ITA | ENG
BLOG AND EMILI / Google Analytics 4 (GA4) nel rispetto del GDPR con proxy server-side in UE

Google Analytics 4 (GA4) nel rispetto del GDPR con proxy server-side in UE

Google Analytics 4 Server-Side Proxy EU

Dopo la sospensione del Garante Privacy al trasferimento dei dati verso Google Universal Analytics, le aziende sono corse velocemente ai ripari.
Ma sulla nuova versione del tool, Google Analytics 4, c’è ancora confusione e la valutazione è più complessa. GA4 va tenuto oppure no? Se non ho ancora effettuato la migrazione a GA4, ha senso farla adesso? In questo articolo proviamo a rispondere a queste domande. Esistono soluzioni a livello tecnico che ci consentono di utilizzare GA4. Ecco quali sono.

Indice dei contenuti:

 

Il Contesto

In Italia, Francia e Austria le autorità garante hanno dichiarato che l’uso di Google Analytics non è a norma con il GDPR.

In Italia, dopo aver investigato a seguito di alcune segnalazioni, il garante italiano ha ammonito un’azienda indicandole di conformarsi al regolamento europeo entro 90 giorni. Questa ingiunzione sottintende, di fatto, di interrompere l'uso di Google Universal Analytics o di configurarlo adeguatamente alle norme GDPR.

L’episodio in questione riguarda l’uso di Google Universal Analytics (GA), la vecchia versione del famoso tool di Google, e non si riferisce quindi al più nuovo GA4 (Google Analytics 4 Properties).

Il problema fondamentale risiede nel fatto che i dati analizzati con GA vengono poi inoltrati presso i server di Google LLC, negli Stati Uniti dove sono dichiaratamente accessibili ad autorità governative come CIA e NSA.

Questo passaggio ai server statunitensi avviene costantemente quando si utilizza Google Universal Analytics. La soluzione più intuitiva e sicura è quindi quella di disattivare questo strumento di misurazione.

Ma qual è il verdetto per la nuova versione, GA4? Alcuni, tra cui Google stessa, affermano che Google Analytics 4 è compliant al GDPR e sicuro da usare per le aziende europee. Altri sono invece più scettici e sono in cerca di chiarimenti prima di proseguire con l’utilizzo di questo tool.

Per quanto sia vero che Google abbia aumentato il focus sulla privacy con l’avvento di GA4, esistono alcune criticità da considerare.


Per approfondire, partiamo quindi da:

Cosa NON è sufficiente fare per essere compliant

Molte aziende hanno impostato i propri tracciamenti integrando misure di sicurezza in realtà obsolete nell’ottica di compliance al GDPR. Ecco alcune delle misure che non sono sufficienti per essere veramente compliant:

Crittografare i dati prima di inviarli

La crittografia è una misura di sicurezza efficace a far sì che terze parti non possano “spiare” i dati durante il trasferimento, ma è totalmente insufficiente ai fini della compliance al GDPR, dato che l’azienda soggetta alle richieste delle autorità statunitensi (in questo caso Google) può accedere ai dati personali in chiaro.

Infatti Google LLC stessa provvede alla crittografia dei dati ed è obbligata a fornire l’accesso o i dati importati in suo possesso, comprese le chiavi di crittografia.

Chiedere il consenso degli utenti

Il consenso degli utenti e il trasferimento di dati agli Stati Uniti sono due cose diverse. Non basta che gli utenti diano il consenso ai cookie di analytics visitando il vostro sito e acconsentendo all’uso dei cookie nel banner apposito.
Su questo punto, citiamo le FAQ dello CNIL (il garante francese):

Il consenso esplicito degli interessati è una delle possibili deroghe previste per alcuni casi specifici dall'articolo 49 del GDPR. Tuttavia, come affermato nelle linee guida del Comitato europeo per la protezione dei dati su queste deroghe, possono essere utilizzate solo per trasferimenti non sistematici e non possono costituire una soluzione a lungo termine e permanente, poiché il ricorso a una deroga non può diventare la regola generale.

 

Anonimizzare gli indirizzi IP in Google Analytics

Google ha integrato nella nuova versione di Analytics, Google Analytics 4 Properties (GA4), alcune funzionalità probabilmente pensate anche per adeguarsi al GDPR.
Già in Google Universal Analytics era possibile impostare “anonymize_ip” per rendere anonimi gli indirizzi IP degli utenti.

Google Analytics 4 non registra né archivia gli indirizzi IP durante la raccolta dei dati. Tuttavia prima di scartare gli indirizzi IP degli utenti, GA4 ricava alcune informazioni importanti sulla posizione, ad esempio latitudine, longitudine e città.

Questa funzionalità non basta.

Infatti per i garanti, l’anonimizzazione degli indirizzi IP non ha un vero effetto nel prevenire l’identificazione degli utenti. Con l'ampia varietà di dati identificativi, per Google potrebbe comunque essere possibile risalire all'identità di un singolo utente

Inoltre nelle impostazioni di GA4 è possibile:

  • Disattivare la raccolta di dati di Google Signals in base all'area geografica.
  • Disattivare la raccolta di dati granulari su località e dispositivo in base all'area geografica.


Queste impostazioni potrebbero comunque rivelarsi insufficienti in quanto non abbiamo il controllo su alcuni parametri identificativi degli utenti che passano comunque da Analytics e che Google potrebbe usare per risalire all’identità dei singoli utenti.

Per questo motivo, non siamo gli unici a ritenere che anche GA4 (così com’è) non sia compliant al GDPR.

 

Quindi, GA4 sì o no?

Se la tua azienda non ha ancora compiuto la migrazione a GA4, è probabile che tu stia considerando diverse alternative allo strumento di Analytics di Google.


