Google Analytics è di gran lunga lo strumento di analisi più popolare sul mercato. È gratuito e ti consente di analizzare il traffico del sito Web e raccogliere dati preziosi sul comportamento degli utenti.
Google Analytics e la sua società madre, Google LLC, sono da tempo nel mirino degli attivisti europei per la privacy. Negli ultimi anni abbiamo sentito segnalazioni di pratiche sulla privacy discutibili da parte di Google, che hanno portato ad azioni legali basate sul GDPR. Ciò include le denunce presentate da organizzazioni di attivisti come il NOYB austriaco e la Fondazione Panoptykon in Polonia.
Google è stata anche colpita con multe multimilionarie da diverse autorità europee per la protezione dei dati, tra cui la francese CNIL, la svedese IMY e l’APD belga.
Allo stesso tempo, la sentenza Schrems II e l’annullamento del Privacy Shield hanno attirato l’attenzione delle persone su piattaforme come Google Analytics che archiviano i dati dei residenti nell’UE su server cloud con sede negli Stati Uniti.
Finora, la risposta alla domanda “GDPR e Google Analytics è conforme?” è rimasta ambigua. Alcune organizzazioni con sede nell’UE sono state allarmate dalle controversie su Google Analytics e si sono rivolte a alternative più rispettose della privacy. Altri hanno continuato a utilizzare lo strumento.
Tuttavia, le autorità per la protezione dei dati (DPA) austriache, francesi, italiane e olandesi hanno stabilito inequivocabilmente che l’uso di una configurazione predefinita di Google Analytics è illegale ai sensi del GDPR.
GDPR e Google Analytics: 8 punti chiave
Innanzitutto, affrontiamo le modifiche positive a Google Analytics che sono state apportate per soddisfare gli standard GDPR. L’elenco delle nuove funzionalità e modifiche include:
- Meccanismo di eliminazione dei dati – In Google Analytics, puoi eliminare le informazioni sui visitatori se lo richiedono. Detto questo, questa funzionalità funziona solo per categorie complete di dati. L’elenco include tutti i titoli delle pagine, le etichette degli eventi, le categorie degli eventi, le azioni degli eventi, le dimensioni personalizzate o gli ID utente che hai raccolto in un determinato intervallo di tempo. Per eliminare i dati in base a un cookie o a un ID utente, dovrai utilizzare l’API di eliminazione degli utenti di Google Analytics, che richiede alcune abilità di codifica.
- Impostazioni di conservazione dei dati: Google ha introdotto nuove impostazioni di conservazione dei dati. Ciò consente di controllare per quanto tempo i dati dell’utente vengono archiviati prima di essere eliminati automaticamente. In Google Analytics 4 puoi scegliere tra 2 e 14 mesi di conservazione dei dati.
- Nuova privacy policy – Google ha inserito nel contratto standard anche i nuovi termini GDPR, dove si definisce “responsabile del trattamento” per Analytics e Analytics 360.
- Termini di elaborazione dei dati aggiornati: Google ha apportato modifiche significative ai termini di elaborazione dei dati. Questi termini fungono anche da accordo sul trattamento dei dati. Il nuovo documento elenca le tue responsabilità, come informare e ottenere un valido consenso dai residenti europei. Inoltre, Google fa affidamento su clausole contrattuali standard (SCC) per garantire la sicurezza dei suoi trasferimenti di dati transfrontalieri.
- Strumenti esistenti che aiutano a rispettare il GDPR: Google Analytics ricorda inoltre agli utenti tutte le impostazioni sulla privacy che sono già disponibili nei loro account. Queste impostazioni riguardano i cookie, la condivisione dei dati, i controlli sulla privacy, l’eliminazione dei dati alla chiusura dell’account e l’anonimizzazione dell’IP.
- Alcune parti della raccolta dei dati sono state spostate nell’UE – La nuova versione di Google Analytics, Google Analytics 4, raccoglie i dati dagli utenti dell’UE tramite i server di Google con sede nell’UE prima di inoltrarli ai server di Analytics per l’elaborazione.
