⚖️ Google analytics e GDPR, guida aggiornata

L’evoluzione di Google Analytics, in particolare con il lancio di Google Analytics 4 (GA4), segna un punto di svolta nell’analisi dei dati web, adeguandosi alle stringenti normative sulla privacy come il GDPR dell’Unione Europea.

Questo articolo intende esaminare come Google Analytics si sia evoluto per rispondere alle esigenze di un ambiente digitale in continua trasformazione, affrontando al contempo le sfide poste dalla protezione dei dati e dalla conformità alle leggi sulla privacy.

La transizione verso GA4 rappresenta un tentativo di bilanciare le esigenze di analisi dettagliata del comportamento degli utenti con le crescenti aspettative di privacy e sicurezza dei dati, un equilibrio fondamentale nell’era digitale odierna.

Il Provvedimento del garante privacy su Google Analytics del 2022

Nel giugno 2022, l’Autorità Garante per la Protezione dei Dati Personali in Italia ha emesso un provvedimento rivolto a una società che utilizzava Google Analytics sul proprio sito web, evidenziando la problematica del trasferimento dei dati personali degli utenti fuori dall’Unione Europea, in particolare verso gli Stati Uniti. Questa azione si inserisce in un contesto più ampio di preoccupazioni relative alla conformità con il Regolamento Generale sulla Protezione dei Dati.

Il Garante non ha imposto una sanzione pecuniaria immediata, ma ha invece concesso all’azienda un periodo di 90 giorni per adeguare le proprie pratiche al GDPR, sottolineando la necessità di garantire un livello di protezione dei dati personali in linea con le aspettative normative europee. Questa decisione sottolinea l’importanza della revisione delle pratiche di raccolta e trattamento dati in uso, in particolare per quanto riguarda lo strumento di analisi Google Analytics, spingendo le aziende a valutare alternative o adottare misure aggiuntive per assicurare la conformità.

Il provvedimento ha stimolato un dibattito significativo sulla gestione della privacy online e sulle sfide poste dall’uso di strumenti di analisi web di terze parti, evidenziando l’urgenza per le aziende di rivedere le proprie strategie in materia di dati personali alla luce del GDPR.

All’interno del provvedimento vengono affrontati temi importanti che riguardano tutti noi:

1. IP-Anonymization: nonostante l’adozione di questa opzione da parte del titolare del trattamento, l’Autorità ha valutato che l’anonimizzazione degli indirizzi IP non sia sufficiente per garantire la protezione adeguata richiesta dalla normativa. L’indirizzo IP, infatti, è considerato dato personale poiché permette l’identificazione indiretta dell’utente, soprattutto se combinato con altre informazioni come il tipo di browser, la data e l’ora di navigazione. L’opzione di anonimizzazione, che oscura solo una parte dell’indirizzo IP, non preclude a Google LLC la possibilità di riconoscere l’utente, specialmente se quest’ultimo è loggato con il proprio account Google.
2. Cifratura dei dati: una misura supplementare adottata per rafforzare la protezione dei dati personali è stata la cifratura. Tuttavia, l’Autorità ha ritenuto anche questa misura non adeguata a scongiurare i rischi di accesso non autorizzato ai dati da parte delle autorità pubbliche statunitensi. Questo perché le chiavi di cifratura sono detenute da Google LLC, rendendo possibile a quest’ultima l’accesso ai dati. Per assicurare una protezione efficace, sarebbe necessario che le chiavi di cifratura fossero esclusivamente in possesso del titolare del trattamento, ma ciò potrebbe rendere i dati inutilizzabili per le finalità analitiche previste.

È importante osservare che l’Autorità Garante Privacy ha riconosciuto in capo al titolare del trattamento l’elemento soggettivo della colpa, in considerazione della primaria posizione assunta da Google nel settore di web analytics e ha conseguentemente osservato come il titolare del trattamento abbia erroneamente assunto come idonee le informazioni rese da Google rispetto alle misure supplementari adottate, senza peraltro poter esercitare alcun potere decisionale in merito alle stesse. In conclusione, si può dire che, anche per questa ragione, la sanzione risulta attenuata nei termini di cui sopra.

