Google Analytics 4, il nuovo sistema di tracking, ha cambiato pelle rispetto ad Universal Analytics, la versione precedente, per provare ad essere più GDPR compliant.
Ecco tutte le novità e le nuove impostazioni di GA4 e quanto effettivamente risponde alle norme sulla privacy europee.
Ecco tutte le novità e le nuove impostazioni di GA4 e quanto effettivamente risponde alle norme sulla privacy europee.
1. GOOGLE ANALYTICS 4, SOLUZIONE AL SUO PREDECESSORE?
Google, da marzo 2022, propone una soluzione al caso “Google Analytics” mosso dal garante della privacy, cioè un nuovo prodotto detto Google Analytics 4 o GA4, in fase di transizione dai Google Universal Analytics, a regime come unica soluzione dal 2023.
Si menzionano in GA4 “controlli per la privacy come la misurazione senza cookie e la definizione di modelli comportamentali e delle conversioni”, dunque senza il famigerato IP utente e comunque con funzioni e dati settabili a cura dell’amministratore, una minor retention dei dati, eccetera.
In realtà, approfondendo il funzionamento di questa nuova versione (si veda anche la disamina del “concorrente” Matomo), non pare affrontato il problema principale, cioè la trasmissione verso Google di dati di interessati identificati o identificabili e che parrebbe continuare.
Per fare un esempio: tramite gli script e l’uso di identificatori vari, pseudonimizzati o meno che siano.
Il che riporterebbe alle stesse criticità di fondo dei precedenti Analytics, se non smentite da una diversa, dettagliata analisi dei flussi di dati che escluda in radice l’uso di dati personali.
2. GOOGLE ANALYTICS E IL CONSENSO ALL’USO DEI COOKIE.
“Basterà chiedere il consenso per questi cookie, visto che si facevano rientrare tra quelli “essenziali/tecnici” privi di consenso, e così si avrà un trattamento in regola”.
Questo è quanto dichiarato da Google, e portato avanti da una gran parte della dottrina, per ovviare al problema che da settimane sta facendo scandalo tra i possessori di siti web.
Il consenso (esplicito) per i trasferimenti extra-UE è in effetti previsto, dal GDPR all’art. 49.1.a, il quale mette in luce anche le deroghe in specifiche situazioni.
Anzitutto va premesso che in sede di informativa all’utente andrebbero ben chiariti i rischi insiti nel trasferimento e garanzie appropriate cosa non facile da definire, molto spesso disattesa nella prassi.
Il problema fondamentale però è un altro: questa casistica può essere utilizzata solo per trasferimenti “occasionali”, come chiarito da EPDB già nelle Linee guida 2/2018.
Il che non pare proprio il caso d’uso di cookie su un sito web, tutto sommato a prescindere dal traffico effettivo.
Quindi si ritorna inesorabilmente ai trasferimenti ex art. 46 GDPR, con il loro carico di criticità delineati da Schrems II.
3. GOOGLE ANALYTICS 4, NOVITÀ IN MATERIA PRIVACY.
Bisogna innanzitutto dire che il GDPR ha dato il suo pesante contributo affinché Google rivedesse lo strumento storico di tracciamento che aveva in pancia ormai da due decenni.
Le grandi restrizioni legate alle attività di monitoraggio/profilazione e di gestione dei consensi dovevano trovare sfogo in uno strumento più moderno, ragionato secondo il principio di privacy by design.
Nel comunicato stampa del 16 marzo 2022, il Direttore di Analytics, Russel Ketchum, ha dichiarato: “Google Analytics 4 è progettato ponendo la privacy al centro per offrire un’esperienza migliore sia ai nostri clienti che ai loro utenti”.
La prima grande novità è legata agli IP: Gli IP degli utenti europei non saranno più registrati, ma saranno solo utilizzati in maniera volatile per recepire altri metadati, come per esempio il luogo fisico di collegamento.
Una volta ottenuti queste informazioni, l’Internet Protocol di collegamento viene del tutto ignorato. Google support dichiara chiaramente “L’anonimizzazione degli indirizzi IP in Google Analytics 4 non è necessaria, poiché gli indirizzi IP non vengono registrati né archiviati”.
Resta da chiarire se permane la possibilità che alcuni dati vengano inviati anche verso Google USA.
Altra grande novità è la possibilità di disattivare alcune funzioni previste di default.
A titolo esemplificativo ma non esaustivo: Città; Latitudine e Longitudine (della città); Versione browser; Marca, modello, risoluzione e nome del dispositivo; Versione del sistema operativo.
Queste informazioni possono essere gestite e personalizzate per “country”, così da tutelare in maniera più specifica gli utenti che si collegano da regioni che prevedono norme privacy più restrittive.
In generale sembra che la politica di GA4 vada in questa direzione: lasciare all’amministratore della piattaforma la possibilità di scegliere quali funzionalità attivare in base alle proprie esigenze di marketing.
Google, infatti, prendendo queste decisioni delega al Titolare l’onere di decidere e di gestire gli aspetti legati al GDPR.
I nostri esperti sono pronti a fornirti la migliore soluzione per adeguare le tue attività online alle disposizioni del Garante Privacy ed al GDPR, mettendoti al riparo da possibili sanzioni.
Scrivici all’indirizzo info@abinnovationconsulting.com, oppure compilando il modulo che trovi di seguito.