- I dati non vengono più condivisi con terze parti per impostazione predefinita: alcune funzionalità di Google Analytics 4 che richiedono la condivisione dei dati con l’ecosistema di Google sono ora disattivate per impostazione predefinita. Ciò include, ad esempio, segnali – dati di sessione da siti e app relativi agli utenti che hanno effettuato l’accesso utilizzati per pubblicità personalizzata e remarketing.
- L’introduzione della modalità di consenso di Google: Google Analytics ora ha una modalità di consenso speciale che consente di utilizzare un modello di conversione basato sull’intelligenza artificiale ogni volta che i visitatori rifiutano il consenso al monitoraggio.
Queste modifiche e le guide sull’uso legittimo di GA da parte della CNIL francese e dell’AP olandese, implicavano che la piattaforma ora può essere utilizzata in linea con il diritto dell’UE. Ma la realtà non è così brillante per i proprietari di siti web che lavorano con Google Analytics.
GDPR e Google Analytics: come la piattaforma viola il diritto UE
Il principale problema di conformità con Google Analytics è che archivia i dati degli utenti, comprese le informazioni sui residenti nell’UE, su server cloud con sede negli Stati Uniti. Inoltre, Google LLC è una società di proprietà degli Stati Uniti ed è soggetta alle leggi sulla sorveglianza degli Stati Uniti, come il Cloud Act.
Perché i trasferimenti di dati UE-USA violano le regole del GDPR
Nel luglio 2020, la Corte di giustizia dell’Unione europea (CGUE) ha invalidato il quadro del Privacy Shield. Il quadro ha stabilito le regole per il trasferimento di dati tra l’UE e gli Stati Uniti. Nella sentenza nota come Schrems II, la corte ha affermato che l’invio di dati personali dall’UE agli Stati Uniti è illegale se le aziende non possono garantire che saranno al sicuro dall’intelligence statunitense.
Senza un accordo di adeguatezza in atto, alcune società, tra cui Google, hanno fatto ricorso a clausole contrattuali standard (SCC) per salvaguardare i dati inviati negli Stati Uniti. Dopo il verdetto, l’organizzazione di sorveglianza della privacy NOYB ha presentato 101 reclami contro società che raccolgono dati sui visitatori con Google Analytics e Facebook Connect. L’elenco delle società citate in giudizio comprende imprese di più settori, con una significativa rappresentanza di editori e finanza.
Il 12 gennaio 2022, il DSB austriaco ha emesso la sua sentenza nel caso di un editore web tedesco senza nome. L’autorità di regolamentazione ha dichiarato che l’utilizzo di Google Analytics per raccogliere dati sui residenti nell’UE è illegale ai sensi del GDPR.
Secondo il DSB, è possibile collegare le informazioni raccolte con Google Analytics a una persona fisica. Allo stesso tempo, gli SCC introdotti da Google non possono proteggere i dati dei residenti nell’UE dalla sorveglianza degli Stati Uniti. Per questo motivo, le organizzazioni che raccolgono dati analitici sui residenti nell’UE non dovrebbero utilizzare Google Analytics.
Nell’aprile 2022, la CNIL ha emesso una decisione che ordinava a tre siti Web francesi di interrompere l’utilizzo di Google Analytics. Nei mesi successivi le DPA italiana e danese hanno rilasciato dichiarazioni simili. Altre autorità per la protezione dei dati potrebbero seguire l’esempio.
GDPR e Google Analytics: le risposte che cercavi
Le decisioni delle autorità dell’UE potrebbero non essere chiare senza un contesto e una spiegazione adeguati. Di seguito, rispondiamo alle domande più importanti che emergono da questi verdetti.
Google Analytics raccoglie dati personali?
