Google Analytics: Anonimizzazione e Privacy

Pagina con una schermata di Google Analytics

In un precedente articolo abbiamo parlato di come i cookie a oggi rappresentino una sfida a livello di privacy, rispetto dei dati personali trattati e di configurazione. In particolare i cookie di tracciamento, di automazione, di marketing e statistici meritano un approfondimento per la delicata natura del trattamento. Vedremo in questo articolo uno dei più famosi servizi di analisi dati e statistiche dei siti web: Google Analytics.

Una prima panoramica

Google Analytics è un servizio di monitoraggio gratuito offerto da Google e si occupa di raccogliere informazioni sulla navigazione dell’utente nella pagina e di presentarli in maniera organica, filtrabile e schematica per capire l’andamento del sito grazie ai rapporti sul numero di utenti, di sessioni, le frequenze di rimbalzo, la durata della visita delle pagine e molto altro. Uno strumento davvero prezioso che si basa sull’analisi dei visitatori e sulla loro interazione con sito web a scopo statistico.

Tale raccolta di dati avviene mediante uno script javascript, un codice presente sul sito, che permette la comunicazione tra il sito web e Google Analytics grazie ai cookie. Le modalità sono sostanzialmente due, jtag.js e analytics.js (tralasciando il più arcaico ga.js che andrebbe sostituito per evitare problematiche legate al GDPR e alle funzionalità ridotte), e può essere adoperata l’una o l’altra in base alle necessità. In questo articolo non ci soffermeremo sulle differenze tra i due in quanto le principali differenze riguardano le feature disponibili, mentre l’obbiettivo dell’articolo è focalizzarsi sulla privacy.

Come funziona: i passaggi dal sito web a Google Analytics

Gtag.js e analytics.js impostano i seguenti cookie:

  • _ga che viene utilizzato per distinguere gli utenti con durata di 2 anni (valore modificabile dell’utente);
  • _gid che ha lo scopo anch’esso di distinguere gli utenti con durata di 1 giorno;
  • _gat che serve per limitare la frequenza delle richieste e ha la durata di 1 minuto.

Tenendo quindi presente che _ga e _gid sono utilizzati per riconoscere l’utente collegato tramite un dispositivo come uno smartphone o un pc (sotto forma di ClientID) e che i dati raccolti vengono conservati per due anni vediamo cosa avviene sul sito internet al momento della raccolta dati quando un utente visita il sito internet.

Infografica monitoraggio standard di Google Analytics in 4 passaggi
L’utente si collega al sito, viene verificato dal browser se sono già disponibili i cookie o se vanno creati e vengono registrate e trasmesse la navigazione e le interazioni dell’utente a Google Analytics

Notare che se nel tempo l’utente si ricollega attraverso i cookie col medesimo dispositivo questi viene riconosciuto grazie al clientID e tali informazioni vengono registrate su Google Analytics per due anni fornendo un vero e proprio storico di navigazione.

Passando ai processi che avvengono una volta che i dati arrivano a Google Analytics:

Infografica processo analisi Google Analytics in 4 passaggi
I dati vengono prima raccolti ed elaborati secondo la configurazione di Google Analytics. Infine vengono presentati sotto forma di report anonimi nella propria pagina di Google Analytics

Perché abbiamo seguito tutti questi passaggi se nella fase terminale, quella da noi visibile su Google Analytics, i dati vengono sempre anonimizzati da Google?

Le motivazioni sono principalmente due:

  1. Google Analytics fa parte di un ecosistema ed è possibile associare servizi come Search Console, Google Ads, AdSense e via discorrendo. L’interazione tra questi prodotti riguarda automazione e profilazione dei dati personali se non vengono anonimizzati nella prima fase di raccolta. Anche se tali servizi non fossero in essere ricordiamo che di default Analytics conserva i dati per due anni e future implementazioni potrebbero fare uso di tali dati.
  2. Per il principio di minimizzazione bisogna conservare solo i dati necessari per il trattamento. Se le finalità dichiarate per Analytics nella cookie policy sono a fine statistico in forma anonima devono esserlo a partire dalla raccolta e non solo in fase di report.

Google Analytics e Compliance

Alla luce del funzionamento e delle riflessioni sopra riportate appare evidente che Google Analytics non è di default compliant al GDPR, ma dev’essere cura del gestore del sito web adottare le misure idonee per poter utilizzare tale strumento nel rispetto della privacy.

Senza variazioni al codice di monitoraggio proposto sul portale di Google Analytics quando viene implementato nel proprio sito internet, trattando dati non anonimizzati, è necessario che questi:

  1. sia bloccato quando un utente entra nel sito;
  2. sia presente un cookie banner con la richiesta del consenso;
  3.  solo dopo aver ottenuto tale consenso il codice può essere attivato e i dati raccolti.

Importante notare come tutti i cookie di tracciamento, di automazione, di profilazione e statistici devono rispettare questi tre punti per essere GDPR compliant a meno di non anonimizzare completamente i dati sin dalla raccolta.

