Google Analytics non è GDPR compliant: facciamo chiarezza

Google Analytics non è GDPR compliant: facciamo chiarezza

Il noto strumento di web analytics fornito da Google non rispetterebbe le normative vigenti in UE in materia di privacy. Quali sono gli step da seguire per essere compliant? Esistono soluzioni alternative?

Dopo aver ricevuto varie richieste di chiarimento da parte dei nostri clienti sulla posizione assunta del Garante per la Privacy in merito a Google Analytics, abbiamo pensato di scrivere questo articolo per fare il punto sulla questione e fornire qualche linea guida e supporto a chi ne avesse bisogno.

La posizione del Garante in merito a Google Analytics

Il 23 giugno 2022 il Garante per la Privacy ha espresso la sua posizione sull'utilizzo di Google Analytics dichiarando che un sito web che utilizza il servizio Google Analytics (GA), senza le garanzie previste dal Regolamento UE, viola la normativa sulla protezione dei dati personali degli utenti perché trasferisce tali dati negli Stati Uniti, Paese privo di un adeguato livello di protezione.

Questa affermazione rimane valida anche qualora venga scelta l’opzione di anonimizzare l’indirizzo IP del visitatore, il dato personale in questione, in quanto anche nel caso in cui questo fosse troncato, non diverrebbe un dato anonimo, considerata la capacità di Google di arricchirlo con altri dati di cui è in possesso.

Il Garante richiama all’attenzione di tutti i gestori italiani di siti web, pubblici e privati, l’illiceità dei trasferimenti effettuati verso gli Stati Uniti attraverso GA, informando che procederà, anche sulla base di specifiche attività ispettive, a verificare la conformità al Regolamento UE dei trasferimenti di dati effettuati dai titolari.

Quindi Google Analytics va rimosso dal proprio sito web?

La posizione del Garante è riferita a Google Analytics 3, conosciuta anche come Universal Analytics (UA). Per questa versione, che è stato il tipo predefinito di proprietà per i siti web prima del 14 ottobre 2020. se non vengono prese misure di sicurezza aggiuntive, non vi è spazio all’interpretazione: va rimosso.

Il Garante non si pronuncia su quali siano le misure tecniche che rendano UA compatibile con la normativa GDPR: queste sono a carico del titolare del trattamento di ogni sito web. 

Il problema si presenta anche per la nuova versione di Google Analytics, ossia GA4?

GA4 sul piano tecnico ha poco da spartire con UA, non è una nuova release del precedente ma ha origine da un nuovo progetto nato in casa di Google (a differenza del primo, frutto di un’acquisizione). Cambia innanzitutto il modello di misurazione: Universal Analytics si basa su sessioni e pageviews, mentre quello di Google Analytics 4 si basa su eventi e parametri.

A partire dal 30 giugno 2023 UA verrà “spento”. La transizione è iniziata a seguito di un post sul blog di Google dal titolo “Prepare for the future with Google Analytics 4” del 16 Marzo 2022. Avevamo già parlato delle novità portate da Google Analytics 4 sul nostro Blog

Le caratteristiche di GA4 sembrano tenere in conto le direttive europee in materia di privacy e sicurezza, ma il Garante a questo proposito non si è ancora pronunciato. Il rischio di passare a GA4 e di trovarsi con una soluzione non compliant (e quindi sanzionabile) è reale e i titolari di siti web dovrebbero quindi valutare con attenzione l’opzione di utilizzare GA4, ed essere consapevoli del rischio che questa scelta potrebbe comportare.

Cosa devo fare, quindi?

Il primo passo da fare per evitare sanzioni è rimuovere Google Analytics 3 (UA) dal proprio sito web.

Per cominciare, scopri se il tuo sito è collegato a Google Analytics seguendo le nostre indicazioni. 

Abbiamo pubblicato due guide sul nostro blog su come rimuovere Google Analytics dal proprio sito web realizzato sui CMS da noi utilizzati, Drupal e Wordpress:

In entrambi i casi, come indicato nei due post, al termine della procedura sarà necessario aggiornare la privacy e cookie policy.

E poi? Se tolgo UA come farò a misurare il risultato delle azioni di marketing sul mio sito?

Se hai deciso di non correre il rischio di effettuare l’upgrade a GA4, rimangono comunque altre soluzioni che si possono adottare per continuare a misurare il ritorno delle azioni di marketing compiute per portare traffico al tuo sito nel pieno rispetto della normativa europea.
Tra queste, in Archibuzz abbiamo scelto Matomo. Abbiamo installato la versione open source di matomo sui nostri server e abbiamo deciso di offrire gratuitamente ai nostri clienti l’utilizzo di Matomo almeno per un anno (escluso il lavoro di integrazione) nella speranza che in questo frangente venga chiarita la posizione del Garante su GA4.

Rimaniamo a disposizione per chiarire qualsiasi dubbio su questa importante tematica, e a disposizione di chiunque abbia necessità di supporto per disabilitare Google Analytics sul proprio sito web e intenda passare a Matomo.