Ok, lo ammetto: questo è un post che presuppone da parte del lettore una buona dose di competenze tecniche, altrimenti sembrerà piuttosto incomprensibile. Perfino noioso. In effetti lo è, me ne sono reso conto io stesso mentre lo scrivevo. Non sono un “tennico”, espressione cara al buon Fabio Capello (che con il digital non c’entra niente), e cercherò di evitare troppi tecnicismi. Ma resta il fatto che i temi sono decisamente da addetti ai lavori, anche rispetto ad altri articoli della categoria digital. Fatta una simile premessa, apparentemente suicida, partiamo.
Tannico è meglio di tennico.
O almeno io lo preferisco…
Parliamo di Google. Ma non del motore di ricerca (per stavolta niente pistolotto SEO o SEA quindi), bensì di Analytics (e più avanti di Ads). Come noto, il trattamento dei dati tramite la suite Google Analytics Universal è stato dichiarato “illecito” da diverse sentenze di Autorità garanti della Privacy di diversi paesi europei (tra cui il nostro), principalmente perché le procedure di IP Anonymization a tutela degli interessati sono ritenute insufficienti: i dati vengono spostati su server in territorio USA, Paese “non sicuro” secondo gli standard europei, e usando altri dati pure rilevati dall’analitico (ad es. browser, data e ora della navigazione) è teoricamente possibile re-identificare l’interessato.
Ma il tema non è questo, dato che la stessa G ha da tempo annunciato che Universal Analytics sarà “spento” a luglio ’23. Il tema è se GA4, la versione che ne prende il posto, è destinato ad andare incontro alle medesime critiche oppure un digital marketer può tranquillamente installarlo e iniziare a metterci occhi e testa senza il timore di doversi spostare su una nuova piattaforma (e ricominciare tutto da capo) alla prossima sentenza.
Gli avvocati – anche nei casi in cui sembra chiarissimo chi ha torto e chi ha ragione – in genere non danno mai certezze, prima di una sentenza o di una pronuncia che abbia valore legale da parte di una qualche autorità. Men che meno in una faccenda come questa dove ci sono complicazioni/implicazioni di scenario di natura tecnica, industriale e politica facilmente intuibili. Nessuno può dire oggi con certezza se GA4 sia o meno a posto col GDPR. Tuttavia – dicono – in GA4 ci sono delle caratteristiche che lasciano ben sperare, o che comunque possono essere validamente argomentate dal punto di vista legale e cyber avendo fondate chances di “tenere botta”.
La feature su cui tutti suggeriscono di intervenire è la disabilitazione della granular location and device collection, che di fatto sono proprio i dati che in Universal consentono la teorica re-identificazione degli utenti e dunque la pietra dello scandalo nello scontro tra autorità US e UE. Poi c’è l’orizzonte temporale ristretto (14 mesi) di data retention (ma quello effettivamente non mi sembra attaccare nel merito i rilievi sollevati dalle autorità europee).
L’altra novità rilevante è invece la regional data collection: i dati sono prima raccolti in data center localizzati nello spazio economico europeo, e solo dopo la rimozione dell’IP vengono trasferiti ai server oltreoceano di GA per l’elaborazione: le tabelle di transcodifica resterebbero in Europa, il che configura non una anonimizzazione, ma una pseudonimizzazione certamente più “forte” rispetto a quella del modello precedente.
Nell’attesa di scoprire quale Authority europea sarà la prima a volersi esprimere in proposito, in qualità di osservatore tutt’altro che esterno ho notato da parte dei digital marketers le seguenti reazioni, più o meno dissimulate:
- aspetto e faccio finta di niente (della serie, mica verranno a fare causa a me?!)
- passo a GA4 (e tengo le dita incrociate)
- metto sotto Matomo (che è 100% conforme, o almeno così ho letto…)
- ci sto ancora pensando, boh!