Impatto sulle aziende

L’impatto del provvedimento dell’Autorità Garante per la Protezione dei Dati Personali sulle aziende italiane che hanno utilizzato Google Analytics è stato significativo, richiedendo una revisione attenta delle pratiche di raccolta e trattamento dei dati personali per garantire la conformità al GDPR. Le aziende sono state chiamate a valutare criticamente l’utilizzo di strumenti che comportavano il trasferimento di dati al di fuori dell’UE, testando alternative o implementando misure tecniche e organizzative per limitare tali trasferimenti.

Tra le azioni consigliate c’è stata l’anonimizzazione degli indirizzi IP prima della trasmissione a Google, l’utilizzo di strumenti analitici che non comportassero il trasferimento di dati al di fuori dell’UE, o la stipula di clausole contrattuali standard che offrissero garanzie adeguate sul trattamento dei dati personali. Inoltre, le aziende hanno dovuto assicurarsi di ottenere un consenso chiaro e informato dagli utenti prima di utilizzare cookie o altri strumenti di tracciamento che raccogliessero dati personali.

La trasparenza verso gli utenti riguardo alla raccolta e all’utilizzo dei dati, insieme alla possibilità di revocare facilmente il consenso, sono diventati elementi chiave per costruire una relazione di fiducia e assicurare la conformità alle normative sulla privacy. Le aziende sono state incoraggiate a cercare il supporto di consulenti legali specializzati in materia di privacy per affrontare le complessità del GDPR, con l’obiettivo di aggiornare le proprie politiche e procedure in maniera conforme ed efficiente.

Google Analytics 4 (GA4)

Nel frattempo, è avvenuto il passaggio obbligatorio a Google Analytics 4 (GA4), segnando un punto di svolta significativo per gli utenti del servizio. Questa nuova versione introduce una serie di novità e differenze rispetto alle versioni precedenti.

Novità e differenze con la versione precedente

Google Analytics 4 si distingue per la sua architettura orientata agli eventi, diversa dal modello basato su sessioni delle versioni precedenti. Questo cambiamento offre agli utenti maggiori possibilità di personalizzazione e una migliore comprensione del comportamento degli utenti sui loro siti web e app. In termini di privacy, GA4 introduce miglioramenti significativi, tra cui la raccolta di dati meno invasiva e opzioni di configurazione più flessibili per gli amministratori, in linea con le richieste di conformità al GDPR.

GA4 offre la possibilità di rendere anonimi gli indirizzi IP per default e fornisce solo geolocalizzazioni approssimative, riducendo il rischio di identificazione diretta degli utenti. Inoltre, GA4 si distacca dal tradizionale approccio basato sui cookie, optando per un modello di tracciamento che limita la raccolta e la condivisione di dati personali, in linea con i principi del GDPR di minimizzazione dei dati e privacy by design.

GA4 è Conforme al GDPR?

La questione della conformità di GA4 al GDPR è stata oggetto di ampio dibattito. Per garantire l’uso conforme di Google Analytics in linea con il GDPR, le aziende devono implementare specifiche misure e considerare l’adozione di configurazioni avanzate, come quella server-side in GA4, oltre a valutare alternative GDPR-friendly che non implicano il trasferimento di dati al di fuori dell’UE.

Utilizzando la configurazione server-side, GA4 può essere impostato per rendere anonimi gli indirizzi IP degli utenti prima che i dati vengano inviati ai server di Google, contribuendo a minimizzare i dati personali trattati. Tuttavia, è essenziale che le aziende implementino correttamente queste configurazioni e si assicurino di ottenere il consenso esplicito degli utenti prima di raccogliere qualsiasi dato, in conformità con i principi del GDPR.

Strumenti di analisi web alternativi a GA4

Esistono diverse piattaforme di analisi web che possono servire come alternative a GA4, progettate con un forte focus sulla privacy e la conformità al GDPR. Queste piattaforme spesso offrono l’hosting dei dati all’interno dell’UE o la possibilità di optare per soluzioni che limitano il trasferimento di dati personali al di fuori dell’area economica europea. Tra queste, troviamo:

• Matomo: Una piattaforma open-source che offre opzioni flessibili di hosting, consentendo alle aziende di ospitare i dati su propri server o in cloud privati all’interno dell’UE. Matomo si impegna a rispettare le normative sulla privacy, fornendo un controllo completo sui dati raccolti.
• Plausible Analytics: Un servizio leggero e privacy-friendly che non utilizza cookie e traccia i dati degli utenti in modo anonimo. Plausible è progettato per essere conforme al GDPR e ad altre leggi sulla privacy, senza compromettere l’utilità dei dati analitici.
• Fathom: Un’altra alternativa che offre analisi web semplici e rispettose della privacy. Fathom traccia le visite al sito senza identificare individualmente gli utenti e offre hosting dei dati che rispetta il GDPR.

