Google Analytics è illegale? Esistono soluzioni?

Google Analytics è conforme al GDPR? Scopriamo come migliorare la compliance alle normative privacy sui nostri prodotti digitali.

Google analytics è illegale

Le recenti notizie che hanno visto come protagonisti il Garante Privacy e Google Analytics hanno creato non poco scompiglio nel mondo del web, dove sono tantissime le realtà che utilizzano lo strumento di analisi dati per la propria attività.

Tutto è iniziato il 23 giugno 2022, con il provvedimento del Garante Privacy nei confronti della società Caffeina Media Srl, nel quale è stato indicato come non conforme al GDPR l’utilizzo di Google Analytics fatto dall’azienda.

Alcune doverose precisazioni: il provvedimento del Garante Privacy italiano, che non aveva natura sanzionatoria ma solo ammonitoria, è riferito ad una specifica configurazione della versione Universal Analytics (GA3). 

Pertanto, non c’è stato un pronunciamento su tutte le versioni di Google Analytics e le considerazioni sono riferite al caso specifico di utilizzo da parte dell’azienda coinvolta nel provvedimento.

Detto ciò, è comunque evidente che le motivazioni che hanno evidenziato come non conforme a garantire il rispetto delle normative in termini di privacy, GDPR tra tutte, coinvolgano in realtà altre soluzioni e tool, in uno scenario ben più ampio.

Qui abbiamo parlato dello scenario, delle prospettive ad alto livello e delle questioni sollevate dal provvedimento.

Ad essere illegale non è lo strumento GA3 in sé, quanto il trasferimento di dati verso gli Stati Uniti, paese giudicato non in grado di garantire un’adeguata sicurezza in tema di privacy e trattamento dei dati secondo gli standard richiesti dalle normative europee.

La normativa che regola il tema in USA, il Privacy Shield, giudicata appunto non idonea a garantire i livelli di sicurezza previsti dal GDPR, comporta la possibilità da parte delle autorità americane di fare richiesta di accesso ai dati raccolti da qualsiasi azienda americana. È proprio questo l’elemento che fa venir meno le adeguate tutele di sicurezza previste invece dalle normative europee.

Il principale problema evidenziato è che in realtà la soluzione di anonimizzazione dell’IP fatta da GA3 (che è un’opzione di personalizzazione lasciata a chi utilizza Analytics) non è sufficiente a garantire la sicurezza del dato. Questo perché, tecnicamente, si tratta di un’anomizzazione parziale (vengono eliminate le ultime cifre dell’IP) e si sostiene che Google, per la grande quantità di dati a sua disposizione, possa essere comunque in grado di re-identificare l’utente, associando peraltro in alcuni casi il dato sull’IP ad altre informazioni di cui è in possesso.  

Quali soluzioni adottare per risolvere la compliance con Google Analytics?

Fermo restando che la valutazione della completa compliance al GDPR debba avvenire caso per caso, perché gli strumenti consentono differenti opzioni di configurazione che possono comportare un risultato diverso in termini di sicurezza nel trattamento dei dati, Google Analytics 4 sembra offrire delle possibilità in direzione di una maggiore tutela. 

GA4 Server-Side

L’ultima versione di Analytics di Google nasce proprio dalla necessità di adattarsi a un mondo in cui la privacy online è oggetto di particolare attenzione. 

GA4 ha introdotto funzioni specifiche in questa direzione: 

  • Di default non salva più l’IP dell’utente, senza demandare questa configurazione opzionale ai proprietari dei siti
  • Permette di configurare ulteriori restrizioni nella raccolta dei dati, grazie alla possibilità decidere se memorizzare altri segnali “riconoscibili”, come città, risoluzione dello schermo, ecc.
  • Ha abilitato la possibilità di una configurazione Server-Side, che può essere implementata tramite Google Tag Manager. 

Ma cosa intendiamo quando parliamo di configurazione server-side? 

L’implementazione standard di Google Analytics con Tag Manager prevede una configurazione client-side. Che significa? Che sul sito web viene aggiunto, oltre ai contenuti, un contenitore di Google Tag Manager, all’interno del quale sono impostati dei tag. Questi Tag, che sono a tutti gli effetti degli script, hanno il compito di effettuare delle chiamate a servizi terzi come Google Analytics, Facebook, Hotjar, Google Ads, ecc. 

GoogleAnalytics

Le chiamate vengono gestite dal browser stesso (per questo si parla di client) che si occupa di fare da tramite tra i servizi e il sito web su cui Tag Manager è installato. I servizi terzi rispondono alle chiamate dei tag installando cookie o altre tecnologie negli smartphone o pc dell’utente. 

Questa modalità di implementazione comporta una serie di criticità, quali la possibilità di blocchi da parte dei browser per la presenza di Ad blocker, l’alterazione degli script, l’influenza delle limitazioni ai cookie sempre più stringenti. Questo scenario non permette più una raccolta di dati di valore a servizio delle attività di marketing e business.

La soluzione, quantomeno parziale, per poter continuare una raccolta di dati utile e che garantisca maggiore controllo, è il server-side tracking

Grazie al Server Container offerto da Tag Manager, che rappresenta una nuova tipologia di container accanto al classico Web Container, è possibile configurare il tracciamento in maniera più sicura e performante su un server di proprietà. 

GoogleAnalytics

Il contenitore Web sul sito attiva un solo tag web che comunica al Server Container quale evento è stato attivato. Sarà poi il contenitore Server ad attivare i tag server-side che comunicano con i servizi terzi. In questo modo, l’intermediario non è più il browser ma il contenitore server-side. E questo consente un controllo diretto dei dati, sui quali è possibile fare delle modifiche prima di passare le informazioni ai servizi terzi. 

Tutto ciò rende l’implementazione server-side di GA4 una soluzione più sicura, controllabile e performante. Consente di raccogliere e gestire i dati su server proprietari prima dell’invio a server terzi, consentendo di adottare tutte le azioni necessarie a trasferire i dati in maniera compliant. 

Altri strumenti e soluzioni

L’alternativa, al momento, è rappresentata dal passaggio ad altri strumenti di analisi dati e statistiche con sede sul suolo europeo, per garantire un trattamento dati nel pieno rispetto delle normative GDPR. Anche se, oggettivamente, al momento non sembrano esistere alternative al livello del grande colosso americano Google. Questo tema si pone anche al di fuori di Analytics, laddove i principali strumenti di advertising e software utilizzati sul mercato sono di proprietà di aziende USA. Motivo che ci spinge a pensare che una risoluzione debba avvenire a livello normativo tra gli Stati coinvolti. 

In attesa che la situazione possa chiarirsi grazie ad accordi internazionali vincolanti, gli unici in grado di risolvere la questione a monte, non ci resta che seguire l’evolvere della vicenda e prepararci all’implementazione di nuove soluzioni alternative. Che siano una configurazione personalizzata di GA4 o il passaggio ad altri software. 

Realizziamo qualcosa di straordinario insieme!

Siamo consulenti prima che partner, scrivici per sapere quale soluzione si adatta meglio alle tue esigenze. Potremo trovare insieme la soluzione migliore per dare vita ai tuoi progetti.