Matomo è uno strumento gratuito e open source che si può inserire nel proprio sito web, sia pubblico che intranet, per raccogliere dati statistici in conformità con il GDPR.
In genere si installa su un server dedicato o su una macchina virtuale. È possibile anche usarlo nella soluzione Cloud, ospitata sul server stesso di Matomo, anche se è preferibile avere il pieno controllo dello strumento.
Per chi conosce già un minimo gli strumenti di analisi, Matomo è simile a Universal Analytics, cioè la versione 3 di Google Analytics, che poi è cambiato molto nella versione 4.
In effetti, l’interfaccia di Matomo è piuttosto semplice da usare e ci permette di avere tutte le informazioni che ci servono sul nostro traffico. Pagine visitate, file scaricati, link cliccati, provenienza del traffico e degli utenti, Acquisizione, Campagne UTM, Obiettivi e via dicendo.
È possibile anche installare diversi plugin, alcuni a pagamento ed altri gratuiti.
Nella sua versione Cloud, i plugin sono compresi e non dobbiamo pagarli, però c’è da dire che il costo della soluzione Cloud di Matomo può essere molto alto, soprattutto per siti medi e grandi, considerando che varia in base al numero di “hit” che riceviamo e ogni caricamento di pagina corrisponde a un hit.
Se usiamo WordPress, è disponibile un plugin per il CMS dedicato a Matomo, che ha meno funzionalità rispetto alla versione on-premise ma è comunque molto utile.
Considerazioni generali sulla privacy su internet
Anzitutto, un accenno al tema della privacy nel web.
Il GDPR prevede che l’utente venga informato su come i suoi dati vengono trattati, e poiché l’unico modo per saperlo con precisione è essere gli unici detentori di quei dati, dobbiamo averne il controllo totale, almeno io la vedo così.
Al di là di quello che può garantirci qualsiasi strumento di terze parti nella sua privacy policy, possiamo davvero essere sicuri al 100% di essere i veri gestori dei dati che raccogliamo? Se la risposta è no, forse è meglio valutare di cambiare lo strumento.
Un conto è avere dei collaboratori, anche esterni, che ci aiutano ad analizzare i dati, ma possiamo decidere di eliminarli del tutto quando vogliamo. I dati intendo, non i collaboratori. Un altro conto invece è non avere nemmeno la certezza di poterli eliminare.
Dicevamo che l’utente deve essere informato sul trattamento dei suoi dati. Questo è vero soprattutto nel caso di dati sensibili, ad esempio le informazioni sanitarie.
Ora, immaginiamo di usare uno strumento che raccoglie dati senza darci la certezza di poterli cancellare. Se l’utente dovesse farci una richiesta di oblio, prevista dal GDPR, possiamo solo sperare che la piattaforma che usiamo ci permetta di farlo facilmente, e che lo faccia per davvero.
È evidente che non è colpa nostra se lo strumento che usiamo non ci permette il pieno controllo, però è anche vero che i responsabili di come i dati vengono trattati siamo noi.
Per questo motivo, è importante porsi una domanda: Abbiamo davvero bisogno di raccogliere tutti quei dati, e cosa ce ne facciamo?
Molti siti web raccolgono dati senza nemmeno usarli, pensiamo al remarketing, cioè a quelle tecniche per raggiungere l’utente che ha visitato il nostro sito in passato, magari con degli annunci pubblicitari o con una profilazione molto precisa.
Certo, ci sono anche siti che usano certe funzionalità per vendere di più. Qui entra in gioco il nostro parere soggettivo. Se gestisco un sito web, quanto voglio poter “sfruttare” i dati dei miei utenti? Posso riuscire a fare quello che mi serve anche mantenendo la riservatezza, ad esempio anonimizzando i dati?
Invece, dal punto di vista dell’utente visitatore, quanti dati sono disposto a cedere pur di ottenere un servizio?
Spesso non leggiamo le informative privacy con attenzione ed accettiamo velocemente, senza sapere dove finiranno le informazioni che stiamo salvando.
C’è chi pensa “tanto non ho nulla da nascondere”. Ecco, in questi casi, se anche voi la pensate così, oppure se conoscete qualcuno che la pensa così, vi invito a chiedergli la password della sua email, oppure di farvi leggere i messaggi del telefono. Il concetto è lo stesso, solo che per qualche motivo, se chi ha accesso ai nostri dati è molto lontano da noi, non ci poniamo il problema della riservatezza.
È utile sapere che Matomo è privacy-by-default, infatti anonimizza gli IP eliminando due byte, ad esempio l’ip 192.168.2.1 diventerà 192.168.x.y perché vengono dimenticate le ultime cifre. Possiamo modificare questo comportamento, ma io consiglio di lasciare così, sia perché è sufficiente per garantire la privacy, sia perché ci permetterà di avere un minimo di precisione nel nostro tracciamento, rispettando comunque la riservatezza dell’utente. Suonerà strano, ma è possibile raccogliere dati anche senza bisogno di sapere tutto dei nostri visitatori.
