Skip to main content

Google Analytics rispetta le norme GDPR sulla protezione e trasferimento dei dati?

 

Sembrerebbe proprio di no. Ma, c’è un grosso ma, essendo la Privacy Policy e le norme GDPR un tema molto complesso, in continua evoluzione e dove ancora non ci sono regole ben precise e uniformi, al momento non è chiaro cosa dobbiamo fare.
Ci siamo ritrovati nelle ultime settimane davanti a questa paradossale situazione:

 

Dismettere Google Analytics.

 

È si vero che esistono altri servizi che permettono di raccogliere dati e analisi dei nostri siti web. Ma un cambio così epocale comporterebbe anche delle conseguenze nella gestione di attività connesse (in primis Google Ads) che ruotano tutte intorno ai dati di Google Analytics.
Allora che fare in attesa che il Garante della Privacy chiarisca la sua posizione e si trovi un accordo con Google?

 

Una “soluzione veloce” per risolvere il problema di conformità di Google Analytics è passare alla nuova versione di Google Analytics 4.

 

Passare a Google Analytics 4 infatti sembrerebbe (l’uso del condizionale è sempre d’obbligo) ad oggi la via più facile per continuare ad utilizzare i servizi di Google senza incorrere in rischi sanzionatori da parte del Garante della Privacy.

 

Ma perché GA4 rispetta le linee guida GDPR?

Cosa c’è da sapere in breve secondo gli esperti di Iubenda:
• Google Analytics 4 è la risposta di Google alle continue sfide sulla privacy in Europa
• Google Analytics 4 gestisce gli indirizzi IP diversamente
• Google Analytics 4 offre ulteriori opzioni e impostazioni riguardanti la privacy
• Al momento non possiamo sapere con certezza se le autorità riterranno sufficiente l’uso di Google Analytics 4

L’abbandono di Google Analytics – e di qualsiasi servizio con sede negli Stati Uniti – è l’unica opzione che può essere considerata sicura (ma potrebbe risultare difficile da realizzare)

 

Anche se non può garantire la conformità, Google Analytics 4 è un passo avanti e un’alternativa migliore rispetto alla versione precedente. 

Infine, tieni presente che il 25 marzo è stata annunciata l’intenzione di raggiungere un nuovo accordo sul trasferimento dati tra UE e USA. Questo accordo, in fase di discussione, dovrebbe risolvere il problema dei trasferimenti illegali di dati al di fuori dell’Europa. Naturalmente, ti terremo aggiornato/a in merito.

 

Facendo poi delle ricerche siamo riusciti a stilare una raccolta utile per capire meglio le novità sulla privacy di GA4

 

Ecco cosa cambia e perché Google Analytics 4 è la soluzione (al momento) per rispettare il GDPR

 

GA4 di fatto non registra gli indirizzi IP

Uno degli argomenti centrali del dibattito è l’indirizzo IP dell’utente. Un dato che Google Analytics può elaborare e che secondo il Garante della Privacy può essere trasferito in USA.
L’indirizzo IP anonimizzato dell’utente è una funziona standard predefinita per GA4.
Con questo aggiornamento, GA non registra affatto gli indirizzi IP dei singoli utenti.

 

Tecnicamente l’indirizzo IP dell’utente viene ancora inizialmente raccolto e utilizzato per una ricerca della posizione, ma solo questi metadati relativi alla posizione vengono memorizzati per essere utilizzati nei rapporti, e non l’indirizzo IP stesso. Questa attività di elaborazione viene gestita su server dell’UE per gli utenti dell’UE, pertanto l’indirizzo IP non viene mai trasferito né memorizzato al di fuori dell’Europa.

 

I dati dell’UE vengono ricevuti ed elaborati nell’UE

Prima di Google Analytics 4, i dati ricevuti dagli utenti dell’UE venivano trasferiti ai server negli Stati Uniti per essere elaborati. Questo trasferimento di dati personali è stato alla base dei reclami del GDPR e dei recenti pareri della DPA in Europa.
GA4 elabora i dati degli utenti dell’UE solo nell’UE, eliminando così il rischio di conformità dei trasferimenti internazionali.

 

Controlli regionali per Google Signals

Google Signals è una funzionalità che consente di includere nella reportistica di GA ulteriori funzionalità pubblicitarie e i dati di Google Ads. Quando si attiva Signals, si fa riferimento a un cookie di Google Ads e si raccoglie un ID aggiuntivo che consente a Google di includere i dati degli utenti che hanno effettuato l’accesso a un servizio Google nello stesso browser con cui accedono al vostro sito.

 

Su GA4 puoi effettuare il controllo regionale per disabilitare i Signals per tutti gli utenti che accedono al sito da una regione definita.

 

Quando attivi Google Signals, i relativi dati vengono raccolti in tutte le aree geografiche. Per scegliere le aree geografiche in cui raccogliere i dati di Google Signals:

 

  1. Nella sezione La raccolta di dati di Google Signals è consentita in X aree geografiche su Y, fai clic su Impostazioni.
  2. Attiva o disattiva l’opzione per ogni area geografica in cui vuoi consentire o non consentire la raccolta dei dati di Google Signals.
  3. Fai clic su Applica.

Raccolta di dati granulari sulla posizione e sul dispositivo

Con Google GA4 puoi disattivare la raccolta di alcuni parametri di posizione e dispositivo precedentemente automatici. I dati che non verranno più raccolti sono:

• Città
• Latitudine (della città)
• Longitudine (della città)
• Versione minore del browser
• Stringa User-Agent del browser
• Marca del dispositivo
• Modello del dispositivo
• Nome del dispositivo
• Versione minore del sistema operativo
• Versione minore della piattaforma
• Risoluzione dello schermo
• I nuovi controlli consentono di disabilitare questa raccolta in aree definite.

Conclusioni

Come anticipato, non sappiamo oggi con sicurezza se GA4 è perfettamente conforme alle regole di sicurezza relative all’utilizzo dei dati. Sicuramente però questi aggiornamenti e cambiamenti di gestione dei dati alla base della loro raccolta ci spinge a pensare che il passaggio da Google Analytics a Google Analytics 4 risolva tanti dei reclami avanzati dal Garante e che quindi sia utile, se non indispensabile per poter proseguire l’utilizzo di Analytics senza incorrere in reclami o sanzioni.

Hai bisogno di aiuto?

Contattaci per una consulenza