Si, lo fa. Nei suoi termini di trattamento, Google Analytics vieta agli utenti di raccogliere tutti i tipi di dati personali diversi da:
Identificatori online, inclusi identificatori di cookie, indirizzi di protocollo Internet e identificatori di dispositivo; identificatori del cliente
Inoltre, GA rende anonimi alcuni dati sui visitatori, inclusi gli indirizzi IP. Ma utilizza ancora identificatori che si qualificano come dati personali. Secondo il DBS austriaco:
“[In Google Analytics] l’anonimizzazione dell’IP riguarda solo l’indirizzo IP. Altri tipi di dati, come gli identificatori online, che vengono impostati tramite cookie o dati del dispositivo, vengono comunque trasmessi da Google in chiaro. L’anonimizzazione dell’IP avviene solo dopo che i dati sono stati trasferiti a Google“.
Ciò significa che i dati raccolti con Google Analytics sono soggetti al GDPR.
La maggior parte di queste decisioni si riferisce a Universal Analytics.
Significa che Google Analytics 4 è conforme al GDPR?
La risposta è: no. Nonostante alcune modifiche alle impostazioni sulla privacy, Google Analytics 4 raccoglie comunque dati personali (identificatori utente univoci) e li elabora al di fuori dell’UE. Infine, Google Analytics 4 è ancora un prodotto sviluppato e mantenuto da Google, un’entità statunitense soggetta alle leggi statunitensi sulla sorveglianza dei dati come FISA e Cloud Act.
Secondo il DPA della Danimarca:
“Per quanto riguarda Google Analytics 4, dalla documentazione di Google risulta che gli indirizzi IP vengono utilizzati per determinare la posizione approssimativa del visitatore, dopodiché l’indirizzo viene eliminato prima che i dati vengano registrati su un server. Come con Universal Analytics, lo stesso problema è rilevante anche per Google Analytics 4, poiché, a seconda della posizione dell’interessato, può esserci una connessione diretta, tra l’altro, ai server americani prima che l’indirizzo venga eliminato”.
Ciò significa che nessuna delle versioni di Google Analytics soddisfa gli standard sulla privacy stabiliti dal GDPR e Google Analytics.
Il monitoraggio lato server risolve i problemi di conformità di GA?
La risposta è: sì e no. L’implementazione lato server di Google Analytics è uno dei requisiti per una configurazione legale della piattaforma presentata da CNIL. L’utilizzo di un server proxy ti offre un controllo migliore sui dati che invii a Google. Tra le altre cose, consente di eliminare gli identificatori univoci dell’utente prima che raggiungano i data center statunitensi e diventino soggetti alle leggi sulla sorveglianza.
Detto questo, il mantenimento di questa configurazione comporta costi elevati. Inoltre, senza identificatori utente univoci, GA non sarà in grado di collegare gli eventi alle sessioni. Ciò rende impossibile analizzare il percorso del cliente, le canalizzazioni o le conversioni di attributi.
Considerando questi offset, potrebbe essere più efficace eseguire analisi con una piattaforma rispettosa della privacy che non richiede tali sacrifici.
GDPR e Google Analytics: quali sono le alternative?
Non conosciamo ancora l’esito della saga di Google Analytics, poiché stiamo ancora aspettando che altre autorità per la protezione dei dati esprimano le loro opinioni.
Detto questo, le aziende che raccolgono dati sui residenti nell’UE devono ripensare le proprie scelte, per prepararsi a qualsiasi scenario. Ci sono anche molte buone ragioni per cui potrebbero rivolgersi a piattaforme di analisi diverse, anche se i verdetti delle autorità per la protezione dei dati non vieteranno efficacemente l’uso di Google Analytics in Europa.
L’approccio più rispettoso della privacy sarebbe il passaggio a una piattaforma di analisi basata sull’UE che protegga i dati degli utenti e offra un hosting sicuro, idealmente in un centro dati di proprietà dell’UE. Ciò garantirà la raccolta, l’archiviazione e l’elaborazione dei dati in linea con il GDPR.

Test di conformità gratuito: GDPR e Google Analytics
Prova il nostro test di conformità gratuito per verificare se l’utilizzo dei cookie e il monitoraggio online da parte del tuo sito web è conforme a GDPR/ePR.