Il Marketing Online è definitivamente Morto?

La domanda è decisamente provocatoria, non trovi?

Allora, facciamo il punto su cosa è successo nelle ultime ore, perchè la situazione sta diventando drammatica.

La prima notizia: Google Analytics 3 (Universal Analytics) che anche tu avrai utilizzato – o utilizzi ancora – per monitorare le visite degli utenti al tuo sito è ILLEGALE.

Qui la notizia: https://www.agendadigitale.eu/sicurezza/privacy/google-analytics-illegale-secondo-il-garante-privacy-e-ora/

Non voglio fare troppo il tecnico, provo a riassumerla così:

i vari organismi di sicurezza nazionale degli USA hanno il diritto di poter richiedere alle aziende USA l’accesso illimitato ai dati degli utenti presenti sui loro server. Il GDPR europeo prevede una serie di garanzie sull’utilizzo dei dati personali degli utenti dando la possibilità di non essere tracciati e di conoscere con esattezza chi tratta i propri dati personali. Google Analytics è una azienda USA e registra dati personali degli utenti europei archiviandoli su server di sua proprietà, pertanto c’è il rischio che il governo degli USA possa ottenere tali dati.

Questa è tutta la questione.

Il problema non è Google Analytics in sè, ma chi ha la possibilità di accedere ai dati registrati da Google Analytics.

Ma cosa intendiamo con dati degli utenti?

Il Garante è stato decisamente rigido su tale interpretazione, rilevando che anche solo l’indirizzo IP, abbinato alla tipologia di browser utilizzato, è un dato che permette di identificare l’utente.

L’aspetto ancora più grave è che tantissimi utenti navigano sul web DOPO ESSERSI LOGGATI COL PROPRIO ACCOUNT GOOGLE. Questo permetterebbe a Google di tracciare dei profili estremamente dettagliati e granulari sul comportamento di navigazione ed interazione degli utenti.

E qui potresti dirmi: si, ma la mia agenzia web mi ha già fatto anonimizzare l’indirizzo IP da vari anni, così come previsto dalle normative sulla privacy degli utenti rilasciate dall’EU.

Tutto corretto, ma il vero problema è che l’anonimizzazione degli IP (ovvero mascherare gli ultimi 2 ottetti) avviene DOPO che i dati sono arrivati nei server di Google.

Quindi in sostanza, l’utente apre il tuo sito, il tuo Google Analytics prende i dati di navigazione degli utenti COMPLETI, li invia su server di proprità di Google ed è esattamente qui che l’indirizzo IP 1.2.3.4 diventa 1.2.x.y, ovvero viene anonimizzato.

Questo, per il Garante, è un problema.

Quindi bisogna togliere Google Analytics 3 (Universal Analytics) dai propri siti?

Probabilmente è la scelta giusta da fare.

Con tutti i clienti che seguiamo in consulenza stiamo già passando a Google Analytics 4 in queste settimane e rimuoveremo progressivamente Universal Analytics dai vari siti.

La differenza di Google Analytics 4 è che l’anonimizzazione degli IP è nativa, ovvero l’IP completo non viene neanche inviato ai server di Google, ma, ed è questo il punto critico, vengono creati altri identificatori univoci dell’utente in modo da tracciarne il suo comportamento.

Tipico esempio di questi identificatori, per fortuna non attivato di default su GA4, è Google Signal.

Google Signal è una funzionalità che permette a Google a aggregare dati sugli utenti provenienti dal sito con Analytics insieme a dati provenienti da “altre fonti”.

Qui la documentazione completa di Google Signal: https://support.google.com/analytics/answer/9445345

Ad oggi consiglio fortemente di NON attivare questa funzionalità.

Andando sul pratico, cosa fare per essere in regola e minimizzare il rischio di una sanzione?

Ecco le possibili soluzioni:

1. eliminare totalmente Google Analytics dal proprio sito (soluzione drastica che ho visto suggerire da alcuni legali)

2. utilizzare un altro tool di analisi dei dati di navigazione degli utenti (non esiste solo Google Analytics) – come ad esempio Matomo, che è open-source, è gratuito ed è europeo

3. Impementare Google Analytcs 4 in modalità server side, in modo da creare una sorta di “filtro” tra il server italiano e quello di Google negli USA ed inviare solo i dati minimi che non permettono l’identificazione degli utenti (soluzione tecnica attualmente suggerita da vari miei colleghi)

4. Utilizzare Google Analytics 4, senza Signal attivato (soluzione più semplice, ma con alcuni rischi potenziali)

La “guerra” a Google Analytics è un vero e proprio scossone per chi ha in qualche modo a che fare con il web.

Ma forse non si è ancora capito a fondo che – se le premesse sono queste – la questione non si limita affatto a Google Analytics, che è stato preso solo come “capro espiatorio” di tutto ciò.

E penso a Facebook Pixel, a Linkedin Insight Tag, ai tool di analisi delle mappe di calore (HotJar, Smartlook) solo per citare i tool di tracciamento. Questi tool funzionano esattamente come Analytics, ed inviano su server di aziende USA, gli stessi identici dati inviati ad Analytics, anzi a volte anche di più.

