Google Analytics e GDPR in pratica

google analytics gdpr

Google Analytics e GDPR in pratica

Nel corso degli ultimi anni Google ha introdotto alcune funzionalità legate alla riservatezza e la sicurezza dei dati personali raccolti attraverso i propri codici di tracciamento di Analytics, aggiornando anche il proprio rapporto contrattuale con chi utilizza il servizio.
In base al GDPR, infatti, Google opera quale responsabile del trattamento dei dati che raccoglie ed elabora per conto di ogni titolare che utilizza il servizio Google Analytics sul proprio sito web.

Se nel tuo sito utilizzi Google Analytics avrai ricevuto una serie di comunicazioni da parte di Google che ti informavano sulle migliorie e le novità introdotte lato GDPR, come ad esempio l’Emendamento sull’elaborazione dei dati e la nuova funzione legata alla Conservazione dei dati.
Inoltre, essendo Google Analytics uno strumento che installa cookie sui dispositivi degli utenti che lo visitano, avrai anche fatto i conti con la Direttiva ePrivacy (Cookie Law), che disciplina l’uso dei cookie e l’acquisizione del relativo consenso, dedicandoti a banner e informativa estesa.

In questo articolo facciamo un riepilogo completo, aiutandoti a rispondere ad alcune delle domande che ci sentiamo porre più spesso:

  • Ho fatto proprio tutto quello che serve lato GDPR per Google Analytics?
  • L’anonimizzazione degli IP è sufficiente per non chiedere il consenso agli utenti prima di installare i cookie di tracciamento?
  • A cosa devo prestare attenzione per evitare di tracciare informazioni personali dal proprio sito tramite Google Analytics?

.

Termini contrattuali per il trattamento dei dati

A tutti coloro che utilizzano Google Analytics, Google dà la possibilità di leggere ed accettare le modifiche contrattuali contenute nei suoi Termini per il trattamento dei dati di Google Ads che prevalgono e sostituiscono l’Emendamento sull’elaborazione dei dati Analytics esistente.

Con questo nuovo documento Google informa i titolari che utilizzano il servizio di Google Analytics, abbinabile a servizi di annunci e profilazione, sulle modalità con cui gestisce i dati e i servizi che trattano i dati provenienti da Google Analytics per finalità commerciali.

Puoi accettare i nuovi Termini nel menu Amministrazione del tuo pannello Google Analytics. Per completare l’accettazione dovrai inoltre inserire i dati relativi alle entità legali della tua organizzazione: persona giuridica e contatto principale.

google analytics gdpr emendamento

Conservazione dei dati

La nuova funzionalità introdotta da Google consente a tutti i titolari di account Google Analytics di impostare il periodo di conservazione dei dati, ovvero il periodo di tempo prima che i dati a livello di utente ed eventi memorizzati da Google Analytics vengano eliminati automaticamente dai server di Analytics.
Questa funzionalità risponde alla necessità introdotta dal GDPR di stabilire un periodo di conservazione per i dati personali che vengono raccolti, periodo che deve essere definito dal titolare del trattamento.

Come indicato da Google “il periodo di conservazione riguarda i dati a livello di utente ed evento associati a cookie, identificatori utente (ad es. User ID) e identificatori pubblicitari (ad es. cookie DoubleClick, ID pubblicità di Android e Identifier for Advertisers di Apple)”. I dati che raggiungono la fine del periodo di conservazione vengono eliminati automaticamente.
Puoi scegliere di modificare il tempo di conservazione con una delle opzioni disponibili:

  • 14 mesi
  • 26 mesi
  • 38 mesi
  • 50 mesi
  • Non scadono automaticamente

 

Per impostare la conservazione devi andare nel menu Amministrazione > Informazioni sul monitoraggio (a livello di Proprietà) > Conservazione dei dati.

google analytics gdpr conservazione dati

Cosa fare per usare Google Analytics senza consenso (è veramente possibile?)

Il sistema di tracciamento di Google Analytics lavora installando cookie di tipo analitico sul browser degli utenti, per poter tracciare e memorizzare il loro comportamento all’interno dei siti web. In termini di privacy il tracciamento con cookie è disciplinato dalla Cookie Law, per la quale il Garante della Privacy italiano stabilisce chiaramente se e quando deve essere richiesto il consenso.

Nel caso dei cookie “analytici di terze parti”, il Garante stabilisce che in ogni caso debbano essere segnalati nell’informativa completa del sito web. Ma come poterli utilizzare senza richiedere il consenso preventivo agli utenti? Il Garante stabilisce che il consenso non va richiesto “se sono adottati strumenti che riducono il potere identificativo dei cookie e la terza parte non incrocia le informazioni raccolte con altre di cui già dispone”.
I punti su cui ragionare sono quindi i seguenti:

    1. Riduzione del potere identificativo dei cookie
    2. La terza parte non deve incrociare i dati con quelli di altri servizi

 

Per quanto riguarda il primo punto la piattaforma di Google Analytics mette a disposizione il sistema di anonimizzazione degli indirizzi IP degli utenti, che vengono mascherati parzialmente attraverso la rimozione dell’ultimo ottetto prima che questo venga utilizzato e memorizzato. In questo modo si ha una riduzione del loro potere identificativo.

