GA4 è la nuova versione di Analytics, a cui hanno guardato in molti dopo che la precedente versione, Universal, è stata dichiarata non conforme alle norme europee sulla privacy. Ma Google Analytics 4 è in regola con le tutele previste dall’UE? Facciamo il punto quando ormai stanno per scadere i 90 giorni comminati dal Garante per la messa in regola rispetto ad Analytics Universal.
Un passo indietro. Cosa è successo con Google Universal?
Lo scorso 9 giugno il Garante per la privacy italiano ha emesso una sentenza contro un’azienda che utilizzava Google Universal per il proprio sito. In sostanza la sentenza dice che Google Universal non è conforme alle leggi europee sulla privacy perché trasferisce i dati degli utenti negli Stati Uniti dove non ci sono le medesime tutele. In assenza di un accordo fra Europa e Stati Uniti – atteso, ma non ancora realizzato – i dati di un cittadino europeo trasferiti negli Stati Uniti possono essere trattati in modo non equivalente.
Nella sentenza, il Garante ha dato tempo 90 giorni all’azienda interessata per mettersi in regola. Ne è uscito un gran polverone. Nel settore del marketing digitale, Analytics è uno strumento diffusissimo e molto utilizzato per raccogliere dati sul traffico ai siti web e sugli utenti, così da guidare, monitorare e rendere più performanti le campagne di comunicazione e pubblicitarie. Tutte le aziende e le agenzie web che utilizzano Analytics sono state immediatamente investite dai medesimi obblighi dell’azienda oggetto della sentenza. Bisogna mettersi in regola. Sì, ma come?
Cosa fare? Eliminare o sostituire Google Universal?
I proprietari dei siti web su cui è installato Analytics si sono trovati di fronte a tre possibilità:
- Aspettare i famosi 90 giorni. Stare alla finestra per vedere se arrivano chiarimenti o nuovi provvedimenti, come il tanto atteso accordo fra le parti. Ma si tratta indubbiamente della scelta più rischiosa perché di fatto ci si espone non solo a possibili verifiche e sanzioni, ma perché si continua in una prassi che è giudicata lesiva dei diritti degli utenti, con le possibili conseguenze che ne derivano a livello legale.
- Eliminare del tutto Analytics. È la soluzione più drastica e più sicura, in attesa di capire se ci sono soluzioni certe e solide. È senz’altro l’opzione da consigliare alle piccole e medie aziende le cui attività di marketing si giovano di Analytics, ma non ne fanno uno strumento essenziale e dirimente per la loro strategia online. Ma per le grandi imprese che invece hanno strategie di marketing in cui Analytics gioca un ruolo fondamentale?
- Passare a Google Analytics 4, che non è stato oggetto della sentenza del Garante. E che sembra – e diciamo sembra – offrire maggiori garanzie di tutela della privacy. Ma non ci sono certezze su come – e se sia possibile – installare GA4 conformemente al GDPR.
Google Analytics 4 è conforme al GDPR?
La risposta è ben delineata in questo esaustivo articolo di Iubenda su Analytics 4, portale italiano di riferimento per la gestione della privacy e dei cookie sui siti web.
Non è possibile dire che GA4 è conforme al GDPR. Si può dire che presenta maggiori tutele. Innanzitutto l’anonimizzazione di default dell’IP. Cosa vuol dire? L’IP è l’Internet Protocol Address, una sequenza univoca di numeri che identifica un dispositivo che si collega alla rete internet. Nel vecchio Analytics occorreva agire esplicitamente per anonimizzarlo, nel nuovo è sempre anonimo e non viene registrato su alcun server.
Chi decidesse di passare a questa versione inoltre dovrebbe utilizzare alcune funzioni per ridurre la raccolta dei dati:
- Disabilitare Google Signals per limitare la raccolta dei dati basati sulla zona geografica
- Disabilitare la raccolta granulare dei dati riguardo alla località e al dispositivo.
Infine, se la normativa prevedeva che Analytics con IP anonimizzati facesse ricadere i cookie nella fattispecie di quelli tecnici e quindi non era necessario bloccarli preventivamente e richiedere il consenso, nel nuovo scenario senz’altro è logico pensare che sia invece preferibile bloccare i cookie di Analytics e chiedere il consenso preventivo all’utente. Anche se, ribadiamo, questo non elimina il problema alla radice: il problema non è il consenso, ma il trasferimento dei dati negli Stati Uniti. E su questo non ci sono al momento indicazioni sicure che Google Analytics 4 sia conforme al GDPR.
Molti esperti infatti avanzano altre ipotetiche e complesse soluzioni per evitare il trasferimento dei dati, agendo ad esempio sui server, ma non ci sono standard condivisi. L’auspicio è che presto le autorità europee per la privacy si esprimano su Google Analytics 4. Nel frattempo la scelta più prudente è senza dubbio eliminare Analytics dal proprio sito web. Ma ogni azienda, professionista o privato che disponga di un sito web deve fare una valutazione sulla base della sua specifica realtà e con l’assistenza del proprio consulente per la privacy.
