Tramite il sito sono installati cookie di terze parti anche profilanti. Clicca su "OK" o nella pagina per accettare detti cookie. Per maggiori informazioni o disattivazione consulta l’informativa cookie. OK

GOOGLE ANALYTICS E I NUOVI SCENARI DELLA VALORIZZAZIONE DEL DATO

di Matteo Castelnuovo | 28/07/2022

Con il provvedimento del 23 giugno 2022, il garante della protezione dei dati in Italia, ha aperto anche nel nostro Paese una via alla concreta discussione sulla gestione del trasferimento dei dati a terze parti residenti nel continente americano. Una situazione complessa e delicata che, chiaramente, non ha impatti solo sul mondo degli Analytics, del digital Advertising, e del digital marketing più in generale, ma che con l’iper-digitalizzazione, che proprio in questi due anni ha conosciuto una grande accelerazione, può avere conseguenze anche su molteplici altri settori del business. Oltre che proprio sulla vita quotidiana e la privacy personale di ognuno di noi. Temi scottanti questi, a metà strada tra il GDPR e la Cybersecurity, che, a pochi giorni dal possibile attacco hacker che avrebbe coinvolto numerosi account italiani presenti sulla piattaforma dell’agenzia delle entrate e con il recente auspicio da parte delle istituzioni italiane della prossima firma di un accordo reale tra USA ed Europa sulla gestione della privacy dei dati, che potrebbe arrivare entro fine estate, cambiando nuovamente tutto lo spettro delle “regole del gioco”, sono ovviamente diventati di grande attualità. Motivo per cui abbiamo voluto comprendere meglio la situazione attraverso questa intervista all’avvocato Giovanni Di Stefano, Lead Focus Team di SAPG Legal Tech, e a Filippo Trocca, CIDO di Datrix Group, anche in vista della prossima edizione di AIXA – Artificial Intelligence Expo of Applications, la grande maratona dedicata all’applicazione dell’AI nel business, organizzata da Business InternationalFiera Milano e prevista a Milano, presso gli spazi dell’Allianz MiCo – Milano Convention Centre, il 15 e 16 novembre 2022.

Di Stefano, partiamo dal capire precisamente cosa è successo. Cosa ha portato il garante della protezione dei dati in Italia ha dare un input per il cambiamento delle regole del gioco in questo senso, se così possiamo dire?
E’ passato circa un mese dal 23 giugno, quando è stato emesso un provvedimento che ha dichiarato l’illegittimità, non tanto di Google Analytics, quanto della configurazione di Google Analytics adottata da parte di Caffeina sulla base del fatto che dal 2020, con la “Sentenza Schrems II”, non sono più possibili i trasferimenti di dati negli Stati Uniti. Questo perché il framework normativo, attualmente presente negli Stati Uniti, e in particolare la sezione 702 del Foreign Information Security Act, consente al governo americano di avere accesso libero ai dati che risiedono sui server dei cosiddetti internet service provider, come Google, Facebook, Microsoft 360. Sulla base di questa sentenza proposta da Maximilian Schrems, attivista molto noto nell’ambito della privacy, Noyb, che è una ONG attiva nel settore a livello europea per la difesa dei diritti sulla privacy, ha attivato una serie di richieste ai vari garanti europei e, quindi, questo provvedimento si innesta in una serie di altri provvedimenti emessi dal garante della protezione dei dati francese e austriaco. Il punto qual è? L’invio dei dati atti a riconoscere persone negli Stati Uniti, e in particolare l’indirizzo IP e altri dati simili, non è al momento possibile perché in America non vengono garantiti gli stessi diritti che vengono garantiti in Europa. Questo ha aperto una tematica per tutte quelle società che hanno attivato una digital transformation importante e che, magari, proprio per questo si trovano a utilizzare un tool come Google Analytics impostato con un tipo di configurazione non a norma. Motivo per cui si stanno cercando soluzioni per superare questo tipo di problema. Soluzioni individuate anche grazie all’intervento di tecnici come quelli di Datrix Goup che consentono di superare questo problema”.

