GDPR e Google Analytics

Premessa: avevo sentito che il parlamento europeo stava per varare il GDPR (General Data Protection Regulation) e mi sono informato al riguardo. Come al solito, senza perdere tempo, Jeremy Keith aveva già scritto un interessante post sul tema, che magari interessa anche te. L'ho tradotto.


Presto, molto presto, arriverà un rafforzamento della General Data Protection Regulation (GDPR) da parte dell'Unione Europea.
Questo regolamento non è limitato alle aziende basate sul territorio europeo ma si applica anche a tutti i servizi ovunque nel mondo che possono essere utilizzati dai cittadini europei.

Il testo non riguarda principalmente la protezione dei dati, tant'è che si presenta più come una sorta di carta dei diritti degli utenti. Che è una buona cosa. Cennydd (un altro guru irlandese, NdT) ha scritto una guida per tecnici sul GDPR.

Jeni Tennison dell'Open Data Institute ha scritto su come pensa che il GDPR possa cambiare la portabilità dei dati; di base apprezza il GDPR, ma non nasconde qualche perplessità al riguardo.

Blaine Cook (altro guru, NdT) – che sarebbe ora che mettesse su un blog! – ha condiviso le sue preoccupazioni nella forma discutibile di un twitter thread (si chiama thread proprio perchè inevitabilmente si aggroviglia e si rompe facilmente, come la nota di Blaine).

It’s increasingly looking like GDPR is a massive scaled-up version of the idiotic and horrifically mis-managed “cookie law”. — Blaine Cook (@blaine) January 28, 2018

(NdT: provo a tradurre anche il tweet: "è come se il GDPR fosse una versione gigante di quella "cookie law" idiota e così orribilmente gestita)

La cosa curiosa della cosiddetta "cookie law" è che non fa alcuna menzione dei cookie; non elenca alcuna tecnologia specifica al riguardo. Dichiara al suo interno, invece, che ogni strumento per tracciare o identificare utenti attraverso diversi siti necessita di una dichiarazione (disclosure). Quindi se stai settando un cookie solo per gestire un cambio di stato (es. utente che fa login), o per tenere traccia degli oggetti messi nel carrello, la legge in questione non si applica. Ma non appena il tuo sito permette a terze parti di mettere un cookie, it's banner time!

Google analytics è un classico esempio di servizio di terze parti che usa i cookie e traccia gli utenti attraverso domini differenti. Questo risiede proprio nella sua ragion d'essere. Noi, come proprietari di siti, possiamo usare questo incredibile tool al "modico" prezzo di un pezzettino di JavaScript inserito nelle nostre pagine. Nel farlo, permettiamo a una terza parte di leggere e scrivere un cookie dal proprio dominio.

Prima di Google Analytics, Google – qui inteso come il motore di ricerca – era capace di identificare e tracciare cosa gli utenti stessero cercando, e che risultati di ricerca stessero effettivamente cliccando. Ma non appena gli utenti lasciavano google.com, la bazza finiva (traduzione un po' forzata, lo ammetto, NdT). Creando uno strumento di analytics enorme e utilissimo che richiedeva al proprietario del sito di aggiungere solo una linea di JavaScript, Google – qui ci riferiamo invece al Google che vende le pubblicità online – ha guadagnato l'abilità di tenere traccia degli utenti attraverso gran parte del web, a prescindere dal fatto che quegli utenti si trovassero o meno su un sito di proprietà di Google.

Stando alla vecchia "cookie law", utilizzando un servizio come Google Analytics eri obbligato ad informare della cosa tutti i tuoi utenti cittadini della UE.
Con il GDPR questo cambia: adesso devi avere il consenso. Il consenso implicito non basta più. Si tratta di un piccolo cambiamento, che può però avere conseguenze per niente banali.

Situazione interessante che genera una domanda interessante: chi è responsabile della raccolta di questo consenso? È il proprietario del sito o il servizio di terze parti il cui codice fa effettivamente il tracking?

Nel primo caso, devi aspettare per un'approvazione esplicita da parte del visitatore prima di eseguire le funzionalità di Google Analytics. E improvvisamente non si tratta più solo aggiungere una riga di codice JavaScript al tuo sito.

Nel secondo caso, non fai nulla di molto diverso da prima (aggiungi la riga di JS e basta). Ma adesso lo script deve lanciare un'interfaccia per richiedere il consenso prima di operare qualsiasi tracciamento. Se così fosse, Google Analytics passerebbe dunque da essere qualcosa di invisibile ad essere qualcosa che impatta direttamente l'esperienza utente del sito.

Usiamo Google Analytics come esempio perché è molto diffuso e tutti lo conoscono. Ma questa dinamica si applica a tutti gli script di terze parti come i bottoni di condivisione (facebook, twitter etc) e, ovviamente, alla pubblicità.

In particolare, nel caso della pubblicità, la questione diventa ulteriormente spinosa. Molto spesso infatti il proprietario del sito non ha idea di chi sia fisicamente a fare il tracking; molti siti usano servizi intermediari (sai, i siti non sono ancora abbastanza rallentati dalle pubblicità, mettiamoci dentro qualche offerta just-in-time per aiutare). Quindi può essere presente la richiesta di consenso per utilizzare il servizio intermediario, ma non quella per chi - alla fine dei conti - mostra effettivamente la pubblicità.
E in tutto questo, ovviamente, i tuoi utenti non avranno idea di cosa stanno realmente accettando.

Ne vedremo delle belle. In un modo o nell'altro un altissimo numero di siti che usano Google Analytics, video embeddati di Youtube, commenti Facebook, tweet, pubblicità di terze parti, saranno potenzialmente afflitti da questa GDPR.

Sembra quasi che sorvegliare in maniera così onnipresente tutto ciò che fanno le persone sul web non sia stata poi una così grande idea.