Google Analytics 4: come usarlo nel rispetto della Privacy

In questi ultimi giorni il mondo del Digital Marketing è entrato nel panico per una notizia che, stando a molte fonti online, ufficializzerebbe la “messa al bando” di Google Analytics da parte del Garante della Privacy.
In realtà le cose non stanno esattamente così, sia per come si è espresso il Garante della Privacy italiano, sia perché Google ha già introdotto diversi strumenti per tutelare (e tutelarsi) l’utilizzo di Analytics nella sua versione più recente, Google Analytics 4 (GA4), rispettando le sempre più stringenti normative Privacy indicate dal GDPR.
Prima di analizzare gli strumenti, vediamo i motivi di questo fermento.

Facciamo un piccolo passo indietro per contestualizzare quanto è avvenuto nei giorni scorsi e che ha causato la sospensione non dell’utilizzo di Google Analytics, bensì del trasferimento di dati ai server statunitensi, per 90 giorni.
Questa decisione è conseguenza di un reclamo da parte di un utente che, nell’agosto 2020, si è appellato al Garante in quanto alcuni dati personali erano stati trasferiti da una Società X a Google LLC (con sede negli Stati Uniti).

Questo è il nodo principale poiché il GDPR vigila proprio sullo scambio di dati tra Europa e altri Paesi, tra cui gli Stati Uniti, al fine di tutelare le informazioni personali dei cittadini UE.

Ma come mai questa estrema attenzione nei confronti degli Stati Uniti? Beh ci sono dei motivi particolarmente validi considerato che negli Stati Uniti è consentito alle Autorità di avere accesso a tutti i dati conservati nel Paese senza fornire garanzie sui diritti degli interessati. Questo aspetto è cosa ben poco gradita alle UE e ha portato alla sentenza Schrems II e all’invalidazione del Privacy Shield, stipulato tra UE e USA, che garantiva livelli di protezione dei dati personali nel Paese terzo pari a quelli europei.

Google, Responsabile del Trattamento

La Società X, intervistata dal Garante, ha riportato quanto effettivamente succede quotidianamente a molte società che utilizzano i servizi Google. Ossia, la Società X aveva regolarmente proceduto alla nomina di Google a Responsabile del trattamento secondo il contratto che prevedeva le clausole standard.
È successivamente emersa una nuova variabile che non ha aiutato a semplificare la situazione: se in un primo momento i dati erano effettivamente gestiti da Google LLC, in seguito era subentrata Google Ireland che, però, continuava a utilizzare Google LLC come sub-responsabile del trattamento.
Semplificando in minimi termini: i dati continuavano a migrare negli Stati Uniti.
La Società X, inoltre, ha dichiarato di aver utilizzato tutti gli strumenti messi a disposizione da Google per garantire la protezione dei dati. Aveva infatti optato per l’anonimizzazione dell’indirizzo IP e cifratura dei dati e non aveva accettato l’opzione di condivisione dei dati.

(image by Bloomberg)

Il Garante della Privacy ha ritenuto che le clausole contrattuali standard non sono sufficienti per impedire il controllo delle Autorità statunitensi e sia l’anonimizzazione dell’indirizzo IP, che la crittografia, non sono strumenti efficaci poiché possono essere soggetti entrambi a procedimento inverso che può portare alla ricostruzione dei dati degli utenti.
La conseguenza è la sospensione di trasferimento di dati da UE a USA per 90 giorni. I 90 giorni dovrebbero servire al Titolare del Trattamento (Google in questo caso) per adottare ulteriori meccanismi di protezione e strumenti che permettano agli interessati di esercitare i propri diritti.

La risposta di Google: Google Analytics 4

Ma ora un (mezzo) sospiro di sollievo: ricordiamo che il fatto che ha portato alla sospensione è avvenuto nell’agosto 2020 quando la piattaforma Analytics utilizzata era ancora Universal Analytics. Mancavano quindi diversi mesi al lancio di Google Analytics 4: la nuova piattaforma che offre un approccio completamente diverso, soprattutto sul sistema di gestione dei dati, ergo, anche in relazione alla privacy.
Prima di vedere alcuni degli strumenti di tutela dei dati personali garantiti da GA4, riportiamo la risposta ufficiale pubblicata da Google qualche giorno fa:
“Google Analytics 4 non registra né archivia i singoli indirizzi IP. Analytics fornisce dati sulla posizione geografica approssimativa ricavando i seguenti metadati dagli indirizzi IP: città (più la latitudine e la longitudine derivate della città), continente, paese, area geografica, subcontinente (ed equivalenti basati sull'ID).
Quando Analytics raccoglie i dati di misurazione, tutte le ricerche IP vengono eseguite su server che si trovano nell'UE prima di inoltrare il traffico ai server di Analytics per l'elaborazione.”

