Logo Logo
Cookiebot

 

Il Regolamento generale sulla protezione dei dati (GDPR) e la Direttiva ePrivacy (ePR) influiscono sul modo in cui tu, in quanto titolare di un sito web, puoi utilizzare Google Analytics per tracciare i visitatori provenienti dall'UE.

 

Prova ora il nostro test di conformità gratuito per verificare se l'utilizzo dei cookie e del tracking online sul tuo sito web è conforme a GDPR/ePr.

Google Analytics GDPR compliance

Aggiornato in data 3 aprile 2020.


Google Analytics è di gran lunga lo strumento più diffuso tra i proprietari di siti web per capire come il loro sito viene utilizzato.

Ma il GDPR e Google Analytics possono coesistere? È possibile continuare a usarlo, rispettando al contempo il regolamento, e cosa ci vuole? Scopri se il tuo utilizzo di Google Analytics è conforme al GDPR.

In questo articolo presentiamo Google Analytics e il GDPR, soffermandoci sulle implicazioni pratiche dei suoi requisiti legali per il tuo sito web e il suo utilizzo dei cookie, del tracciamento online e di altri strumenti simili.

Scopri come dovresti modificare il tuo account Google Analytics e come rendere l’uso di Google Analytics sul tuo sito web conforme alla legge.

Passa direttamente alla checklist 1 se vuoi saltare le introduzioni e metterti subito al lavoro.


Cos'è Google Analytics?


Google Analytics è lo strumento potente e ampiamente utilizzato messo a disposizione da Google per analizzare il traffico online. Consente ai proprietari dei siti web di ottenere informazioni approfondite e in tempo reale su come, in che misura e da chi il loro sito venga utilizzato.

Come fanno gli utenti a trovare il tuo sito? Come ci navigano? Quanto tempo ci rimangono? Dove vanno quando lo abbandonano?

In questo senso, Google Analytics è fondamentalmente uno strumento di elaborazione dei dati degli utenti.


Cos'è il GDPR e come influisce sul mio sito web?


Il Regolamento generale sulla protezione dei dati è una legge dell'UE che introduce rigorosi requisiti sulle modalità di trattamento dei dati dei cittadini europei.

È entrato in vigore il 25 maggio 2018 e interessa società, organizzazioni e siti internet, grandi e piccoli, che trattano dati personali di utenti dell'Unione Europea.

Il regolamento prevede che tu, come proprietario di un sito, debba controllare tutte le attività di trattamento dei dati personali, assicurandoti che siano conformi.

In genere, le attività di trattamento dei dati sono classificabili in una di queste due tipologie:

  1. Moduli di contatto, iscrizioni a e-mail e simili. In questo caso, i dati personali sono esplicitamente richiesti e forniti direttamente dell’utente;
  2. Cookie e tracciamento online.

Il GDPR comporta la necessità di esaminarne entrambe le categorie e di controllare quali dati tu stia raccogliendo, per quale motivo tu lo stia facendo e quali misure tu stia adottando per tenerli al sicuro.

Cookiebot se ne può occupare al posto tuo: provalo gratuitamente per 30 giorni... o per sempre, se il tuo sito è di dimensioni contenute.


La questione dei cookie nel GDPR

I cookie, a causa dei loro molteplici utilizzi, sono spesso l’elemento più complesso da adeguare al regolamento.

Hanno svariati scopi, dalle funzionalità alla performance, fino alla statistica e al marketing mirato.

Alcuni sono necessari per il corretto funzionamento del sito web, altri invece no. Alcuni migliorano l'esperienza dell'utente, altri servono per il monitoraggio e la profilazione degli utenti, altri ancora fanno entrambe le cose.

Alcuni sono installati dal sito web stesso, mentre la maggior parte sono di terzi, generalmente impostati da plug-in di terze parti incorporati.

I cookie sui siti web, inoltre, tendono a cambiare, il che significa che non sarà sufficiente ottenerne la panoramica una sola volta.

A livello generale, tuttavia, i cookie tracciano le azioni degli utenti e sono quindi soggetti al GDPR.

Il regolamento influisce sul tuo utilizzo dei cookie e del tracciamento online, sulla tua cookie policy e sulla tua informativa sulla privacy, nonché sul modo in cui ottieni il consenso dei tuoi utenti all'impostazione dei cookie.

Tra i soggetti che impostano i cookie ci sono plugin, contenuti incorporati e altri strumenti in uso sul tuo sito internet.

Come proprietario del sito web, sei responsabile di tutte le attività di trattamento dei dati che hanno luogo sul tuo sito web, siano esse di prima o terza parte.

Per saperne di più sulle soluzioni per i cookie del tuo sito web, clicca qui.


Cosa si intende con "dati personali" nel GDPR?

Il problema per i proprietari di siti web nell’utilizzo di strumenti di analisi come questo è rappresentato dall'ampia definizione di dati personali nel GDPR:

Non sono personali solamente gli indirizzi IP, le informazioni di contatto e i dati sensibili come le cartelle cliniche e la documentazione finanziaria, ma anche tutti i dati che possono identificare un individuo "direttamente o indirettamente" usando "tutti i mezzi di cui è ragionevolmente possibile avvalersi”.

