Google Analytics è stato recentemente messo sotto accusa dalle autorità europee per la mancata conformità alle norme GDPR sul trasferimento dei dati. Google promette che l'ultima versione del suo strumento di analisi sarà più incentrata sulla privacy. L'anno prossimo, infatti, la società abbandonerà Universal Analytics a favore di GA4, e la privacy è stata la principale motivazione di questo cambiamento. Ma quanto sarà "più rispettosa della privacy" questa versione?
Molte aziende attendono Google Analytics 4 come soluzione al problema della conformità. Tuttavia, le aziende potrebbero essere un po' troppo ottimiste. Anche se non esiste ancora una giurisprudenza su GA4, sembra che GA4 soffra degli stessi problemi legali di UA.
- Quali sono le novità di Google Analytics 4?
- Google Analytics 4 risolverà i problemi legali di Universal Analytics?
- La privacy non è solo conformità
- Come posso cancellare i miei dati di Google Analytics?
- Riflessioni finali
Tuffiamoci nel vivo!
Quali sono le novità di Google Analytics 4?
Universal Analytics è stato rilasciato nel 2012 e ormai è praticamente lo strumento di analisi web predefinito di Internet. Le cose cambieranno presto: Google ha annunciato che eliminerà gradualmente Universal Analytics entro luglio 2023. Pertanto, le persone e le aziende che vogliono ancora utilizzare Google Analytics dovranno presto passare a Google Analytics 4.
La nuova versione dello strumento di Google è stata sviluppata nel 2020 e differisce in molti aspetti da Universal Analytics. Google Analytics 4 si basa su cookie di prima parte rilasciati da Google stesso. Inoltre, utilizza un modello basato sugli eventi: tiene traccia di azioni specifiche dell'utente, come il clic su un link o la visualizzazione di una pagina, e le collega a un singolo utente. Universal Analytics si basa invece su cookie di terze parti e impiega un modello basato sulla sessione che tiene traccia dell'attività dell'utente durante una singola visita a un sito web.
Il passaggio da un modello basato sulle sessioni a uno basato sugli eventi è molto importante nella pratica. Per alimentare il suo nuovo modello, Google Analytics 4 raccoglie metriche diverse dal suo predecessore, il che può rendere il nuovo strumento difficile da imparare per gli utenti che hanno familiarità con Universal Analytics. Inoltre, poiché le vecchie metriche non si adattano al nuovo modello, la maggior parte dei dati raccolti tramite Universal Analytics non può essere importata in Google Analytics 4.
Ci sono molte altre differenze tra Ultimate Analytics e Google Analytics 4: ad esempio, la nuova versione presenta un monitoraggio cross-device migliorato rispetto al suo predecessore e gestisce gli indirizzi IP in modo diverso.
Google Analytics 4 risolverà i problemi legali di Universal Analytics?
Google sostiene che Google Analytics 4 sarà più rispettoso della privacy rispetto al suo predecessore e gli utenti sperano che il nuovo strumento risolva i problemi legali di Google relativi al trasferimento dei dati. Tuttavia, la nuova versione non risolve i problemi legali cruciali. Ecco perché.
Le questioni fondamentali: dati personali e misure supplementari
Le questioni legali relative al trasferimento dei dati sono complesse e lunghe da spiegare. Se avete del tempo da perdere, trattatele ampiamente qui.
In breve, la sentenza Schrems II della Corte di giustizia dell'UE ha invalidato il quadro normativo sul trasferimento dei dati che consentiva di trasferire facilmente i dati negli Stati Uniti. Le aziende europee devono ora affidarsi a un meccanismo chiamato clausole contrattuali standard per trasferire i dati all'estero. Inoltre, devono implementare misure aggiuntive a queste clausole per proteggere i dati dalla sorveglianza dello Stato.
Subito dopo la sentenza Schrems II, l'ONG per la tutela della privacy noyb ha presentato 101 reclami presso diverse autorità di protezione dei dati europee contro siti web che utilizzano Google Analytics e Facebook Connect. L'European Data Protection Board (l'organizzazione che riunisce tutte le DPA europee) ha poi formato una task force per coordinare l'approccio a livello europeo.
