A seguito del recente provvedimento del Garante della Privacy relativo all’assenza di compliance GDPR di numerosi strumenti di digital marketing, stiamo studiando attentamente l’origine, le implicazioni e le possibili soluzioni della vicenda.
Si è fatto tanto parlare di uno specifico tool, ma Google Analytics è solo la punta dell’iceberg.
Il fulcro della questione, infatti, non sono le singole piattaforme in sé, ma tutto il tema del trasferimento dei dati personali degli utenti tra Paesi che non hanno le stesse tutele dal punto di vista della privacy, nella fattispecie Unione Europea e Stati Uniti d’America.
Storia ed evoluzione della normativa sul trasferimento di dati personali all’estero
Il 23 Giugno 2022 il Garante della Privacy italiano pubblica un comunicato stampa in cui rende pubblica l’analisi della configurazione di Google Analytics del sito di Caffeina Media Srl, ritenendola non conforme alla GDPR. Questa decisione ricalca concettualmente quelle del garante della privacy francese e austriaco, che di recente si sono pronunciati con sentenze analoghe nei loro Paesi.
Perché quella configurazione non è compliant? Dobbiamo fare un passo indietro di qualche anno e comprendere l’iter che ha portato a questo stato dell’arte.
2010
Tutto parte dalle vicissitudini di Schrems, nel 2010: Maximilian Schrems, giovane laureato di giurisprudenza e cittadino austriaco, si reca all’Università di Santa Clara negli USA per un Master. Qui incontra un giovane executive di Facebook, Ed Palmieri, che lì tiene una lezione sul tema della privacy. Schrems considera l’intervento di Palmieri manchevole o poco accorto: Facebook dimostra di non conoscere molte regole della privacy europea, e così parte la prima azione legale.
Maximilian chiede a Facebook di avere accesso a 1200 contenuti della sua pagina personale, ciò che oggi conosciamo come diritto di accesso, che fa parte dei diritti di privacy dell’utente, come quello di opposizione, di aggiornamenti dei dati, di limitazione del trattamento, di portabilità e di cancellazione.
Questi diritti sono ciò su cui sta facendo un’azione massiva oggi Federico Leva, inviando richieste ad aziende italiane per far valere i propri diritti di privacy.
Tornando al 2010, Schrems riceve da Facebook un CD con 1200 pagine di dati personali: scopre così che la Big Tech non ha cancellato molti contenuti che lui aveva rimosso, quindi Facebook non rimuove i contenuti secondo la volontà dell’utente, li conserva. Diciamo che è stata una Schrems 0: 22 “accuse” mosse da Maximilian a Facebook e presentate al Garante irlandese.
2012
Lord Richard Allan, allora capo della policy europea di Facebook, comprende che l’intuizione di Maximilian è rischiosa: Schrems viene convocato e nel 2012 gli propongono un posto di lavoro, che lui rifiuta.
2013
Di lì a poco, inizia Schrems I: la prima vera causa sul tema dell’esportazione dei dati UE-US: questa causa, che durerà diversi anni, dice che va cristallizzato il divieto del trasferimento dati, prima normato da un accordo internazionale chiamato Safe Harbor.
2015
Il tema arriva sotto le luci della ribalta, anche in virtù delle rivelazioni di quegli anni di Edward Snowden su come i dati personali dei cittadini venissero gestiti al Governo americano in maniera errata, con la violazione del FISA (Foreign Intelligence Surveillance Act), atto normativo americano che regolamenta la sorveglianza che l’Istituzione statunitense può esercitare sui cittadini non americani. Com’è noto, dopo ben 7 anni il Governo americano dette ragione a Snowden.
Sempre nel 2015, la Corte di Giustizia dell’Unione Europea stabilisce l’invalidità del Safe Harbor, dando ragione a Schrems I.
2016
Immediatamente dopo, entra però in vigore il Privacy Shield, nuovo patto governativo che regola la privacy inter-country, che ricostruisce un accordo “tampone” tra UE e USA.
Di fatto, il Privacy Shield è stata una decisione politica necessaria per far funzionare l’economia e i servizi. Purtroppo, ammette che il Presidente degli USA possa decidere di accedere ai dati personali di cittadini, sia americani che non, senza bisogno di un ok a procedere da parte di un giudice.
2018
Il tutto si acuisce nel 2018, quando entra in vigore il GDPR.
2020
Con la sentenza Schrems II si definisce l’invalidità del Privacy Shield, così come era stato per il Safe Harbor, che risulta per la Corte di Giustizia non compatibile con il GDPR.
Non solo per mano di Schrems ma anche insieme a Noyb (European Centre for Digital Rights, un’organizzazione no-profit europea con sede a Vienna, fondata nel 2017), partono 101 reclami a 30 garanti della privacy in UE, verso grandi società che non rispettano la privacy degli utenti.
2022
Le autorità, a distanza di due anni, iniziano a pronunciarsi sulla questione, dando di fatto ragione a Schrems.