È importante notare che la scelta di un’alternativa a GA4 non esonera automaticamente da obblighi di conformità al GDPR. Le aziende devono assicurarsi di implementare qualsiasi strumento di analisi web in modo che rispetti pienamente le normative sulla privacy, includendo l’ottenimento del consenso degli utenti prima della raccolta dei dati e garantendo la trasparenza su come questi vengano trattati e conservati.

Inoltre, è cruciale valutare le specifiche funzionalità di privacy offerte da ciascuna piattaforma e considerare come queste si integrino con le proprie politiche e procedure interne per la protezione dei dati. La collaborazione con consulenti legali specializzati in diritto della privacy può aiutare a navigare le sfide della conformità al GDPR e a scegliere le soluzioni più adatte alle proprie esigenze aziendali.

Stai già violando la normativa GDPR senza saperlo

Sì, hai letto bene. Neppure tu sei del tutto innocente. Al 99,9% stai violando il Gdpr svolgendo la tua attività professionale. In pratica puoi stare certo del contrario solo se non sei presente online, non usi un pc e scrivi tutto con carta e penna.

Anche noi di Legal for Digital potenzialmente stiamo violando il Gdpr in questo momento. Infatti, usiamo Calendly per fissare gli appuntamenti, le mail aziendali sono tutte su Gsuite, le consulenze avvengono su Zoom, i backup dei documenti sono su Drive e Dropbox e così via.

Tutti questi servizi trasferiscono dati fuori dall’UE. Quindi, dal 2019, data della sentenza Schrems II che ha invalidato la decisione di adeguatezza del Privacy Shield (non ritenendolo più valido), vale a dire l’accordo USA-UE che, con determinati requisiti permetteva l’utilizzo di software che gestiscono dati su server fuori dall’UE, si ha violazione del RGDPR.

Chi di noi non usa questi o altri tool che gestiscono dati fuori UE? Se ci pensi bene, è praticamente impossibile che tu, i tuoi clienti, i tuoi fornitori o competitor non facciano altrettanto.

Ciò vuol dire che da circa due anni tutti noi siamo in piena violazione del Gdpr e che la stragrande maggioranza di noi non si è posto alcun problema nel farlo.

Il provvedimento dell’Autorità Garante Privacy su Analytics ha davvero fatto scoppiare un problema oppure ha solo puntato un enorme faro su un problema già esistente anche se sottovalutato dai più? Probabilmente la seconda!

Adesso lo sai, non andare in iperventilazione e respira!

Devi prendere atto di questa situazione, raccogliere tutti gli elementi necessari per decidere consapevolmente e fare una scelta su come agire per tutelare il tuo business.

Scegli una soluzione RGDPR friendly per il tuo business

Ad oggi il Titolare del Trattamento, vale a dire il titolare dell’azienda, è l’unico soggetto che deve decidere come muoversi a livello di scelte aziendali per la privacy. Questo è ribadito anche dalla normativa GDPR, la quale attribuisce in toto al Titolare del trattamento il principio di accountability, vale a dire il principio di responsabilizzazione del titolare dell’azienda.

Nel caso di Web Agency o Freelance che affiancano un’azienda per la propria presenza online è fondamentale limitare al massimo le responsabilità in tema privacy. Ecco che, in quest’ottica, formare e responsabilizzare il cliente è l’unica scelta possibile per tutelarsi.

Detto questo, il Titolare del trattamento deve fare una scelta chiara e consapevole:

1. soluzione conservativa: continuare a utilizzare i software utilizzati fino a oggi anche se trattano o trasferiscono dati fuori UE;

2. soluzione tutelativa: passare a tool di aziende europee che gestiscono dati con server in Ue oppure trattare i dati interamente su propri server senza alcun tipo di condivisione esterna,

Le vie di mezzo non sono né carne né pesce e, nel 99% dei casi, creeranno solo un danno aziendale certo.

