Google Analytics (GA) è una delle piattaforme di analisi web più utilizzate, ma traccia dati che si qualificano come informazioni personali ai sensi del Regolamento generale sulla protezione dei dati (GDPR), la legge europea sulla privacy.
Per evitare sanzioni in caso di violazione del regolamento, l'utilizzo di GA deve essere conforme ai requisiti di privacy dei dati del GDPR.
In questa guida aziendale, vi illustro i passi da compiere per ottenere la conformità al GDPR utilizzando GA4, l'attuale iterazione di Google Analytics.
- Come utilizzare GA4 in modo GDPR?
- Che cos'è il GDPR?
- Che cos'è Google Analytics?
- Google Analytics (GA4) è GDPR?
- In che modo Google sta rendendo GA4 GDPR?
- Come funziona la modalità di consenso di Google con Google Analytics?
- Come può aiutare Termly ?
- Domande frequenti su Google Analytics e GDPR
- Riassunto
Come utilizzare GA4 in modo GDPR?
Nel contesto del GDPR, il titolare del sito web che raccoglie informazioni personali dagli utenti è il responsabile del trattamento dei dati ed è sua responsabilità garantire che l'uso di Google Analytics sia conforme.
Per ottenere questo risultato in modo legale, è necessario adottare tutti i seguenti provvedimenti.
Fase 1: ottenere il consenso alla raccolta dei dati personali
Ottenere il consenso dell'utente è una delle basi legali per il trattamento dei dati personali ai sensi del GDPR, e per utilizzare Google Analytics in modo conforme è necessario il consenso esplicito degli utenti.
Google lo riconosce direttamente nella sezione della Guida di Analytics, di cui riportiamo lo screenshot qui sotto.
Affinché il consenso dell'utente sia valido ai sensi del GDPR, deve soddisfare la definizione legale descritta dal regolamento ed essere:
... "un'indicazione libera, specifica, informata e inequivocabile della volontà dell'interessato". volontà dell'interessato che, con una dichiarazione o con una chiara azione affermativa, manifesta il proprio consenso al trattamento dei dati personali che lo riguardano. consenso al trattamento dei dati personali che lo riguardano".
Per conformarsi alle norme sul consenso GDPR , è necessario ottenere un consenso affermativo e opt-in e fornire opzioni di opt-out per quanto riguarda l'uso di GA4, in modo che gli utenti possano facilmente cambiare idea in qualsiasi momento.
A tal fine, installate sul vostro sito web un banner pop-up di consenso opportunamente configurato che includa un link attivo alle vostre politiche sulla privacy e sui cookie. Assicuratevi che la vostra informativa sulla privacy spieghi chiaramente che utilizzate Google Analytics utilizzando un linguaggio facile da leggere e da capire.
Nella vostra politica sui cookie dovreste anche elencare tutti i cookie che GA4 inserisce nei browser degli utenti.
Date ai vostri utenti la possibilità di acconsentire all'uso di Google Analytics o di rifiutare del tutto i cookie e di ritirare il loro consenso in qualsiasi momento. Se lo desiderate, potete anche consentire loro di personalizzare in modo più specifico le opzioni di consenso e di esclusione. Ma non utilizzate caselle pre-selezionate, perché non sono compatibili con il GDPR.
Per una completa conformità, assicuratevi che il trattamento dei dati non avvenga senza il consenso dei vostri utenti e che il trattamento avvenga solo dopo aver ottenuto il consenso.
Passo 2: Pseudonimizzazione degli ID utente di Google Analytics
Un altro metodo per rispettare le raccomandazioni sulla privacy degli utenti del GDPR è la pseudonimizzazione degli ID utente.
È tuttavia importante sottolineare che i dati pseudonimizzati rientrano ancora nella definizione di "dati personali" ai sensi del GDPR. In altre parole, la conformità al GDPR è ancora necessaria e di estrema importanza.
La pseudonimizzazione è un processo in cui un dato viene stravolto in modo che non possa più essere collegato all'individuo associato senza dati aggiuntivi. È possibile ottenere questo risultato utilizzando un algoritmo per sostituire i dati effettivi con altri dettagli (ad esempio, pseudonimi).