Ciò include dati pseudonimi, identificatori online e cookie che, come afferma il GDPR, possono essere combinati con altri dati per creare "profili delle persone fisiche e identificarle”.


Quali dati personali raccoglie Google Analytics?

Google Analytics funziona attraverso un codice di monitoraggio che viene inserito nelle pagine del tuo sito web. Ogni utente è registrato con un ID univoco, in modo che Google Analytics possa fornirti informazioni, ad esempio, sul numero di visitatori unici presenti sul sito e sul numero di utenti di ritorno.

Con Google Analytics è possibile rilevare la frequenza con cui ciascun singolo utente ha visitato il sito web, quali pagine ha visitato, per quanto tempo vi è rimasto e come ha interagito con il sito.

Combinando queste informazioni con gli innumerevoli dati statistici di cui dispone, Google Analytics può fornire informazioni estremamente precise sui segmenti di popolazione che il tuo sito attrae, basandosi su parametri demografici quali l’età, il sesso, gli interessi privati e professionali, la posizione geografica, ecc.

È difficile avere una visione d'insieme precisa di quali siano i dati effettivamente tracciati da Google Analytics, in quanto è in costante sviluppo e miglioramento, senza contare poi che Google non si distingue per la trasparenza sui metodi che impiega.

Secondo i Termini della protezione dei dati di Google Ads: Informazioni sul servizio, Google Analytics raccoglie i seguenti tipi di dati personali: 

Per avere una panoramica dei dati che Google raccoglie, dai un'occhiata all'informativa sulla privacy di Google:

Raccogliamo dati per offrire servizi migliori a tutti i nostri utenti, ad esempio per capire elementi fondamentali come la lingua che parli oppure elementi più complessi come quali annunci potrebbero esserti più utili, le persone che potrebbero interessarti di più online o quali video di YouTube potrebbero piacerti. Le informazioni raccolte da Google e il modo in cui esse vengono utilizzate dipendono da come utilizzi i nostri servizi e da come gestisci i controlli per la privacy.

Quando non esegui l'accesso a un account Google, archiviamo le informazioni che raccogliamo tramite identificatori univoci legati al browser, all'applicazione o al dispositivo che stai utilizzando. Ciò ci aiuta, tra le altre cose, a mantenere le stesse preferenze di lingua tra una sessione di navigazione e l'altra.

Quando esegui l'accesso, raccogliamo anche le informazioni che archiviamo con il tuo account Google e le trattiamo come informazioni personali.

Consulta le Norme sulla Privacy di Google per saperne di più su quali informazioni Google raccoglie, perché le raccoglie e come puoi assumere il controllo dei tuoi dati.


Le Norme relative al consenso degli utenti dell'UE e il GDPR


In conformità con i Requisiti delle norme per le funzioni pubblicitarie, sia i clienti di Google Analytics che di Analytics 360 che utilizzano le funzionalità pubblicitarie devono rispettare le Norme relative al consenso degli utenti dell'UE.

Definiscono le responsabilità dei proprietari dei siti web per la divulgazione e l'ottenimento dei consensi degli utenti finali nello Spazio economico europeo (d'ora in poi SEE).

Per esempio, secondo tali norme, gli inserzionisti saranno tenuti a ottenere il consenso degli utenti per la raccolta di dati finalizzati a proporre annunci personalizzati (ad esempio i tag di remarketing per la creazione di liste di pubblico) e per l'uso dei cookie, laddove richiesto dalla legge (ad esempio i tag di conversione).

Queste norme sono incorporate nei contratti per la maggior parte degli annunci e dei prodotti di misurazione di Google in tutto il mondo.


Scopri di più

Consulta privacy.google.com/businesses per ulteriori informazioni sulle norme sulla privacy dei dati di Google e sul loro approccio alla questione, sui Termini contrattuali per il trattamento dei dati e i Termini contrattuali sulla protezione dei dati applicabili al titolare del trattamento.


Checklist 1: Passaggi per rendere il tuo account Google Analytics conforme al GDPR



1. Controlla come trasmetti i dati personali a Google

Non è sufficiente filtrare i dati personali tramite i filtri di Google Analytics.

La trasmissione deve essere bloccata a livello di codice per evitare che i dati vengano trasmessi a Google Analytics.

Controlla gli url delle tue pagine, i loro titoli e altre impostazioni. Assicurati che non vengano raccolti dati personali.

Un esempio comune di raccolta di dati personali è quando si acquisisce un URL di pagina che contiene un parametro come "email = querystring".

Se questo è il caso, è probabile che tu stia facendo trapelare dati personali ad altre tecnologie di marketing che operano sul tuo sito!


2. Attiva l’anonimizzazione IP

Secondo la definizione del GDPR, l'indirizzo IP è un dato personale. Gli indirizzi IP non sono mai visibili per default nei rapporti, ma Google li utilizza per fornire dati di geolocalizzazione.

Pertanto, è una buona idea attivare la funzione di anonimizzazione dell'IP in Google Analytics.

