Sono trascorsi quattro anni da quando il Regolamento generale sulla protezione dei dati (GDPR) è diventato legge nel maggio 2018. Tuttavia, sembra che quattro anni non siano stati sufficienti per un gigante tecnologico come Google per adeguare i propri prodotti al GDPR. Vediamo insieme perché.

 

Google Analytics 3 non è a norma

Google Analytics 3 (Universal Analytics) non rispetta la normativa GDPR. Il Garante della Privacy è stato chiaro a riguardo con la sua pronuncia dello scorso 9 giugno. Sono passati i 90 giorni dati per adeguarsi a tutti i gestori di siti web, ora il rischio di possibili sanzioni è reale e una recente ricerca sostiene che queste ultime potrebbero ammontare a 4,5 miliardi di euro nella sola Lombardia.

Nel 2020 infatti è pervenuto un reclamo all’Autorità Garante della privacy italiana, nel quale si è fatto riferimento al fatto che Google Analytics 3 trasferisce alcune informazioni dell’utente europeo negli Stati Uniti. Informazioni che consentono di risalire, aggregando diverse tipologie di dati, all’identità delle persone interessate. Quindi, il 9 giugno 2022 il Garante della Privacy si è espresso dichiarando che Google Analytics 3 (Universal Analytics) non è a norma con il GDPR.

 

Google Analytics 4 è GDPR compliant?

Per rispondere a questa domanda dobbiamo prima analizzare le principali caratteristiche inerenti la privacy di questa nuova versione.

IP anonimi e cancellazione dei dati

La versione precedente di Google Analytics raccoglieva gli indirizzi IP degli utenti per impostazione predefinita. Ciò violava una legge GDPR poiché un indirizzo IP è considerato informazioni di identificazione personale (PII) protette dalla legge. Google ha consentito l’attivazione della funzione di anonimizzazione dell’IP in modo che GA abbia reso anonime le ultime 3-4 cifre per tutelare la privacy degli utenti. Tuttavia, l’anonimizzazione dell’IP deve essere attivata manualmente ed necessario modificare effettuare modifiche agli script di tracciamento. Non è un’operazione banale e alla portata di tutti i gestori di siti web.

Un’altra importante caratteristica fornita da GA4 è la durata di archiviazione dei dati molto più breve. Nella versione precedente di GA, i gestori potevano scegliere di archiviare i dati raccolti per un massimo di 64 mesi.

In GA4, invece, hanno solo due opzioni per la conservazione dei dati personali: 2 mesi o 14 mesi. In più, ogni utente ha la possibilità di richiedere esplicitamente la cancellazione di tutti i propri dati personali.

La collocazione geografica dei server è ancora un problema

L’elaborazione dei dati di Google Analytics avviene su più server, dislocati in tutto il mondo, la maggior parte dei quali negli Stati Uniti. Prima del 2020 il trasferimento dei dati era regolato secondo il quadro del Privacy Shield, un quadro giuridico per regolamentare gli scambi di dati personali tra UE-USA e Svizzera-USA. Nel luglio 2020, la Corte di giustizia dell’UE ha escluso dal GDPR il Privacy Shield rendendolo di fatto non compliant alle regole della privacy europea.

In GA4, così come avveniva nelle versioni precedenti, non è possibile per gli utenti scegliere dove i propri dati verranno memorizzati. Quindi, i siti ospitati su server europei, non hanno nessuna garanzia sulla permanenza in territorio comunitario dei dati inviati a Google. 

Questo, secondo il GDPR, è un comportamento non a norma.

 

Conclusioni

Sebbene siano state introdotte diverse migliorie riguardo la privacy, Google Analytics 4 rimane ancora non pienamente compatibile con il GDPR. Gli utenti, infatti, non hanno la certezza che i propri dati non vengano trasferiti in territori extra UE. Questo è in contrasto con quanto esplicitamente espresso dalle regole sulla privacy attualmente in vigore nel vecchio continente.

Se vuoi riceve maggiori informazioni o vuoi trovare soluzioni a norma per il tuo sito web, contattaci per una consulenza dedicata.

NB: Do Agency non fornisce consulenza di tipo legale e non opera come responsabile del trattamento dei dati.