All'interno di Google Analytics, è possibile utilizzare un elemento denominato "user-id" per tracciare e collegare i dati di un singolo utente attraverso diverse sessioni e dispositivi. La combinazione di questi dati associati a un singolo utente migliora l'accuratezza dei dati e delle analisi di GA.
Tuttavia, questo monitoraggio accurato si basa su ID utente che si qualificano come dati personali, in quanto possono essere utilizzati per identificare i singoli utenti.
Sebbene la pseudonimizzazione di questi ID possa portare a dati di conversione leggermente meno accurati, vale la pena di conformarsi al GDPR ed evitare di ricevere multe salate.
Fase 3: non conservare i dati più a lungo del necessario
Come molte altre leggi sulla privacy, il GDPR impone di conservare i dati personali solo per il tempo necessario allo scopo originario della raccolta. Pertanto, la vostra politica di conservazione dei dati quando utilizzate GA deve essere conforme a questo aspetto del regolamento.
Fortunatamente, questa funzione è integrata in GA4, in quanto è possibile scegliere tra due opzioni di ritenzione:
- 2 mesi
- 14 mesi
Esaminate e impostate il periodo di conservazione dei dati al minimo richiesto per le vostre operazioni.
Passo 4: fornire un'informativa sulla privacy e sui cookie
Il GDPR garantisce agli utenti dell'UE/SEE diversi diritti fondamentali, tra cui quello di essere pienamente informati. Ciò significa che dovrete fornire a questi utenti un'accurata informativa sulla privacy e un'informativa sui cookie conformiGDPR, in modo che possano leggere le vostre pratiche di trattamento dei dati.
Nello specifico, gli interessati al GDPR hanno il diritto di sapere:
- Quali informazioni personali vengono raccolte da loro
- Come si usa
- Per quanto tempo è stato reatinato
- Con chi è condiviso
- La vostra base giuridica per l'utilizzo dei dati
Dovete anche spiegare come gli utenti possono far valere questi diritti e quali dati condividete con Google (e con altre terze parti).
Poiché anche i cookie sono considerati informazioni personali, è necessario menzionarli nelle proprie politiche sulla privacy e sui cookie per conformarsi al GDPR.
GA4: Non è necessario anonimizzare gli indirizzi IP?
Quando esisteva ancora Universal Analytics, era necessario anonimizzare gli indirizzi IP per rimanere conformi al GDPR.
Tuttavia, GA4 ha preso il posto di Universal Analytics a partire dal 1° luglio 2023. Secondo Google, GA4 non registra né memorizza alcun indirizzo IP, rendendo superfluo il mascheramento dell'IP.
l'indirizzo IP è un codice unico che identifica ogni dispositivo connesso a Internet.
Tecnicamente, il GDPR considera gli indirizzi IP come dati personali, quindi il trattamento di queste informazioni sarebbe altrimenti soggetto a tutti i requisiti illustrati nel regolamento.
Che cos'è il GDPR?
Il Regolamento generale sulla protezione dei datiGDPR) è una legge sulla protezione dei dati e sulla privacy dell'Unione europea (UE) entrata in vigore il 25 maggio 2018. Offre agli individui dell'UE e dello Spazio economico europeo (SEE) nuovi diritti sul modo in cui le aziende, le autorità pubbliche, le agenzie o anche altre persone fisiche trattano i loro dati personali.
Sebbene il GDPR sia un regolamento dell'UE, si applica alle aziende di tutto il mondo perché si concentra sulla posizione del consumatore (o dell'interessato, come viene definito nel GDPR), non sull'azienda.
Ciò significa che il GDPR si applica alle aziende negli Stati Uniti e nel resto del mondo e che le multe in caso di violazione del GDPR sono altrettanto severe che in Europa.
Per informazioni più approfondite, consultate questa guida approfondita GDPR . Oppure, se volete una sintesi semplificata, ecco la nostra guidaGDPR for Dummies.
Che cos'è Google Analytics?
Google Analytics è una piattaforma gratuita di Google che i proprietari di siti web o app possono utilizzare per tracciare i dati e il comportamento dei visitatori.
