Come rendere conforme Google Analytics al GDPR

Ultimo aggiornamento: 9 set 2022

Tempo di lettura: 8 minuti

In questo articolo ti spiegherò come rendere conforme Google Analytics al GDPR.

In particolare imparerai :

1 - Perché il Garante della privacy ha ritenuto Google Analytics illecito

2 - Perché Google Analytics 4 può esserti d’aiuto

3 - Implementare Risorse aggiuntive per ottenere la conformità

E’ un articolo più improntato su questioni “legali” e meno tecniche.

E’ però di fondamentale importanza all’interno dell’ecosistema di pubblicità digitale riuscire a gestire i dati dei nostri utenti.

Innanzitutto per rispettare la loro privacy…

E sicuramente anche per non incorrere in pesanti sanzioni da parte del Garante della Privacy.

Pronti?

Iniziamo!

Google Analytics illecito?

1 - Il 22 giugno 2022, il Garante della privacy ha ammonito una media company italiana per un utilizzo illecito del principale strumento di analisi dati Google Analytics.

In particolare l’utilizzo illecito è stato identificato nell’aver inviato i dati degli utenti del sito web della società, dall’Italia verso gli Stati Uniti.

“Ma perchè questa società ha inviato i dati dei propri utenti oltreoceano?”

In realtà lo fanno un po’ tutti…

Mi spiego meglio.

Quando raccogli i dati dei tuoi utenti attraverso Google Analytics, stai automaticamente fornendo tali dati ai server di Google che li elaborano e te li restituiscono in modo che ti siano utili.

“Quindi sto facendo qualcosa di illegale?”

Per avere una visione più completa della situazione dobbiamo fare un passo indietro.

Analizziamo gli eventi chiave negli ultimi anni che hanno portato a questo provvedimento.

1. Privacy Shield

2. Cloud Act

3. Max Schrems

1. Il Privacy Shield è un accordo stipulato il 16 Luglio 2016 tra Europa e Stati Uniti volto a regolamentare il flusso di dati tra i due paesi.

Nello specifico, tale accordo prevede la possibilità di invio dei dati dei cittadini europei agli Stati Uniti.

Tale scambio può avvenire a patto che le aziende riceventi rispettino limiti e imposizioni volte a garantire agli utenti riservatezza e trasparenza riguardo le finalità del trattamento di tali dati.

Nel 2016 la situazione era tranquilla…

b. Nel 2018 però le cose iniziano a cambiare.

Gli Stati Uniti stilano il Cloud Act.

Questo nuovo trattato chiarifica che, in caso di minaccia alla sicurezza nazionale, le autorità legislative statunitensi hanno il diritto di accedere a dati provenienti anche al di fuori degli Stati Uniti

Chiaramonte l’Europa non è rimasta a guardare ed ha presentato un mandato di negoziato in cui il GDPR ha tenuto a ribadire le proprie posizioni in merito alla tutela dei dati dei cittadini europei.

Nel 2018 la situazione non era più troppo tranquilla.

c. Nel 2020 l’attivista austriaco Max Schrems apre una voragine.

Egli infatti, nel lontano 2013 aveva presentato denuncia a Facebook Ireland al fine di impedire il trasferimento dei propri dati dall’Irlanda agli USA affermando che in caso contrario l’azienda non avrebbe rispettato i diritti che la normativa europea gli riconosceva.

7 anni dopo, Schrems vince la causa e il Privacy Shield di cui abbiamo parlato poco fa viene ritenuto invalido.

La Corte Europea sostiene che la legislazione USA non garantisce il livello di protezione dei dati richiesto dagli standard europei.

La rottura ha inizio.

“Okay, interessante la lezione di storia, ma cosa c’entra tutto questo con Google Analytics?”

Eccoci al punto.

Torniamo a casa, in Italia.

Il 22 Giugno il garante della privacy, come ti ho detto prima, considera illecito l’utilizzo di Google Analytics da parte della società media italiana.

La considera colpevole di aver adottato misure non adeguate per il trasferimento dei dati oltreoceano.

Secondo quanto evidenziato dal GDPR, tra i dati raccolti dal software di Google sarebbe infatti presente anche l’indirizzo IP degli utenti.

Anche nel caso in cui venisse registrato solo in parte, costituirebbe una informazione sensibile trasmessa in un paese la cui legislazione non è in grado di garantire gli standard di sicurezza europei in materia di riservatezza.

