Quale futuro per la tracciabilità dei dati?

Negli ultimi mesi, i garanti della privacy europei sembrano aver dichiarato guerra ai sistemi di tracciamento che consentono di monitorare i risultati delle attività digitali. In particolare, a Google Analytics, la piattaforma di analisi che permette di analizzare le visite ai siti web, secondo alcune interpretazioni violerebbe il GDPR (Regolamento Europeo per la Tutela dei Dati personali).

Il Regolamento, è bene ricordarlo, riguarda anche le imprese svizzere perché si concentra sull’utente che naviga il sito. Quindi se un’azienda australiana, svizzera o canadese fa una campagna di web marketing in cui tratta dati di cittadini UE, è soggetta al GDPR quanto un’azienda italiana, francese o tedesca. Le imprese ticinesi sono particolarmente coinvolte, perché la maggioranza di esse (in particolare quelle legate ad accoglienza e turismo) si rivolge anche al pubblico italiano. Ed è proprio l’Italia ad essere tra i maggiori protagonisti di questa vicenda, che rischia di destabilizzare molte attività digitali già in corso e rendere decisamente più complesse quelle a venire.

Ma cosa è successo esattamente? Ecco una breve analisi. Il 9 giugno scorso il garante della Privacy Italiano ha emesso un provvedimento con cui sembra considerare illegale Google Analytics. La pietra dello scandalo è la denuncia contro una nota società che pubblica contenuti editoriali sul web, “rea” di aver raccolto e trasferito i suoi dati a Google LLC “in assenza delle garanzie previste dal capo V del GDPR”. Si tratta del paragrafo che disciplina i trasferimenti di dati verso “Paesi terzi” ovvero al di fuori dello spazio economico europeo: in sintesi, sono ammessi solo se il Paese ricevente garantisce un livello di protezione adeguato a quello europeo. I Paesi considerati conformi al GDPR sono elencati in una lista ufficiale, che include anche la Svizzera. Ma, incredibile a dirsi, gli USA sono considerati “non adeguati”. La patria delle più importanti aziende digitali attive a livello globale, da cui sono partite le maggiori innovazioni, non è più considerata compliant dal 16 luglio 2020, quando, con la sentenza Schrems II, la Corte di Giustizia Europea ha dichiarato invalido l’accordo Privacy Shield che regolamentava il traffico di dati tra Europa e Stati Uniti. L’accordo, in vigore dal 2016, succedeva a Safe Harbour, a sua volta affossato nel 2015 in seguito alla sentenza Schrems I.

Cosa ha portato a una decisione così radicale? Le leggi statunitensi, in primis il Patriot Act, concedono ampia discrezionalità alle agenzie di intelligence, come CIA, NSA o FBI: in caso di sospetta minaccia per la sicurezza nazionale, possono esaminare i dati contenuti nei server di qualunque azienda che abbia sede negli Stati Uniti, anche se appartengono a cittadini stranieri, e senza autorizzazione da parte di un tribunale. Questo, in teoria, significherebbe avere accesso a informazioni molto delicate, come lo stato di salute, l’orientamento sessuale o politico, il credo religioso, ma anche abitudini alimentari, situazione sentimentale, genitorialità, ecc.. L’apprensione di Bruxelles è comprensibile: il Patriot Act è stato duramente contestato anche in patria, e per questo “addolcito” nel corso degli anni, ma senza scardinare i punti più controversi.

Questa situazione ha portato a uno stallo geopolitico che dura da due anni. La soluzione sembra ancora lontana, nonostante l’“accordo di principio” ottimisticamente annunciato la scorsa primavera da Joe Biden e Ursula Von Der Leyen.