Il processo di tracciamento prevede la raccolta di dati quali le visualizzazioni delle pagine, i clic degli utenti e la durata della loro permanenza sul sito. Queste statistiche essenziali sul modo in cui gli utenti interagiscono con la vostra piattaforma possono contribuire all'ottimizzazione del sito, all'aumento delle vendite e ad altri obiettivi.
La versione attuale si chiama Google Analytics 4 o GA4, ma ci sono state diverse iterazioni di questo servizio di Google, che potete conoscere nella tabella sottostante.
| Versione | Nome | Snippet di codice | Terminato |
| Google Analytics 1 (GA1) | Analitica Urchin | riccio.js | 9 maggio 2007 |
| Google Analytics 2 (GA2) | Analitica classica | ga.js | 2 aprile 2014 |
| Google Analytics 3 (GA3) | Analitica universale | analytics.js | 1° luglio 2023 |
| Google Analytics 4 (GA4) | Google Analytics 4 | gtag.js | Versione attuale |
Google Analytics inserisce nel browser degli utenti dei cookie internet contenenti un identificatore unico o ID cookie. Ai sensi del GDPR, gli ID dei cookie sono considerati dati personali in quanto possono essere utilizzati per identificare direttamente o indirettamente un individuo.
Le versioni precedenti del servizio tenevano traccia e registravano anche gli indirizzi IP, un'altra informazione personale ai sensi del GDPR.
Per impostazione predefinita, GA4 anonimizza gli indirizzi IP e fornisce solo una geolocalizzazione approssimativa. Tuttavia, alcune autorità per la protezione dei dati (DPA) degli Stati membri stanno ancora valutando se questo fornisce una protezione adeguata (parlerò più avanti in questa guida delle decisioni di adeguatezza degli Stati membri).
In ogni caso, se utilizzate Google Analytics, siete considerati il responsabile del trattamento dei dati ai sensi del GDPR e Google è il vostro incaricato del trattamento. Sia i responsabili del trattamento che gli incaricati del trattamento sono soggetti a numerosi obblighi di legge, di cui parliamo nella prossima sezione.
Google Analytics (GA4) è GDPR?
Sebbene Google abbia progettato la sua piattaforma Analytics per essere GDPR, è possibile utilizzarla involontariamente o intenzionalmente in modo da violare il regolamento. Tuttavia, sembra che Google abbia preso provvedimenti per garantire che GA4, come piattaforma, soddisfi le norme GDPR .
Nella prossima sezione mi concentrerò sul modo in cui i cookie di Google Analytics possono essere conformi o violare parti del GDPR e citerò alcune sentenze degli Stati membri in materia.
Google Analytics e i cookie di Internet
Google Analytics 4 lascia dei cookie sul browser degli utenti e questi cookie sono soggetti ai severi requisiti di trattamento dei dati previsti dal GDPR.
Tuttavia, GA4 si basa su un numero inferiore di cookie rispetto alle altre iterazioni di questo servizio. Utilizza solo i seguenti:
- _ga - questo cookie viene utilizzato per distinguere gli utenti e ha una scadenza predefinita di 2 anni
- _ga_<container-id> — this cookie is used to persist the user’s session state and has a 2-year default expiration time
Tuttavia, l'implementazione di questi cookie di Google Analytics deve essere conforme al GDPR se ci si rivolge a persone nell'UE/SEE.
Ciò significa che dovete ottenere il consenso da parte di ciascun individuo prima che questi cookie vengano inseriti nei loro browser, altrimenti violate la normativa.
Se gli utenti rinunciano ai cookie, questa preferenza deve essere rispettata; pertanto, non è possibile inserirli nei loro browser.
Le decisioni GDPR su Google Analytics
Le autorità per la protezione dei dati di diversi Stati membri dell'UE hanno già rilasciato dichiarazioni sulla legalità dell'uso di Google Analytics ai sensi del GDPR.
Analizziamo in dettaglio le sentenze di conformità di questi Paesi.
Austria
Nel 2022, l'autorità austriaca per la protezione dei dati (DPA), Datenschutzbehörde, ha annunciato che l'uso di Google Analytics da parte di un sito web violava la sentenza Schrems II del 2020.