Nessuna delle due scelte è totalmente giusta o sbagliata a livello aziendale o legale. Ecco perché vanno valutati molti aspetti tra i quali costi, limiti dei software alternativi, tempi, rischio di perdita di dati, tool più o meno compliant, livelli di customizzazione delle soluzioni, ecc.

A fare la differenza quando si tratta di compiere la scelta più saggia, in ossequio ai bisogni del proprio business, p la conoscenza degli aspetti legali della questione trattamento dati fuori UE. Diffida da qualsiasi consulente legale prenda questa decisione per te. Solo tu, in quanto Titolare del trattamento, puoi decidere come gestire la tua azienda nel modo più performante. Se il tuo business è casa tua e tu sei il padrone di casa, perché mai dovresti far comandare un consulente legale a casa tua?

Un buon consulente privacy deve “limitarsi” ad analizzare nel dettaglio il tuo business, capirne limiti e potenzialità a livello legale e proporti le soluzioni possibili indicandoti pro e contro di ogni scelta. La scelta, però, rimane solo ed esclusivamente tua.

Parentesi: sì alla normativa GDPR, no alle Fake News

Tra le regole auree in materia di adeguamento alla normativa privacy, troviamo senz’altro l’affidabilità delle fonti. Per questo, ci sentiamo di darti un consiglio spassionato: evita di ascoltare le voci non autorevoli che si sentono in giro.

Su questo tema bisognerebbe aprire un capitolo su cosa sia l’autorevolezza e la vera competenza, anche perché oggi sembra sufficiente scrivere come servizio su un sito “diritto delle nuove tecnologie” oppure scrivere nella bio di Instagram “esperto privacy” per poter dare pareri in ambito Legal Tech. Peccato che tutto questo può creare danni allucinanti alle aziende che si affidano a sedicenti esperti senza approfondire davvero chi hanno di fronte.

Ad esempio, appena uscito il provvedimento del Garante Privacy sono stati pubblicati contenuti di avvocati che consigliavano di disinstallare Google Analytics (senza neppure specificare tra GA3 o GA4) perché, tanto, cito testualmente “tutti questi dati alla fine servono a poco”. 

Risposte come queste danno la visione della poca esperienza sul campo e della scarsa comprensione della strategia aziendale anche a fronte di una grandissima competenza legale, ma molto teorica.

Proprio per questo motivo, ti suggeriamo di diffidare delle seguenti Fake News:

• Google Analytics 4, a differenza di GA3, rispetta il Gdpr;
• Se settiamo correttamente GA4, siamo sicuramente a norma;
• Chiediamo un esplicito consenso all’utente per il trasferimento dati fuori UE; 
• Il Garante non ha stabilito una sanzione economica, quindi questo è un problema solo astratto;
• Tutti hanno lo stesso problema, quindi se è un problema di tutti non è un vero problema per nessuno.

Ecco una piccola spiegazione del perché queste siano Fake News:

1. Se il Garante della privacy italiano stesso non si è volutamente espresso sul punto e nessuna Autorità Garante Privacy in Europa ha fatto la stessa cosa ma, anzi, sono stati posti interrogativi sull’enorme capacità di Google di incrociare i dati a sua disposizione con quelli raccolti dagli utenti sul sito web, chi potrebbe darti questa certezza?
2. Il Garante Privacy Italiano ha confermato che, ad oggi, non c’è e non ci potrà mai essere una posizione ufficiale sul punto GA, anche perché non spetta all’Autorità schierarsi o sponsorizzare uno specifico strumento a discapito di altri con il rischio di influenzare in maniera rilevante il mercato. Come è possibile che qualcuno abbia delle certezze maggiori del Garante?
3. Ai sensi dell’art. 49, paragrafo 1, lett. A) della normativa Gdpr è ammesso il trasferimento di dati personali verso un Paese terzo qualora l’interessato abbia esplicitamente acconsentito al trasferimento proposto, dopo essere stato informato dei possibili rischi relativi al suddetto trasferimento, dovuti alla mancanza di una decisione di adeguatezza e di garanzie adeguate. In relazione a questa possibile soluzione proposta, ci limitiamo ad osservare che le deroghe, per definizione, sono eccezioni al principio generale secondo cui il trasferimento deve avvenire solo in presenza di adeguate garanzie. Citando testualmente le Linee guida sulle deroghe di cui all’art. 49, le deroghe in quanto tali “devono essere interpretate in maniera restrittiva, affinché l’eccezione non diventi regola” e “devono essere interpretate in modo da non contraddire la natura delle deroghe stesse”. Nel documento citato si legge, inoltre, che “il GDPR prevede soglie rigorose per il ricorso alla deroga del consenso. Tali restrizioni, in associazione alla possibilità per l’interessato di revocare il consenso in qualunque momento, fanno sì che il consenso possa rivelarsi una soluzione inapplicabile nel lungo periodo per i trasferimenti verso paesi terzi”. Quindi come si può pensare di raccogliere un consenso di questo tipo da qualsiasi utente che atterri sul tuo sito web?
4. La mancanza di una sanzione, come confermato anche dall’avv. Luigi Scorza, componente del Garante Privacy, è stata una scelta consapevole in quanto c’è stata l’intenzione di non calcare la mano dal punto di vista sanzionatorio vista l’estrema complessità della situazione, la quale peraltro potenzialmente potrebbe non essere limitata a Google Analytics, né tantomeno al solo titolare del trattamento destinatario del provvedimento. È stato poi ribadito che il nucleo del problema è rappresentato dal trasferimento dei dati verso un Paese in cui diverse autorità, tra cui quelle di Intelligence, hanno accesso agli stessi e in cui sono previsti scarsi strumenti di tutela a favore degli interessati, nonché dal fatto che i dati meramente statistici raccolti da Google Analytics possono essere associati nel complesso ad altri dati, con la conseguente possibilità di re-identificare l’utente.                                              
5. Il fatto che tanti stiano violando una normativa non significa che solo alcuni vengano sanzionati. Allo stesso modo, mica tutti quelli che superano il limite di velocità in auto ricevono una multa, ma non per questo allora si può viaggiare a 180km/h senza problemi.

Prendere atto di un problema è il primo passo per cominciare ad entrare in profondità nella questione gestione dati personali e pensare a una strategia legale di data management performante che non limiti il business aziendale.

Normativa GDPR: l’esperienza di Legal For Digital

In questi mesi, in Legal For Digital abbiamo tenuto svariate decine di consulenze relative alla questione del trattamento dati fuori UE e, più nello specifico, alla questione Google Analytics. Solo nei primi 6 mesi del 2022 abbiamo effettuato 109 adeguamenti privacy tra siti, e-commerce e app.

Questo è il nostro lavoro. Anzi, questo è il nostro unico lavoro. 

Siamo uno studio verticalizzato sul diritto del digitale sin dalla nostra fondazione, quindi sappiamo di cosa stiamo parlando. Gestiamo tutte le attività legali internamente allo studio. Non siamo un ramo di uno studio legale generalista oppure uno studio legale classico che si è convertito sul Legal Tech.

Più di 400 clienti che ci hanno affidato il loro sito web a livello privacy in meno di 4 anni sono la fotografia della nostra esperienza. Le 186 recensioni a cinque stelle su 185 sono invece la fotografia di come i nostri clienti si sono trovati con noi.

Durante le nostre consulenze abbiamo visto le situazioni più diverse a livello legale, abbiamo collaborato con PMI come banche, aziende sanitarie, società quotate e multinazionali.

La paura genera mostri…

Spesso ci è capitato di collaborare con i legali interni delle aziende o con Dpo interni o esterni a grosse società. In questi casi veniamo contattati al fine di portare una visione legale specializzata, ma anche una forte competenza sui vari strumenti tecnici, avendoli testati praticamente tutti.

Ecco che a volte succede di confrontarci con visioni legali più o meno stringenti, per non dire talebane. Quello che raccomandiamo sempre è la definizione di una data strategy legale coerente e adeguata all’obiettivo aziendale.

La coerenza di ogni progetto legale sta nella scelta della direzione da intraprendere, ad esempio, sull’utilizzo di alcuni strumenti digitali americani.

