Google  Analytics  e  GDPR: Prospettive  di  GA4  e  soluzioni

Partiamo dall’evento spartiacque che ha sollevato in Italia un acceso dibattito e confronto: iI 23 giugno 2022 il Garante per la protezione dei dati personali, seguendo le orme delle autorità austriache e francesi, ha pubblicato un provvedimento, con cui dichiara illecito il trasferimento di dati personali al di fuori dell’Unione Europea effettuato da parte degli utilizzatori di Google Analytics (comunicato stampa).

Qualche mese fa, esattamente il 10 febbraio 2022, la Francia ha emesso un avviso formale a diverse realtà che utilizzano Analytics a causa del trasferimento illegale di dati negli Stati Uniti. Il DPA francese ha suggerito che l'uso di un proxy configurato correttamente può mitigare il rischio per gli utenti.

Google Analytics è il servizio di analisi web più popolare al mondo per monitorare traffico, conversioni e molti altri dati utili per aziende e marketer. È gratuito, fornisce statistiche vitali ed è semplice ed intuitivo nelle sue funzionalità principali. Si discute su possibili soluzioni e  modifiche alle impostazioni di analisi in modo da soddisfare i requisiti del GDPR ma in generale le informazioni raccolte sui visitatori vengono trasferite negli Stati Uniti, un paese ritenuto sprovvisto di un adeguato livello di protezione ovvero gli Stati Uniti. 

Google Analytics sfrutta i cookies per raccogliere numerose informazioni sulle interazioni con i visitatori (indirizzo ip, il browser, sistema operativo , componenti hardware del dispositivo utilizzato, data e ora dell'accesso, ecc ecc) per poi trasferire tutto quanto negli Usa. Nello specifico  anche l'indirizzo IP costituisce un'informazione personale perché, anche se tronco, può essere ricostruita coi mezzi a disposizione dal gigante di Mountain View incrociando i dati con gli altri in suo possesso. 

Nella decisione del Garante è stato proprio evidenziato che l’indirizzo IP costituisce un dato personale e che, anche se anonimizzato, Google sarebbe comunque in grado di risalirvi e da qui Le autorità hanno affermato che le misure tecniche di conformità di Google Analytics 3 sono insufficienti.

Come funziona Google Analytics?

Il modo in cui funziona è abbastanza semplice, una volta  incollato il codice di monitoraggio nel codice sorgente del tuo sito web  quando un visitatore accede al sito e visualizza una pagina, il codice di monitoraggio viene eseguito nel browser del visitatore. Raccoglie e invia dati al server di Google Analytics identificando le pagine visualizzate e fornendo informazioni come per quanto tempo un visitatore rimane sul tuo sito e su quali link ha cliccato. Il codice di tracciamento si basa sui cookie di Internet sul browser del visitatore per raccogliere informazioni. Poiché i cookie raccolgono dati, Analytics non funzionerà su un browser utente che ha bloccato tali cookie.

Quali dati vengono raccolti da Google Analytics?

Per impostazione predefinita, Google Analytics raccoglie:

  • indirizzo IP
  • Sorgente di traffico
  • Pagine visitate 
  • Giorno e ora della visita
  • Tempo speso sulle pagine web
  • Tipo di browser
  • lingua selezionata
  • Tipo di sistema operativo
  • Risoluzione dello schermo
  • Tipo di dispositivo

Quando utilizzi Google Analytics, tieni presente che Google è il responsabile del trattamento dei dati. Il tuo sito web o la tua azienda è il titolare del trattamento, il che significa che sei tu a decidere perché e come utilizzare i dati del tuo sito web. 

E’ possibile rendere Universal Google Analytics 3 conforme al GDPR?

Al momento non il Garante non ha fornito una risposta a questa domanda, ha affermato che per continuare ad utilizzare Google Analytics sono necessarie delle misure di sicurezza aggiuntive, senza esplicitare tali misure che giustamente sono a carico del titolare del trattamento. 

Va ribadito che le indagini riguardano Google Analytics 3 per cui non possiamo ancora sapere con certezza se l’utilizzo di GA4 sia sufficiente o meno.

