Dal primo luglio 2023 Google ha introdotto la versione 4 (GA4) di Google Analytics, che è maggiormente tutelante per la privacy degli utenti del sito.
Google Analytics traccia gli utenti fino al punto di identificarli singolarmente, per cui tale tipo di servizio nelle sue normali modalità di funzionamento è una forma di profilazione degli utenti che comporta stringenti oneri per i gestori dei siti web (vedi Cookie Law), in particolare occorre chiedere preventivamente il consenso all'uso dei cookie agli utenti e bloccare il servizio fino a tale consenso, utilizzando il banner-informativa breve). Poiché la maggiore parte dei gestori dei siti non necessita di funzioni di profilazione, ma ritiene sufficiente avere una analisi aggregata dei dati degli utenti. può essere molto utile configurare Google Analytics in modo che la sua invasività sia ridotta e quindi gli oneri a carico del gestore del sito sono limitati. Ovviamente per la conformità dei servizi Google occorre valutare attentamente anche l'uso degli altri servizi.
Per limitare gli oneri a carico del gestore del sito, quale titolare del trattamento, occorre ridurre il potere identificativo dei cookie e obbligare la terza parte (cioè Google) a non incrociare i dati con quelli di altri suoi servizi.
Google Analytics
Google Analytics raccoglie i seguenti dati:
- ClientIDs, stringa univoca di numeri per ogni utente del sito;
- numero di visite e ora della precedente visita;
- dati su come l'utente giunge sul sito (ricerca, storia del browser, ecc...);
- indirizzo IP (a meno ché non sia impostato diversamente nell'account di Google Analytics).
Ridurre l'invasività di Google Analytics 4
La versione 4 di Google Analytics per impostazione predefinita e non modificabile tratta IP già anonimizzati, cioè troncati all'ultimo ottetto. In questo modo non è possibile identificare univocamente il dispositivo utilizzato per navigare in internet, ma il riferimento è ad un gruppo di dispositivi. In questo modo l'elaborazione dei dati avviene su dati aggregati e non identificativi. Google comunque raccoglie altri dati che, se incrociati con gli IP anonimizzati, potrebbero portare all'identificazione, per questo è necessario procedere al blocco dell'incrocio dei dati con altri servizi di Google.
Per ridurre il potere identificativo del servizio di Google occorre di fatto anonimizzare gli IP e impedire l'incrocio dei dati raccolti da Analytics con gli altri servizi di Google (cioè Google Ads). Teniamo presente che per le proprietà App e App + Web, l'anonimizzazione IP è abilitata per impostazione predefinita. Per impedire l'incrocio dei dati con altri servizi Google occorre andare nell'account, quindi in Amministrazione e poi in Impostazioni Account deselezioniamo la casella Prodotti e Servizi Google (dovrebbe esserlo di default).
Poi nel menu Amministrazione, e in Impostazioni dell'account, togliamo la spunta a tutte le voci.
Inoltre occorre disattivare i dati granulari sulla posizione e sul dispositivo, che sono attivi per impostazione predefinita. Per disattivarli si va in Impostazioni dei dati e poi Raccolta dei dati, dove si può attivare o disattivare la raccolta dei dati granulari, ma anche eventualmente selezionarla solo per alcune regioni.
Disattivare i Google Signals
Google ha aggiornato le funzioni pubblicitarie con l'introduzione dei Google Signals. Per impostare correttamente Analytics in modo che il servizio sia basato su dati aggregati e quindi non occorra il consenso quale base giuridica del trattamento, si devono impostare i Google Signals non attivi. Lo si può verificare nel pannello Amministrazione, poi Impostazioni Account, Impostazioni dei dati e infine Raccolta dei dati. Se l'impostazione non è attiva è visibile un pulsante Inizia.