Secondo il Garante dei dati personali austriaco (DSB) Google Analytics violerebbe le normative del GDPR in merito al trasferimento dei dati personali degli utenti europei negli USA: un ulteriore indizio che la tutela della privacy attraverso la scelta degli strumenti di tracciamento non è più solo una questione “tecnica”, ma sta cominciando a diventare una scelta strategica (e un’opportunità di marketing) a tutti gli effetti.
No, le grandi aziende hi-tech non sono affatto conformi al GDPR, e non sembrano intenzionate a diventarlo nel breve periodo. L’ultimo indizio, in tal senso, proviene dalla decisione con cui il Garante austriaco per la protezione dei dati personali (DSB), sollecitato da una denuncia presentata dalla ong Noyb di Max Schrems, ha stabilito che Google Analtycs viola il Regolamento Generale per la Protezione dei Dati Personali (GDPR) in quanto continuerebbe a esportare negli USA i dati dei visitatori dei siti web che ne fanno uso, consentendo alle autorità statunitensi di risalire all’identità dei visitatori stessi.
Google Analytics è diventato improvvisamente illegale? Non ancora, forse, ma è evidente che le aziende che si servono di questo e altri strumenti di tracciamento forniti da aziende come Google e Facebook non possono più aspettare che le soluzioni provengano da queste ultime, almeno fino a quando saranno sotto il tiro incrociato delle autorità europee: scegliere quali strumenti di tracciamento utilizzare, e quali no, sta diventando perciò una scelta di posizionamento aziendale, con compromessi da fare ma anche possibili benefici dal punto di vista della reputazione nei confronti dei clienti attuali e futuri.
“Invece di adattare i servizi per essere conformi al GDPR, Google e gli altri si sono limitati ad aggiungere del testo alle loro politiche sulla privacy”
La decisione del Garante austriaco arriva poche settimane dopo la notizia di una nuova accusa rivolta a Facebook di continuare ad aggirare le regole europee sul trasferimento dei dati dall’Unione Europea agli Stati Uniti: se due indizi fanno una prova, è ormai accertata la distanza tra quanto previsto dal GDPR e l’effettivo adeguamento delle pratiche e delle tecnologie da parte delle BigTech. “Invece di adattare i servizi per essere conformi al GDPR, le aziende USA hanno semplicemente aggiunto del testo alle loro politiche sulla privacy e ignorato la Corte di giustizia” è l’opinione di Max Schrems, presidente onorario della ONG e il cui nome si incrocia fatalmente con la sentenza “Schrems II”.
Per comprendere la portata della decisione del Garante austriaco bisogna infatti sapere che la Corte di Giustizia europea ha stabilito – con la sentenza Schrems II di luglio 2020 – che la normativa che negli ultimi anni ha regolato il trasferimento dei dati tra USA e UE (nota come Privacy Shield) è in conflitto con il GDPR: i dati personali degli utenti europei, raccolti da strumenti come Google Analytics, sono regolarmente trasferiti negli Stati Uniti e da qui possono essere forniti alle autorità locali per motivi di sorveglianza e sicurezza secondo la normativa statunitense. In questo contesto, il Garante austriaco ha affermato che Google Analytics non tutelerebbe in maniera adeguata i dati europei trasferiti oltreoceano.
Il futuro resta incerto, man mano che si moltiplicano i segnali che gli utenti non hanno alcun interesse a essere tracciati, neppure in cambio di servizi “migliori”
Il futuro di Google, Facebook, Microsoft, LinkedIn, Twitter, e delle aziende europee e italiane che fino ad oggi si sono serviti dei loro strumenti gratuiti è più che mai incerto. Secondo Schrems già a partire da questo momento “le aziende europee non possono più utilizzare i servizi cloud statunitensi”, mentre nel lungo periodo le conseguenze più probabili sono un adeguamento della legge statunitense alla normativa europea o una distinzione netta tra prodotti e servizi operanti negli USA e gli stessi operanti nell’Unione Europea. Di sicuro, la risposta di autorità e legislatori non è prevista entro poche settimane.