Google Analytics e consenso

Il consenso invece non è necessario quando vengono rispettati questi criteri:

  1. È stata accettata l’informativa del servizio Google Analytics, il che avviene durante la registrazione del servizio o quando i termini, a distanza di tempo, possono essere aggiornati da Google che tramite una comunicazione richiede nuovamente il consenso per le variazioni effettuate.
  2. Analytics non ha il permesso di usare i dati per altri servizi Google in quanto si rientra nell’automazione e/o profilazione in base ai prodotti associati. Visto il numero di configurazioni e servizi offerti non è possibile generalizzare sulle modalità da utilizzare per il rispetto del GDPR, ma è necessario analizzare caso per caso.
  3. Non viene acquisito l’indirizzo IP dell’utente grazie all’anonimizzazione o mascheramento degli indirizzi IP in Google Analytics. In alternativa è possibile rendere Analytics cookieless. Lo script che richiama Analytics dev’essere opportunamente configurato a tale scopo nel sito web.
Approfondimento di Google Analytics: come funziona l'anonimizzazione dell'IP

Esempio presente sulla pagina di supporto di Google Analytics che mostra il mascheramento dell’IP quando si utilizza Google Analytics in forma anonima. Il mascheramento o l’anonimizzazione degli indirizzi IP avviene non appena i dati vengono ricevuti da Google Analytics, prima che venga eseguita qualsiasi archiviazione o elaborazione.

Analisi tecnica

Apriamo una piccola parentesi per trattare a piccole dosi su cosa deve avvenire a livello tecnico affinché l’anonimizzazione sia attiva. Riprendiamo dalla pagina di supporto di Google Analytics linkata in precedenza:

“La rete di raccolta di Analytics è l’insieme di server che forniscono due servizi principali: la pubblicazione di gtag.js (o analytics.js) e la raccolta dei dati inviati tramite richieste per /collect.

Quando arriva una richiesta per gtag.js (o analytics.js), questa include informazioni aggiuntive nell’intestazione della richiesta HTTP, ovvero il tipo di browser utilizzato, e nell’intestazione TCP/IP, ovvero l’indirizzo IP del richiedente.

Non appena arriva una richiesta, questa viene conservata in memoria per l’anonimizzazione. Se nell’URL della richiesta viene trovato il parametro &aip=1, l’ultimo ottetto dell’indirizzo IP dell’utente viene impostato su zero, mentre è ancora in memoria.”

Infografica anonimizzazione Google Analytics in 4 passaggi

“Se viene utilizzato il metodo di anonimizzazione IP, l’indirizzo IP completo non viene mai scritto su disco, in quanto tutta l’anonimizzazione avviene nella memoria quasi istantaneamente dopo che la richiesta è stata ricevuta.”

Dalla fase di raccolta a quella di conservazione l’IP completo non viene mai registrato grazie al parametro &aip=1 presente nell’invio dati /collect.

Affinchè tale parametro sia presente gtag.js deve aver settato il parametro “anonymize_ip” su “true”, mentre se si utilizza analytics.js “anonymizeIp” su “true”.

Se non è presente /collect non disporrà del parametro &aip=1 e non sarà anonimizzato l’IP che verrà dunque registrato.

Come fare una verifica

È possibile controllare su qualsiasi sito web se è presente Google Analytics e se è anonimizzato.

Una possibilità è dal proprio browser è controllare la sorgente pagina, mentre in alternativa sono disponibili strumenti per sviluppatori per controlli più avanzati. Visto il numero di browser disponibili non ci dilungheremo oltre su queste opzioni.

Infine per uno strumento più visivo e pratico per chi vuole una soluzione più semplice è disponibile sul chrome web store l’estensione per Google Chrome Tag Assistant Legacy (by Google) che una volta installato e attivato permette di controllare il codice di Analytics e altri servizi Google in maniera semplice.

Una volta entrati nella pagina web da controllare basterà premere il pulsante in alto a destra con la forma di un’etichetta di blu (se non la vedete basterà cliccare sul simbolo sempre presente in alto a destra del pezzo di puzzle dove sono disponibili tutte le estensioni attivate) seguito dal pulsante “Enable”. Dovrete ora ricaricare la pagina web col tasto F5 o col sistema che preferite.

A questo punto di nuovo in alto a destra sul simbolo di Tag Assistant e vedrete la lista di servizi di Google attivi sul sito. Se dovesse essere presente “Google Analytics” si potrà entrare con un click e in “Code Snippet” verificare la presenza o meno del parametro “anonymize_ip” o “anonymizeIp” settato su “true”. Andando invece su “Pageview Requests” e “URLs” si può vedere se c’è “&aip=1” per l’anonimizzazione dei dati.

Conclusione

Per la natura tecnica del tema siamo dovuti ricorrere a spiegazioni infarcite da piccole dosi di codice, ma abbiamo cercato di proporre una spiegazione su più livelli comprensiva di grafici e soluzioni pratiche. Abbiamo analizzato il servizio di Google Analytics nelle sue parti e visionato il suo flusso dati, siamo passati a parlare di compliance e consenso per capire come deve essere gestita la privacy: tre punti su cosa è necessario che sia presente sui siti web che non applicano l’anonimizzazione dei dati, tre punti per capire quando è richiesto il consenso. Infine abbiamo parlato di codice entrando in un territorio più tecnico, ma che ci ha permesso di parlare di verifiche e come effettuarle.

Condividi:

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on whatsapp
WhatsApp
Share on telegram
Telegram
Share on email
Email
Torna su