Per attivare questa procedura, va modificato il codice di tracciamento di Google Analytics aggiungendo questa parte: ga(‘set’, ‘anonymizeIp’, true);

C’è da considerare, però, che si tratta di una pseudo-anonimizzazione, e non di una anonimizzazione completa, il che porta la possibilità tecnica di risalire all’indirizzo IP completo di ogni utente. Ciò non soddisferebbe la prima condizione indicata dal Garante della Privacy e quindi richiederebbe in ogni caso il consenso preventivo per l’installazione e l’uso dei cookie di Google Analytics.

Per quanto riguarda il secondo punto, ovvero “la terza parte non deve incrociare i dati con quelli di altri servizi”, Google Analytics permette di gestire in autonomia le impostazioni di condivisioni dei dati. Per evitare che il sistema incroci i dati con quelli di altri servizi Google hai a disposizione le seguenti impostazioni:

1. Nel menu Amministrazione > Impostazioni dell’account è possibile selezionare le spunte per la condivisione dei dati.

google analytics gdpr condivisione dati

2. Nel menu Amministrazione > Impostazioni proprietà puoi disattivare la voce Abilita rapporti Dati demografici e Interessi

3. In Informazioni sul monitoraggio > Raccolta dati puoi disattivare la funzione Remarketing e Funzioni di generazione di rapporti sulla pubblicità (se non la stai utilizzando).

4. In Informazioni sul monitoraggio > ID utente puoi disattivare la funzione User-ID, che ti permette di incrociare dati appartenenti allo stesso utente e di creare un suo profilo molto specifico, ricadendo nell’ambito della profilazione.

5. In Collegamento di Google Ads/Adsense puoi eliminare i collegamenti con altri account, se non li stai utilizzando.

Nelle informative del proprio sito andrà indicato che Google Analytics raccoglie ed elabora dati attraverso i codici di tracciamento installati nel sito e che i cookie analitici installati permettono di raccogliere in modo aggregato informazioni relative al comportamento degli utenti sul sito e quindi migliorarne l’esperienza ed i contenuti forniti.

Nel banner cookie occorrerà precisare che il sito utilizza cookie di terze parti per raccogliere dati esclusivamente aggregati (se si è proceduto con l’anonimizzazione).

Cosa fare se usi le funzioni pubblicitarie, il remarketing di Analytics o colleghi prodotti come Google Ads e Google Adsense

Hai collegato il tuo account Analytics con Google Ads o Adsense?
Utilizzi le funzioni pubblicitarie di Analytics?
Hai attivato il remarketing di Analytics?
Se hai risposto sì ad almeno una di queste domande dovrai richiedere il consenso agli utenti prima di installare i cookie di Analytics sui loro dispositivi. Il consenso, ad ogni modo, va richiesto se anche una sola delle condizioni del punto precedente non viene rispettata. Sarà quindi necessario:

    1. Indicare nel banner cookie che si utilizzano cookie analitici di terze parti con dati non aggregati e cookie di profilazione, se presenti.
    2. Richiedere il consenso all’utilizzo dei cookie tramite il banner apposito, attivando il loro blocco preventivo fino a che l’utente non abbia espresso il suo consenso.
    3. Specificare l’utilizzo di cookie analitici di terze parti e di profilazione nell’informativa estesa del sito web.

.

È quindi possibile utilizzare Google Analytics senza ottenere il consenso degli utenti?

Il nostro consiglio è di procedere con cautela e di approfondire la questione con un avvocato o un consulente, poiché l’anonimizzazione non completa degli indirizzi IP degli utenti potrebbe non soddisfare la necessità di ridurre il potere identificativo di questo specifico dato personale, anche se tutte le altre condizioni stabilite dal Garante della Privacy sono rispettate.
Se così fosse, il sistema di “anonimizzazione IP” di Google Analytics non sarebbe sufficiente per garantire un uso conforme dei cookie analitici di terze parti senza consenso dell’utente finale.
Nel dubbio, meglio sempre chiedere prima il consenso tramite il banner cookie.



Utilizziamo cookie propri e di terze parti per gestire, migliorare e personalizzare la tua esperienza di navigazione del sito. Utilizziamo anche cookie di profilazione per inviarti messaggi pubblicitari in linea con le tue preferenze. Per maggiori informazioni su come utilizziamo i cookie e su come rimuoverli, consulta la nostra politica sui cookie. Cliccando sul pulsante “Accetto” o continuando a navigare il sito o questa pagina, acconsenti all’utilizzo dei cookie.