Il caso Schrems II ha invalidato il quadro dello scudo per la privacy UE-USA, che in precedenza aveva favorito il trasferimento internazionale di dati personali tra gli Stati Uniti e gli Stati membri dell'UE/SEE.
Questa decisione si è basata sulla possibilità per il governo statunitense di accedere ai dati personali dopo il loro trasferimento ai server statunitensi senza informare adeguatamente le persone provenienti dall'UE/SEE e senza un reale controllo da parte di queste ultime sul trattamento dei loro dati personali, una violazione diretta del GDPR.
Sebbene non sia stato approvato o concordato un nuovo quadro normativo, la sentenza mantiene gli obblighi contrattuali. Ora le aziende sono tenute a determinare, caso per caso, se le protezioni adeguate in atto soddisfano gli standard del GDPR per quanto riguarda il trasferimento di dati personali a un paese al di fuori del SEE. Cosa ancora più importante, le aziende devono anche valutare se la legge applicabile nel paese di destinazione è contraria ai requisiti del GDPR .
Nel caso del sito web austriaco, l'anonimizzazione dei dati è stata definita insufficiente perché il processo è avvenuto probabilmente dopo che i dati hanno raggiunto i server statunitensi, non prima.
Inoltre, hanno ritenuto insufficiente la crittografia dei dati perché il governo statunitense potrebbe accedere alla chiave.
Danimarca
In Danimarca, la DPA, Datatilsynet, ha annunciato nel 2022 che sta monitorando la decisione austriaca contro Google Analytics.
Il gruppo ha studiato Universal Analytics e GA4 e successivamente ha pubblicato delle linee guida sull'utilizzo del servizio.
Francia
La Commission nationale de l'informatique et des libertés (CNIL), l'autorità francese per la protezione dei dati, ha stabilito che l'uso di Google Analytics da parte di un sito web viola l'articolo 44 del GDPR nel febbraio 2022.
Anche in questo caso, la sentenza era dovuta al trasferimento di dati a livello internazionale in un Paese senza adeguate protezioni della privacy.
La CNIL ha successivamente aggiornato le sue linee guida per l'utilizzo di Google Analytics e ha suggerito di utilizzare un server proxy, disponibili qui in francese.
Italia
Nel giugno 2022, il Garante italiano ha riscontrato che l'utilizzo di Google Analytics da parte di un sito web violava il GDPR a causa del trasferimento internazionale dei dati verso un Paese privo di adeguate protezioni della privacy.
La decisione si riferiva direttamente agli indirizzi IP, che Universal Analytics raccoglieva all'epoca.
Da allora, tuttavia, GA4 ha sostituito Universal Analytics e Google ha dichiarato che GA4 non traccia né registra gli indirizzi IP.
Ma, come gli altri Stati membri, fa anche riferimento alla possibilità del governo statunitense di accedere alle informazioni senza informare adeguatamente gli interessati dell'UE/SEE.
Paesi Bassi
Nei Paesi Bassi, almeno due reclami distinti riguardanti i trasferimenti internazionali di dati e Google Analytics sono oggetto di indagine da parte dell'autorità per la protezione dei dati, l'Autoriteit Persoonsgegevens.
Entrambe le denunce fanno riferimento agli stessi problemi sollevati da Austria, Italia e Francia e le indagini sono in corso.
Norvegia
Nel marzo 2023, anche la DPA norvegese, Datatilsynet, ha rilevato che il trasferimento internazionale di dati personali tramite Google Analytics violava il GDPR.
La DPA raccomanda ai siti web di cercare un'alternativa al servizio e dice di aspettarsi una decisione formale riguardo a Google Analytics verso la fine del 2023.
In che modo Google sta rendendo GA4 GDPR?
Google ha espresso il proprio impegno a rispettare le leggi sulla privacy come il GDPR e ha descritto dettagliatamente le modalità con cui mette in pratica questo impegno.