Si auspica ora un nuovo accordo tra UE e USA, che dovrà però rispettare e tutelare davvero la privacy degli utenti e non una nuova soluzione “palliativa” come era stato il precedente Privacy Shield, normando correttamente l’accesso alle informazioni personali da parte di aziende, governi e servizi segreti.
Il Garante della Privacy italiano, così come le altre autorità europee, può solo notificare la cosa alle aziende colte “in fallo”, che avranno 90 giorni di tempo dalla segnalazione formale – come avvenuto per Caffeina Media Srl, ad esempio – per adeguare i propri sistemi.
Questo, quindi, non implica affatto – come erroneamente molti hanno affermato sul web e sui social in queste settimane – che tutte le aziende hanno un tempo limite di 90 giorni per adeguarsi.
E non implica nemmeno che la soluzione debba arrivare dalle Istituzioni: non sta al Garante suggerire tecnicamente cosa fare per rendere i propri strumenti a norma o quali tool dismettere, questo sta agli specialisti del digital, come noi di ByTek.
Esportazione dei dati: cosa si intende per informazioni personali e quali sono le conseguenze sul marketing delle aziende
La caduta del Privacy Shield comporta delle conseguenze: non è più possibile esportare dati personali di cittadini europei verso gli Stati Uniti.
Scritto così sembrerebbe una cosa lontana dalla vita di tutti i giorni, ma per capire le implicazioni è necessario capire cosa sia un dato personale:
Che cosa sono i dati personali
“Sono dati personali le informazioni che identificano o rendono identificabile, direttamente o indirettamente, una persona fisica e che possono fornire informazioni sulle sue caratteristiche, le sue abitudini, il suo stile di vita, le sue relazioni personali, il suo stato di salute, la sua situazione economica, etc..” (Fonte: “Cosa intendiamo per dati personali” dal Garante)
In base a questa definizione, l’indirizzo IP dell’utente è ritenuto un dato personale, ma anche un insieme di altri dati che presi singolarmente non permettono di riconoscere l’utente, ma in gruppo invece lo permettono. Proprio su quest’ultimo punto che si basa la mancata compliance di Google Analytics:
“Nel dichiarare l’illiceità del trattamento è stato ribadito che l’indirizzo IP costituisce un dato personale e anche nel caso fosse troncato non diverrebbe un dato anonimo, considerata la capacità di Google di arricchirlo con altri dati di cui è in possesso” (Fonte: Google: Garante privacy stop all’uso degli Analytics. Dati trasferiti negli Usa senza adeguate garanzie)
Andiamo ad approfondire questo concetto chiave esposto dal Garante: l’IP è un dato personale, quindi non può essere esportato verso gli Stati Uniti.
Questo significa che qualunque piattaforma che archivia e gestisce l’IP dell’utente gestisce dati personali, ma l’indirizzo fisico del computer che stiamo utilizzando (IP) è alla base del protocollo TCP/IP: per leggere questo articolo un server o più server hanno letto il vostro IP per mettervi in comunicazione con il server che ospita l’articolo, ognuno di quei server potrebbe salvare per motivi statistici il vostro IP e se tale server è di proprietà di un’azienda americana, tale gestione non è compliant con la GDPR. In gergo tecnico, CDN, Hosting e Cloud Platform possono non essere compliant se salvano l’IP dell’utente anche solo per report statistici.
Che cosa significa per il mondo Digital
In questa logica, tutte le piattaforme di Advertising e i loro tag/pixel non sono compliant, perché sicuramente salvano l’indirizzo IP dell’utente e sicuramente utilizzano altri segnali raccolti per riconoscere lo stesso, quindi gestiscono dati personali, ed essendo le principali piattaforme di advertising di proprietà americana è facile immaginare le conseguenze:
- Non possiamo più misurare le performance dell’advertising, perché i pixel di conversioni utilizzano dati personali e, ad oggi, anche le funzioni di conversion import usano elementi che possono ricondurre al singolo utente, come il click tracking di Google Ads;
- Non potendo più tracciare le conversioni, non potremo più fare advertising come oggi, spostando la capacità di ottimizzazione ai modelli di bidding sempre più performanti, dovremo tornare alla gestione manuale o a processi di ottimizzazione automatica basati sul traffico e sull’esposizione;
- Non possiamo più fare attività di remarketing (in questo caso la stessa attività prevede di riconoscere un utente che ha navigato su un sito di nostra proprietà, su siti esterni);
- Non possiamo più monetizzare con le piattaforme di programmatic advertising il traffico sui nostri siti;
- Non possiamo più utilizzare tutte quelle tecnologie di misurazione delle conversioni con i dati di prima parte (come Google Ads Enhanced Conversion o Facebook Conversion API) perché chiaramente stiamo inviando un dato personale dell’utente;
- I publisher dovrebbero trovare un adserver diverso da Google Ad Manager (che per ovvi motivi vede l’IP dell’utente) e cercarne uno europeo oppure gestirsi in autonomia i server con qualche progetto open source. Naturalmente in questo caso lo potrebbero fare solo per vendita diretta di spazi pubblicitari, dimenticando tutte le soluzioni più avanzate usate oggi perché il programmatic advertising condivide per ovvie ragioni un identificativo dell’utente e informazioni relative ad esso e, quindi, utilizza dati personali che sicuramente sono esportati negli USA in quanto le principali piattaforme di monetizzazione sono americane.