Gestione dei dati personali in Google Analytics 4

Abbiamo accennato in precedenza come uno degli strumenti offerti da Analytics sia l’anonimizzazione dell’indirizzo IP. Certo, sappiamo già che il Garante non è “pienamente soddisfatto” di questa opzione, tuttavia, mentre in Universal Analytics l’anonimizzazione era opzionale, in GA4 la sua attivazione è automatica e non può essere disattivata.
Ricordiamo che Google ha chiaramente affermato che nessun indirizzo IP viene registrato e archiviato, ma, se preferite non gravarli di ulteriori responsabilità, potete adottare una soluzione GTM server side. Consiste nell’utilizzare un server proprietario, che possiamo scegliere di posizionare in Europa, affinché tutti i dati vengano trasferiti e gestiti direttamente dal server passando solo informazioni filtrate a Google.
Un’ulteriore misura è attuabile grazie alle Impostazioni avanzate per consentire la Personalizzazione degli annunci. Di default questa opzione è attiva, permettendoci di creare conversioni e segmenti di pubblico esportabili in Google Ads. Tuttavia, è possibile intervenire manualmente disattivando la personalizzazione in tutti quei Paesi dove ciò non è consentito o, come spesso succede, non è ancora disciplinato.

In linea con il tool precedente è un’ulteriore opzione chiamata ANP (Annuncio non personalizzato). Collegando GA4 a Google Ads, i segmenti di pubblico verranno automaticamente importati in Google Ads, come remarketing audience, in modo da mostrare specifici annunci agli utenti che hanno compiuto determinate azioni sul sito. Se non vogliamo che alcune audience vengano importate, è possibile intervenire manualmente marcandole come ANP.

GA4 offre l’opportunità di settare un limite temporale alla conservazione dei dati di utenti ed eventi, fino ad arrivare a opzioni più drastiche come la richiesta di eliminazione di dati o l’eliminazione di dati di un utente specifico. Tralasciamo quest’ultimo punto poiché risulta un’attività particolarmente laboriosa e di difficile implementazione (pur sempre rimanendo uno strumento di tutela aggiuntivo che, considerata “l’aria che tira”, è meglio avere a disposizione).

La richiesta di eliminazione di dati è invece un’opzione particolarmente utile nei casi in cui, ad esempio, alcuni eventi sono corrotti o, all’interno di determinati eventi, sono stati raccolti erroneamente dati personali degli utenti. Lo strumento offre diversi livelli di intervento permettendo di eliminare i dati in base alle necessità.

Google Analytics sospeso: Cosa fare?

Precisiamo che non è tutto così semplice e limpido. Certo, le soluzioni non mancano e gli strumenti citati sopra sono, seppur tecnici, ma esempi pratici di tool che possiamo utilizzare. Ci sono altre opzioni come Google Signals e Consent Mode il cui impatto sulla gestione di dati personali è ancora da chiarire.
Tuttavia, è comprensibile considerato che è una situazione costantemente in divenire a cui anche le grandi Società come Google non possono che adeguarsi, e velocemente in questi casi. È giusto specificare infatti che Google non è certo un caso isolato e le decisioni del Garante avranno un grosso impatto su moltissime altre Società che trasferiscono dati all’esterno dell’UE.
Quello che noi possiamo fare è ricordarci che, se il passaggio da Universal Analytics a Google Analytics 4 sarebbe obbligatorio entro il 30 giugno 2023, alla luce degli avvenimenti degli ultimi giorni il cambio assume una nuova forma di urgenza fondamentale per tutelarsi rispetto al GDPR.
In attesa di nuovi aggiornamenti che saremo pronti a condividere, il Team di AQuest è a disposizione per offrirti supporto e rispondere alle tue domande:

Vuoi approfondire con noi la tematica? Parliamone assieme

FONTI: https://www.agendadigitale.eu/sicurezza/privacy/google-analytics-possiamo-usarlo-ancora-ecco-come-nel-rispetto-della-privacy/https://mondoprivacy.it/blog/gdpr/google-analytics-4-il-sostituto-di-universal-universal/