Google Analytics e conformità alla normativa sulla privacy GDPR

[Tempo di lettura: 3 minuti]

Lo scorso 9 giugno 2022, il Garante Privacy ha ammonito un’azienda, al termine di una lunga istruttoria, evidenziando un illecito che, in realtà, è estremamente diffuso, legato all’utilizzo di Google Analytics. Se anche tu ne fai uso, forse ti stai chiedendo cosa fare per assicurarti la conformità al GDPR.

Cos’è Google Analytics?

Si tratta di un servizio gratuito che fornisce dati statistici descrittivi sulle visite del sito Web. Per attivare il servizio, si deve inserire direttamente o indirettamente un codice nelle pagine del sito. Quando il navigatore accede ad una di esse, alcuni dati vengono inviati nei centri di elaborazione di Google. Potenzialmente, i dati possono finire negli USA dove il livello di protezione dei dati personali è inferiore a quello europeo. Purtroppo, la pseudonimizzazione è inefficace perché Google è in grado di ricostruire le parti mancanti dei dati, incrociandoli con altri, fino ad identificare il navigatore.

Come fare a capire se il proprio sito sta utilizzando Google Analytics? Quale versione?

  1. Visita il sito Web e fai clic con il pulsante destro del mouse ovunque. Quindi seleziona l’opzione che dice “Visualizza sorgente pagina” oppure puoi anche premere direttamente la combinazione di tasti: CTRL + U.
  2. Sarai diretto a una pagina che avrà molto codice di programmazione ma non farti prendere dal panico. Premi semplicemente la combinazione di tasti: CTRL+F (per PC) o CMD+F (per MAC). Ci sarà una piccola finestra pop-up in alto a destra dove puoi cercare, ad una ad una, le sequenze di caratteri qui indicate tra virgolette: “ga.js”, “analytics.js”, “gtag.js”,

A mano a mano che ne digiti una, verrà automaticamente evidenziata nel codice sorgente della pagina. Se ne trovi almeno un allora il sito sta usando Google Analytics.

Che fare? Aspettare!

Google è all’opera ed i tecnici sono in attesa di novità a stretto giro. I miglioramenti di conformità di Google Analytics 4 rispetto al GDPR sono sono descritti da Google alla voce
“Dati e privacy incentrati sull’UE”.

  • GA4 elaborerà tutti i dati dai dispositivi finali all’interno dell’UE su server nell’UE.
  • GA4 elabora gli indirizzi IP per la geolocalizzazione, ma non memorizza più gli indirizzi IP.
  • Sarà possibile disattivare Google Signals, impedendo il collegamento con gli account Google.
  • Si potrà regolare sia la granularità dei dati geografici sia quella del dispositivo raccolti (es. risoluzione dello schermo che richiede il consenso).

…oppure, intanto, fare quel che si può!

Se si decide di utilizzare gli strumenti di Google, conviene senz’altro passare alla più recente versione di Google Tag Manager, con l’aiuto di un tecnico. Se si deve restare su Google Analytics, sicuramente conviene assicurarsi di essere alla versione più recente (attualmente siamo alla 4).

Nel frattempo, per chi ha impellenze, si possono attuare queste indicazioni per ottenere la maggiore conformità possibile:

  1. Limitare la raccolta di alcuni dati (come i dati su localizzazione, dispositivo o sistema operativo) per alcune nazioni.
  2. Valutare se tutte le metriche sono necessarie alla tua attività. Se si può, si disattivi “Google Signals”, valutando attentamente le implicazioni, specie le limitazioni nell’ambito dell’ambito advertising (remarketing in base ai dati analitici, reporting degli annunci, dati demografici e di interesse, modelli di conversione, rapporti in Google Ads).
  3. Utilizzare un server proxy, evitando così il contatto diretto tra il PC dell’utente e Google Analytics.
  4. Inserire la clausola di Google Analytics 4 nella privacy policy e chiedere il consenso esplicito.
Index