Skip to main content

Google Analytics e GDPR: è illegale? E GA4? Cosa fare?

google analytics GDPR normativa obblighi siti

Google Analytics, dopo la pronuncia del Garante dei Dati Personali, di giugno 2022, è da considerarsi “fuori legge”?

Risposta corta e perentoria non c’è. Come non c’è, allo stato attuale, una dottrina certa, capace (non solo) di interpretare ma anche di tradurre in termini (dannatamente) pratici la decisione, emessa pochi giorni fa (giugno 2022), del Garante dei dati personali italiano che ha dichiarato l’utilizzo di Google Analytics (GA3) in violazione del regolamento europeo GDPR.

Osservazioni e Criticità rilevate

Nel caso di specie le osservazioni del Garante hanno portato l’attenzione su alcune tematiche:

  • l’anonimizzazione dell’IP (che si faceva inserendo lo snippet di codice “ga(‘set’, ‘anonymizeIp’, true);”) non basta.
    Questa procedura, di fatto, costituisce solo una pseudonimizzazione, in quanto non impedisce a Google di re-identificare comunque l’utente, tenendo conto di tutte le informazioni complessivamente acquisite dalla stessa (come la geolocalizzazione, i dati di navigazione e/o i dati demografici e gli interessi dell’utente).
    E in effetti l’efficacia dell’anonimizzazione è solo di facciata se poi, ad esempio, abiliti i rapporti sui dati demografici (e se vedi dati come l’età, il sesso o il settore professionale degli utenti allora vuol dire che questa funzione è abilitata!) e quindi si sta facendo, a tutti gli effetti, profilazione, gestendo dati personali dei navigatori.
    Poi possiamo discutere se questo abbia più o meno senso o priorità a fronte di altre situazioni (così a caso, penso alla guerra, pandemia o situazione ambientale in corso) ma si sfocia nel campo della politica e questo, qui, non ci interessa (sotto ti mostro come verificare e/o disabilitare, nel caso, questa funzione)
  • il trasferimento dei dati personali effettuato verso paesi extra UE (che nel caso di GA sono gli Stati Uniti) che non hanno un livello e grado di tutela simile a quello garantito dal GDPR (come sancito dalla sentenza Schrems II emessa dalla Corte di Giustizia europea a luglio 2020 che invalidava l’accordo “privacy shield” USA-UE).
    Sostanzialmente, quando visiti un sito, ogni dato raccolto viene poi inviato all’interno di un server (che può essere quello dell’hosting, che ospita il sito stesso, o quello del componente terzo, come GA ad esempio) che può essere localizzato in Europa (dove si applica il regolamento) o in altri paesi (dove non è detto che vi sia una normativa simile e, a quel punto, “la protezione del dato viene meno”).
    Dopo vediamo se e come risolvere questo punto.

Infine c’è un’altra questione (non evidenziata dal Garante nel caso di specie) che però, in base all’esperienza di navigazione, voglio toccare in questo articolo di approfondimento, ossia:

  • il consenso dell’interessato deve essere manifestato “mediante dichiarazione o azione positiva inequivocabile”.
    Questo vuol dire che se fino a qualche anno fa si poteva desumere il consenso in maniera implicita (la regola infatti era “continuando la visione del sito dichiari di aver letto e accettato la nostra informativa privacy” e bastava scrollare la pagina per far svanire la barra), col GDPR, questo non è più valido.
    Anzi viene proprio invertito il paradigma normativo, quindi: in assenza dell’azione dell’utente (un clic), tu non devi raccogliere cookies (in quanto non hai un consenso espresso in modo inequivocabile) e ciò significa che devi lasciare spente le fonti traccianti (quindi GA o il pixel FB non deve proprio accendersi all’apertura del sito)!
    Ovviamente questo, al netto della maggiore complessità tecnica ed onerosità dell’operazione, ha avuto anche un’importante ricaduta lato marketing: prova ad immaginare che entrino sul tuo sito 100 persone ma che neanche una di queste clicchi il pulsante “ok”, non avendo acquisito alcun consenso, GA non dovrà accendersi e quando andrai a consultare i report leggerai… ZERO visite quotidiane (nonostante gli accessi fossero 100).
    Ed è quello che è successo a questa proprietà (che ha visto dimezzarsi il numero degli accessi) all’indomani dell’applicazione del nuovo meccanismo richiesto dal GDPR.
Cosa fare “operativamente”?

La prima strada consiste nel rimuovere Universal Google Analytics (GA3) dal sito, dato che tanto smetterà di funzionare comunque dal 1° luglio 2023.

A quel punto puoi scegliere di (ordino le opzioni in scala di efficacia sul fronte dell’acquisizione dati da usare lato marketing):

  • non installare nessun servizio di analytics sul sito (se tanto sei consapevole di non usare seriamente questo servizio, anche se così non avrai nessun riferimento numerico sugli accessi che riguardano il tuo sito)
  • usare Google Search Console consapevoli di un suo limite intrinseco. Questo servizio, infatti, non nasce per fare analytics e non offre nessun dato sul comportamento, la navigazione e la fruizione del sito da parte dell’utente (non si possono impostare eventi e/o conversioni, non si può vedere il tempo di visita etc) ma si occupa solo di registrare il passaggio che va dal momento in cui un utente cerca le informazioni sul motore di ricerca fino al clic sul relativo risultato di ricerca.
    Di norma, viene usato in campo SEO, al fine di capire quanto il nostro sito compaia tra i risultati in SERP e quanti clic (e quindi con buona approssimazione accessi) ha ricevuto ma poi, da quel momento in avanti, GSC esce di scena e non fa più nulla.
    GSC e GA, infatti, si occupano di raccogliere i dati di accesso in due momenti diversi: prima e dopo il clic, che da Google ci porta al nostro sito.
    Se vuoi avere un’indicazione realistica ma non assoluta sul numero degli accessi al tuo sito (puntando alla quantità e non alla qualità), questa potrebbe essere una soluzione praticabile, dato che GSC non installa cookie di alcun tipo!
  • installare un servizio di analytics non Google (come Matomo, che è un software libero, con server localizzati in Europa, nato specificamente per rispettare i dettami del GDPR) anche se questo significa di considerare: un costo di licenza mensile, una maggiore difficoltà nell’integrazione con servizi terzi (ad es. nell’importazione degli obiettivi su campagne PPC) ed un supporto esperienziale e community più giovane
  • passare alla nuova versione di Google Analytics (GA4)
“E Analytics anonimizzato?!”

