Torna al blog
6 min di letturaprivacyarchitecture

Cosa Significa Davvero 'Privacy-First' nel Tuo Stack di Analytics

La frase è ovunque, ma la maggior parte degli strumenti che la usano memorizza ancora identificatori, fingerprint o email hashate. Ecco come si presenta un modello dati privacy-first tecnicamente solido.

"Privacy-first" è diventata una frase di marketing. Gli strumenti che la usano vanno da quelli che genuinamente non memorizzano alcun dato personale a quelli che hanno semplicemente spostato i loro cookie su uno storage lato server e si sono autoproclamati conformi. Per valutare l'affermazione, devi guardare tre cose specifiche: cosa viene raccolto, come viene memorizzato e se può essere invertito.

Livello 1: Cosa viene raccolto

Ogni strumento di analytics raccoglie qualcosa. La domanda è se qualcosa di esso si qualifichi come dato personale secondo GDPR, LGPD o CCPA. I seguenti sono generalmente sicuri — sono aggregati o non identificabili di per sé:

  • URL e path della pagina
  • Dominio del referrer (non l'URL completo)
  • Paese (dedotto dall'IP all'edge, mai memorizzato)
  • Tipo di dispositivo (mobile o desktop, dedotto dalla larghezza dello schermo e da pattern User-Agent generali)
  • Famiglia del browser (Chrome, Safari, Firefox e altre famiglie generali derivate lato server dal User-Agent della richiesta)

Ciò che li rende sicuri è che nessuno di essi, individualmente o combinato, identifica in modo affidabile una persona specifica. Un dominio referrer ti dice che qualcuno è arrivato da Hacker News — non quale utente di Hacker News sia.

La linea viene attraversata quando inizi a memorizzare indirizzi IP, user agent completi, fingerprint dei dispositivi o qualsiasi tipo di identificatore persistente — anche uno hashato che mantieni attraverso le sessioni.

Livello 2: Come vengono memorizzati i dati

Raccogliere dati in modo sicuro è diverso dal memorizzarli in modo sicuro. Molti strumenti dichiarano di non usare cookie, ma memorizzano un ID visitatore in una sessione lato server legata a un indirizzo IP. L'indirizzo IP è un dato personale ai sensi del GDPR. Il fatto che il cookie si sia spostato lato server non cambia ciò che viene tracciato.

Uno store genuinamente privacy-first contiene solo ciò che è elencato sopra — e un identificatore visitatore che non può essere ricollegato a nessun individuo. L'approccio di Monoid è un hash giornaliero a senso unico:

visitor_hash = SHA-256(IP + UA + SALT_SECRET + YYYY-MM-DD)

Tre proprietà lo rendono sicuro:

A senso unico: SHA-256 non è reversibile. Non puoi recuperare l'indirizzo IP dall'hash. Con salt: Il SALT_SECRET lato server significa che l'hash non può essere attaccato con rainbow table anche se l'algoritmo è noto. Giornaliero: La data nell'input significa che lo stesso visitatore produce un hash diverso domani. Non esiste alcun identificatore persistente cross-session.

L'hash non è utile per tracciare una persona nel tempo. È utile solo per deduplicare i visitatori entro un singolo giorno, che è l'unica cosa che deve fare.

Livello 3: Può essere invertito?

Questo è il test che separa gli strumenti genuinamente privacy-first dalle affermazioni di marketing. Se un avversario sufficientemente motivato — incluso un governo con un ordine legale — ottenesse il tuo database di analytics, cosa potrebbe imparare?

Con il modello dati di Monoid: potrebbe imparare quali pagine sono state visitate, da quali paesi, su quali dispositivi e in quali giorni. Non potrebbe imparare quale individuo specifico abbia visitato una pagina specifica. L'hash non dice nulla senza l'IP originale, lo user agent originale, il salt segreto e la data corretta — tutti elementi che non vengono mai memorizzati insieme.

Confrontalo con i dati GA4 "anonimizzati", che mantengono i client ID (identificatori persistenti basati su cookie), i timestamp degli eventi con precisione al millisecondo e componenti di fingerprint del dispositivo. Quei dati non sono anonimi — sono pseudonimi nel migliore dei casi, e collegabili a utenti reali con sforzo moderato.

Come si presenta davvero il database

Un record pageview di Monoid contiene: site_id, path, referrer, country, device, browser_family, visitor_hash (l'hash giornaliero a senso unico) e un timestamp. Questo è il record completo. Non c'è alcuna colonna per indirizzo IP, stringa User-Agent completa, versione del browser, ID utente persistente o token di sessione. Non c'è nulla nello schema che si mappi a una persona reale.

Ecco come si presenta privacy-first a livello di modello dati. Tutto il resto — dashboard, conteggi in tempo reale, suddivisioni per paese — viene calcolato da quei campi.

Perché la distinzione conta nella pratica

Se il tuo strumento di analytics memorizza dati personali, sei un titolare del trattamento ai sensi del GDPR con obblighi: devi pubblicare una base giuridica per il trattamento, mantenere registri delle attività di trattamento e rispondere alle richieste di accesso degli interessati. Hai anche bisogno di un meccanismo di consenso se la tua base giuridica è il consenso.

Se il tuo strumento di analytics memorizza solo dati aggregati non personali, quegli obblighi non si applicano — perché non ci sono dati personali da controllare. Il sovraccarico giuridico scompare insieme al banner di consenso.