Implementazione di Google Analytics 4 e GDPR: cosa sta succedendo?
Google Analytics è illegale?
Le leggi in materia di privacy tra USA e Europa sono molto diverse, il regolamento europeo considera la tutela dei dati personali un diritto inviolabile dell'uomo mentre gli USA hanno un approccio più utilitaristico. Questa diversa visione ha portato a una riflessione sulla gestione dei dati degli utenti e tutela della privacy in relazione all’utilizzo di Google Analytics (e non solo).
Per il Garante italiano il sito web che utilizza il servizio Google Analytics (GA), senza le garanzie previste dal Regolamento UE, viola la normativa sulla protezione dei dati perché trasferisce negli Stati Uniti, Paese privo di un adeguato livello di protezione, i dati degli utenti.
I molteplici dati raccolti vanno dall’indirizzo IP del dispositivo dell’utente alle informazioni relative al browser, al sistema operativo, risoluzione dello schermo, lingua selezionata, nonché data e ora della visita al sito web. Non è quindi Google Analytics il problema per il Garante e per il rispetto della GDPR, ma il trasferimento di questi dati personali verso gli Stati Uniti.
Differenze tra GA3 e GA4
Contemporaneamente alla questione sulla privacy, Google ha annunciato che a partire dal 1° luglio 2023 Google Analytics 4 (GA4) sarà l'unica versione disponibile del software di analisi di Google e, da quella data, Universal Analytics (GA3) non elaborerà più nuovi dati.
Per avere uno storico dei dati relativi all’anno precedente sarà necessario implementare GA4 entro il 1 luglio 2022.
Non sarà presente un’opzione per importare da GA3 i dati dell’anno precedente in GA4, questo perché i due strumenti utilizzano un approccio diverso nella raccolta ed elaborazione del dato. Con GA4 ci saranno cambiamenti sia a livello di interfaccia che di utilizzo dei dati, i più importanti sono:
DATA STREAM
Mentre con GA3 dovevamo creare una proprietà per il sito web e una proprietà per l’app (non potendo quindi analizzare insieme i dati relativi ai due strumenti), in GA4 è possibile aggiungere alla stessa proprietà più stream di dati (web, Android e IOS). Spariscono inoltre le viste come le abbiamo sempre conosciute e ciò impatta sulla gestione interna dell’account.
MODELLAZIONE
GA4 darà la possibilità di avere dati anche di utenti che non accettano il banner dei cookie utilizzando una “previsione” del comportamento tramite l’AI. Grazie a stime e machine learning avremo dati più completi ed accurati, permettendo di monitorare anche le conversioni cross-device.
NB: questa funzionalità non è ancora attiva e si tratta per lo più di speculazione da parte degli esperti del settore, ma sembra l’evoluzione naturale della Consent Mode implementata da Google.
EVENTI
GA3 utilizzava il concetto di sessione, raccoglitore all’interno del quale venivano registrati hit dei vari eventi impostati sul sito (click, download, invii di form…), in GA4 invece non esiste più il concetto di sessione come raccoglitore, ma qualsiasi azione diventa un evento.
Inoltre, GA4 prevede di default una serie di eventi automatici (tracciati in modo nativo), come file download, click, scroll, video interaction, ecc. A questi eventi automatici è possibile aggiungere tracciamenti custom, valutando prima per tipologia di sito o app quali sono quelli consigliati da Google stesso.
GA4 è la soluzione GDPR compliant?
Google sta iniziando a muovere qualche passo per conformarsi alle leggi sulla privacy. Per la gestione dei dati degli utenti si è dotata di proxy, ovvero di server situati in Europa, che non dovrebbero essere controllati o controllabili da Google LLC. Questa soluzione non risolve però completamente il problema perché l’azienda madre ha comunque accesso ai server in ogni momento. La risposta alla domanda è quindi: non lo sappiamo, per il momento.
Da un punto di vista burocratico non esiste soluzione se non legislativa su larga scala tra i due continenti, ma sicuramente GA4 è uno tool con più strumenti per la protezione dei dati rispetto a GA3.
Il 7 ottobre 2022 è stato emanato l’Executive Order dagli Stati Uniti, il primo passo verso la soluzione al problema sollevato dal Garante. Ad un primo sguardo l’Executive Order sembra contenere almeno due punti essenziali.
Di seguito un breve riassunto redatto dall’avv. Angela Lo Giudice dello studio legale Polimeni.legal sui contenuti dell’Executive Order: “Il sistema delineato prevede:
- procedure più rigorose per le intelligence con un maggiore rispetto per gli interessati e per i loro diritti
- un sistema di controllo basato su due livelli. Il primo sostanzialmente interno consentirà agli interessati di sottoporre un reclamo al funzionario per la protezione delle libertà civili che potrà, se lo riterrà, concedere anche un risarcimento ed un secondo livello costituito da un tribunale composto da giudici esperti e nominati al di fuori degli USA per garantire un alto livello di imparzialità”.
Spetta quindi ora alla Commissione europea esprimersi in merito. Qualora la decisione fosse favorevole, dopo la pubblicazione in Gazzetta prevista per inizio 2023, il problema del trasferimento dei dati degli utenti europei verso gli USA sarebbe sostanzialmente risolto: le aziende potrebbero riprendere a trasferire dati degli utenti negli USA. Saranno a quel punto i Garanti dei singoli paesi dell’Unione Europea a dare delle indicazioni alle aziende, agli utenti di GA4, e a tutti gli utenti di software che trasferiscono dati degli utenti europei negli USA.
