Home
Blog

GA4 rende Analytics a norma nel rispetto della privacy?

Scritto da:

Davide Serafini / CoFondatore & Solutions Architect

04 Luglio 2022 / Marketing digitale

Raccogliamo un po’ di info dai maggiori esperti in materia

Il mondo del marketing digitale e in particolare chi si occupa di web analytics era in fibrillazione da un po’.

 

Il 1° luglio 2023 verrà dismesso ufficialmente Google Universal Analytics (GA3) e dunque è partito il countdown per il passaggio al nuovo GA4 così da avere almeno un anno di storico di dati all’interno dell’account.

 

A sconquassare questo panorama di aziende, account, marketer e manager in traghettamento si è inserito come un potente maremoto il comunicato del garante della privacy che dichiara illecito Google Analytics perché trasferisce negli Stati Uniti dati personali degli utenti.

Ripercorriamo brevemente i passi salienti di questi ultimi anni

  • Il 16 luglio 2020 con la sentenza Schrems II la Corte di giustizia dell’Unione Europea di fatto invalida il Privacy Shield, ovvero l’accordo in vigore che regolamentava la trasmissione dei dati tra UE e USA e i meccanismi che le aziende americane dovevano mettere in atto per garantire una corretta gestione dei dati europei in loro possesso.
  • Tra gennaio e febbraio 2022 sia il garante della privacy austriaco sia quello francese hanno dichiarato che non ci sono le condizioni sufficienti per garantire che i dati europei non possano entrare in possesso delle agenzie americane, rendendo quindi di fatto Google Analytics nella sua forma attuale, illegale.
  • A maggio 2022 un collettivo di attivisti per la privacy italiano ha notificato via email più di 7000 amministrazioni pubbliche che usano ancora Google Analytics sui loro siti, richiedendone la rimozione.
  • Il 23 giugno 2022 il garante per la privacy italiano si allinea a quanto già deciso dai colleghi austriaci e francesi: in un procedimento contro Caffeina Media srl viene contestato il trasferimento dei dati in USA da parte di Google Analytics, rendendolo di fatto illegale per tutti.
  • L’1 luglio 2022 Federico Leva, un altro attivista nel campo della privacy e del software libero, invia massivamente più di 30.000 email in cui si avvale del diritto sancito dal GDPR per chiedere la rimozione dei suoi dati da Google Analytics e per intimarne la rimozione dai siti.

Al momento gli unici aspetti chiari della questione sono 3

  1. Google Analytics 3, ovvero il vecchio Universal, è di fatto illegale in quanto la parziale anonimizzazione dell’IP non è sufficiente a rendere un utente irriconoscibile.
  2. Il garante della privacy ha dato 90 giorni a Caffeina Media srl per adeguare il proprio sito.
  3. L’email di Federico Leva, per quanto non del tutto corretta nella forma, è legittima, non è spam, e abbiamo 30 giorni dalla data di ricezione per rispondere come previsto dal GDPR.

Tutte le altre conseguenze concrete e operative della dichiarazione non sono invece chiare:

  • GA4 (che non salva e utilizza l’IP dell’utente, a differenza di Universal Analytics) usato in modalità server side, ci mette al riparo?
  • Oppure non è lecito trasferire fuori dall’Europa neppure dati personali ma anonimi e dunque neanche GA4 è la soluzione?
  • Oppure ancora la soluzione potrebbe essere salvare i dati raccolti su server europei? Ma anche in tal caso l’azienda proprietaria, Google Ireland, è considerata a norma o troppo subordinata alla capogruppo americana?
  • Si fa un gran parlare di Google Analytics, ma come la mettiamo con il pixel di Facebook, di Linkedin, Hotjar, Clarity, Mailchimp e tutti gli altri strumenti?