È stato inoltre introdotto e completamente implementato Google Analytics 4, un approccio analitico incentrato sulla privacy che ha sostituito l'universal Analytics precedentemente disponibile - le proprietà Universal Analytics 360 smetteranno di elaborare i nuovi risultati a partire dal 1° ottobre 2023.
Qui ho riassunto le pratiche di Google in materia di privacy:
- Il GDPR impone un rapporto giuridico tra il responsabile e l'incaricato del trattamento dei dati. Google Analytics lo fornisce attraverso i suoi termini e condizioni, che spiegano i termini del trattamento dei dati e il rapporto tra responsabile del trattamento e incaricato del trattamento.
- Il GDPR prevede requisiti rigorosi in materia di sicurezza dei dati, che Google si impegna a rispettare attraverso sistemi di protezione dei dati all'avanguardia e mantenendo certificazioni di sicurezza riconosciute a livello internazionale.
- Il GDPR stabilisce che gli incaricati del trattamento dei dati devono aiutare i responsabili del trattamento a identificare e segnalare qualsiasi violazione dei dati all'autorità di vigilanza competente e ai loro utenti. Google facilita questo compito grazie al suo programma di gestione degli incidenti 24/7.
- Il GDPR richiede che la privacy by design sia l'approccio predefinito per la costruzione di siti e software e richiede valutazioni d'impatto sulla protezione dei dati. Google incorpora entrambi questi concetti nelle sue pratiche di privacy.
- Il GDPR elenca la minimizzazione dei dati come uno dei suoi principi fondamentali. È necessario raccogliere solo i dati essenziali e conservarli solo per il tempo necessario allo scopo originale per cui sono stati raccolti. Google Analytics soddisfa questo requisito di conservazione dei dati offrendo ai proprietari dei siti web il controllo sulla durata di conservazione dei dati degli utenti.
Come funziona la modalità di consenso di Google con Google Analytics?
Nel 2020, Google ha introdotto la Modalità di consenso di Google per dare ai proprietari di siti web un maggiore controllo sui loro cookie pubblicitari e analitici in merito alle scelte di consenso degli utenti.
Per accedere a tutte le sue funzionalità, è necessario utilizzare una gestione del consenso Platform (CMP) compatibile con il proprio sito web, come quella di Termly- siamo ufficialmente un partner CMP di Google.
Ecco come funziona: quando i consumatori visitano il vostro sito web per la prima volta, un banner di consenso chiede se hanno letto e accettato la vostra politica sulla privacy e la politica sui cookie. La scelta dell'individuo viene poi comunicata al GCM tramite i g-tag.
Se gli utenti accettano e danno il loro consenso, i cookie analitici vengono inseriti nel loro browser come di consueto. Se invece negano il consenso, i g-tag si aggiornano e non vengono inseriti cookie nei loro browser. GCM applica invece una tecnologia intelligente di mappatura dei dati AI per evitare lacune nei dati di conversione.
La modalità di consenso funziona attualmente con i seguenti servizi di Google:
- Google Analytics
- Annunci di Google
- Proiettore
- Linker di conversione
Come può aiutare Termly ?
Termly può aiutarvi a utilizzare Google Analytics e a conformarvi al GDPR offrendovi i nostri strumenti, verificati da avvocati, tra cui:
- generatore di informativa sulla privacyGDPR
- generatore di informativa sui cookieGDPR
- gestione del consenso PlatformGDPR
Se opportunamente configurato, il nostro CMP si integra perfettamente con la modalità di consenso di Google, in modo da poter utilizzare Google Analytics rispettando le scelte di consenso dei vostri utenti.
Inoltre, i nostri generatori di politiche vi pongono le domande appropriate per garantire che nelle vostre politiche sulla privacy e sui cookie compaiano clausole e dettagli adeguati, in modo da rispettare pienamente la normativa.
La parte migliore? Potete gestire tutto in un unico posto, direttamente dalla vostra dashboard Termly .
Ci occupiamo degli aspetti complessi della conformità alla privacy, in modo che possiate offrire ai vostri consumatori un'esperienza online sicura e conforme alla legge.
Domande frequenti su Google Analytics e GDPR
Di seguito, rispondo ad alcune delle domande più frequenti che Termly riceve su Google Analytics e la conformità al GDPR .