In questo contesto, la decisione dei garanti europei sembra voler spingere al raggiungimento di un’intesa. A farne le spese è però l’intera economia digitale, a cominciare proprio dalle Big Tech. Già lo scorso febbraio, Meta (nuovo nome della holding che include Facebook e Instagram) aveva scritto un’accorata lettera alla Sec, l’autorità statunitense di vigilanza per il mercato e la borsa valori, lamentando che in assenza di una nuova regolamentazione per il flusso dei dati tra Europa e Stati Uniti, «non saremo più in grado di offrire alcuni dei nostri prodotti e servizi più importanti, compresi Facebook e Instagram in Europa, fatto che influirebbe materialmente e negativamente sulla nostra attività, sulla nostra condizione finanziaria e sui risultati delle nostre operazioni» (frase riportata da varie fonti stampa tra cui il noto blog di tecnologia Mashable).

Google non è rimasto a guardare. Consapevole che la piattaforma Google Analytics presentava dei limiti tecnici per la compliance al GDPR, ha lavorato al rilascio di una nuova versione, completamente rinnovata e potenziata, pronta per essere compliant: Google Analytics 4. La nuova release, se correttamente configurata, permetterebbe di continuare le attività di tracciamento nel rispetto della normativa. Ma solo se viene raggiunto un accordo politico tra Washington e Bruxelles: se non fosse così, il mero utilizzo di piattaforme e software Made in USA che comportano passaggio di dati a server sul territorio statunitense potrebbe diventare passibile di sanzione. Quindi non solo Google Analytics: il problema si porrebbe anche, a titolo d’esempio, per gli spazi cloud come Google Drive, Dropbox, Microsoft One Drive; per soluzioni di marketing automation come Hubspot; per programmi di messaggistica come Whatsapp; e per tutti i social media, incluso Linkedin!

Un bel problema per chiunque lavori o promuova la sua attività attraverso il Web. Le Big Tech statunitensi hanno conquistato una posizione di mercato pressoché dominante e la loro adozione diventa una specie di scelta obbligata, dal momento che non esistono competitor europei in grado di tenergli testa. Come alternativa a Google Analytics viene spesso citato Matomo, software di tracciamento tedesco che è stato indicato come possibile alternativa anche dal severissimo CNIL, il garante francese. Un ottimo strumento, indubbiamente, ma che non può eguagliare la potenza di fuoco di una suite di strumenti digitali creata da una delle tech companies più potenti del pianeta.

Quindi, cosa fare? La soluzione non è certamente tornare a penna e calamaio. Possiamo invece vedere in questa complessa situazione un’opportunità: se non abbiamo ancora iniziato a rivedere i nostri processi digitali in funzione della nLPD e del GDPR, è arrivato il momento di farlo. Soprattutto se il nostro mercato trascende i confini svizzeri. Si tratta di un cambiamento da non sottovalutare: non si tratta di inserire un banner sul sito ma di rivedere completamente i metodi di raccolta e trattamento dati online e offline. Un percorso in cui è meglio farsi affiancare da un legale specializzato in materia, e in cui tutta l’azienda deve sentirsi pienamente coinvolta. Le decisioni in materia non potranno più essere delegate interamente a terzi (per esempio, le web agency) ma andranno prese intorno ai tavoli aziendali. Anche per questa ragione, la formazione sui temi del digitale deve diventare una priorità: per prendere le decisioni giuste, è indispensabile una conoscenza approfondita della materia. Una conoscenza vista però dalla parte dell’impresa, che trascende i tecnicismi e si concentra maggiormente sugli aspetti strategici, organizzativi e anche legali, oltre che sulle opportunità di mercato.


I corsi sul marketing digitale organizzati dalla Cc-Ti seguono proprio questa prospettiva. Consultate il calendario dei prossimi appuntamenti formativi. In particolare con l’inizio dell’autunno ripartirà un ciclo formativo denominato “Digital marketing dalla teoria alla pratica: percorso formativo di 5 moduli“. Le iscrizioni sono già aperte!

Articolo a cura di Manuela Cuadrado, Account Manager Breva Digital Communication Sagl