 

In tutta obiettività non è chiaro neppure se si tratti di una questione più operativa o più politica (sulla scia dell’accordo di principio raggiunto a inizio maggio sulla cooperazione tra gli Stati Uniti e l’Unione Europea nel trasferimento dei dati personali tra le due sponde dell’oceano Atlantico, denominato Trans-Atlantic Data Privacy Framework).

Cosa fare nel frattempo?

  1. Prepararsi a eliminare Google Analytics Universal. C’è chi dice che GA4 server side sia la soluzione, chi no; quello che è sicuro è che su Universal la direzione è chiara e va rimosso. Speriamo che nel frattempo a livello politico ci siano delle nuove indicazioni.
  2. Rispondere via email a Federico Leva chiedendogli il client id di GA per rimuoverlo, usando le procedure previste da Google. Per quanto l’azione di Federico Leva sia stata, come da lui dichiarato, più che altro allo scopo di far conoscere la situazione a centinaia di aziende e attirare l’attenzione sul problema, ciò non toglie che ai sensi del GDPR dobbiamo ottemperare alla sua richiesta di rimozione. Ricordiamoci inoltre che la richiesta di cancellazione va inserita nel registro delle richieste degli interessati, in modo da poter dimostrare l’avvenuta gestione della richiesta (https://www.cybersecurity360.it/legal/privacy-dati-personali/diritti-dellinteressato-come-gestire-le-richieste-la-procedura/)

Fonti autorevoli: considerazioni e commenti

In attesa di maggiore chiarezza e di una più precisa metodologia da adottare, abbiamo raccolto le voci di alcuni dei più autorevoli professionisti in materia di privacy, tracciamenti e analytics.

Matteo Flora

Enrico Pavan

Antonino Polimeni (con commenti di Matteo Flora e Matteo Zambon)

Post su Facebook: considerazioni e commenti

Alessandro Vercellotti

In questo caso non abbiamo un link diretto, ma gli iscritti alla sua newsletter (https://legalfordigital.it/guide/) hanno ricevuto un pdf che spiega come agire in questa situazione

Altre fonti

Come rispondere a Federico Leva: fac-simile email di risposta

Come abbiamo detto sopra, la richiesta di Federico Leva è legittima, per cui siamo in dovere di rispondere alla sua comunicazione entro 30 giorni dalla ricezione.

Ecco il fac-simile di risposta che puoi utilizzare in caso anche tu abbia ricevuto la sua email, da personalizzare con il dominio del tuo sito al posto di “NOMESITO.EST”:

Buongiorno Federico,

per dare seguito alla tua richiesta avente per oggetto “Uso illegittimo di Google Analytics: richiesta di rimozione ex art. 17 GDPR” e riferita al sito “NOMESITO.EST” abbiamo bisogno di conoscere le informazioni tecniche necessarie ad identificare le visite menzionate nella tua richiesta, nel dettaglio:
– data e ora della visita più recente
– il valore del “Client ID” che si trova all’interno del cookie di Google Analytics chiamato _ga

In mancanza di queste informazioni siamo impossibilitati ad eseguire la procedura di cancellazione dati utente su Google Analytics.

Cordiali saluti

Non è però obbligatorio rispondere attraverso il modulo di contatto indicato nella sua email (che peraltro risulta non più disponibile): utilizza come destinatario domande@leva.li.

Se/quando Federico Leva risponderà alla comunicazione con le informazioni richieste, dovrai effettuare (o richiedere all’agenzia che gestisce per te Google Analytics):

  1. la procedura di rimozione del suo Client-ID
  2. l’inserimento della richiesta nel registro dei consensi per dimostrarne l’avvenuta gestione a norma
  3. una comunicazione a lui per confermare l’avvenuta rimozione del Client-ID, sempre utilizzando lo stesso indirizzo email.

Come si rimuove il Client-ID da Google Analytics 3 (Universal Analytics)?

La procedura di rimozione del Client-ID richiesta da Federico Leva rispetto alle sue visite non è delle più comuni, ma per gestire a norma secondo il GDPR le nostre installazioni di Google Analytics è opportuno conoscerla.

