Google Analytics 4 (GA4) è conforme al GDPR?

Le indicazioni del Garante privacy danese.

Prima di entrare nello specifico di GA4 facciamo un piccolo passo indietro.

Il 9 giugno il Garante privacy italiano (ma prima di lui si erano espresse l'autorità di controllo austriaca e francese) ha dichiarato la non conformità di Google Analytics al GDPR. Il citato servizio di Google, infatti, raccoglie, mediante cookie, dati personali e metadati (indirizzo IP, informazioni sul browser, sul sistema operativo, sulla risoluzione dello schermo, sulla lingua selezionata nonché data e ora della visita al sito web).

Il problema non è lo strumento Google Analytics in sé ma in quanto i dati personali da esso raccolti vengono trasferiti negli Stati Uniti, paese che, a seguito dell'invalidazione del Privacy Shield avvenuta nel 2020, è considerato non in grado di offrire un livello di protezione adeguato ai dati personali.

Il Garante italiano ha poi precisato che le considerazioni svolte riguardano esclusivamente Google Analytics versione 3 (Universal Analytics).

Di qui il dubbio: Google Analytics versione 4 (GA4) è conforme al GDPR?

Sul punto è intervenuta l'autorità di controllo danese con le FAQ pubblicate il 21 settembre. Ecco una sintesi dei punti principali.

É possibile configurare GA4 in modo tale che non trasferisca dati personali negli Stati Uniti?

Come dichiarato da Google, tutti i dati raccolti tramite Google Analytics vengono elaborati ed archiviati negli Stati Uniti. Ad oggi non risulta che Google abbia previsto un diverso tipo di setup.

É possibile configurare GA4 in modo tale che non raccolga dati personali?

Da qualche tempo Google Analytics ha messo a disposizione alcune impostazioni che permettono di non raccogliere dati personali relativi, ad esempio, al browser e al sistema operativo del visitatore.

Inoltre è possibile disattivare servizi come Data Sharing e Google Signals, che consentono di condividere dati con Google rispettivamente allo scopo di migliorare i prodotti Google e di fornire pubblicità mirata.

Tuttavia, anche configurando GA4 in modo da raccogliere il minor numero possibile di dati, non si può impedire che vengano raccolti l'identificatore univoco assegnato al visitatore e dati relativi alle interazioni con il sito web, alla data e all'ora della visita e alla posizione dell'utente.

Tali dati, anche se non consentono di risalire al nome o all'identità della persona, devono comunque essere considerati dati personali a norma del GDPR in quanto permettono di effettuare il c.d. single-out ovvero di identificare un soggetto all'interno di un gruppo.

Se il titolare di un sito web riuscisse a configurare GA4 in modo da non raccogliere dati personali potrebbe continuare ad utilizzare tale servizio senza violare la legge?

Sì. L'uso di Google Analytics non è di per sé vietato.

In tal caso il titolare dovrà documentare le impostazioni adottate in modo da poter dimostrare la loro conformità al GDPR.

La pseudonimizzazione dei dati è una misura aggiuntiva sufficiente a rendere lecito l'uso di GA4?

La pseudonimizzazione è il processo a seguito del quale i dati personali non possono essere attribuiti ad uno specifico soggetto senza l'utilizzo di informazioni aggiuntive.

Affinché la pseudonimizzazione sia realmente efficace occorre considerare quali informazioni aggiuntive (in particolare l'indirizzo IP) siano in possesso del paese terzo a cui vengono trasferiti i dati.

Nel caso degli Stati Uniti:

1. GA4 non memorizza l'indirizzo IP ma lo raccoglie al solo scopo di determinare la posizione approssimativa dell'utente. Tuttavia, per determinare tale posizione, l'indirizzo IP viene inviato al data center statunitense più vicino e ciò comporta di per sé un illecito trasferimento del dato negli Stati Uniti.
2. Quando l'indirizzo IP viene inviato al data center statunitense più vicino il firewall di Google registra il traffico in entrata. Google può allora incrociare i dati in suo possesso con quelli raccolti da Google Analytics per ricavare dati personali, tra cui l'indirizzo IP.
3. Infine, i trattati di mutua assistenza giudiziaria consentono alle autorità pubbliche statunitensi di ottenere, con l'assistenza della polizia e dell'internet service provider, informazioni che permettano di risalire alla persona fisica a cui appartiene l'indirizzo IP.

Per questi motivi la pseudonimizzazione non può essere considerata una misura aggiuntiva sufficiente.

La crittografia è una misura aggiuntiva sufficiente a rendere lecito l'uso di GA4?

La crittografia è una misura tecnica efficace a condizione che la chiave di crittografia sia detenuta esclusivamente dall'esportatore di dati oppure da un soggetto all'interno della UE, del SEE o di un paese terzo reputato sicuro.

La crittografia implementata da Google non è una misura efficace poiché la chiave di crittografia è detenuta proprio da Google.

É possibile utilizzare GA4 se si ottiene il consenso dell'utente?

Il consenso legittima il trasferimento di dati a condizione che l'utente sia adeguatamente informato dei rischi e che il trasferimento dei dati sia occasionale.

Non è questo il caso di GA4, che effettua un trasferimento generalizzato di tutti i dati raccolti.

In conclusione, GA4 di per sé non è conforme al GDPR. Sarà dunque necessario implementare misure tecniche aggiuntive oppure dismetterne l'utilizzo.

Avv. Silvia Facondini