Google-Analytics-4-GDPR

Un pò di storia…

Tutti noi abbiamo sentito parlare di Google Analytics, spesso in relazione a tematiche legate al monitoraggio e alla legge sulla privacy.

Prima di analizzare quello che sarà il destino di questo prodotto/servizio, può valere la pena conoscere qualcosa in più della sua storia.

Pochi sanno che Analytics non è un prodotto nativo d Google: eh già… Google non lo ha “inventato”, ma lo ha acquistato ad aprile 2005 quando il suo nome era “Urchin”.  L’account più vecchio in assoluto è datato 19 maggio 2005 e oggi è lo strumento di tracciamento più utilizzato sui siti web di tutto il mondo. La sua quota di mercato supera oggi l’85% con un distacco impressionante su Pixel di Facebook che di aggiudica il secondo posto con un più modesto 17%.

La sua grande forza è ed è stata, senza dubbio, la possibilità di poter usufruire di un potente strumento di marketing in maniera assolutamente gratuita (dove con gratuita intendiamo “in cambio di giga e tera di dati aggregabili” che per Google valgono come e più del petrolio. Ma questa è una storia diversa….).

Il software ha subito svariati aggiornamenti negli anni e la versione più recente, rilasciata nel 2014, porta il nome di Universal Analytics (UA).

Ed è proprio Universal che vedrà chiudersi un’epoca, ovvero il tempo di Analytics come molti di noi lo conoscono. L’annuncio ufficiale dello switch, intitolato “Prepare for the future with Google Analytics 4”, è stato pubblicato da Google il 16 marzo 2022 e da allora è iniziato il lungo percorso di addio che si concluderà il 30 giugno 2023.

Una piccola curiosità prima di abbandonare il capitolo “storia”: il codice Java Script che UA carica per monitorare le attività di navigazione è il più grande presente su tutti i server Google.

Cosa succederà il 30 giugno 2023

Universal Analytics, alla mezzanotte del 30 giugno 2023, smetterà di raccogliere dati. STOP. Non registrerà più nulla, zero. Fino ad allora nulla cambierà per i singoli account installati sui portali di tutto il mondo.

I dati storici precedenti al 1° luglio resteranno disponibili ancora per sei mesi nella versione gratuita e per 9 mesi nella versione a pagamento Google Analytics 360. Terminato anche questo periodo, tutti i dati saranno eliminati.

Per questo è importante ragionare per tempo e chiedersi quale sia il range storico di interesse dei dati che vogliamo conservare. Una delle funzionalità di UA è infatti quella di esportazione dei dati e sarà possibile farlo appunto fino a fine 2023.

E dopo?

Dopo arriva GA4 – Google Analitycs 4.

O meglio… GA4 è già arrivato, è già tra noi ed è installabile sui propri portali web anche oggi stesso.

È importante a questo punto sottolineare un aspetto importante: Universal Analytics e GA4 (Google Analytics 4) sono due strumenti differenti, due software differenti. L’uno non è la nuova release dell’altro, ma rappresentano due prodotti diversi. Un paragone che rende molto bene l’idea è stato fatto durante un webinar tenuto da Tag Manager Italia: UA e GA4 sono come i Duplo® e i Lego®: sono fatti dalla stessa azienda, servono bene o male a fare la stessa cosa (costruzioni), ma tra di loro non si incastrano. Ovvero, non è possibile passare i dati dall’uno all’altro.

GA4 nasce da una concezione nuova, che sposta avanti di 20 anni l’idea di analisi che è nata con Urchin e Analytics. E che, soprattutto, si è dovuta adattare ad un contesto normativo che oggi contempla il GDPR (Regolamento Europeo Privacy) e una tutela dei dati personali molto evoluta rispetto al 2005.

Le novità di GA4

Il portale su cui state leggendo questo articolo si occupa chiaramente di legge sulla privacy e GDPR e non è quindi nostra intenzione addentrarci troppo negli aspetti tecnici della nuova piattaforma di Google Analytics 4. È però importante sottolineare la base di pensiero che sorregge il nuovo progetto Google.

Fino ad oggi, il nostro tanto caro strumento di tracciamento ha ragionato per Page-TAG, ovvero per finestre che vengono aperte. Su ogni finestra aperta viene aggiunto un frammento del famoso codice Java e inizia il monitoraggio delle HIT. Questo significa che se un utente ripete N volte la stessa azione, spegne lo schermo del mobile oppure accede allo stesso sito con device diversi, tutte queste azioni vengono registrate come “nuove”.

La nuova concezione ragiona invece molto più sui comportamenti dell’utente, con un sistema di machine learning che punta ad avere informazioni predittive sui comportamenti degli utenti e che va in qualche modo a colmare il deficit di dati derivato dalla possibilità di disattivare i cookie (obbligo legato sempre al GDPR e alle linee guida dei singoli paese – per l’Italia vedere le linee guida sui Cookie del Garante).