Trocca, in questo senso, cercando anche di capire cosa implica questo cambio di approccio, cosa cambia per le aziende dopo questa decisione quindi?
Questa decisione del garante ha sicuramente tolto un velo su una situazione nell’ambito digital, e del digital advertising nello specifico, un po’ particolare, ovvero, il fatto che i principali operatori del settore siano americani. Avendo stabilito che quel mondo ha la capacità di riconoscere gli utenti anche attraverso altri segnali, il garante ha spostato quindi l’attenzione sul dato e su come viene gestito il dato in maniera molto importante. Google Analytics, in realtà, è solo la punta dell’iceberg. Il garante, infatti, ha parlato di Google Analytics perché Noyb ha fatto 101 segnalazioni in tutta Europa parlando di Google Analytics e quindi il garante ha iniziato a rispondere su quello, ma ci sono altrettante segnalazioni che riguardano per esempio Facebook Connect, e altre simili, su cui si attende risposta anche da altri garanti. Però, diciamo che l’aspetto di esportazione dei dati è quello che ci interessa di più. Su Google Analytics in realtà è una situazione che può essere risolta perché per esempio, con GA4, Google stessa non salva più l’informazione personale sotto inchiesta, vale a dire l’IP, ma puntualmente possiamo aggiungere livelli di controllo, come soluzioni server side, e io stesso possiamo andare a decidere cosa condividere con Google da Google Analytics. In particolare il garante francese ha posto anche delle linee guida su cosa andare ad eliminare. Quindi, lato Google Analytics, seguendo cosa dice il garante francese e quello che insieme a SAPG Legal Tech, per esempio, abbiamo creato all’interno del Gruppo Datrix come descrizione, abbiamo notato che, utilizzando Google Tag Manager Server Side – che, per spiegare cos’è anche ai non addetti ai lavori, possiamo definire come una macchina che prende le informazioni raccogliendole mentre l’utente naviga sul nostro sito, le gestisce e determina di non mandare l’IP a Google Analytics e poi, può decidere se mandare o meno altre informazioni, come lo user agent, la risoluzione dello schermo, o il riconoscimento del single click dell’utente sul sito – abbiamo la possibilità concreta di non esportare più i dati verso gli Stati Uniti. Il fatto è che, mentre con Google Analytics posso farlo, ed è la punta dell’iceberg come dicevamo prima, ci sono tante altre piattaforme del mondo advertising con cui questo non può essere fatto, ma che continuano ad esportare dati verso gli Stati Uniti. Se non viene trovata una soluzione politica a questa situazione, noi possiamo cercare di gestire questi aspetti con risoluzioni tecniche palliative, ma il problema reale non verrà risolto e ciò che va fatto in questo senso è sensibilizzare le aziende a capire che hanno questi dati e che devono lavorarli, raccoglierli e gestirli nella maniera giusta. Una soluzione completamente compliant non esiste e quindi bisogna lavorare su come l’azienda gestisce il dato e prepararsi alle varie soluzioni, ma è necessario anche parlare con il mondo politico, affinché una vera e unica soluzione venga presa. Come sappiamo, in ogni caso, la presidentessa della Commissione Europea e il Presidente degli Stati Uniti hanno detto che stanno lavorando a un accordo, ma sui tempi ancora non si hanno garanzie”.

Guardando al futuro – anche in relazione agli accordi che si stanno cercando di creare tra Stati Uniti ed Europa – Trocca, quali sono gli scenari e magari anche le tecnologie, come l’AI, che potranno aiutare alla creazione di nuovi e migliori sviluppi in questo senso?
In questo momento, ovviamente, lato tech, la privacy è diventata un tema sempre più importante. Abbiamo il mondo dell’AdV che sta dicendo: “come abbiamo lavorato finora non va bene, va cambiato e non possiamo più seguire l’utente in questo modo”. Quindi, abbiamo Google con la sua privacy sandbox e altri player con le loro soluzioni che stanno lavorando su come raccogliere un dato personale ed elaborarlo attraverso l’aiuto di nuove tecnologie che, non usando dati personali, permettono di migliorare buona parte dei business case che vengono oggi gestiti utilizzando i dati delle persone. Un primo passo concreto in questa direzione sarà la scadenza data da Google e posta al 2023, con lo spegnimento dei third party cookie, che è una tecnologia non privacy oriented. Il fatto è che queste nuove tecnologie e strumenti, che si stanno sviluppando, sono ancora in fase di test e non si può confermare che funzioneranno al 100%, ma quello che possiamo dire è che si stanno portando avanti soluzioni tecnologiche su base di intelligenza artificiale che potrebbero avere degli impatti fortissimi sul mercato e che avranno anche ricadute in altri ambiti, in particolare allenando algoritmi di machine learning al rispetto della privacy degli utenti”.

Di Stefano, invece, da un punto di vista regolatorio globale, quali potrebbero essere gli scenari futuri?
Il tema fondamentale è l’accordo tra Europa e Stati Uniti. Il fervore sul trasferimento dei dati, ovviamente, è dato dal fatto che internet stesso si basa su questo. Se non ci fosse un accordo politico, quello che si potrà fare, come diceva Filippo, sarà lavorare sulle singole aziende. Questo significa che, ad esempio, tramite sistemi di AI si proverà a mantenere il dato clean sulla parte dell’utente e del cliente in Italia e in Europa, evitando di esportare il dato negli Stati Uniti, anche se, come dicevamo prima, non sempre è possibile fare questo. Nel settore dell’AdV, ad esempio, il protocollo real time meeting funziona su tutto il mondo ed è impensabile in questa fase non trasferire le informazioni come l’IP anche in USA, ma su altre situazioni, come quella identificata precedentemente con Google Analytics, la proxyfication, ovvero utilizzare strumenti che si frappongano tra Europa e Stati Uniti, modificando i dati e cambiandoli per pseudonimizzarli, non consentendo a Google o ad altri soggetti che si trovino negli Stati Uniti di individuare un singolo utente e quindi ottenere accesso a quella che è la sua navigazione e sapere i suoi interessi (con una conseguente e importante violazione della privacy), diventano elementi essenziali. In futuro pertanto le aziende dovranno lavorare soprattutto in ottica di compliance sull’accountability, quindi, sull’essere in grado di rendicontare che queste misure siano state adottate e funzionino. Motivo per cui, sono due gli approcci da considerare: uno politico, sperando a un accordo, e l’altro pragmatico, adeguandosi in tempi ragionevolmente stretti alla situazione, affinché questi dati rimangano nell’UE dove ci sono leggi che consentono la tutela dei diritti degli interessati. Ove questo non fosse possibile, sarà sempre più necessario, quindi, ragionare su altre soluzioni per cercare di continuare a valorizzare i dati”.