Per inciso, Google Analytics è usato da una fetta largamente maggioritaria dei gestori di siti web (principalmente per via della duttilità dello strumento, della potenza analitica e dell’integrazione con la piattaforma pubblicitaria Google Ads). Ma affinché un visitatore di un sito possa essere tracciato da Analytics, deve dare il proprio consenso a ricevere dal sito stesso i cookie statistici. Questo ci porta a un secondo tema di forte attualità nel Digital, strettamente collegato ma un pò più ampio, e che in buona misura ruota anch’esso intorno a Google (che poi ad esser preciso dovrei chiamarla Alphabet).
Nel mondo del performance marketing stanno cambiando parecchie cose, con questa faccenda della “fine-annunciata-e-poi-ogni-volta-puntualmente-rimandata-ma-comunque-prossima” dei cookie di terza parte. Anche qui, il tema è per addetti ai lavori e presuppone qualche competenza specifica (CPC, CPM, PPC, CTA, DDT, CTR, ROAS, CLV… trovate l’intruso!).
Tuttavia, in qualità di semplici utenti, tutti quanti noi ce ne siamo accorti: ora quando visiti un nuovo sito c’è il cookie banner, che in termini di UX è quasi più fastidioso dei cookie stessi che – attraverso di esso – sei libero di rifiutare. Questo perché da inizio anno i gestori di siti sono obbligati a rilasciarli nel browser dell’utente solo previo suo consenso. Il risultato è stato la ribalta di Iubenda, Cookiebot e OneTrust, solo per citare i più noti, e un crollo dei visitatori registrati lato Analytics stimabile secondo alcuni tra il 20 e il 50%.
Si aggiunga che i nuovi utenti iOS dalla versione 14.5 possono scegliere in qualsiasi momento di non essere tracciati tramite cookie dalle app che utilizzano, e a quanto pare sono in media circa l’80% di quelli che comprano dispositivi Apple. E poi c’è Google (ancora lui), che rimanda puntualmente il giorno in cui il suo Chrome, 80-90% del mercato secondo alcune stime, non renderà più possibile il trasferimento di cookie di terze parti (in Mozilla, il browser concorrente, è già così da tempo).
G chiaramente lo farà quando avrà messo a punto meccanismi pubblicitari alternativi altrettanto rodati ed efficaci, e si sa che ci sta lavorando da tempo (topics invece di cookie). Qualcuno sta sperimentando AI particolarmente avanzate in grado di abilitare una contextual fruibile dagli inserzionisti in modalità programmatic anziché in reservation. Molte piattaforme Ad-Tech (player di pubblicità digitale) per aggirare i vincoli puntano al server side tagging, cioè a trasformare i cookie di terza parte in cookie di prima.
Nell’immediato, comunque, il risultato di tutte queste dinamiche è che – lato marketers – abbiamo analytics meno accurati e campagne di middle e soprattutto lower funnel meno performanti (anche meno 10x in alcuni casi) rispetto a solo 3 anni fa, ovvero costi più alti.
Always deliver more than expected
Larry Page (e qui non si riferiva alle performance delle inserzioni di Google Ads…)
Lato utente, invece, quello che non è chiaro è che rifiutando i cookie di profilazione non sparisce affatto la “fastidiosa” pubblicità quando navighiamo online (per quello bastava un buon ad blocker) o dai social network: sarà solo meno rilevante.
Nella legittima ignoranza di tutta la faccenda, l’utente medio pensa “Questi mi tracciano, vogliono violare la mia privacy. E chi sono ‘ste terze parti, che vogliono?!… Io clicco su rifiuta tutto”. Alzi la mano chi di noi non ha reagito così, almeno sulle prime. Il risultato però, caro utente medio, è che invece del remarketing (a volte ossessivo, questo è vero) su qualcosa che ha a che fare con siti precedentemente visitati, durante la navigazione ti ritroverai ads digitali sul cibo per gatti. Tu che di animali domestici non ne hai mai avuti. Non me ne vogliano gli amanti dei gatti, era solo un esempio.
Fabio D'Onorio 