Google Analytics 4 e GDPR

Google Analytics e GDPR

La digital analytics raccoglie dati essenziali per il successo delle campagne di marketing online e per prendere decisioni efficaci, ma nel farlo bisogna rispettare le leggi sulla tutela della privacy degli utenti.

Per raccogliere informazioni, i sistemi di web analytics tengono traccia di identificatori online e di altri dati che si qualificano come informazioni personali ai sensi del Regolamento generale sulla protezione dei dati (GDPR), la legge europea sulla privacy dei dati.

La piattaforma di analisi web oggi più utilizzata è Google Analytics: nella nuova versione GA4 il sistema anonimizza di base gli indirizzi IP, tuttavia ciò non è sufficiente ai fini del GDRP ma bisogna intraprendere tutte le azioni necessarie per dimostrare che si utilizza questo servizio in modo conforme al GDPR.

In questo articolo vediamo come configurare Google Analytics 4 in conformità al GDPR.

Cos’è il GDPR?

Il Regolamento generale sulla protezione dei dati (GDPR) è una legge sulla protezione dei dati e sulla privacy dell’Unione europea (UE) entrata in vigore il 25 maggio 2018. Offre ai cittadini nell’UE e nello Spazio economico europeo (SEE) diritti su come imprese, autorità pubbliche, enti o anche altre persone fisiche trattano i loro dati personali.

Sebbene il GDPR sia un regolamento dell’UE, si applica alle aziende di tutto il mondo che trattano dati di persone fisiche nello spazio SEE perché è incentrato sulla posizione dell’interessato, non sulla posizione dell’azienda che raccoglie i dati degli utenti. Ciò significa che il GDPR si applica alle aziende negli Stati Uniti e nel resto del mondo.

In particolare, il trasferimento di dati personali dei cittadini UE al di fuori del SEE è consentito solo quando l’azienda nel paese esterno possa garantire un livello di protezione equivalente a quello del GDPR. Per gli USA, in particolare, il trasferimento è possibile a seguito dell’adozione della decisione di adeguatezza denominata Data Privacy Framework UE-USA.

 

Che cos’è Google Analytics?

Google Analytics è una piattaforma di web analytics gratuita di Google che i proprietari di siti Web o app possono utilizzare per tracciare i dati e il comportamento dei visitatori. Il processo di tracciamento prevede la raccolta di dati come ad esempio le visualizzazioni di pagina, su cosa gli utenti hanno cliccato e per quanto tempo sono rimasti sul sito. Queste statistiche su come gli utenti interagiscono con la piattaforma sono fondamentali per l’ottimizzazione del sito, l’aumento delle vendite e altri obiettivi.

La versione attuale si chiama Google Analytics 4 o GA4, ma ci sono state diverse versioni di questo servizio Google:

VersioneNomeFrammento di codiceConclusa
Google Analytics 1 (GA1)Urchin Analyticsurchin.js9 maggio 2007
Google Analytics 2 (GA2)Classic Analyticsga.js2 aprile 2014
Google Analytics 3 (GA3)Universal Analyticsanalytics.js1 luglio 2023
Google Analytics 4 (GA4)Google Analytics 4gtag.jsVersione attuale

La versione precedente Universal Analytics (GA3) ha smesso di funzionare il 1° luglio 2023: la nuova versione Google Analytics 4 (GA4) ha una struttura dati completamente differente rispetto alla precedente, e tra le implementazioni più importanti di GA4 vi è l’utilizzo di base dell’indirizzo IP che fornisce solo geolocalizzazioni approssimative.

 

Google Analytics (GA4) è conforme al GDPR?

Google Analytics inserisce cookie nei browser degli utenti contenenti un identificatore univoco o ID cookie. Ai sensi del GDPR, gli ID dei cookie si qualificano come dati personali perché possono essere utilizzati per identificare direttamente o indirettamente un individuo.

Le versioni precedenti del servizio tracciavano e registravano gli indirizzi IP, anch’esso dato personale secondo il GDPR: in particolare, nella versione GA3 era possibile inserire il parametro anonymize_ip che limitata la portata statistica del cookie ma, nonostante ciò, il sistema era in grado di effettuare un identificazione dell’utente incrociando più dati (il così detto digital fingerprint) e nell’ultimo anno di attività del sistema (da giugno 2022 a giugno 2023) in Italia ciò fu definito un trasferimento illegale a causa della mancanza di una decisione di adeguatezza arrivata solo successivamente, il 10 luglio 2023 con il su citato Data Privacy Framework UE-USA.

Per impostazione predefinita, GA4 rende anonimi gli indirizzi IP e fornisce solo geolocalizzazioni approssimative. Tuttavia, i dati raccolti possono comunque essere incrociati con altri dati e sono quindi configurabili come dati personali.