Su Universal Analytics (GA3) è infatti possibile nascondere le ultime 2 cifre dell’IP dei nostri utenti, ma questo non sarebbe sufficiente a salvaguardarne l’identità.

Google infatti attraverso delle analisi che considerano variabili geografiche, riuscirebbe comunque a risalire all’identità dell'utente.

Per esplicita ammissione delle autorità coinvolte, le indagini svolte hanno riguardato soltanto GA3 e non è quindi possibile trarre alcuna conclusione ragionata in merito alla conformità dei trattamenti proposti da Google Analytics 4.

Si intravedono possibili risposte…

Perché Google Analytics 4 può esserti d’aiuto

2 - Il nuovo strumento di analisi Google Analytics 4 potrebbe iniziare a darci queste risposte.

In questo articolo in cui parlo di Come impostare un’azione di conversione su Google Ads, ti dò anche informazioni chiave su GA4 e su come collegarlo a Google Tag Manager.

Al netto che tu sappia impostare correttamente GA4 ci sono alcune informazioni importanti da tenere in considerazione.

Innanzitutto GA4 non memorizza l’indirizzo IP dei propri utenti

In Google Analytics 4, gli indirizzi IP vengono utilizzati al momento della raccolta per determinare le informazioni sulla località (paese, città, latitudine e longitudine della città) e poi eliminati prima che i dati vengano registrati in qualsiasi data center o server.

Inoltre Google Analytics 4 raccoglie tutti i dati dai dispositivi con sede nell'UE attraverso domini e server con sede nell'UE prima di inoltrare il traffico ai server di Analytics per l'elaborazione.

Questo rappresenterebbe già una buona motivazione per poter riaprire la partita tra Europa e Stati Uniti.

Il passaggio a GA4 è fondamentale, oltre che obbligatorio a partire dal 2023, per poter fronteggiare al meglio il nuovo ecosistema di raccolta dati.

Risorse aggiuntive per ottenere la conformità

3 - In aggiunta a ciò ci sono alcune risorse aggiuntive da poter implementare per poter arrivare ancora più preparati alla transizione.

Il consenso degli utenti rimane imprescindibile.

Infatti il trasferimento dei dati in paesi extra UE, anche se ritenuti non adeguati è comunque lecito se ottengo il consenso dell’interessato in base alla prima delle deroghe previste dall’Art.49 del GDPR.

Ai fini della GDPR è innanzitutto obbligatorio rispettare gli elementi chiave affinchè un consenso sia ritenuto valido.

Esso deve quindi essere Libero, Informato, Specifico, Dimostrabile, Revocabile

Sulla base di ciò chiederemo ai nostri utenti 2 tipi di consenso:

a. Consenso al trasferimento dei dati personali all’estero

b. Consenso alla profilazione ai fini marketing

Noi in Adset utilizziamo Cookiebot, ritenendolo lo strumento più semplice e completo in materia di gestione dati.

Un’altra delle possibili misure aggiuntive a tutela della privacy dei nostri utenti potrebbe essere quella dell’utilizzo di un Server Proxy

Un Server Proxy è un server che gestisce i dati dei nostri utenti prima ancora che vengano inviati ai server di Google.

Questo consentirebbe di rendere anonimi, oltre l’indirizzo IP, anche tutti i dati riconducibili al dispositivo dell’utente.

Sarebbe praticamente impossibile risalire alla sua identità.

Ovviamente affinchè sia una soluzione sostenibile, tale server dovrà risiedere all’interno dello Spazio Economico Europeo.

E’ una soluzione, oltre che tecnicamente impegnativa, anche finanziariamente onerosa, soprattutto per le aziende con grande traffico sul proprio sito web.

In ogni caso, la battaglia è ancora aperta ed in costante evoluzione.

Per adesso, abbiamo dei semplici strumenti da poter utilizzare, senza ricorrere ad eccessivi allarmismi o a soluzioni drastiche come l’eliminazione di Google Analytics che comprometterebbero il corretto funzionamento della nostra pubblicità online.

Spero di non essermi dilungato troppo.

Se hai bisogno di una mano per risolvere problemi simili per la tua attività, non esitare a prenotare una Consulenza Gratuita.

E’ stato un piacere.

Ti auguro una splendida giornata.