Finora, questo approccio coordinato ha portato le autorità di protezione dei dati austriache, francesi, italiane e finlandesi a dichiarare Google Analytics illegale. Inoltre, l'autorità danese ha sostanzialmente dichiarato la stessa cosa in un comunicato stampa, l'autorità olandese ha annunciato all'inizio di quest'anno che potrebbe seguire l'esempio e l'autorità norvegese si è pronunciata provvisoriamente contro Google Analytics in un caso ancora in corso.
Il fulcro dei reclami è costituito dalle misure supplementari richieste dalla sentenza Schrems II. Non sono disponibili misure efficaci per proteggere i dati personali dalla sorveglianza dello Stato per GA e per qualsiasi altro servizio basato su cloud che debba elaborare i dati in chiaro1. Ne consegue che Google può conformarsi al GDPR solo non elaborando alcun dato personale negli Stati Uniti, ma non è questo il caso. Inoltre, non per Google Analytics 4.
Google Analytics 4 trasferisce i dati personali
Google ha pubblicizzato GA4 come un'evoluzione verso un modello di analisi web senza cookie e rispettoso della privacy, ma il suo nuovo strumento di analisi non è del tutto privo di cookie. GA4 ha abbandonato i cookie di terze parti, ma utilizza cookie di prima parte chiamati Client ID. Come i cookie di terze parti utilizzati da Universal Analytics, i cookie di Google Analytics 4 includono un identificatore unico chiamato Client-ID. Per questo motivo, sono dati personali ai sensi del GDPR2. Pertanto, Google Analytics 4 trasferisce ancora dati personali negli Stati Uniti.
GA4 utilizza anche un identificatore chiamato User-ID. Gli ID utente non sono cookie, ma uno strumento diverso che GA utilizza per tracciare gli utenti tra i vari dispositivi. Sono dati personali perché consentono di individuare i singoli utenti3 tra il traffico del sito web. Lo stesso vale per l'ID unico4, un parametro diverso elaborato da Google Analytics per generare un ID utente.
Ilcollegamento dei dati è un altro fattore cruciale. GA4 elabora molti eventi e metriche che non sono dati sensibili di per sé, ma possono essere combinati per individuare un utente. È fondamentale che Google raccolga anche i dati personali degli utenti che hanno effettuato l'accesso al proprio account Google. Questi dati possono essere collegati ad altri dati raccolti da GA4 per rendere facilmente identificabile un utente. Come rilevato dalle autorità europee in recenti decisioni, anche questi dati sono dati personali.
Il problema è il trasferimento dei dati personali negli Stati Uniti. Google Analytics 4 non risolve questo problema. Una configurazione di Google Analytics 4 continua a trasferire dati personali negli Stati Uniti.
La privacy non è solo conformità
Finora abbiamo esaminato la conformità di GA4 al GDPR. Ma che dire delle sue implicazioni generali sulla privacy?
Iniziamo con le note positive. GA4 è sicuramente più rispettoso della privacy nel modo in cui gestisce gli indirizzi IP, poiché non vengono né registrati né memorizzati. Per fare un paragone, UA memorizza sempre gli indirizzi IP e offre solo un protocollo di anonimizzazione IP opzionale (che le DPA europee hanno ritenuto inefficace). Anche l'abbandono dei cookie di terze parti è un passo nella giusta direzione.
D'altro canto, il sistema User-ID incoraggia pratiche di tracciamento molto invasive. Si tratta essenzialmente di un sistema a due fasi in cui il sito web stesso raccoglie alcuni dati per identificare un utente su più piattaforme. Sulla base di questi dati, il sito web genera un ID univoco e lo fornisce a Google. Google genera quindi un ID utente per ogni ID univoco fornito e tiene traccia del parametro su tutti i dispositivi.
Non appena GA4 diventerà lo standard, i siti web saranno incentivati a tracciare gli utenti in modo ancora più aggressivo e cercheranno prevedibilmente qualsiasi scusa per raccogliere i dati di cui Google Analytics ha bisogno per tracciare gli utenti su tutti i dispositivi. Potrebbero iniziare a bloccare i contenuti dietro una registrazione per raccogliere le credenziali e generare un ID univoco, in modo simile a come i "cookie wall" richiedono essenzialmente dati come pagamento per un articolo "murato".
