i dati raccolti vengono cifrati in modo che non possano essere letti da terzi estranei, non viene archiviato alcun dato relativo agli utenti che visitano i siti Web, tutti i server sono localizzati in Europa, nello specifico in Olanda e nessuna delle informazioni analizzate viene venduta per finalità di marketing.
Il modello di pricing inizia da €9 al mese con la soluzione “Starter”, poi €49 al mese “Business” e infine “Enterprise” €99 al mese.
Ninja Upshot
Le alternative a Google Analytics sono davvero tante nonostante il mercato sia dominato da Google con una quota dell’80% circa. Il provvedimento adottato dal Garante è di grande rilievo per il mercato italiano dove il tool del gigante tech è probabilmente il più utilizzato in termini di web analytics.
La stretta europea al colosso tecnologico non è, però, destinata a fermarsi.
“Sebbene a fine di marzo 2022 l’UE e gli USA abbiano annunciato il raggiungimento di un accordo post Privacy Shield, non esiste ancora una proposta concreta anche perché dati gli elevati standard di protezione dei dati richiesti dell’Unione Europea, non è così scontato che ci sarà mai”, afferma Maciej Zawadziński, CEO di Piwik PRO.
Sappiamo che nel frattempo Google ha annunciato che la versione Universal Analytics (UA) verrà ufficialmente eliminata a partire dal 1° luglio 2023 in favore del suo successore, Google Analytics 4 che comunque presenta ancora problemi in termini di privacy e conformità al GDPR per questo motivo non rappresenta un’alternativa al vecchio GA.
In conclusione, per essere sicuri di seguire le disposizioni del GDPR è fondamentale scegliere un fornitore europeo capace di garantire l’archiviazione dei dati crittografati in data center presenti sul territorio europeo.
Source: http://www.ninjamarketing.it/