Quando Google ha spento Analytics, il Garante aveva già detto tutto
Il panico delle agenzie web davanti al blocco di Google Analytics non era inevitabile. Il segnale c'era, mesi prima, nero su bianco. Ma nessuno lo aveva ascoltato.
Il panico delle agenzie web davanti al blocco di Google Analytics non era inevitabile. Il segnale c'era, mesi prima, nero su bianco. Ma nessuno lo aveva ascoltato. Perché ignoriamo i segnali deboli fino a quando diventano emergenze?
La scena
Era un giovedì mattina quando mi è arrivata la prima telefonata. Un'agenzia web di Milano, quelle che gestiscono trenta, quaranta siti per conto di clienti vari. Il tono era quello di chi ha appena scoperto una falla nell'ala dell'aereo. A mezz'aria.
"Alberto, Google Analytics è illegale. Il Garante l'ha detto. Io ce l'ho su duecento siti. Duecento. Che faccio?"
Che fai. Bella domanda.
Nei giorni successivi ne ho ricevute altre. Agenzie, freelance, qualche PMI più sveglia della media. Tutti con lo stesso problema: Google Analytics Universal trasferiva dati personali degli utenti europei negli Stati Uniti, violando il GDPR. Il Garante Privacy italiano lo aveva dichiarato formalmente. E adesso?
Adesso si corre. Si cerca un'alternativa. Si panica. Si impreca sottovoce durante le riunioni con i clienti.
Ma la vera notizia non era il provvedimento del Garante. La vera notizia era un'altra.
Il segnale che nessuno ha sentito
Il Garante Privacy italiano non aveva colpito a freddo. Aveva avvisato. Mesi prima. Il provvedimento austriaco era arrivato a gennaio 2022. Quello francese a febbraio. La direzione era chiara come un cartello autostradale: TRASFERIMENTO DATI USA, DIVIETO.
Il Garante italiano aveva pubblicato comunicazioni, partecipato a tavoli europei, rilasciato dichiarazioni. Non sussurri: comunicati ufficiali, documenti pubblici, reperibili con una ricerca di trenta secondi.
Nessuno li aveva letti.
Nessuno. Non le agenzie web. Non i consulenti. Non le aziende. Nessuno.
Perché ignoriamo i segnali deboli
Mi succede una cosa simile da trent'anni. La prima volta che l'ho notata davvero è stato nel 1999, con MediaMusica Italia, il progetto di musica digitale che avevo lanciato con licenza SIAE. Eravamo un precursore di iTunes, streaming RealAudio, CD personalizzati a casa. Al Futurshow '99 la gente restava a bocca aperta.
Ma le case discografiche? Non ci ascoltavano. "La musica digitale non è il futuro." Tre anni dopo, Napster. Cinque anni dopo, iTunes. Dieci anni dopo, Spotify. Il segnale c'era. Era debole. Ed è stato ignorato fino a quando è diventato un'emergenza.
In psicologia si chiama normalcy bias: la tendenza del cervello a trattare come impossibile ciò che non è mai successo prima. Se il server non è mai andato giù, non andrà giù. Se Google Analytics ha sempre funzionato, funzionerà. Se il Garante non ha mai multato nessuno che conosci, non multerà te. I segnali deboli richiedono attenzione deliberata, sforzo cognitivo, tempo. Il cervello li scarta perché non sono urgenti. Non bruciano. Non fanno male adesso.
Fino a quando bruciano.
Il meccanismo del "non tocca a me"
C'è un pezzo in più. Non è solo pigrizia cognitiva.
È che il segnale del Garante richiedeva un'azione costosa: cambiare strumento di analytics su decine o centinaia di siti. Cercare alternative. Testarle. Configurarle. Spiegare ai clienti perché. Tutto questo per un rischio che sembrava teorico, lontano, improbabile.
"Ma tanto a me non controllano."
"Ma tanto lo usano tutti."
"Ma tanto Google troverà una soluzione."
Fermiamoci un secondo. Rileggete queste tre frasi. Sono la fotografia perfetta della delega inconsapevole: delegare a qualcun altro (Google, il mercato, la fortuna) una decisione che riguarda te, i tuoi clienti, i tuoi dati.
Non è stupidità. È il percorso di minima resistenza. Il design della comodità funziona esattamente così: rendere l'inerzia più attraente dell'azione.
