Google Analytcs 4 è legale? Come usare GA4 a norma del GDPR
E' trascorso ormai più di un anno da quanto il
Garante Privacy ha imposto lo stop all'uso di Universal Analytcs (a un sito che tra l'altro utilizzava Iubenda, la cui privacy policy è stata contestata dallo stesso Garante Privacy nel medesimo procedimento).
Da ciò l'uso di GA4 è diventato sempre più massiccio (anche a causa della chiusura di Universal Analytics).
I rappresentanti di Google Italia dichiarano in modo sempre più convinto che
Google Analytics 4 rispetta il GDPR, mentre per molte web agency e software house
utilizzare GA4 rappresenta sempre una violazione della privacy degli utenti.
Sapere se
GA4 è a norma del GDPR ha un significativo impatto economico per un'ampia gamma di siti web ed ecommerce.
Google Analytics è uno strumento di analisi ampiamente adottato (probabilmente il più popolare); tuttavia, da qualche tempo, la sua conformità al GDPR è stata messa in discussione a seguito della nota
sentenza Schrems II della Corte di Giustizia dell'Unione Europea (luglio 2020) e delle azioni prese dalle autorità di protezione dei dati in Austria, Francia e Italia.
In questa guida dedicata a web agency, titolari di siti web ed ecommerce facciamo il punto della situazione e riassumiamo le soluzioni più comuni per continuare a utilizzare GA4 ai sensi del GDPR.
SOMMARIO
GA4 E GDPR: il contesto di riferimento
Il punto fondamentale
Google Analytcs è davvero a norma GDPR?
Cosa può non essere sufficiente
Il Garante Privacy ha detto che GA4 è illegale?
Alternative a Google Analytcs
GA4 e principio di accountability
Cosa suggeriscono le Autorità privacy
Conclusioni
In Italia, Francia e Austria, le autorità di protezione dei dati
hanno stabilito che l'uso di Google Analytics non è conforme al GDPR.
In Italia, a seguito di indagini scaturite da alcune segnalazioni, l'autorità italiana ha emesso nel 2022 un avvertimento ad un'azienda (che tra l'altro utilizzava il servizio
Iubenda), intimandole di adeguarsi al regolamento europeo entro un periodo di 90 giorni. Questo avviso ha implicato che l'azienda ha cessato l'uso di Google Universal Analytics.
Il provvedimento ha riguardato
l'uso non a norma del GDPR di Google Universal Analytics (GA), che è la versione precedente del noto strumento di Google, e
non si applica alla versione più recente, GA4 (Google Analytics 4 Properties).
La questione chiave è che i dati analizzati attraverso GA vengono poi trasmessi ai server di Google LLC negli Stati Uniti, dove sono apertamente accessibili da agenzie governative come la CIA e la NSA.
Questa trasferimento verso server negli Stati Uniti avviene in modo sistematico quando si utilizza Google Universal Analytics. Pertanto, la soluzione più diretta e sicura sembra essere quella di disabilitare questo strumento di analisi.
Ma
GA4 è conforme al GDPR? C'è chi sostiene, incluso Google, che sia
legale utilizzare Google Analytics 4 e che il tool possa essere utilizzato in tutta sicurezza dalle aziende europee. Tuttavia, altri sono più cauti e cercano ulteriori informazioni prima di decidere se utilizzare questo strumento.
Sebbene sia vero che Google ha posto maggiore enfasi sulla privacy con l'introduzione di GA4, ci sono alcune aree di preoccupazione che meritano attenzione.
La
questione centrale del tema "GA4 e GDPR" è che i dati raccolti attraverso Google Analytics vengono
trasmessi ai server di Google LLC negli Stati Uniti, dove sono potenzialmente accessibili da agenzie governative come la CIA e la NSA.
Il noto
provvedimento del Garante Privacy di giugno 2022 (che ha imposto a un sito web il blocco di Universal Analytcs) ha spinto i siti web a
esaminare attentamente l'uso di Google Analytics.