Migrare all’esterno dell’ecosistema Google potrebbe rivelarsi una soluzione meno efficiente e in alcuni casi più onerosa in termini di costi di setup e mantenimento.


Google Analytics 4 è uno strumento potente e flessibile, costantemente aggiornato con nuove funzionalità e probabilmente la soluzione più “a prova di futuro” sul mercato, se consideriamo l’imminente scomparsa dei cookie di terze parti e quella che in una recente guida di Deloitte viene descritta come signal loss e che è in costante aumento.


Se invece hai già impostato GA4 sul sito o i siti della tua azienda e stai considerando di rimuoverlo per passare a software di misurazione alternativi, aspetta ancora un attimo:

Ci sono alcune soluzioni tecniche che possiamo usare per rendere GA4 compliant al GDPR, seguendo le indicazioni delle autorità garante!


La soluzione

Le autorità garante hanno indicato come possibile soluzione l’uso di un server proxy europeo.

google-analytics-proxy-eu-cnilFonte immagine: https://www.cnil.fr/en/google-analytics-and-data-transfers-how-make-your-analytics-tool-compliant-gdpr 

Ma GA4 non usa già un proxy in UE automaticamente?

Sì, è corretto. Ecco cosa accade a grandi linee:

  • Se l’istanza di GA4 impostata sul sito su cui stai navigando rileva che la tua sessione proviene dall’Unione Europea, la tua richiesta verrà automaticamente processata da un server UE. Potremmo definire questo come il “proxy automatico” di GA4.
  • Come ho scritto più sopra, GA4 scarta automaticamente gli indirizzi IP degli utenti dopo averne ricavato i metadati per risalire alla localizzazione.
  • I dati vengono quindi raccolti dal proxy di Google situato in UE e vengono poi elaborati su altri server appositi di Google (di cui non viene specificata la posizione).

Quindi se non possiamo affidarci al “proxy automatico” di GA4, dobbiamo impostare un proxy aggiuntivo, direttamente controllato da noi.

In questo modo potremo controllare i dati che il garante ci chiede esplicitamente di pseudonimizzare.

Funzionamento del proxy GA4 server-side

Ecco a grandi linee ciò che accade con un'impostazione di GA4 con proxy GTM server-side:

  • L’utente inizia a navigare sul vostro sito
  • La richiesta e l’analisi dei dati passa attraverso un nostro server fisicamente situato in Europa
  • Il dato viene pulito da noi su questo primo server con un contenitore Google Tag Manager server-side
  • Il dato pulito passa poi al proxy automatico di GA4 in Unione Europea

In questo modo possiamo mascherare o rimuovere i dati identificativi che ci serve gestire ai fini della compliance al GDPR ancor prima che arrivino al proxy automatico di Google.

Possiamo, ad esempio, rimuovere gli indirizzi IP ancora prima che Google sia in grado di ricavarne i metadati relativi alla posizione geografica degli utenti.

 

Requisiti del proxy server-side

Sempre lo CNIL, in merito alla soluzione del proxy, afferma quanto segue

Il server proxy deve inoltre essere ospitato in condizioni tali da garantire che i dati che elabora non vengano trasferiti al di fuori dell'Unione Europea in un Paese che non fornisce un livello di protezione sostanzialmente equivalente a quello previsto all'interno dello Spazio Economico Europeo.

 

Possiamo quindi dire che l'uso di un proxy server-side deve rispettare tre requisiti per essere una soluzione adeguata al problema:

  1. Il server deve essere collocato fisicamente in UE.
  2. L’azienda proprietaria del server deve essere regolarmente registrata in UE.
  3. Ogni dato degli utenti che possa essere utilizzato per risalire alla loro identità o alle caratteristiche del loro dispositivo deve essere rimosso; è anche opportuno modificare alcuni dati prima di inviarli al tool statunitense.

 

Quali dati rimuovere per essere GDPR compliant?

Di seguito riportiamo una lista, non esaustiva, del tipo di dati da rimuovere per rendere GA4 compliant al GDPR, secondo le indicazioni fornite dallo CNIL (garante francese):

  • Indirizzi IP

    Gli indirizzi IP non devono arrivare ai server degli strumenti di analisi (GA4 in questo caso).

  • Parametri negli URL

    È necessario rimuovere eventuali parametri contenuti negli URL raccolti (es. UTM, ma anche parametri URL che consentono il routing interno del sito).

  • Informazioni di fingerprinting

    Tutte le informazioni che solitamente vengono usate per generare una “impronta digitale” dell’utente vanno rimosse: anche le informazioni sul dispositivo di un utente come le dimensioni dello schermo o la versione del sistema operativo possono essere usate in alcuni casi per risalire alla sua identità.

E la cancellazione di ogni altro dato che possa comportare una reidentificazione.

 


La tua azienda necessita di supporto in ambito web analytics?


Conclusione

Abbiamo visto quindi che è possibile sfruttare la soluzione tecnica di un proxy server-side per rendere Google Analytics 4 compliant al GDPR.

Tieni presente che i dati raccolti saranno necessariamente meno ricchi rispetto a una configurazione non limitata dalle norme GDPR. Questa è una realtà a cui è ormai necessario adeguarsi, con alcuni accorgimenti.

Consigliamo di valutare nel dettaglio, oltre che con i propri consulenti privacy e con i DPO, l’impatto di una possibile configurazione di GA4 con proxy server-side con l'aiuto di un’agenzia esperta sul tema.

Se pensi che la soluzione proposta in questo articolo sia interessante lascia un commento. Vorresti ulteriori chiarimenti? Non esitare a contattarci!