Google Analytics è GDPR?
Google Analytics non è necessariamente GDPR per impostazione predefinita: dovrete adottare alcune misure aggiuntive, come fornire un'informativa sulla privacy e una politica sui cookie conformi e ottenere il consenso esplicito e opt-in degli utenti prima dell'attivazione di qualsiasi cookie GA. È inoltre importante sottolineare che la conformità al GDPR è un lavoro continuo in corso.
Google Analytics raccoglie dati personali?
Google afferma che Google Analytics non raccoglie "informazioni di identificazione personale" o PII. Tuttavia, lascia dei cookie sui browser, che il GDPR considera informazioni personali.
Dovrete quindi adottare misure per ottenere il consenso degli utenti e comunicare adeguatamente l'uso dei cookie per ottenere la piena conformità al GDPR .
Quali cookie utilizza Google Analytics?
Google Analytics 4 utilizza i seguenti cookie di prima parte:
- _ga - questo cookie viene utilizzato per distinguere gli utenti e ha una scadenza predefinita di 2 anni
- _ga_<container-id> — this cookie is used to persist the user’s session state and has a 2-year default expiration time
Google Analytics può funzionare senza utilizzare i cookie?
Sì, se attivate la Modalità consenso di Google, potete utilizzare Google Analytics senza affidarvi ai cookie, in quanto consentirà al vostro sito web di funzionare in base allo stato di consenso dei vostri utenti. Questo perché i g-tag, e non i cookie, comunicano al GCM le scelte di consenso degli utenti.
Quali sono le alternative a Google Analytics?
Alcune alternative a Google Analytics sono le seguenti:
- Adobe Analytics
- Matomo Analytics
- Analisi plausibili
- Fathom Analytics
- Hotjar
- Clicky
Google Analytics è conforme ad altre leggi sulla privacy?
Sì, potete utilizzare Google Analytics e rispettare le altre leggi sulla privacy dei dati. Tuttavia, è necessario comunicare l'utilizzo di GA nella propria informativa sulla privacy. In base a leggi come il California Consumer Privacy Act(CCPA), dovete anche rispondere alle richieste di opt-out e di limitazione dei dati dei consumatori.
Le altre piattaforme di analisi sono conformi al GDPR?
Se configurate correttamente, è possibile utilizzare altre piattaforme di analisi in modo conforme al GDPR, tra cui:
- Analisi semplice
- PostHog
- Fathom Analytics
- Matomo Analytics
Riassunto
Google Analytics è uno strumento di dati essenziale per le aziende, ma utilizzarlo in modo conforme al GDPR significa adottare alcune misure aggiuntive.
Le autorità per la protezione dei dati nell'UE/SEE stanno ancora discutendo sulla legalità dei trasferimenti internazionali di dati relativi a Google Analytics e sul fatto che GA4 anonimizzi adeguatamente gli indirizzi IP, quindi è fondamentale intraprendere tutte le azioni necessarie per dimostrare che lo si sta utilizzando in modo GDPR.
Come minimo, presentate ai vostri utenti un'accurata informativa sulla privacy e sui cookie, spiegate il vostro utilizzo di GA4 e chiedete il consenso prima di inserire i cookie analitici nei loro browser, assicurandovi che possano facilmente ritirarlo in qualsiasi momento.
Utilizzate Termlygeneratore di informativa sulla privacy e la gestione del consenso per aiutarvi a rispettare il GDPR e le altre principali leggi sulla privacy.
Per saperne di più su chi scrive
Scritto da Teodor Stanciu, CIPP/E, CIPM
Teo è un Data Privacy Specialist e un esperto Data Protection Officer (DPO) che si occupa con passione di aiutare le aziende a rispettare gli obblighi di protezione dei dati. Ha un'esperienza di oltre sette anni come DPO per un'organizzazione internazionale attiva in 50 Paesi e con sede a Bruxelles, in Belgio. Teo è Certified Information Privacy Professional/Europe (CIPP/E) e Certified Information Privacy Manager (CIPM) presso l'international Association of Privacy Professionals (IAPP).
Per saperne di più su chi scrive