Qui c’è da fare ancora un’ultimo approfondimento a proposito della tipologia di cookie di Google Analytics: è un cookie tecnico oppure un cookie di profilazione (statistico)?

Il Garante della Protezione dei dati personali italiano, interrogato sul punto, risponde, in una delle sue FAQ, che si tratta di 2 tipologie di cookies distinti.
Poi, nel secondo comma della stessa FAQ, aggiuge che “se i dati degli utenti sono minimizzati e non possono essere combinati con altre elaborazioni nè trasmessi a terzi, allora, a queste condizioni, possono valere, per i cookie analytics, le stesse regole previste per quelli tecnici”.

E la differenza (sostanziale) sta nel fatto che i cookie tecnici non richiedono il consenso del navigatore, essendo considerati funzionali e necessari al funzionamento del sito stesso (quindi si possono attivare di default al momento dell’apertura del sito) mentre quelli di profilazione, che raccolgono dati personali (come gli Analytics che sono considerati “statistici” o quelli del pixel Facebook che sono di “marketing”), ricadono nel meccanismo che prevede l’acquisizione del consenso esplicito, di cui sopra.

Se ormai il Garante ha stabilito che la semplice anonimizzazione di GA3 non è più sufficiente: cosa accade con GA4?

Google Analytics 4 nasce già anonimizzato: quindi è GDPR compliant?

GA4 nasce con una concezione ed una strutura completamente differente da GA3 (infatti non si possono importare i dati da GA3 a GA4 proprio per la profonda differenza strutturale tra i due strumenti) e con una particolare attenzione sul fronte della privacy e delle misure richieste dal GDPR.

A questo punto se, come si può leggere sulla guida al nuovo Analytics:

  • GA4 -di default- non registra nè archivia gli indirizzi IP eliminando eventuali indirizzi IP raccolti sugli utenti dell’UE prima di registrare questi dati, tramite domini e server che si trovano nell’UE
  • GA4 dà la possibilità di disattivare (e lo fai) la raccolta di dati di Google Signals (annullando la funzionalità pubblicitaria indispensabile per fare remarketing e personalizzazione degli annunci)
  • GA4 dà la possibilità di disattivare (e lo fai) la raccolta di dati granulari su località e dispositivo (annullando quindi la raccolta di dati personali come: città, latitudine, longitudine, brand/modello/nome del dispositivo e risoluzione dello schermo)
  • GA4 dà la possibilità di richiedere un’eliminazione di dati (indicando data e parametri da eliminare), a fronte della richiesta di cancellazione dei propri dati personali da parte di un utente ai sensi dell’art. 17 GPDR
  • disabiliti, a livello di account, tutte le caselle di condivisione dei dati raccolti nelle tue proprietà Analytics con Google (ad esempio: l’analisi comparativa, l’assistenza tecnica, il benchmark con prodotti e servizi Google)

Allora, a mio avviso, viene meno il presupposto della raccolta di dati personali (in quanto non si raccolgono più quel set di identificatori – come indirizzo IP, dati di navigazione e dati geografici – che consentivano comunque l’identificazione e la profilazione dell’utente) e quindi, trovandoci ora a gestire gli accessi come un mero numero, si potrebbe considerare questa configurazione come cookie tecnico (in quanto i dati raccolti dovrebbero essere minimizzati e non possono essere combinati con altre elaborazioni).

Il condizionale è d’obbligo perchè, come dicevo all’inizio, siamo ancora in una fase piuttosto transitoria e liquida, senza la presenza di una dottrina tecnica autorevole e/o ulteriori FAQ e approfondimenti da parte del Garante (che tutti auspichiamo, così come la prospettiva di un nuovo accordo sull’ex “Privacy Shield” tra USA e UE).

Se volessi usare GA4 ed essere sicuro, anche sul fronte della gestione dei dati extra UE?

Chi vuole avere un grado di sicurezza e certezza in più, oppure chi intende usare GA4 in modo pieno (senza disattivare le funzionalità di cui sopra), può configurare GA4 con tracciamento Server-Side, in modo che i dati raccolti non finiscano più sui server di Google ma direttamente all’interno del proprio server, che sarà localizzato in UE (usando ad es. un servizio come “stape.io”).
Naturalmente questa soluzione richiede un intervento tecnico ulteriore e l’acquisto del servizio di server che ha un costo di licenza mensile, basato sul consumo di risorse effettivamente sostenuto.

Su questo mi sento di fare un ringraziamento speciale a Matteo Zambon, fonte di tante ispirazioni nonché uno dei massimi esperti mondiali in materia di GTG e GA.

Close Menu

Liberal Studio | Agenzia Marketing - Dal 2013

Se hai un problema urgente, necessità di un intervento tecnico o vuoi affidare il lavoro ad un professionista...
Non preoccuparti: in qualità di Agenzia Web possiamo gestire sia gli aspetti strategici sia operativi di un progetto senza farti perdere tempo, andando dritti al risultato!

Contattaci