Ogni titolare del trattamento dovrà fare le proprie valutazioni, analizzare i propri trattamenti, le misure implementate e valutare gli aggiornamenti del tool anche in attesa della stipula di nuovi accordi tra Europa e Stati Uniti per regolare il tema. Dovrà sostanzialmente essere deciso se: 

  • Passare a un servizio di analytics alternativo conforme. 
  • Continuare a utilizzare Google Analytics nella versione GA4 applicando delle misure aggiuntive e configurando e personalizzando le impostazioni disponibili. Certamente GA3 va abbandonato il prima possibile.
    shutterstock_1123716065

Google Analytics 4 è ugualmente impattato da questa decisione?

Google ha annunciato numerosi miglioramenti della protezione dei dati per il nuovo Google Analytics 4 (GA4) che sono  descritti da Google alla voce “ Dati e privacy incentrati sull'UE ”. GA 4 permetterà dei controlli a livello nazionale e delle opzioni di personalizzazione che consentiranno di minimizzare la raccolta dati di uno specifico visitatore. In sintesi, sono state annunciate le seguenti modifiche relative alla privacy che sulla carta dovrebbero rendere lo strumento compliant al GDPR:

  • GA4 elaborerà tutti i dati dai dispositivi finali all'interno dell'UE su server nell'UE.
  • GA4 elabora gli indirizzi IP per la geolocalizzazione, ma non memorizza più gli indirizzi IP, li utilizza in maniera volatile ma non li registra nel loro sistema. 
  • GA4 consente la disattivazione di Google Signals per impedire il collegamento con gli account Google.
  • GA4 consente di configurare la granularità dei dati geografici e del dispositivo raccolti (es. risoluzione dello schermo che richiede il consenso).

Quanto sopra è sufficiente? Queste misure sono un passo nella giusta direzione, ma del tutto utili per revocare il divieto Ue?  Ai posteri l’ardua sentenza!

Certamente permane il divieto di trasferimento di dati UE-USA: Secondo il Patriot Act, il Foreign Intelligence Surveillance Act (FISA) e il Clarifying Lawful Overseas Use of Data Act (Cloud Act), le autorità statunitensi hanno accesso a tutti i dati delle società statunitensi. Anche se è archiviato nell'UE. Pertanto in teoria, l'ubicazione dell'archiviazione nell'UE non risolve il problema reale che il regolamento UE sulla protezione dei dati è garantito per i cittadini dell'UE. Il tema è alquanto spinoso e tutto da chiarire!

Se si decide  di utilizzare Google Analytics 4, ecco alcune azioni che si possono fare per essere il più conformi possibile:

  1. Limitare la raccolta di alcuni dati (come i dati su localizzazione, device o sistema operativo) per alcune nazioni, in modo da limitare ulteriormente il potere di tracciamento di GA   
  2. Utilizzare una valutazione interna di Google Analytics per stabilire se alcune o tutte le metriche sono necessarie alla tua attività. La console di GA4 permette di disattivare la raccolta di dati di Google Signals. Va tenuto presente che la disabilitazione di Google Signals comporta limitazioni soprattutto in ambito advertising:
    - Non sono possibili elenchi per il remarketing in base ai dati analitici.
    - Nessuna funzionalità di reporting degli annunci  
    - Nessun dato demografico e di interessi
    - Solo modelli di conversione e rapporti limitati in Google Ads
  3. Considerare i server proxy. Utilizzando un server proxy potrebbe essere possibile evitare un contatto diretto tra il PC dell’utente e Google Analytics.
  4. Inserire la clausola di Google Analytics 4 nella privacy policy.
  5. Assicurare e richiedere sempre un consenso esplicito e trasparente (non rientrando più tra i cookie “essenziali/tecnici” privi di consenso), anche se pare che il consenso esplicito per i trasferimenti extra-UE può essere utilizzata solo per trasferimenti “occasionali”, il che non pare proprio il caso d’uso di cookie su un sito web.

