Google Analytics 4 è GDPR compliant?

Google Analytics 4 è GDPR compliant?

Secondo il GDPR, la versione Google Universal Analytics è stata dichiarata non compliant perché condivide i dati personali degli utenti con server Google negli Stati Uniti e sono, di fatto, accessibili alle principali autorità governative americane. L’utilizzo dei dati da tali autorità è contemplato dalle leggi USA, tuttavia in Europa le leggi sul trattamento dei dati sono decisamente più restrittive.

Lo sapevi che…

Si inizia a parlare di GDPR (General Data Protection Regulation) nel 2018. Il GDPR è il regolamento generale sulla protezione dei dati che indica come le aziende e le organizzazioni trattano i dati personali dei cittadini europei e permette un maggior controllo su tale trattamento. Le amministrazioni pubbliche, le organizzazioni con più di 250 dipendenti e le imprese che gestiscono dati personali sensibili devono prevedere un responsabile della protezione dei dati (o DPO) che garantisca la conformità al GDPR in tutta l’organizzazione.
ll GDPR definisce i dati personali come “qualsiasi informazione riguardante una persona fisica identificata o identificabile; si considera identificabile la persona fisica che può essere riconosciuta, direttamente o indirettamente, con particolare riferimento a un nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”.
 
In parole semplici, i dati personali riguardano tutte le informazioni che permettono di identificare una persona.
 
Fino al 2020 il trasferimento dei dati tramite i server US era regolato dal Privacy Shield, la Corte di Giustizia Europea lo ha poi abrogato perché non più conforme ai nuovi requisiti di protezione dei dati. Con i negoziati tra Commissione Europea e US Department of Commerce si giunge ad un accordo sul nuovo EU-US Data Privacy Framework (DPF)
 
Di recente, Biden ha firmato il nuovo “Executive Order” che ha l’obiettivo di estendere le tutele nei confronti dei cittadini europei sulle attività di intelligence delle agenzie governative americane.  La Commissione UE pubblica quindi la prima bozza di decisione di adeguatezza sui trasferimenti di dati negli USA in cui viene indicato il livello di adeguatezza, basato sugli standard europei, in cui gli Stati Uniti garantiscono la protezione dei dati personali trasferiti dall'UE agli US. In questo articolo puoi trovare un approfondimento.
In seguito alle normative e alle problematiche relative alla protezione dei dati, Google Analytics 4 ha provveduto alla creazione di nuove misure da adottare per rispettare la privacy degli utenti.

Cosa fa Google Analytics 4 per la gestione dei dati degli utenti?

 
  • Anonimizza gli indirizzi IP. Durante la raccolta dei dati, Google Analytics 4 non registra né archivia gli IP. Per maggior sicurezza, anonimizza quelli degli utenti europei sui server presenti in UE. Google Analytics 4 abilita l’anonimizzazione come impostazione predefinita che non può essere disattivata!
 
  • Non raccoglie informazioni di identificazione personale (PII). Per Google è considerata una violazione dei Termini di Servizio, quindi, elimina tutti i dati di un utente se vengono rilevati.
     
  • Limita l'archiviazione dei dati utente a 2 o 14 mesi per la versione free mentre per la versione Google Analytics 360 (a pagamento), l’archiviazione dei dati può essere impostata tra più opzioni, anche illimitata.
 
  • Non permette agli utenti di scegliere dove archiviare i propri dati, li elabora su più server situati in tutto il mondo e consiglia di adottare tutte le normative del Paese UE dove risiede il sito web.

Dal 1° luglio 2023 è necessario passare a Google Analytics 4

Il tempo scorre e è necessario mettersi in regola prima del 1° luglio 2023, oltre che per essere compliant anche perché ha aggiornato e potenziato le proprie risorse:
 
  • Miglior tracciamento cross-device: monitora con maggiore precisione la navigazione degli utenti su più dispositivi (es. da desktop e mobile) quando l’utente è loggato ad un account Google.
 
  • Miglior monitoraggio cross-app: raccoglie dati del sito web, delle app e delle interazioni che si verificano al loro interno, quando sono intrinsecamente dipendenti.
 
  • Il tracciamento dei dati è più flessibile e potente perché basato su “eventi e parametri”, rispetto al modello Universal Google Analytics basato su “sessioni e visualizzazioni di pagina”.
 
  • Monitoraggio più preciso e completo sulle interazioni degli utenti.
 
  • Integrazioni dirette alle piattaforme multimediali, come per esempio il tracciamento delle azioni sui video YouTube.
 
  • Potenziamento della “Machine learning”, che consente approfondimenti automatici e capacità predittive sul medio termine.
 
  • In un unica proprietà, flussi di dati provvenienti da fonti diverse (es. web, Android, iOS). Questi flussi, data streams, sostituiscono le viste presenti in UA.
 
  • Interfaccia minimale che semplifica l’utilizzo dello strumento.
 
  • Focus sul coinvolgimento (engagement) degli utenti: la metrica engaged session indica la percentuale di sessioni con durata superiore a 10 secondi, quelle che hanno generato uno o più eventi di conversione o quelle che hanno fatto almeno due visualizzazioni di pagina.
 
  • Focus sulla privacy degli utenti tramite una nuova metodologia di raccolta dei dati con i Signals.

Ma quindi Google Anayltics 4 si può usare?

 
Attualmente, in Italia il Garante della Privacy non ha espresso alcuna decisione in merito alla conformità di Google Analytics 4 rispetto al GDPR. Tuttavia alcuni consulenti legali consigliano di valutare strumenti alternativi (es. Matomo). 
 
Secondo alcuni stati europei, al momento, Google Anayltics 4 non protegge sufficientemente i dati dei cittadini e residenti dell'UE dalle leggi sulla sorveglianza degli Stati Uniti.
 
È comunque necessario ottenere il consenso preventivo da parte degli utenti che visitano il tuo sito web. Sei tenuto ad indicare al visitatore l’entità e le finalità di tale trattamento, utilizzando un linguaggio chiaro e accessibile. Queste informazioni devono sempre essere consultabili sul tuo sito, all’interno di un’informativa sulla privacy (Privacy Policy e/o la Cookie Policy) che indichi il trasferimento internazionale dei dati, specificando verso quali paesi vengono trasmessi. Ti consigliamo di aggiornare periodicamente l’informativa. L’utente deve poter modificare o ritirare il proprio consenso in modo semplice.

Per poter utilizzare Google Ads e Google Signals ti consigliamo di chiedere agli utenti un consenso ulteriore per poter condividere i loro dati tramite altri servizi Google. Ovviamente, tutte queste indicazioni vanno segnalate all’interno della Privacy Policy del tuo sito web e con il supporto di un consulente legale.
 
Noi proponiamo comunque di passare a Google Analytics 4 prima del 1° luglio per continuare ad analizzare i dati con una versione più aggiornata del tool. Nel frattempo attendiamo l'evolversi della situazione per non rimanere impreparati.
Stay tuned!