Il 23 giugno 2022 il Garante per la protezione dei dati personali ha pubblicato un Provvedimento, con cui dichiara illecito il trasferimento di dati personali al di fuori dell’UE effettuato dagli utilizzatori di Google Analytics (qui il link del comunicato stampa).
Nel Provvedimento l’Autorità contesta che il trasferimento di dati da parte di Google ai suoi server negli Stati Uniti – in particolare relativamente all’indirizzo IP – possa rendere teoricamente possibile ai servizi segreti americani e/o a Google stessa di incrociarli per risalire a un singolo cittadino europeo e alla sua navigazione.
Tutto questo si inserisce in un momento storico in cui già altre Autorità – come quella francese e quella austriaca – avevano sollevato delle perplessità sull’utilizzo di Google Analytics. Ovviamente da questo Provvedimento nascono molte implicazioni e, in generale, è una tematica molto complessa, ma proviamo a fare un po’ di chiarezza e sfatare un po’ di notizie che stanno girando in queste ore.
Google Analytics registra l’indirizzo IP?
Sì e no, Google Analytics invia l’indirizzo IP ai suoi server per stimare la città da cui si collega l’utente e applicare eventuali filtri (come l’esclusione del traffico interno), ma poi cancella questo dato rendendolo, di fatto, non più disponibile. Il Garante però sottolinea che il problema è che i server di Google sono negli Stati Uniti quindi il trasferimento di dati esiste, anche se poi i dati vengono cancellati.
L’anonimizzazione dell’IP di Google Analytics non è sufficiente?
No, il Garante ha esplicitato che troncare l’IP (che è de facto quello che propone GA) non è sufficiente per anonimizzarlo. Infatti, come altri prima di lui, il Garante italiano è preoccupato dalle possibilità di incrociare i dati che ha in mano Google il che, in maniera completamente teorica, renderebbe possibile – anche con l’IP anonimizzato – risalire a un singolo cittadino europeo.
Alla luce di questa decisione del Garante, devo quindi rimuovere Google Analytics?
Sembrerebbe possibile valutare se mantenere installato Google Analytics ma con le dovute modifiche per adeguarsi alla decisione del Garante (es: considerare se implementare un tagging server side).
Ad ogni modo, ogni titolare del trattamento dovrà svolgere le proprie valutazioni, anche in virtù dell’attesa della stipula di nuovi accordi tra Europa e Stati Uniti che andranno a regolare la tematica.
L’importante è analizzare i propri trattamenti, le misure implementate e valutare gli aggiornamenti dello strumento.
Google Analytics 4 è ugualmente impattato da questa decisione?
Sembrerebbe di no; stando a quanto affermato da Google, GA4 nasce con il concetto di privacy by design e già mesi fa sembrerebbe essersi preoccupato di implementare modifiche molto importanti:
● Google Analytics 4 non memorizza gli indirizzi IP, ma li utilizza per alcune feature quali i filtri e la geolocalizzazione
● I dati di Google Analytics 4 generati da dispositivi in Europa vengono trattati in territorio europeo
● Nella console di GA4 è possibile limitare la raccolta di alcuni dati (come i dati sulla localizzazione, sul device o sul sistema operativo) per alcune country, in modo da limitare ulteriormente il potere tracciante di GA
È consigliabile passare subito a GA4?
Pur non avendo ancora tutte le funzioni di Universal Analytics, sicuramente la nuova piattaforma di Google è già molto più reattiva verso queste problematiche: consigliamo, infatti, di iniziare già da ora l’installazione di GA4 valutando altresì se mantenere un dual setup. Avere attive entrambe le piattaforme – Google Analytics 4 e Universal Analytics – permetterebbe la raccolta dei dati in parallelo, il che eviterà di perdere dati importanti quando, l’anno prossimo, GA4 diventerà l’unico strumento di misurazione di casa Google (qui trovi un approfondimento sulle potenzialità di Google Analytics 4).
Per ogni setup sarà necessario fare un assessment e trovare la giusta soluzione per continuare a tracciare il comportamento degli utenti in modo da assicurare un approccio data-driven alla strategia digital. Il nostro consiglio è comunque sempre quello di consultare il proprio DPO per accertarsi della correttezza delle valutazioni e delle impostazioni.
Questo articolo è stato scritto da Luca D’Aguanno, Digital Analytics Consultant.