Conclusioni 

Le nuove misure sono un passo nella giusta direzione dal punto di vista della protezione dei dati, va capito se le innovazioni apportate a G4 siano sufficienti. Non è ancora chiaro se il funzionamento di questa nuova versione abbia risolto  il problema principale, cioè la trasmissione verso Google di dati di interessati identificati o identificabili che parrebbe continuare. Ad esempio tramite gli script e l'utilizzo di identificatori vari, pseudonimizzati o meno che siano. Questo rimanderebbe alle stesse criticità di fondo dei precedenti Analytics, se non smentite da una diversa, dettagliata analisi dei flussi di dati che escluda in modo radicale l’uso di dati personali. Certamente servirà anche l’entrata in vigore di un nuovo accordo a livello politico sui trasferimenti di dati tra l'UE e gli Stati Uniti, anche se al momento tutto tace. 

Le aziende dovrebbero quindi valutare attentamente l’evolversi della situazione e capire se valga la pena passare da Universal Analytics a GA4 o passare a una soluzione UE alternativa che non dipenda né dagli accordi UE-USA né dal consenso degli utenti. Va chiarito che le soluzioni alternative non sono certo la panacea di tutti i mali ma si portano dietro diverse problematiche sia a livello di annunci pubblicitari che di sicurezza. 

Quali sono le migliori alternative per accedere ad un sistema di statistiche dei visitatori nel rispetto delle norme di privacy italiane e europee? 

  • Matomo: Consente un servizio di statistica completo quasi come Google Analytics, ma che non ricostruisce i dati anonimi in alcun modo e fa in modo che tutti i dati analizzati rimangano di proprietà degli utenti. Fornisce una vasta gamma di informazioni sui visitatori del tuo sito Web, inclusi i motori di ricerca e le parole chiave che hanno utilizzato, la lingua parlata, pagine viste, gli elementi che hanno scaricato e altro ancora. Questa alternativa open source va però scaricata e installata sul tuo server web per gestire i tuoi database PHP MySQL. 

  • Plausible Analytics : è una soluzione di tipo open-source semplice ed immediata, non utilizza cookie e questo la rende conforme al GDPR.  La piattaforma si appoggia su un'infrastruttura Cloud in Europa, non effettua tracciamenti cross-site o cross-device e garantisce che i dati raccolti non vengano usati da  terze parti.

  • Simple Analytics: é una soluzione alternativa che ha come come principale prerogativa la conformità con il GDPR. Prevede un'interfaccia semplice e lineare e consente di accedere a vari dettagli di approfondimento sui visitatori. Tutti i dati raccolti vengono cifrati, non viene archiviato alcun dato relativo agli utenti che visitano il sito,  i server sono locati in Europa e nessuna informazione analizzata viene venduta per finalità di marketing.

Consulenza gratuita

Tocca a te, lascia il tuo commento!



cri copia Andrea Lasagna

Mi occupo di comunicazione e marketing dalla fine dagli anni ’90. Un percorso scolastico con tanti 4 in "italiano" e una strada segnata verso studi scientifici, dopo una laurea in economia aziendale e un master UPA all’Università Cà Foscari, mi sono fatto le ossa in Publitalia ed in diverse agenzie a studiare i media, ad incrociare numeri e dati per ottimizzare gli investimenti in comunicazione per trarre il massimo da ogni singolo euro investito dai clienti. Ho avuto il piacere di lavorare con grandi realtà ed eccellenze industriali nei settori più disparati. In Moma affianco manager ed imprenditori per cambiare la strategia di sviluppo del business delle loro aziende e i loro processi di vendita, accompagnandoli lungo un percorso di digital transformation. Con i miei collaboratori coniughiamo azioni di digital marketing con soluzioni offline, portando avanti la metodologia dell’Inbound Marketing per generare e profilare contatti, qualificarli commercialmente e trasformarli in clienti, stabilendo relazioni gratificanti di lungo corso con i nostri clienti. Sono nato a Torino classe 1973, lavoro a Bergamo e Brescia, ma vivo a Mantova, la città che sento “mia” e dove faccio di tutto per tornare ogni sera per godermi la mia famiglia. Ho la fortuna che il lavoro che faccio mi piace e riesce a tirarmi fuori il 100%. Non si può vivere di solo lavoro e nel tempo libero - ahimè sempre meno - amo soffrire spingendo i pedali di una bicicletta, sognando di volare in salita come Pantani e sul pavé come Tom Boonen.