Sarà dato, per esempio, maggior valore alle azioni di scroll, download, compilazione form e visione video che indicano in maniera evidente un interesse da parte di chi naviga.

E tutto questo come si coniuga con il GDPR?

Le novità privacy di GA4

Bisogna innanzitutto dire che il GDPR ha dato il suo pesante contributo affinché Google rivedesse lo strumento storico di tracciamento che aveva in pancia ormai da due decenni. Le grandi restrizioni legate alle attività di monitoraggio/profilazione e di gestione dei consensi dovevano trovare sfogo in uno strumento più moderno, ragionato secondo il principio di privacy by design.

Nel comunicato stampa del 16 marzo 2022, il Direttore di Analytics, Russel Ketchum, ha dichiarato: “Google Analytics 4 è progettato ponendo la privacy al centro per offrire un’esperienza migliore sia ai nostri clienti che ai loro utenti”

La prima grande novità è legata agli IP: Gli IP degli utenti europei non saranno più registrati, ma saranno solo utilizzati in maniera volatile per recepire altri meta dati, come per esempio il luogo fisico di collegamento. Una volta ottenuti queste informazioni, l’Internet Protocol di collegamento viene del tutto ignorato. Piccola nota a questo proposito: non è corretto dire che GA4 anonimizza gli IP di default. Google support dichiara chiaramente “L’anonimizzazione degli indirizzi IP in Google Analytics 4 non è necessaria, poiché gli indirizzi IP non vengono registrati né archiviati” 

In aggiunta alla novità sugli IP, tutti i dati degli utenti che risulteranno appartenenti alla UE, saranno memorizzati e conservati su server residenti nella UE. Resta da chiarire se permane la possibilità che alcuni dati vengano inviati anche verso Google USA.

Altra grande novità è la possibilità, da parte dell’amministratore del singolo account, di disattivare alcune funzioni previste di default. Alcuni esempi:

  • Città
  • Latitudine e Longitudine (della città)
  • Versione browser
  • Marca, modello, risoluzione e nome del dispositivo
  • Versione del sistema operativo

Queste informazioni possono essere gestite e personalizzate per “country, così da tutelare in maniera più specifica gli utenti che si collegano da regioni che prevedono norme privacy più restrittive.

In generale sembra che la politica di GA4 vada in questa direzione: lasciare all’amministratore della piattaforma la possibilità di scegliere quali funzionalità attivare in base alle proprie esigenze di marketing.

Come dire: “io ti do la possibilità di fare tutte queste attività perché il mio strumento è in grado di farlo. Sta a te decidere se attivarle o meno. E soprattutto sta a te informare l’utente su cosa farai e sta a te farlo in modo di essere GDPR compliant”

Vi ricorda qualcosa? A-C-C-O-U-N-T-A-B-I-L-T-Y.

Esattamente! Google delega al Titolare l’onere di decidere e di gestire gli aspetti legati al GDPR.

Per fare un esempio pratico: Google Signals è lo strumento che big-G usa per personalizzare gli annunci pubblicitari. Un perfetto esempio di tool di tracciamento e profilazione. All’interno di GA4 sarà possibile collegare Signal, MA… sarà un’attività che dovrà essere attivata perché di default non sarà presente. Qualora venga installata, sarà onere del Titolare richiedere obbligatoriamente i consensi agli Interessati (dicasi anche utenti web).

Ultima news che segnaliamo, non ultima per importanza, la conservazione dei dati: Analytics4 darà la possibilità di scegliere tra due opzioni di tempo di archiviazione: 2 o 14 mesi. Dopo la scadenza del periodo impostato, i dati aggregati non saranno più disponibili (restano disponibili i report standard o in alternativa la possibilità di migrare su BigQuery con connessione gratuita nativa con GA4).

Aggiornamento del 3 luglio 2022

A seguito della Sentenza del Garante del 9 giugno 2022 legata a Caffeina Media srl, si è acceso il dibattito sullo strumento Google Analytics, in particolare sulla versione GA3 – Universal Analytics. La sentenza, il successivo comunicato stampa del Garante e le dichiarazioni del membro dell’Autorità Guido Scorza, hanno lasciato intendere che Analytics 3, anche se utilizzato nella versione con IP nascosti, non garantisce la piena conformità al GDPR. Il dubbio è legato al fatto che gli IP  anonimizzati (ovvero con l’ultima sezione nascosta – Es: 123.192.67.XXX) possano comunque essere intrecciati con altri dati raccolti durante la navigazione, rendendo così possibile l’identificazione dell’utente anche in presenza di trasferimento di dati verso gli USA.