Di conseguenza, vi è stata un'ondata di comunicazioni da parte di entità che offrono
alternative di marketing a GA4 o che interrogano i gestori dei siti web ed ecommerce sul fatto che abbiano utilizzato o meno Google Analytics (alcune delle quali sembrano essere tentativi di truffa mascherati da richieste legittime).
La risposta da parte di Google è chiara:
Google Analytics è legale e a norma GDPR perchè i
server utilizzati per eseguire lo strumento si trovano in Europa e sono soggetti alla legislazione europea.
Per le imprese, questa risposta è molto confortante poiché riduce il tempo e l'effort richiesto per gestire un problema complesso, ossia come gestire il flusso di dati necessari per le attività di marketing senza incorrere in sanzioni.
D'altra parte, l'industria è in crescita economica, e per le agenzie web, così come per i responsabili marketing delle aziende, la disabilitazione di Google Analytics (l'unico metodo certo per garantire la conformità al GDPR) rappresenta una sfida economica considerevole.
Ma web agency e titolari di siti web possono davvero fare affidamento sulle affermazioni di Google?
Secondo molti
avvocati esperti in privacy e società IT la risposta è no:
usare GA4 non è legale.
Le leggi degli Stati Uniti, infatti, obbligano Google (così come Meta e Microsoft) a fornire dati alle autorità su richiesta,
anche se questi sono raccolti al di fuori degli Stati Uniti.
In altre parole,
anche se l'entità che utilizza GA4 è un'azienda europea, con server in Europa, la società madre negli Stati Uniti potrebbe comunque essere obbligata a condividere i dati con CIA e NSA.
Il rischio è, ovviamente, di incorrere in
sanzioni economiche per violazione del GDPR, ma il punto cruciale è che Google (come Meta e Microsoft) si trova in una posizione delicata, dovendo bilanciare obblighi legali e ragioni di business.
Da quando il Garante Privacy si è pronunciato su Google Universal, numerosi ecommerce e siti web hanno configurato le loro tracciature integrando precauzioni di sicurezza. Vediamone alcune e scopriamo se sono state realmente conformi al GDPR:
Crittografare i dati prima della trasmissione
Sebbene la crittografia sia un efficace mezzo di sicurezza per prevenire che terzi possano intercettare i dati durante la trasmissione,
non è sufficiente per garantire la conformità al GDPR. Questo perché l'entità soggetta alle richieste delle autorità statunitensi (in questo caso Google) può accedere ai dati personali non crittografati.
Google LLC si occupa della crittografia dei dati e, se richiesto, deve fornire l'accesso o i dati che detiene, inclusi gli strumenti per decrittografare.
Ottenere il consenso degli utenti
Ottenere il consenso degli utenti e trasferire dati negli Stati Uniti sono due concetti distinti. Non è
sufficiente che gli utenti acconsentano all'uso dei cookie di analytics visitando il vostro sito e accettando l'uso dei cookie attraverso un banner.
Per chiarire questo punto, facciamo riferimento alle FAQ del CNIL (l'autorità di protezione dei dati francese):
Il consenso esplicito dei soggetti interessati è una delle deroghe previste dall'articolo 49 del GDPR per determinati casi specifici. Tuttavia, come indicato nelle linee guida del Comitato europeo per la protezione dei dati riguardo a tali deroghe, queste possono essere applicate solo per trasferimenti non sistematici e non possono essere una soluzione a lungo termine o permanente, poiché fare affidamento su una deroga non può diventare la norma.
Anonimizzare gli indirizzi IP in Google Analytics
Google ha incluso nella sua nuova versione di Analytics, Google Analytics 4 Properties (GA4), funzioni che sembrano essere state
progettate anche per conformarsi al GDPR. Già con Google Universal Analytics era possibile utilizzare l’opzione “anonymize_ip” per anonimizzare gli indirizzi IP degli utenti.
Google Analytics 4 non registra né conserva gli indirizzi IP durante la raccolta dei dati. Tuttavia, prima di eliminare gli indirizzi IP, GA4 estrae alcune informazioni utili sulla posizione, come latitudine, longitudine e città.