Cosa fare se hai un sito web
Il problema sulla privacy è più ampio e non circoscritto a Google Analytics. Emerge sempre più la necessità di affidarsi a terzi, esperti in materia di Privacy e Analytics, per attivare le configurazioni che rendono i siti o e-commerce GDPR compliant. Occorrerà innanzitutto rimuovere GA3 dal proprio sito, anche perchè dal 1° luglio 2023 smetterà di funzionare. Le possibili strade da percorrere ora sono diverse e specifiche per ogni business. Vediamole.
NON INSTALLARE SERVIZI DI ANALYTICS
La soluzione più drastica è non installare nessuno strumento di analytics in alternativa a GA3. Per molte aziende che basano le proprie azioni di business e marketing sui dati forniti da questo strumento è impossibile anche solo valutare questa opzione che taglia fuori una larga fetta di informazioni.
INSTALLARE LA NUOVA VERSIONE DI GOOGLE ANALYTICS (GA4), CON ALCUNE MODIFICHE ED ESCAMOTAGE
Come dicevamo sopra occorre depotenziare GA4 nell’attesa che Google si muova per risolvere la criticità dei trasferimenti verso gli USA o in alternativa che si renda chiaro ed effettivo il nuovo accordo UE-USA. Vediamo allora le possibili modifiche per rendere GA4 compliant alla GDPR.
GA4 di default non registra né archivia gli indirizzi IP eliminando eventuali indirizzi IP raccolti sugli utenti dell’UE prima di registrare questi dati, tramite domini e server che si trovano nell’UE. Sarà necessario disattivare la raccolta di dati di Google Signals (annullando la funzionalità pubblicitaria per fare remarketing e personalizzazione degli annunci); disattivare la raccolta di dati granulari su località e dispositivo (città, latitudine, longitudine, brand/modello/nome del dispositivo e risoluzione dello schermo); disabilitare, a livello di account, tutte le caselle di condivisione dei dati raccolti nelle proprietà Analytics con Google (analisi comparativa, assistenza tecnica, benchmark con prodotti e servizi Google).
Se i dati degli utenti sono minimizzati e non possono essere combinati con altre elaborazioni né trasmessi a terzi, possono valere, per i cookie analytics, le stesse regole previste per quelli tecnici che non richiedono il consenso del navigatore, essendo considerati funzionali al funzionamento del sito stesso e attivabili di default al momento dell’apertura del sito.
NB: l’equiparazione dei cookie di Google Analytics a cookie tecnici se rispettate determinate condizioni vale solo in Italia.
I cookie di profilazione, che raccolgono dati personali (come gli Analytics che sono considerati “statistici” di dettaglio o quelli del pixel Facebook che sono di “marketing”), prevedono l’acquisizione del consenso esplicito ed è questo il motivo per cui il Garante ha stabilito che la semplice anonimizzazione di GA3 non è più sufficiente. Non raccogliendo più quel set di identificatori – come indirizzo IP, dati geografici e di navigazione – che permettevano comunque l’identificazione e profilazione dell’utente nonostante l’anonimizzazione, ma trovandosi a gestire gli accessi come un semplice numero, si potrebbe considerare questa configurazione come cookie tecnico, rendendo compliant l’utilizzo di Google Analytics alla GDPR.
INSTALLARE LA NUOVA VERSIONE DI GOOGLE ANALYTICS (GA4) COMPLETA, CON TRACCIAMENTO SERVER-SLIDE
Una delle soluzioni possibili è rimuovere le informazioni personali prima di inviare dati verso gli Stati Uniti utilizzando un proxy, server che funge da intermediario che sarà localizzato in UE. Implementare quindi un sistema server-side, in modo da passare attraverso un server proprietario europeo e filtrare i dati eliminando quelli sensibili prima di inviarli su server Google. Questa soluzione presenta costi e necessità di competenze elevati. È compliant!
INSTALLARE UN SERVIZIO DI ANALYTICS NON GOOGLE
Matomo, HubSpot, Piwik Pro, Econda sono alcuni dei nomi dei software europei in alternativa a Google Analytics. Questo potrebbe però comportare un costo di licenza mensile, una maggiore difficoltà nell’integrazione con servizi terzi ed un supporto esperienziale non indifferente.
Senza contare che, l’adozione di soluzioni come Matomo, che prevedono l’implementazione su server proprietario comporta che, qualora ci fosse un data breach del server sarebbe il prorietario a risponderne a livello legale (mentre qualora si verificasse un data breach dei server Google sarebbe Google a doverne rispondere).
Riassumendo
La situazione è in continua evoluzione, non c’è ancora una soluzione definitiva. Di sicuro si auspica quanto prima che l’accordo politico tra Europa e Stati Uniti diventi esecutivo, in quanto il problema non riguarderebbe solo Analytics ma ogni strumento che immagazzina dati in server USA (Mailchimp, Facebook, LinkedIn…). Nel frattempo il nostro consiglio è di compiere una scelta che permetta di avere dei dati a disposizione, implementando GA4 se ancora non lo hai fatto (possibilmente Server-Side), salvare tutti gli storici e strutturare un progetto di data continuity aziendale considerando le differenze delle due piattaforme.
Contattaci per una consulenza!