Fortunatamente si tratta di una serie di passaggi delicati ma abbastanza semplici e rapidi. Eccoli:

  1. Accedi all’account di Google Analytics Universal e alla proprietà in questione
  2. Dal menù a sinistra clicca su Pubblico (Audience in inglese) e poi su Esplorazione utente (User Explore)
  3. Filtra per la data che ti è stata comunicata
  4. Filtra per il Client-ID che ti è stato indicato (es: 238494715.1614692201)
  5. Clicca sul Client-ID per vedere i dati dettagliati ad esso relativi
  6. Clicca il bottone Cancella utente che trovi in basso a sinistra della pagina
  7. Clicca su OK nell’alert pop-up che compare

La procedura di rimozione del Client-ID da Google Analytics 3 è così completata. Ricordati ora di fare i passaggi sul registro dei consensi e la comunicazione al richiedente, come le abbiamo descritte più sopra.

Ma attenzione: per la PA ci sono regole ancora più stringenti

Per la Pubblica Amministrazione, un caso analogo all’ “affaire Federico Leva” ha già avuto luogo nella primavera di quest’anno quando alcuni enti pubblici hanno ricevuto una email avente per oggetto “Diffida per violazione del GDPR per utilizzo Google Analytics su sito istituzionale”.

A inviarla un «un gruppo di hacker italiani, attiviste e attivisti, cittadine e cittadini attenti alla privacy ed alla tutela dei diritti cibernetici nel nostro Paese: https://privacy.g0v.it».

Sulla base del pronunciamento del EDPS (European Data Protection Supervisor), dell’Autorità di controllo austriaca e di quella francese (arrivate prima di quella del Garante della Privacy italiano) questo collettivo intimava la rimozione di Google Analytics dai siti degli Enti, a causa della sua dichiarata illiceità.

Oltre a Google Analytics, si specificava che andava rimosso «qualsiasi altro strumento di analytics o tracking che produca effetti analoghi»: per esempio Pixel di Facebook, di Linkedin e di Pinterest, script di Adobe Analytics, Yandex Metrica, Clarity, Hotjar, e di tantissimi altri tool di uso corrente nel mondo del digital marketing e delle web analytics.

La soluzione alternativa per la PA per disporre di un software di tracciamento (pressapoco analogo a Google Analytics) a norma è però già stata individuata e approntata a livello statale con la predisposizione di Web Analytics Italia: si tratta di una versione white label di Matomo a cui tutti gli Enti pubblici possono fare domanda di adesione.

Questa soluzione risulta a norma in quanto i dati raccolti rimangono all’interno dei confini italiani.

Per le imprese private invece, come detto sopra, la questione risulta ancora aperta: non solo per quanto riguarda Google Analytics (che rappresenta solo la punta dell’iceberg), ma anche per tutta la grande quantità di altri servizi a cui correntemente ci si affida per il tracciamento, le attività di misurazione e screen recording, per il remarketing, ecc.

Fonti

Disclaimer

Questa è una guida informativa soggetta a possibili aggiornamenti in futuro.

Non sostituisce una consulenza legale con specialisti in diritto dell’informatica e in ambito privacy, ai quali ti consigliamo di rivolgerti per analizzare il tuo specifico caso e ottenere indicazioni precise e personalizzate.

Se ha bisogno di Consulenza sulle installazioni di Google Analytics 3 e 4, sui piani di tracciamento a norma e sull’analisi dei dati della tua azienda, abbiamo il servizio di Web Analytics che fa per te!

Pubblicato il 4 luglio 2022, aggiornato il 18 luglio 2022

Iscriviti alla nostra
Newsletter

Consigli per migliorare la tua presenza digitale, notizie dal mondo del web e casi studio che puoi "rubare" per la tua azienda: non perderne neanche uno, iscriviti!