Questa funzionalità non è sufficiente.
Le autorità di protezione dei dati sostengono che l'anonimizzazione degli indirizzi IP non sia efficace nel prevenire l'identificazione degli utenti. Considerando la vasta gamma di dati identificabili, per Google potrebbe essere comunque possibile identificare un individuo.
Inoltre, nelle
impostazioni di GA4 è possibile:
- Disabilitare la raccolta dei dati di Google Signals per area geografica.
- Disabilitare la raccolta di dati dettagliati sulla localizzazione e il dispositivo in base all'area geografica.
Tuttavia, queste impostazioni potrebbero non essere abbastanza, dato che non sia ha controllo su alcuni parametri identificativi degli utenti che sono comunque tracciati da Analytics e che Google potrebbe utilizzare per identificare gli individui.
Per queste ragioni, molte web agency e software house ritengono che GA4 non sia conforme al GDPR.
L'Autorità non si è ancora pronunciata sull'uso di Google Analytcs 4. Infatti, il provvedimento di sospensione dell'uso del tool di statistica di Google ha coinvolto Google Universal, non GA4.
Anche nella Tavola Rotonda alla quale ha partecipato il nostro Founder, l'avv. Lorenzo Grassano, il Garante Privacy non si è pronunciato in modo specifico sulla conformità o meno di questo tool.
Ciònonostante, l'Autorità ha espresso alcuni principi generali che possono essere utilmente applicati per valutare se e come usare GA4 a norma di legge, come verrà descritto nelle conclusioni di questa guida.
Se si ritiene che GA4 non sia a norma del GDPR sono possibile due soluzioni:
- disabilitare il tool lo strumento e optare per un'alternativa (Biase raccomanda, tra le altre, Matomo, Piwik Pro, Plausible, Open Web Analytics), oppure
- decidere di non utilizzare affatto strumenti di analisi.
Una terza opzione, teoricamente concepibile, sarebbe sviluppare metodi alternativi per impedire a GA4 di tracciare e inviare dati negli Stati Uniti.
Tuttavia, questa soluzione, pur essendo teoricamente considerata valida anche dall'autorità italiana e suggerita dall'autorità francese CNIL mediante l'uso di proxy, sembra essere poco fattibile data la relazione sfavorevole tra tempo, costi e benefici per chi la mette in atto. È chiaro che l'avvertimento dell'autorità di protezione dei dati serve a mettere in evidenza l'uso dello strumento: un utilizzo massiccio e indiscriminato è chiaramente criticabile.
Google presenta GA4 come conforme al GDPR, assumendosene la responsabilità.
In pratica, secondo il principio di responsabilizzazione del GDPR, ogni titolare del trattamento dei dati (sito web per esempio) deve adottare soluzioni appropriate alla propria organizzazione per la gestione dei dati.
Un'impresa di piccole o medie dimensioni, con una conoscenza standard delle normative sulla protezione dei dati, potrebbe realisticamente fare affidamento sulle dichiarazioni di Google.
Se ci fossero sanzioni da parte dell'autorità di protezione dei dati, Google potrebbe essere tenuto obbligato a indennizzare i danni derivanti da una eventuale sanzione.
D'altro canto, le organizzazioni più complesse, che hanno un DPO (Data Protection Officer), probabilmente non potranno appellarsi a questo livello di “ignoranza accettabile”. I DPO, a loro volta, dovrebbero essere a conoscenza dei rischi associati a GA4 e scoraggiarne l'uso ai loro clienti, altrimenti potrebbero essere ritenuti responsabili a livello professionale.
Le autorità preposte alla protezione dei dati hanno suggerito l'utilizzo di un server proxy europeo come soluzione per conformarsi al GDPR quando si utilizza Google Analytics.
Ma cosa significa realmente e come funziona? Vediamo di spiegare tutto in modo semplice.