Questa modifica ridurrà leggermente la precisione del rilevamento geografico del tuo account Google Analytics.

Per attivare l'anonimizzazione, è necessario modificare il codice.

Se usi Google Tag Manager, modifica il tuo tag o la variabile Impostazioni di Google Analytics cliccando in Altre impostazioni -> Campi da impostare e poi aggiungi un nuovo campo chiamato "anonymizeIp" con un valore di "true".

Se non usi Google Tag Manager, il tuo sistema di gestione dei tag potrebbe avere questa impostazione tra le opzioni disponibili, oppure potresti dover modificare direttamente il codice.

Una volta implementato, Google anonimizzerà l'indirizzo IP non appena tecnicamente possibile, rimuovendo l'ultimo ottetto dell'indirizzo IP prima che inizi la memorizzazione o l'elaborazione (il vostro IP diventa 123.123.123.123.0 - ove l'ultima parte/ottetto viene sostituita con uno '0'). Dopo aver abilitato questa funzione, secondo Google, l'indirizzo IP completo non verrà mai scritto sul disco.


3. Controlla la raccolta di identificatori pseudonimi in Google Analytics

La tua implementazione di Google Analytics potrebbe già utilizzare identificatori pseudonimi, tra i quali ci possono essere:

ID utente: controlla che gli ID utente siano identificatori alfanumerici del database e non dati scritti in forma di testo semplice come e-mail, nomi utente, ecc.

Dati hashed/criptati come gli indirizzi e-mail:  verifica se ti è possibile fare a meno di dati hashed o criptati. Google ha un requisito minimo per l'hashing di SHA256. Tuttavia, si raccomanda di evitare di raccogliere i dati con questa modalità.

ID transazione: gli ID transazione sono identificatori tecnicamente pseudonimi in quanto, se collegati con un'altra fonte di dati, possono portare all'identificazione di una persona. Accertati che questo ID sia un identificatore alfanumerico del database.


Checklist 2: Passaggi per rendere conforme al GDPR il tuo utilizzo di Google Analytics e dell'informativa sulla privacy



1. Garantisci trasparenza sul trattamento dei dati sul tuo sito nella tua informativa sulla privacy e/o nella cookie policy

Accertati che l'effettivo trattamento dei dati in corso sul proprio sito web sia espressamente dichiarato, ad esempio nell'informativa sulla privacy. Secondo i requisiti del GDPR, è previsto che le informazioni sulla raccolta dei dati…

Per saperne di più sui vari requisiti e sulla conformità, leggi il nostro articolo dedicato all'informativa sulla privacy.

La tua cookie policy è adeguata? La cookie policy deve essere accessibile agli utenti e indicare quali sono i cookie in uso, qual è il loro scopo e come si può scegliere di accettarli o rifiutarli.


Google Analytics e l’informativa sulla privacy

Non importa se la tua cookie policy è un documento indipendente o è integrata nella tua informativa sulla privacy, a condizione che le informazioni siano facilmente accessibili ai tuoi utenti.

Approfondisci i requisiti per la cookie policy e come rispettarli.

Con Cookiebot, il report mensile della scansione del tuo sito web può essere pubblicato come parte integrante della tua informativa sulla privacy e della tua cookie policy.

Per saperne di più sulla nostra tecnologia di scansione dei cookie, clicca qui.

Così facendo, le informazioni che fornisci ai tuoi utenti sono sempre precise e aggiornate sull'effettiva elaborazione dei dati in corso, indipendentemente da come cambino i tuoi strumenti e i tuoi cookie.

La dichiarazione, inoltre, contiene automaticamente le opzioni obbligatorie per la modifica e la revoca del consenso.


2. Google Analytics e il consenso ai cookie e al tracking conforme al GDPR

Ricevere dai tuoi visitatori un corretto consenso all’uso dei cookie è essenziale per rendere il tuo sito web conforme al GDPR. Per essere davvero conforme, il consenso deve essere:

Per saperne di più, leggi il nostro articolo sulle modalità di consenso ai cookie e il GDPR.

Cookiebot è una delle uniche soluzioni per il consenso dei cookie che fa tutto ciò.

Non è possibile controllare Google. Implementando Cookiebot, però, puoi rendere l'utilizzo dei cookie e del tracciamento online sul tuo sito web conforme al GDPR.


Risorse


Report GDPR: il GDPR e Google Analytics (in inglese)


Shivarweb: Cosa fa Google Analytics? (in inglese)


Guida per gli sviluppatori di Google: Google Analytics e l'uso dei cookie sui siti web (in inglese)


Stackoverflow: Che dati raccoglie Google Analytics per default (in inglese)


Informativa sulla privacy di Google


Medium: Google Analytics e la conformità al GDPR (in inglese)


Termini di protezione dei dati di Google Ads: Informazioni sul servizio


Norme relative al consenso degli utenti dell'UE di Google


Classificazione completa dei prodotti di Googles Ads

Nuovo Google Consent Mode 

Cookiebot si integra perfettamente con il nuovo Google Consent Mode

Rendi conforme l'uso dei cookie e del tracciamento online sul tuo sito ora!

Provalo gratuitamente