Eppure i segnali che il vento era cambiato rispetto a pochi anni fa erano nell’aria già da tempo: non a caso, Apple ha intuito prima di tutti che la tutela della privacy potesse diventare oggetto di un servizio personalizzato e ha iniziato a offrire ai propri clienti la possibilità di limitare a priori e selettivamente il tracciamento dei dati con strumenti quali App Anti Tracking e Mail Privacy Protection, ottenendo un successo enorme di pubblico e dimostrando in maniera evidente come ben poche persone siano interessate a essere profilate “in cambio di servizi migliori” (come recita da sempre il mantra delle piattaforme che forniscono servizi di tracciamento).
La contraddizione tra le aziende che dichiarano di “avere a cuore” la privacy degli utenti e si servono di strumenti di tracciamento oggi sotto accusa
Fino a questo momento, tuttavia, la maggior parte delle aziende di minori e maggiori dimensioni si è limitata a osservare lo scontro in atto tra autorità europee e aziende hi-tech come se la cosa non le riguardasse da vicino. Dall’entrata in vigore del GDPR, nel 2018, la scelta fondamentale su quali strumenti di tracciamento utilizzare o meno è stata per lo più delegata alle preferenze dei professionisti e consulenti di marketing e analisi dei dati, esternalizzando agli studi legali l’onere di individuare il miglior compromesso possibile con le leggi in vigore.
Le aziende continueranno a servirsi anche in futuro di Google Analytics? Probabilmente sì, almeno fino a quando si renderanno conto che servirsi di strumenti ormai quotidianamente presi di mira da questa o quell’autorità nazionale ed europea, da questa o quell’organizzazione della società civile o dai media, potrebbe avere conseguenze negative sulla propria stessa reputazione. Google Analytics, infatti, non può tracciare nessun cliente di nessuna azienda al mondo se quest’ultima non lo installa sul proprio sito web o la propria app e non lo “autorizza” a farlo, assumendosi tutte le conseguenze ormai note.
Le privacy policy devono diventare l’esito di una scelta strategica del management per poter essere (anche) uno strumento di marketing
In questo contesto, è importante fin da subito rendersi conto che le scelte in fatto di quali strumenti utilizzare o meno, dove collocare il limite tra tracciamento e rispetto della privacy degli utenti, non sono scelte neutrali né tantomeno possono essere interamente delegate ai “tecnici”: sono gli imprenditori, i consigli di amministrazione che devono decidere quanto, come e fino a che punto sottoporre i propri clienti alla sorveglianza digitale di massa e attraverso quali strumenti forniti da quali aziende, valutando costi e benefici per sé e i clienti stessi.
Se ormai non è più possibile pensare di fare marketing senza dati, la scelta di quali dati e quali servizi utilizzare non è solo una scelta di marketing ma può avere conseguenze positive anche per quest’ultimo. Se si considera l’enorme eco mediatica ottenuta da aziende che hanno dichiarato pubblicamente di aver deciso di rinunciare a servirsi dei servizi pubblicitari di Facebook per protesta contro la diffusione dell’hate speech sulla piattaforma, è tempo di valutare il possibile impatto in termini reputazionali della scelta di comunicare il rifiuto di servirsi di strumenti di tracciamento di questa o quell’azienda oggi sotto gli occhi di tutti.
Non si tratta tanto di cavalcare l’onda dell’indignazione, tuttavia, quando di rendersi conto una volta per tutte che la maggior parte delle persone non ha alcun desiderio di essere tracciata, profilata e potenzialmente identificata da strumenti di terze parti, nemmeno a fronte della promessa di servizi “migliori”: rinunciare del tutto o in parte a questa possibilità di intrusione, utilizzare strumenti meno invasivi e talvolta anche più costosi in luogo di altri più performanti e gratuiti, potrebbe rivelarsi una mossa vincente in un futuro tanto incerto negli eventi quanto evidente nella direzione contraria rispetto a quanto è stato ritenuto “accettabile” fino a pochi anni fa.
Umanesimo Digitale 
Rispondi