La paura di sanzioni a volte genera mostri, mostri legali pazzeschi.

Ad esempio, ci è capitato di collaborare con una grande azienda il cui DPO ha deciso di eliminare GA3 e non spostarsi su GA4 perché il pericolo a livello privacy era considerato troppo importante. Tale decisione è comprensibile, ma come dicevamo ci vuole poi una coerenza della strategia legale.

Due giorni dopo la consulenza lo stesso DPO ci ha inviato un recap della prima consulenza ricevuta con tutti i soggetti che hanno partecipato e i punti da trattare nella successiva consulenza. Fin qui tutto bene, peccato che il file ci è stato condiviso su Drive. Ripeto, Google Drive…

Se non va bene a livello Gdpr Google Analytics allo stesso modo non andrà bene Google Drive! 

Quindi, stiamo attenti a non creare mostri legali con le nostre azioni.

Il futuro del marketing digitale e la privacy

L’eliminazione dei cookie di terze parti rappresenta una sfida significativa per il marketing digitale, ma offre anche l’opportunità di implementare nuove strategie basate sul rispetto della privacy degli utenti. Le aziende possono adattarsi adottando tecnologie di tracciamento alternative, come il fingerprinting o le soluzioni basate sull’intelligenza artificiale, che non compromettano la privacy degli utenti. Allo stesso tempo, è fondamentale sviluppare campagne marketing incentrate sul valore e sull’engagement diretto con i consumatori, privilegiando la qualità alla quantità nel targeting pubblicitario.

L’accordo UE-USA e il trasferimento dei dati

L’accordo in trattativa tra l’Unione Europea e gli Stati Uniti sul trasferimento dei dati, noto come Privacy Shield 2.0 o Data Privacy Framework, ha l’obiettivo di fornire un nuovo quadro legale per il trasferimento sicuro dei dati tra le due regioni. Questo accordo è cruciale per le aziende italiane e europee che si affidano a servizi cloud o a strumenti di analisi basati negli USA, come Google Analytics. L’adozione di questo accordo dovrebbe facilitare la conformità al GDPR, riducendo gli oneri legali e operativi legati al trasferimento internazionale dei dati. Tuttavia, le aziende devono rimanere aggiornate sulle evoluzioni normative e pronte ad adottare le necessarie misure di adeguamento.

Conclusione e Checklist per la Conformità GDPR con GA4

In conclusione, l’adozione di Google Analytics 4 e la conformità al GDPR richiedono un approccio oculato e informato. È fondamentale che ogni azienda adotti misure adeguate per garantire che la raccolta, l’elaborazione e l’analisi dei dati avvengano nel rispetto delle normative sulla privacy.

Checklist per la conformità al GDPR con GA4

1. Revisione della politica sulla privacy: assicurati che la tua politica sulla privacy sia aggiornata e rifletta l’uso di GA4, spiegando chiaramente come vengono raccolti e utilizzati i dati degli utenti.
2. Implementazione del consenso esplicito: Utilizza un banner di consenso che richieda agli utenti un’azione affermativa per accettare i cookie di tracciamento, senza alcuna preselezione.
3. Configurazione server-side: valuta l’adozione di configurazioni server-side in GA4 per un maggiore controllo sui dati raccolti e maggiore protezione della privacy degli utenti.
4. Minimizzazione dei dati: limita la raccolta dei dati al solo necessario e imposta periodi di conservazione dei dati conformi al GDPR.
5. Valutazione di strumenti alternativi: Esplora strumenti analitici alternativi che offrono maggiore conformità al GDPR, soprattutto quelli che non implicano trasferimenti di dati al di fuori dell’UE.

Richiedi una consulenza legale da Legal For Digital

L’adeguamento a queste pratiche può risultare complesso e richiede una comprensione dettagliata delle leggi sulla privacy. Legal For Digital offre consulenze specializzate per assicurare che la tua strategia digitale sia non solo efficace, ma anche pienamente conforme al GDPR.

Se desideri assicurare che il tuo utilizzo di GA4 o di qualsiasi altro strumento analitico sia in linea con le attuali normative sulla privacy, contattaci per una consulenza legale strategica. Il nostro team è pronto a fornirti l’expertise necessaria per una gestione dei dati sicura, responsabile e conforme alle normative vigenti.