Il clima di incertezza ha inevitabilmente coinvolto anche GA4 e la domanda che aleggia è “ma allora GA4 sarà davvero considerato GDPR compliant? dalle autorità Garanti?”.

Google, ad oggi, sulle sue pagine di “support” mantiene la dicitura “L’anonimizzazione degli indirizzi IP in Google Analytics 4 non è necessaria, poiché gli indirizzi IP non vengono registrati né archiviati”, ma il dubbio è sempre legato alla possibilità di riconoscimento dell’utente da parte di Google stesso tramite altri informazioni di contorno e all’incognita sul trasferimento verso gli USA.

Piccola parentesi tecnica

Per chi volesse garantire ancora maggior tutela ai propri Interessati, è possibile valutare soluzioni di GTM server side, già applicabili con Universal Analytics. Questo significa che i dati raccolti da Analytics vengono trasferiti e gestiti con un server proprietario che possiamo scegliere di posizionare in Europa.

Con GA4 si avrà l’ulteriore possibilità di installare BigQuery sui propri server, di collegarlo direttamente con l’Analytics e di scaricare tutti i dati per poterli visionare ed elaborare sui propri sistemi. In questo modo aprendo lo strumento di tracciamento Google, questo risulterà scarico di dati e tutte le informazioni saranno disponibili su BigQuery.

Una novità che fa sorridere

Una piccola nota che fa sorridere è un aspetto che sembra andare in contraddizione con sé stesso: GA4 mette al centro del suo nuovo modo di essere la tutela dell’anonimato dell’utente. Nel contempo, aspetto richiesto dal GDPR, deve garantire al singolo Interessato la possibilità di richiedere la cancellazione dei propri dati, solamente dei suoi.

???

Come faccio a cancellare i dati di un utente che non devo sapere chi sia? Non devo poter capire chi sei, ma devo sapere quali sono i tuoi dati per poterli cancellare… Una bella sfida.

La soluzione viene data da un’informazione che viene denominata “ID dispositivo”.

Come funziona? Esiste un cookie apposito che ha il compito di archiviare in maniera pseudonimizzata una stringa di codice che viene associata in maniera casuale su un singolo client che si collega ad un portale. In questo modo i dati di navigazione possano essere associati ad un’istanza di browser, non collegabile in maniera diretta ad utente fisico. Benissimo. Ma… c’è un ma….

Questo dato “ID dispositivo”, unito ad altre informazioni che possono essere attivabili sulla piattaforma, possono portare all’identificazione di un profilo “umano”. Quindi male….

La soluzione, per essere certi di non incappare in attività poco gradite al GDPR, è quella di:

  • Usare GA4 solo nella sua forma anonima predefinita
  • Non condividere i dati GA4 con Google Signals e altre piattaforme di monitoraggio di Google
  • Disabilitare la funzione di personalizzazione della pubblicità in GA4
  • Utilizzare i dati anonimi raccolti tramite GA4 solo a fini di report statistici aggregati

Cosa fare ora?

Mantenendo sempre la linea editoriale di garantire un approccio più legal che tecnico, proviamo a suggerire i passi opportuni da compiere prima di giugno 2023.

Il consiglio generale è di informarsi per tempo sulle novità previste da GA4 (e speriamo che questo articolo sia un primo valido spunto), di fare le opportune valutazioni insieme e figure competenti come il proprio DPO e la propria web agency e di definire quando e se è opportuno accogliere Analitycs4.

Muovendosi per tempo, il Titolare e le figure di supporto coinvolte, avranno un anno intero di tempo per conoscere il nuovo strumento e per definire, secondo il principio accountability, quali strumenti si vogliono attivare e quali consensi si vogliono gestire.

Aggiornamento del 3 luglio 2022

La valutazione principale da fare, a seguito della Sentenza del Garante del 9 giugno 2022 legata a Caffeina Media srl, al successivo comunicato stampa del Garante e alle dichiarazioni del membro dell’Autorità Guido Scorza è quella legata alla reale conformità di GA4 al GDPR, soprattutto dal punto di vista del trasferimento dati verso gli Stati Uniti. Al momento il dibattito è aperto e mancano le basi per poter dichiarare in maniera certa quale sia la strada più corretta da intraprendere.  La speranza è che nei prossimi giorni arrivino chiarimenti dalle Autorità coinvolte nella questione. 

 

Fonti:

blog.Google | Wikipedia | Webinar Tag Manager Italia | https://w3techs.com/

 

Link suggeriti

https://support.google.com/analytics/answer/9964640?hl=it#zippy=%2Ccontenuti-di-questo-articolo (differenze tra GA4 e Google Universal)

Google Analytics: i provvedimenti del Garante Privacy

Ti serve una consulenza privacy?

Il nostro team sarà felice di trovare la soluzione perfetta per te!