Sebbene quindi Google abbia progettato la nuova piattaforma Analytics per essere conforme al GDPR, se utilizzi Google Analytics 4 sei considerato il titolare del trattamento dei dati ai sensi del GDPR e Google si configura come responsabile del trattamento dei dati. Sia i titolari che i responsabili del trattamento dei dati sono soggetti a numerosi obblighi legali.

 

 

Google Analytics e i cookie

Google Analytics 4 lascia cookie sui browser degli utenti e tali cookie sono soggetti ai severi requisiti di elaborazione dei dati delineati dal GDPR. Più nello specifico, è necessario ottenere il consenso opt-in da ogni utente prima che questi cookie vengano scaricati nel browser, altrimenti si è in violazione del regolamento.

GA4 si basa su un minor numero di cookie rispetto alle versioni precedenti del servizio. Utilizza:

  • _ga: cookie utilizzato per distinguere gli utenti; ha una scadenza predefinita di 2 anni
  • _ga_<container-id>: cookie utilizzato per mantenere lo stato della sessione dell’utente; ha una scadenza predefinita di 2 anni
Dovrai elencare tutti i cookie che GA4 inserisce nei browser degli utenti nella tua cookie policy. L’implementazione di questi cookie deve essere conforme al GDPR, ovvero soggetta a consenso da parte degli individui nell’UE/SEE. Se gli utenti rinunciano ai cookie, questa preferenza deve essere rispettata: ciò significa che non puoi scaricare cookie tramite il tuo sito nei loro browser e non puoi tracciarli nelle statistiche.

 

 

Google Analytics e lo user-id

Google Analytics permette di raccogliere (opzionalmente) il dato relativo all’elemento denominato “user-id” ovvero l’identificativo dell’utente registrato su una piattaforma proprietaria (tipicamente il sito web o l’applicazione in uso). Questo permette di tracciare e collegare i dati di un singolo utente su più sessioni e dispositivi, migliorando l’accuratezza dei dati e dell’analisi GA. Tuttavia, questo tracciamento più accurato si basa su ID utente che si qualificano come dato personale, che potrebbero essere utilizzati per identificare e tracciare i singoli utenti.

Se utilizzi lo user-id, dovrai specificarlo nella privacy policy e dovrai raccogliere un consenso esplicito, anche se è un dato pseudonimo. Ricordiamo infatti che per conformarsi alle raccomandazioni sulla privacy degli utenti del GDPR, è necessario pseudonimizzare i dati personali dell’utente: la pseudonimizzazione è un processo in cui il dato viene criptato in modo che non possa più essere collegato all’individuo associato. È possibile ottenere ciò utilizzando un algoritmo per sostituire i dati effettivi con altri dettagli (ad es., i citati pseudonimi).

 

 

In che modo Google sta rendendo GA4 conforme al GDPR

Google ha espresso il suo impegno a rispettare le leggi sulla privacy come il GDPR, spiegando in dettaglio come mette in pratica questo impegno. Presenta Google Analytics 4 come un sistema con un approccio di analisi incentrato sulla privacy.

Ecco come dichiara Google nelle sue policy:

  1. Il GDPR impone un rapporto giuridico tra il titolare del trattamento e il responsabile del trattamento. Google Analytics lo fornisce attraverso i suoi termini e condizioni, che spiegano i termini di elaborazione dei dati e la relazione titolare-responsabile.
  2. Il GDPR ha severi requisiti di sicurezza dei dati, che Google si impegna a raggiungere attraverso sistemi di protezione dei dati all’avanguardia e mantenendo certificazioni di sicurezza riconosciute a livello internazionale .
  3. Il GDPR stabilisce che i responsabili del trattamento dei dati devono aiutare i responsabili del trattamento a identificare e segnalare eventuali violazioni dei dati all’autorità di controllo competente e ai loro utenti. Google lo facilita attraverso il suo programma di gestione degli incidenti relativi ai dati 24 ore su 24, 7 giorni su 7.
  4. Il GDPR richiede la Privacy by Design come approccio predefinito per la costruzione di siti e software e necessita di valutazioni d’impatto sulla protezione dei dati. Google incorpora entrambi questi concetti nelle sue pratiche sulla privacy.
  5. Il GDPR elenca la minimizzazione dei dati come uno dei suoi inquilini principali: raccogliere solo i dati essenziali e conservarli solo per il tempo necessario allo scopo originale per cui sono stati raccolti. Google Analytics soddisfa questo requisito di conservazione dei dati consentendo ai proprietari di siti Web di controllare per quanto tempo vengono archiviati i dati degli utenti.