Quindi, secondo questa interpretazione attuale, andrebbero rimossi anche tutti questi tool.

Ampliamo ancora il ragionamento, seguendo questo principio?

Stripe, che forse utilizzi per processare i pagamenti dei tuoi ospiti, archivia dati personali su server negli Stati Uniti.

Google Drive e Dropox che magari utilizzi per condividere con il tuo staff qualche file con all’interno delle informazioni degli utenti, vengono salvati su server di aziende USA.

Mailchimp che forse utilizzi per inviare le newsletter, archivia dati personali dei tuoi utenti negli USA.

CRM non europei che utilizzi per archiviare i dati dei tuoi ospiti.

Gmail, il tool di posta con cui probabilmente stai leggendo questa mail, archivia dati su server USA.

Il tuo sito che magari è ospitato su server USA, oppure utilizza una CDN, che per sua natura è distribuita su vari server in giro per il mondo.

Tantissimi tool per il mondo dell’hospitality (RMS, PMS, Channel Manager, CRM) funzionano in cloud su server di proprietà di Amazon, Microsoft e Google, tutte aziende USA.

Capisci bene che non c’è fine agli esempi che possiamo fare.

Nella realtà dei fatti, una grandissima parte di tool, strumenti e piattaforme che abitualmente tutti utilizzano sono di fatto di proprietà di aziende con sede negli Stati Uniti.

Capisco perfettamente la ratio della norma, gli USA tendono spesso ad essere invadenti nell’analisi dei dati dei cittadini, ma mettiamoci dentro anche i dati delle aziende a questo punto.

L’EU fa bene a difendere i diritti dei cittadini europei, ma non può neanche imporre a milioni di aziende una sorta di autoarchia tecnologica, in cui tutto ciò che non è europeo non si può utilizzare.

Oggi, nel 2022, con il mondo interconnesso come quello attuale?

Mi pare una follia.

Spero che presto venga trovato un accordo tra gli USA e la UE su questi temi, soprattutto che venga formalizzato da persone che sanno quello di cui si sta parlando, perchè il rischio di ritrovarsi una normativa eccezionalmente “burocratica” è altissimo.

Basti pensare al famoso “banner per i cookie” obbligatorio in ogni sito. Vorrei vedere quali e quanti utenti prima di cliccare su “Accetta” per entrare in un sito si sono messi a leggere riga per riga tutta la privacy e cookie policy. E mi riferisco anche ai burocrati che hanno approvato la norma, mentre leggono pedissequamente tutte le policy prima di accedere ad un qualsiasi sito.

Fine della polemica.

Se la situazione dovesse restare quella attuale, il marketing digitale è morto.

E questa non è affatto una buona notizia.

Perchè significa aumento vertiginoso dei costi per gli hotel per fare le campagne (meno segmentazione derivante dai dati personali significa sparare nel mucchio – ovvero far lievitare i costi) e tutti gli altri stumenti online seguiranno a ruota.

Ammesso e non concesso che tutto ciò sia possibile. Il remarketing/retargeting che la tua agenzia web fa per il tuo hotel su Google, Facebook ed Instagram tecnicamente non sarebbe più possibile, per dirne una.

E non ho parlato delle OTA.

Perchè in questi giorni ho purtroppo visto consulenti – grandi fan delle OTA – esultare perchè il marketing, secondo loro, è arrivato alla fine e tutti venderanno le camere sui portaloni.

Faccio presente a questi personaggi che Booking.com appartiene di fatto ad una azienda USA, ovvero Priceline, che ha sede nel Connecticut. Expedia ha sede a Redmond, sempre negli USA.

Quindi gli stessi problemi che hanno gli alberghi sullo scambio di dati di cittadini europei tra EU e USA li hanno anche le OTA.

Dovranno anche loro correre ai ripari, con soluzioni tecnologiche più avanzate ed articolate.

E questo, indovina un po’, significa solo una cosa: aumento delle commissioni per gli alberghi e sempre più intermediazione.

Se l’hotel non dovesse avere le risorse e le competenze per continuare a lavorare con il proprio marketing digitale con l’obiettivo di aumentare le prenotazioni dirette, significa legarsi sempre di più alle grandi aziende di intermediazione che hanno invece dipartimenti interni dedicati solo per questo.

Federico Leva e la richiesta di rimozione dei dati da Google Analytics

La seconda parte parlerà di Federico Leva e l’uso illegittimo di Google Analytics con la richiesta di rimozione dei dati.

Negli ultimi giorni è assai probabile che anche tu abbia ricevuto una o più email automatiche identiche a questa.

 

Si tratta di un invio massivo di email fatto attraverso un banale software per fare sondaggi (LimeSurvey) dove si richiede al titolare del trattamento dei dati del sito di fornire delle informazioni su alcuni dati personali e di rimuoverli.

Federico Leva potrebbe essere un attivista ed un informatco (https://federicoleva.eu/it/): è verosimile che stia portando avanti una campagna di sensibilizzazione sull’utilizzo dei dati personali a seguito delle recenti novità riguardanti lo scambio dei dati internet EU-USA.