Cosa è successo dopo
Dopo il provvedimento del Garante, il mercato si è mosso. In fretta, in ritardo, in affanno.
Chi è corso su Google Analytics 4, la versione nuova che Google presentava come "conforme", ha scoperto presto che la conformità era discutibile, che l'interfaccia era un incubo, e che i dati storici di Universal non migravano: l'export completo era possibile solo tramite GA360, la versione a pagamento. Chi non ha pagato e non si è mosso per tempo, li ha persi.
Chi ha cercato alternative ha trovato un ecosistema pronto: Matomo, Plausible, Umami, Fathom. Strumenti che esistevano da anni. Alcuni open source, self-hosted, con i dati sul tuo server. Non erano novità: erano segnali deboli anche loro, ignorati perché "tanto Google Analytics è lo standard".
Ho aiutato tre agenzie a migrare su Matomo in quel periodo. La cosa più surreale? La migrazione tecnica era la parte facile. La parte difficile era convincere i clienti che il problema era reale. "Ma il mio sito è piccolo, chi vuoi che controlli." Un anno dopo, le prime sanzioni.
Il pattern che si ripete
Se pensi che questa storia riguardi solo Google Analytics, stai facendo lo stesso errore.
Lo stesso identico schema si sta ripetendo adesso, in tempo reale, su almeno tre fronti:
Microsoft 365 e il CLOUD Act. A giugno 2025, il direttore legale di Microsoft Francia, Anton Carniaux, ha dichiarato sotto giuramento al Senato francese: "Non posso garantire che i dati europei non vengano trasferiti negli USA." L'EDPS, il Garante europeo, ha già dichiarato che l'uso di M365 da parte della Commissione Europea viola la normativa privacy. Il segnale è forte. Chi lo sta ascoltando?
Google Workspace e l'AI training. Google ha aggiornato i termini di servizio e integrato funzionalità AI generativa in Workspace. Per le versioni a pagamento, Google dichiara di non usare i dati per il training dei modelli, ma le condizioni variano tra piani e l'integrazione di Gemini solleva interrogativi sulla gestione dei dati. Lo sai? L'hai letto?
I metadati email. Il Garante italiano ha indicato un limite orientativo di 21 giorni per la conservazione dei metadati della posta elettronica dei dipendenti. Ventuno giorni. Quante aziende italiane sono conformi? Quante sanno che questa indicazione esiste?
Il segnale c'è. Di nuovo. Adesso.
Come leggere il segnale
Non sto dicendo che devi diventare un esperto di privacy. Non sto dicendo che devi leggere ogni provvedimento del Garante (anche se sono scritti in italiano comprensibile, non in legalese, e sono pubblici su garanteprivacy.it).
Sto dicendo una cosa più semplice: quando un'autorità di regolamentazione dice qualcosa, quel qualcosa non scompare perché lo ignori. Diventa più grande. Diventa un provvedimento. Diventa una sanzione. Diventa un'emergenza.
L'agenzia di Milano che mi ha chiamato quel giovedì mattina ha speso tre volte tanto per migrare in emergenza rispetto a quanto avrebbe speso se avesse ascoltato il segnale sei mesi prima. Tre volte tanto. Per aver ignorato un documento pubblico.
La prossima volta che leggi una notizia su un provvedimento del Garante, su una direttiva europea, su un cambio di termini di servizio, fermati. Chiediti: questo riguarda i miei strumenti? I miei dati? I dati dei miei clienti?
Se la risposta è sì, hai due scelte. Agire adesso, con calma e a costi ragionevoli. O agire dopo, in emergenza, al triplo del prezzo.
Il Garante te l'ha già detto. La domanda è: stavolta ascolti?
Fonti
- DPA austriaca dichiara Google Analytics in violazione del GDPR (gennaio 2022)
- CNIL francese dichiara Google Analytics in violazione del GDPR (febbraio 2022)
- Garante Privacy italiano, Provvedimento su Google Analytics (giugno 2022)
- EDPS, l'uso di Microsoft 365 da parte della Commissione Europea viola le norme privacy (marzo 2024)
- Microsoft ammette di non poter garantire la sovranità dei dati europei, The Register (luglio 2025)
- Garante Privacy, Metadati email dipendenti, limite 21 giorni (giugno 2024)
- Normalcy bias (Wikipedia)