Dal punto di vista della conformità, questo può facilmente andare storto. Ci aspettiamo di vedere siti web che raccolgono le credenziali di accesso con il consenso dell'utente senza informarlo che le credenziali saranno utilizzate per tracciare il suo comportamento a fini analitici, il che costituisce una violazione del GDPR5. Oppure possono informare l'utente ma anche costringerlo ad acconsentire a essere tracciato per potersi registrare, il che rappresenta un caso di consenso "impacchettato" e giuridicamente problematico6. In particolare, la generazione di un ID univoco è interamente responsabilità del cliente in base ai Termini di servizio di GA e Google non sarà responsabile di eventuali violazioni.
In alternativa, i siti web potrebbero cercare altri modi "creativi" per tracciare i propri utenti. Ad esempio, possono impiegare il tracciamento probabilistico, cioè raccogliere una serie di dati come IP, posizione del dispositivo e dati di navigazione e farli passare attraverso algoritmi per stimare la probabilità che due dispositivi appartengano allo stesso utente. Sembra invasivo, e lo è.
In conclusione, Google sta creando un potenziale incubo per la privacy: Google sta creando un potenziale incubo per la privacy ed evita le responsabilità esternalizzando parte del lavoro di tracciamento ai clienti.
Come posso cancellare i miei dati di Google Analytics?
Se decidete di mettere la privacy al primo posto, dovreste cancellare i vostri dati di Google Analytics. È facile da fare. Il nostro blog contiene una spiegazione più dettagliata su come fare, ma in breve:
- accedete al vostro account Google Analytics
- accedete alla sezione Amministrazione tramite l'icona in basso a sinistra dello schermo
- andate alle impostazioni della proprietà
- selezionate la proprietà del vostro sito web e spostatela nel cestino
- rimuovete il codice del vostro sito web
- facoltativamente: eliminare successivamente il proprio account Google Analytics. Potete farlo dalla sezione Account del vostro account.
Nota bene: è consigliabile salvare una copia dei dati prima di cancellarli, perché Simple Analytics e alcuni altri strumenti di analisi web consentono di importare i dati storici da Google Analytics.
Riflessioni finali
Come abbiamo detto, non esiste ancora una giurisprudenza sul trasferimento dei dati di GA4. Noi di Simple Analytics non abbiamo la sfera di cristallo, ma sulla base della giurisprudenza esistente e della documentazione di Google, abbiamo buone ragioni per credere che l'uso di Google Analytics 4 non sia conforme al GDPR.
Non solo Google Analytics 4 non opera nel rispetto della legge, ma crediamo anche che sia un modello di analisi molto invasivo della privacy che incoraggia i siti web a tracciare i propri utenti.
Noi di Simple Analytics crediamo che non sia necessario tracciare i visitatori del sito web o raccogliere dati personali. Forniamo le informazioni di cui avete bisogno senza invadere la privacy dei vostri visitatori e siamo conformi al 100% al GDPR.
Crediamo nella creazione di un web indipendente che sia amichevole per i visitatori del sito. Se tutto questo vi sembra interessante, non esitate a provarci.
#1 Raccomandazioni 01/2020 sulle misure che integrano gli strumenti di trasferimento per garantire la conformità al livello UE di protezione dei dati personali, par. 94. [^2]: Parere EDPB 5/2019 sull'interazione tra la direttiva ePrivacy e il GDPR, in particolare per quanto riguarda la competenza, i compiti e i poteri delle autorità di protezione dei dati, par. 29. [^3]: Considerando 26 GDPR. [^4]: L'utilizzo di informazioni di identificazione personale (PII) come ID univoco è contrario ai Termini di servizio di GA. Ma la nozione di dati personali ai sensi del GDPR è più ampia di quella di PII come intesa da Google. Questo è stato sottolineato da Google stessa[^5]: Articolo 13(1) GDPR. 13(1) GDPR. Se viene raccolto il consenso, viene violato anche il requisito che il consenso sia informato e specifico ai sensi dell'art. 4(11). 4(11). [^6]: Art. 7(4) GDPR. 7(4) del GDPR non vieta del tutto il consenso aggregato, ma lo descrive come problematico.