Google Analytics 4: come usarlo bene ed evitare problemi col Gdpr

L’utilizzo di GA4 non è di per sé illegale

L’utilizzo di GA4 non è di per sé illegale, come di per sé non è illegale possedere un mattone, che può essere scagliato contro una vetrina, oppure usato per costruire una casa. Tutto dipende dall’utilizzo che se ne fa o nel nostro caso, dei dati raccolti e processati dal software in questione. Facciamo chiarezza.

A seguito del provvedimento del Garante relativo a Google Universal Analytics (per brevità GA3), vi è stata una levata di scudi da parte di alcuni addetti ai lavori, i quali si sono affrettati a dichiarare illegale tout-court l’utilizzo di Google Analytics 4 (GA4), adducendo tuttavia delle motivazioni tecniche inaccurate.

Innanzitutto, come giustamente ha fatto notare Guido Scorza (Componente del Garante per la protezione dei dati personali) su queste pagine,

“…gli uffici del Garante non hanno avuto occasione di esaminare la versione 4 di Google Analytics semplicemente perché il titolare del trattamento oggetto del provvedimento non la utilizzava, né sin qui tale versione è venuta in rilievo in altri procedimenti analoghi. Impossibile in queste condizioni, pertanto, dire se essa sia o meno in grado di risolvere il problema e consentire l’uso di Google Analytics in conformità alla disciplina europea sul trasferimento dei dati personali negli USA.”

Di conseguenza, ad oggi, possiamo affermare che l’utilizzo di GA4 non sia di per sé illegale, come di per sé non è illegale possedere un mattone.

Un mattone può essere scagliato contro una vetrina, oppure può essere utilizzato per costruire una casa. Tutto dipende dall’utilizzo che si fa dell’oggetto in questione, o nel nostro caso, dei dati raccolti e processati dal software in questione.

Cosa cambia con Google Analytics 4

Quanto a Google Analytics 4, vale la pena ribadire innanzitutto che si tratta di un software radicalmente diverso da GA3; infatti, GA4 presenta delle potenti funzionalità che gli permettono di proteggere la privacy degli utenti in maniera molto più capillare ed accurata rispetto a GA3.

Non a caso, la CNIL – l’Autorità Garante della protezione dei dati francese – ha messo nero su bianco le misure necessarie da adottare per utilizzare Google Analytics e il tracciamento Server-Side in modo conforme alle norme GDPR.

In breve, la CNIL precisa che l’utilizzo di un server proxy proprietario a monte del server proxy nativo in Google Analytics 4, ossia un server intermediario localizzato in Europa su cui far giungere i dati degli utenti, è una soluzione efficace per rispettare le disposizioni europee in materia di Privacy, perché evita che i dati personali degli utenti arrivino direttamente sui server di Google prima in EU e poi nei server situati negli USA.

Come configurare il tracciamento Server-Side in Google Analytics 4

Questo è precisamente il risultato che si può ottenere configurando il tracciamento Server-Side in Google Analytics 4.

Nello specifico, una soluzione risiede nell’utilizzo di Google Tag Manager (GTM) Server-Side attraverso una configurazione manuale, come spiegato in questa guida ufficiale di Google

Questa configurazione richiede delle opportune competenze tecniche. Tuttavia, esistono anche dei servizi SaaS che permettono di acquistare come servizio la creazione di un’istanza GTM Server-Side personalizzata.

Grazie alla configurazione sopracitata, lo script di Google Analytics 4 invierà i dati a GTM Server-Side dove sarà possibile anonimizzare oppure rimuovere (parzialmente o completamente) i dati personali presenti nelle hit.

Sempre a proposito di accuratezza delle motivazioni tecniche che vengono addotte a scapito di Google Analytics 4, ci è capitato di leggere diverse inesattezze come ad esempio: “…la tecnologia con cui il codice di Google Analytics viene incorporato nel sito web è cambiata nel tempo: nella versione Universal Analytics si trattava di codice Javascript richiamato all’interno dell’HTML; a partire da Google Analytics 4 (GA4) questa modalità è stata sostituita da una nuova tecnologia chiamata Google Tag Manager.”

Come è noto, Google Tag Manager (GTM) è stato introdotto nel 2012, quindi non è affatto una nuova tecnologia. GTM presenta decine di funzionalità, tra cui la possibilità di attivare (o non attivare) in un sito web non solo GA4, ma anche GA3. Questa attivazione può essere effettuata in maniera selettiva a seconda delle preferenze dell’utente e per questo motivo viene utilizzata nella gestione dei Cookie Banner.

Allo stesso modo, è importante precisare che lo script di Google Analytics (GA) non raccoglie indiscriminatamente i dati del visitatore, ma va istruito a riguardo seguendo la normativa GDPR: se l’utente non desidera essere tracciato, una semplice configurazione di GTM permette di fare in modo che lo script di GA non venga né caricato, né tantomeno eseguito.

Legittimità del trasferimento di dati extra-Ue: il problema non è solo di GA4

Sorvolando volutamente sulle numerose imprecisioni tecniche legate a GA e GTM in cui purtroppo non è raro imbattersi, è importante sottolineare che ciò che viene contestato a Google Analytics, ossia la potenziale violazione alle condizioni di legittimità del trasferimento di dati al di fuori dell’Europa, è – con buona probabilità – una caratteristica comune a centinaia (o più probabilmente migliaia) di software di utilizzo comune nell’ambito del web marketing e del web hosting.

Non è un mistero che il web marketing contemporaneo si basi in larghissima parte su tecnologie e servizi ospitati su server controllati da aziende USA (es. Facebook Ads, Google Ads, YouTube Ads, etc.).

Di conseguenza, e a titolo puramente esemplificativo, è ragionevole ritenere che le piattaforme pubblicitarie Ads utilizzate dalla stragrande maggioranza dei web marketer, ma anche i software di email marketing, i CRM, le piattaforme di Content Delivery Network, i web hosting, etc. si trovino in una posizione simile rispetto a quella di Google Analytics.

A scanso di equivoci, è chiaro che il provvedimento del Garante menziona esclusivamente Google Analytics, riferendosi nel dettaglio a GA3; ciò premesso, è un dato di fatto che i principi di funzionamento di tutte le piattaforme sopra citate (nonché la nazionalità delle aziende che le erogano) non sono particolarmente dissimili da quelli di Google Analytics.

Conclusioni

Considerazioni tecniche a parte, vorremmo condividere una breve riflessione con il lettore.

Il 60% dei cittadini europei acquista online; il fatturato globale dell’e-commerce in Europa vale 732 miliardi di dollari; la sola spesa in digital advertising in Europa è stimata in 57,64 miliardi di dollari nel 2022.

Il settore digital europeo coinvolge centinaia di migliaia di aziende e lavoratori (tecnici, consulenti, e-commerce manager, esperti SEO, web marketer, web analyst, specialisti su Facebook Ads, su Google Ads, su Youtube, etc.) che subiscono in prima persona la grave situazione di incertezza che si è venuta a verificare.

In attesa di un accordo politico e giuridico che regolamenti la questione, chi difende la produttività delle aziende del settore digital e tutela il posto di lavoro di chi in queste aziende è occupato?