La situazione non è rosea e anche le proposte tecnologiche che sostituiscono i 3rdParty cookie sono al momento ancora acerbe, difficile dire per certo che non esportino dati personali. In Germania sono stati dichiarati non compliant anche Office 365 di Microsoft e l’Irlanda ha fatto sapere che anche Facebook sta rilevando problemi.
All’inizio della bagarre, le principali testate giornalistiche si sono concentrate solo su Google Analytics, come se fosse questa specifica tecnologia il problema ma, come descritto sopra, la situazione è molto diversa.
Anzi, in realtà Google Analytics è una tecnologia che potrebbe anche essere compliant attraverso un Tag Manager server-side, che permette di nascondere l’IP dell’utente ai server di Google e di anonimizzare altre informazioni che non permettono, quindi, di riconoscere l’utente. Come affermato dall’Avv. Guido Scorza durante l’intervista che ci ha concesso, insieme agli amici di Web Marketing Festival: “Google Analytics è solo la punta dell’iceberg di una situazione molto più complicata”.
Le possibili soluzioni per minimizzare il rischio di esportazione di dati personali verso gli Stati Uniti
Qui di seguito trovate le possibili soluzioni che abbiamo elaborato studiando a fondo la materia, con le loro caratteristiche di compliance e implementazione:
Esiste una soluzione completamente compliant e che non potrà mai essere attaccata anche dalle attuali normative, che prevede di bloccare completamente il data trasfer verso gli Stati Uniti. In pratica, la terza colonna della tabella qui sopra, che si compone di:
- Mappatura completa sistemi di raccolta del dato e check data transfer
- Rimozione di TUTTI i sistemi che applicano data transfer
- Installazione di un sistema di data analytics con dati in EU
- Rimozione di tutti i pixel pubblicitari
- Refactoring completo delle campagne di advertising con approccio manuale senza dati di conversione
Quali sarebbero gli impatti e i costi di questa soluzione full-block? Per darvi un’idea dei costi, abbiamo stimato per un cliente di media grandezza dovrebbe investire tra i 150.000 e 250.000 euro per mettere live una soluzione che:
- Non permette di ottimizzare i bidding delle campagne usando strategie di bidding automatiche delle piattaforme, ma cerca di imitarle con enormi limitazioni;
- Non permette di vedere i dati di conversione all’interno delle piattaforme di advertising ma solo su un sistema di digital analytics sviluppato in Europa (Matomo, Piwik Pro, etc.);
- Non permette di utilizzare strategie di remarketing
Come Bytek siamo pronti a sostenere scelte full compliant, abbiamo studiato come mitigare gli ovvi problemi e come ottimizzare le attività di advertising in modalità blind, ma ci sentiamo di sconsigliare questa scelta, orientandosi alla minimizzazione del rischio e adottando soluzioni che in Google Analytics non permettano di esportare verso gli Stati Uniti né l’IP né altri segnali che possano essere utilizzati per identificare l’utente.
Qual è la vera soluzione per essere GDPR Compliant
Il problema non è trovare una “pezza” tecnologia all’attuale investigazione del Garante, ma capire come risolvere il problema alla radice, altrimenti il mondo del digital advertising si troverà in un perenne stato di incertezza, poiché tecnologie come i pixel di advertising oggi non possono essere rese compliant. L’unica vera soluzione è politica, se non vogliamo fare un passo indietro tecnologico importante.
Del 25/7 la notizia, da una live tenuta dall’Avv. Scorza stesso per 4eCom, che il presidente degli USA dovrebbe, nel giro di poche settimane, pubblicare un executive order, con l’obiettivo di normalizzare momentaneamente la situazione del trasferimento dei dati tra Europa e USA, in attesa di un accordo completo.
Pensiamo ci sia la necessità per il digital advertising europeo di compattarsi in un’azione di lobbying, affinché l’Europa faccia pressione per avere un accordo con gli USA che sia reale e tutelante per tutti, utenti e aziende, non un agreement “di facciata” come il Privacy Shield, demolito da Schrems in pochissimo tempo.
Inoltre, auspichiamo un progetto dell’UE affinché le soluzioni di cloud computing europee possano crescere e fare quadrato: il dato è chiaramente il prossimo campo di battaglia, la GDPR ha fatto scuola, dunque vorremmo diventare un esempio per il resto del mondo anche nella gestione del dato operativo.