 

 

Come utilizzare GA4 in modo conforme al GDPR

Google Analytics è uno strumento di dati essenziale per le aziende, ma utilizzarlo in modo conforme al GDPR richiede alcuni passaggi aggiuntivi: presentare agli utenti un’accurata politica sulla privacy e sui cookie, spiegare l’utilizzo di GA4 e chiedere il consenso prima di inserire cookie di analisi sui loro browser, dare agli utenti la possibilità di revocare il proprio consenso in qualsiasi momento.

Va ricordato che nel contesto del GDPR, il proprietario del sito che permette a GA4 di raccogliere informazioni personali dagli utenti attraverso il proprio sito web, è il titolare del trattamento dei dati: ciò significa che ha la responsabilità garantire che l’uso di Google Analytics sia conforme al GDPR.

Per raggiungere questo obiettivo legalmente, è necessario eseguire tutti i seguenti passaggi.

 

STEP 1 – Ottenere il consenso alla raccolta dei dati personali

Ottenere il necessario consenso dell’utente è una delle basi legali per il trattamento dei dati personali ai sensi del GDPR: serve il consenso esplicito degli utenti per utilizzare Google Analytics in modo conforme. Google lo specifica direttamente nella sezione della Guida di Analytics: “Google customers need to inform users about the information being stored and give them the opportunity to grant or deny their consent

Affinché il consenso dell’utente sia valido ai sensi del GDPR, deve soddisfare la definizione legale descritta dal regolamento ed essere: “indicazione libera, specifica, informata e inequivocabile della volontà dell’interessato con la quale questi, mediante una dichiarazione o un atto chiaramente affermativo, esprime il  consenso al trattamento dei dati personali che lo riguardano.”

Per rispettare le regole di consenso GDPR, è necessario ottenere un consenso affermativo e opt-in e fornire opzioni di opt-out per quanto riguarda l’utilizzo di GA4 in modo che gli utenti possano facilmente cambiare idea in qualsiasi momento. Per raggiungere questo obiettivo, imposta un banner di consenso pop-up correttamente configurato sul tuo sito Web che includa un collegamento diretto alle tue politiche sulla privacy e sui cookie. Assicurati che la tua politica sulla privacy spieghi chiaramente che utilizzi Google Analytics utilizzando un linguaggio di facile lettura e comprensione.

Offri ai tuoi utenti la possibilità di acconsentire al tuo utilizzo di Google Analytics o di negare del tutto i cookie e la possibilità di revocare il loro consenso in qualsiasi momento. Puoi anche consentire loro di personalizzare ciò che attivano e disattivano, più specificamente, se lo desideri. Ma non utilizzare caselle preselezionate, poiché non sono compatibili con il GDPR.

Per una completa conformità, assicurati che non si verifichi alcun trattamento dei dati a meno che i tuoi utenti non siano d’accordo e assicurati che il trattamento avvenga solo dopo aver ottenuto il consenso.

 

 

STEP 2 – Conserva i dati per il tempo necessario

Come molte leggi sulla privacy, il GDPR impone di archiviare i dati personali solo per il tempo necessario allo scopo di raccolta originale. Utilizzando GA, la politica di conservazione dei dati deve quindi essere conforme a questo aspetto del regolamento.  Fortunatamente, questa funzione è integrata in GA4, che permette di scegliere tra due opzioni di conservazione:

  • 2 mesi
  • 14 mesi

Il periodo di conservazione dei dati va quindi rivisto e impostato sul minimo richiesto in base al tipo di operazioni effettuate online.

 

 

STEP 3 – Fornire una politica sulla privacy e sui cookie

Il GDPR fornisce agli utenti nell’UE/SEE diversi diritti fondamentali, incluso il diritto di essere pienamente informati. Ciò significa che dovrai fornire agli utenti un’informativa sulla privacy e una politica sui cookie accurate e conformi al GDPR, in modo che gli utenti possano leggere tutte le informazioni circa le tue pratiche di elaborazione dei dati.

Nello specifico, gli interessati secondo il GDPR hanno il diritto di sapere quali informazioni personali vengono raccolte, come vengono utilizzate e per quanto tempo, con chi vengono condivise e la base giuridica per farlo. Va anche spiegato come gli utenti possono agire su questi diritti e quali dati sono condivisi con Google (nel caso di GA4) o a qualsiasi altra terza parte.  Poiché anche i cookie sono considerati informazioni personali, è necessario menzionarli nelle politiche sulla privacy e sui cookie per conformarsi al GDPR.

 

 

Come funziona la modalità di consenso di Google con Google Analytics?