Google Analytics e il Server Proxy Europeo
Ti starai chiedendo se Google Analytics 4 (GA4) non utilizzi già un proxy all'interno dell'Unione Europea. La risposta è sì, lo fa. In poche parole, ecco come funziona:
- quando GA4 sul sito che stai visitando rileva che la tua sessione proviene dall'Unione Europea, la tua richiesta viene automaticamente gestita da un server nell'UE. Questo potrebbe essere chiamato il "proxy automatico" di GA4.
- GA4 elimina automaticamente gli indirizzi IP dopo aver utilizzato i dati per determinare la tua posizione.
- i dati vengono quindi raccolti dal proxy di Google situato in UE e poi elaborati su altri server di Google (la cui posizione non è specificata).
Tuttavia, il "proxy automatico" di GA4 potrebbe non essere sufficiente. Per avere un maggiore controllo sui dati, potrebbe essere necessario impostare un server proxy aggiuntivo che possiamo controllare direttamente.
Come Funziona un Proxy Server-side
Ecco, in termini semplici, come funziona quando si configura GA4 con un proxy GTM (Google Tag Manager) server-side:
- un visitatore inizia a navigare sul tuo sito.
- le richieste e i dati passano attraverso un server controllato da te, che è fisicamente situato in Europa.
- questo server, utilizzando un contenitore Google Tag Manager server-side, pulisce i dati, rimuovendo o mascherando informazioni identificabili.
- i dati "puliti" vengono quindi inviati al proxy automatico di GA4 in Unione Europea.
Questo processo ti permette di eliminare o nascondere i dati identificabili prima che arrivino ai server di Google, come ad esempio rimuovendo gli indirizzi IP prima che Google possa utilizzarli per determinare la posizione geografica degli utenti.
Requisiti per il Proxy Server-side
Secondo CNIL (l'autorità francese per la protezione dei dati), il server proxy deve soddisfare tre requisiti per essere considerato conforme al GDPR:
- deve essere fisicamente situato all'interno dell'Unione Europea.
- l'azienda che possiede il server deve essere registrata nell'UE.
- deve rimuovere o modificare tutti i dati identificabili degli utenti prima di inviarli a Google.
Quali dati personali dovrebbero essere rimossi?
Ecco alcuni esempi di dati che dovrebbero essere rimossi per essere conformi al GDPR per usare a norma GA4:
- indirizzi IP: Non dovrebbero essere inviati ai server di Google.
- parametri negli URL: Ad esempio, eventuali parametri UTM o parametri che facilitano il routing del sito.
- informazioni di Fingerprinting: Questo include informazioni sul dispositivo, come dimensioni dello schermo o versione del sistema operativo, che potrebbero essere usate per identificare gli utenti.
Dopo aver esaminato diverse pratiche e soluzioni tecniche legate all'uso di Google Analytics 4 in relazione al GDPR, è importante riconoscere che la conformità alla normativa sulla privacy è un terreno complesso e non sempre be definito.
Al momento, non esiste una chiara affermazione sul fatto che Google Analytics 4 sia o meno pienamente conforme al GDPR, poiché l'autorità italiana per la protezione dei dati non si è ancora pronunciata in merito.
In linea con il principio di responsabilizzazione (accountability), la decisione di utilizzare Google Analytics 4 e in che modo, ricade sul singolo proprietario del sito web o ecommerce. È essenziale valutare attentamente i rischi e le responsabilità associati al trattamento dei dati personali tramite questo strumento.
Per i siti web che trattano dati sensibili/particolari, come dati sanitari, o che gestiscono un grande volume di dati personali, potrebbe essere prudente astenersi dall'utilizzare Google Analytics 4 fino a quando non ci sia maggiore chiarezza sulla sua conformità al GDPR.
D'altra parte, i proprietari di siti web più piccoli che desiderano utilizzare Google Analytics 4, dovrebbero adottare tutte le misure di protezione e anonimizzazione discusse in precedenza. Questo include la rimozione di indirizzi IP e altri dati identificabili e l'adozione di politiche di consenso chiare per gli utenti.
Team LegalBlink