Dal punto di vista operativo non c’è alcun obbligo di ottemperare alle richieste di tale email per vari motivi, tra cui:

• è una mail automatica inviata massivamente a decine di migliaia di siti web da un servizio di sondaggi online
• è una email che arriva dall’indirizzo [email protected], che, chiaramente, dimostra che è una email inviata attraverso un software, e questo è un indirizzo email che non è neanche in grado di ricevere comunicazioni (noreply)
• i siti web oggetto della richiesta nella quasi totalità dei casi non sono mai stati visitati da Federico Leva (l’indirizzo IP dichiarato e l’user agent non sono presenti nelle informazioni raccolte da Analytics), pertanto si tratta molto probabilmente di uno scraping automatico da qualche sorgente online (e anche qui ci sarebbero delle considerazioni da fare sull’origine dei dati utilizzati da Leva, ma non voglio fare altre polemiche)
• nessuno sa chi si nasconde dietro questo invio di email, non c’è un riferimento preciso al mittente, chiunque può inviare email fingendosi un’altra persona, sopratutto se vengono inviate attraverso un servizio di sondaggi online (la mail è stata inviata da Federico Leva o da Robert De Niro dietro pseudonimo? Dall’altra parte dello schermo chi c’è veramente?)
• il form linkato nella mail è composto da domande molto specifiche e tecniche che fanno appunto pensare ad una campagna di sensibilizzazione sull’uso dei dati (che chiaramente non sto giudicando dal punto di vista formale, anzi ben venga)
• la mail di richiesta di rimozione di dati da Analytics è stata ricevuta anche da siti web che NON hanno Google Analytics installato (siamo quindi ai livelli di un invio massivo di email di puro spam, ovvero “sparare nel mucchio”, ci sarebbero appunto le condizioni per procedere legalmente in tal senso)
• la mail non ha alcun riferimento alla specifica sessione di navigazione (non viene indicato il Cookie ID e la data, ora, minuto e secondi in cui è stata effettuata la visita). L’indirizzo anonimizzato e l’user agent NON sono sufficienti, perchè “dietro” quell’indirizzo IP e quell’user agent potrebbero esserci centinaia di migliaia di utenti (basti pensare ad una grande azienda che potrebbe avere classi di IP consecutive con tutti i dispositivi con lo stesso User Agent, che è una situazione molto frequente). Quindi questo personaggio non ha alcun diritto di richiedere la rimozione di intere classi di IP e di interi dettagli di un user agent. Sarebbe come mandare un messaggio ad un’azienda chiedendo di cancellare dalla loro mailing list tutte le mail che finiscono con @gmail.com o tutti gli indirizzi email appartenenti a persone che vivono nella provincia di Padova. Follia pura.

 

Alla luce di tutto ciò puoi tranquillamente ignorare tale email, non ha alcun valore.

Se sei in ansia ed il tuo legale è entrato nel panico, dovresti fare la gentilezza di chiedere a tale personaggio l’identificativo univoco del cookie e la data e orario in cui ha fatto la navigazione ed effettuare una richiesta di eliminazione dei dati da Google Analytics direttamente dal pannello di amministrazione della vostra proprietà.

Da qualche decina di check che ho fatto sui vari account degli alberghi in consulenza, non è stato mai registrato alcun dato relativo alle informazioni dichiarate nella mail, ovvero connessioni generate da indirizzo IP 51.158.x.y e con user-agent “Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/76.0.3803.0 Safari/537.36”.

 

Pertanto la richiesta è priva di fondamento. Semplicemente perchè quei dati NON CI SONO.

La vera vittima di questa azione allucinante è LimeSurvey, ovvero il sito utilizzato da questo attivista per inviare FISICAMENTE decine di migliaia di email senza le minime informazioni necessarie per procedere alla rimozione dei dati.

Ho infatti prontamente avvertito l’azienda LimeSurvey di tutto ciò e loro hanno definitivamente sospeso l’account di questo personaggio.

Qui la prova della mail, dal mio smartphone:

Un piccolo merito me lo voglio prendere questa volta. 😉

Mi rendo conto che gli argomenti trattati sono molto complessi e tecnici, non alla portata degli albergatori.

Se c’è una cosa positiva di tutta la vicenda di Federico Leva è che ora tanti albergatori hanno compreso la quantità enorme di dati che stanno raccogliendo sugli utenti.

L’opera di sensibilizzazione – il vero scopo di Federico Leva – è andata a buon fine.

E ripeto, come detto sopra, l’utente tralascia una serie di informazioni OBBLIGATORIE per poter richiedere l’eliminazione, quindi la sua richiesta è priva di fondamento.

Siamo arrivati alla fine.

Tutto si risolverà nel miglior modo possibile, potrai continuare a inviare le newsletter da Mailchimp, potrai usare Google Drive, nessuno ti vieterà di utilizzare Instagram e potrai continuare ad usare Stripe per ricevere i pagamenti del tuo hotel.

Non c’è altra soluzione se non un accordo tra EU-USA su questi temi.

Speriamo che avvenga il prima possibile!

 

Armando Travaglini