Nel 2020, Google ha introdotto la modalità di consenso di Google  (Google Consent Mode o GCM) per offrire ai proprietari di siti Web un maggiore controllo sui propri cookie pubblicitari e di analisi relativi alle scelte di consenso dell’utente. Per accedere a tutte le sue funzionalità, devi utilizzare una piattaforma di gestione del consenso (Cookie Consent Management o CMP) compatibile.

Ecco come funziona: quando i consumatori visitano il tuo sito Web per la prima volta, un banner di consenso chiede se hanno letto e accettato la tua politica sulla privacy e la politica sui cookie. La scelta dell’individuo viene poi comunicata a GCM tramite g-tag. Se gli utenti acconsentono e danno il consenso, i cookie analitici vengono inseriti nei loro browser come di consueto. Tuttavia, se negano il consenso, i g-tag si aggiornano e nessun cookie viene inserito nei loro browser. Invece, GCM applica una tecnologia di mappatura dei dati AI intelligente per evitare lacune nei dati di conversione.

La modalità di consenso attualmente funziona con i seguenti servizi Google:

  • Google Analytics
  • Google Ads
  • Floodlight
  • Conversion Linker

 

Cosa accadrà a Google Analytics dopo la Cookiepocalypse?

Il browser Google Chrome smetterà di supportare i cookie di terze parti nel 2024, evento che prende il nome di cookie apocalypse. In che modo ciò influirà su Google Analytics 4, soprattutto perché utilizza i cookie per fornire dati accurati su come i consumatori interagiscono con il tuo sito?

Google Consent Mode è la risposta di Google ad un futuro senza cookie. Il fatto che utilizzi g-tag (non cookie) per comunicare l’impostazione delle preferenze di consenso di un individuo e applichi la tecnologia di mappatura dei dati AI per colmare le lacune nei dati ci suggerisce che questo è il futuro della tecnologia di analisi online.

 

Domande frequenti su Google Analytics 4 e GDPR

Google Analytics non è necessariamente conforme al GDPR per impostazione predefinita: dovrai eseguire alcuni passaggi aggiuntivi, come fornire una politica sulla privacy e una politica sui cookie conformi e ottenere il consenso esplicito dell'utente prima che si attivino i cookie GA. È anche importante sottolineare che la conformità al GDPR è un continuo lavoro in corso.

Google afferma che Google Analytics non raccoglie "informazioni di identificazione personale" o PII. Tuttavia, lascia i cookie sui browser, che il GDPR considera informazioni personali. Pertanto, dovrai adottare misure per ottenere il consenso dell'utente e comunicare adeguatamente il tuo utilizzo dei cookie per ottenere la piena conformità al GDPR.

Google Analytics 4 utilizza i seguenti cookie proprietari:

  • _ga: cookie utilizzato per distinguere gli utenti  (scadenza predefinita di 2 anni)
  • _ga_: cookie utilizzato per mantenere lo stato della sessione dell'utente (scadenza predefinita di 2 anni)

Sì, se abiliti la modalità di consenso di Google, puoi utilizzare Google Analytics senza fare affidamento sui cookie, in quanto consentirà al tuo sito web di funzionare in base allo stato di consenso dei tuoi utenti. Questo perché i g-tag, non i cookie, comunicano a GCM le scelte di consenso dei tuoi utenti.

Sì, puoi utilizzare Google Analytics e rispettare altre leggi sulla privacy dei dati. Tuttavia, è necessario comunicare l'utilizzo di GA nella propria informativa sulla privacy. In base a leggi come il California Consumer Privacy Act ( CCPA ), devi anche rispondere alle richieste di rinuncia dei consumatori e di limitazione dei dati.

Alcune alternative a Google Analytics includono quanto segue:

  • Adobe Analytics
  • Matomo Analytics
  • Plausible Analytics
  • Fathom Analytics
  • Hotjar
  • Clicky

Se configurato correttamente, puoi utilizzare altre piattaforme di analisi in modo conforme al GDPR, tra cui:

  • Simple Analytics
  • PostHog
  • Fathom Analytics
  • Matomo Analytics

 

 

Fonti Articolo:

Guida a Google Analytics in conformità al GDPR di Termly

Featured Image
termly.io

 

Contattaci per saperne di più

Hai dubbi, domande oppure vuoi un consiglio esperto?
Contattaci o scrivici: siamo a tua completa disposizione.

 

/da
Potrebbero interessarti
Cookie e gdpr Cookie e GDPR: la normativa europea sui cookie
Cookie: tutte le domande e le risposte più frequenti
Cookie di Analytics e GDPR
Google university rid2 Google University Effect
Cookie consenso validohttps://termly.io/ Cookie Consent: consenso valido e prova del consenso
Data Privacy Framework Introhttps://ec.europa.eu/commission/presscorner/detail/en/ip_23_3721 Data Privacy Framework UE-USA