Google Analytics è lo strumento di misurazione dell’audience più utilizzato al mondo: oltre 28 milioni di siti web lo integrano nel 2026. Tuttavia, da quando il Garante per la protezione dei dati personali ha dichiarato Google Analytics non conforme al RGPD nel giugno 2022, allineandosi alla decisione della CNIL francese del febbraio dello stesso anno, la legittimità di questo strumento è divenuta una questione centrale per ogni editore di siti web europeo. L’introduzione di Google Analytics 4 e l’adozione del quadro EU-US Data Privacy Framework nel luglio 2023 hanno modificato il panorama, ma i rischi non sono scomparsi. Se gestite un sito web accessibile dall’UE, comprendere queste problematiche è indispensabile per evitare sanzioni fino a 20 milioni di euro.
Perché Google Analytics crea problemi con il RGPD
Il conflitto tra Google Analytics e il RGPD si incentra su un punto fondamentale: il trasferimento di dati personali verso gli Stati Uniti. Quando un visitatore naviga su un sito che utilizza Google Analytics, dati come l’indirizzo IP, l’identificatore del cookie, la risoluzione dello schermo e il comportamento di navigazione vengono raccolti e inviati ai server di Google situati negli Stati Uniti.
La sentenza Schrems II e le sue conseguenze
Nel luglio 2020, la Corte di giustizia dell’Unione europea ha invalidato il Privacy Shield, il meccanismo che autorizzava i trasferimenti di dati tra l’UE e gli USA. Questa sentenza, nota come Schrems II, ha creato un vuoto giuridico per tutti i servizi americani che trattano dati di residenti europei. Google Analytics, che trasferisce sistematicamente dati ai server americani di Google, ne è stato direttamente coinvolto.
Le decisioni delle autorità europee nel 2022
Nel febbraio 2022, la CNIL francese ha messo in mora un gestore di sito web per l’utilizzo di Google Analytics nella configurazione standard. Nel giugno 2022, il Garante per la protezione dei dati personali italiano ha adottato un provvedimento analogo nei confronti di un’azienda italiana, stabilendo che l’utilizzo di Google Analytics comportava il trasferimento illecito di dati personali verso gli Stati Uniti e concedendo 90 giorni per adeguarsi. Anche le autorità austriache e danesi hanno raggiunto conclusioni simili.
Il doppio problema dei cookie
Oltre al trasferimento di dati, Google Analytics deposita cookie di tracciamento sul dispositivo dell’utente. In conformità alle Linee guida del Garante sui cookie e sugli altri strumenti di tracciamento del giugno 2021, qualsiasi deposito di cookie non essenziali richiede il consenso preventivo dell’utente. Un sito che carica Google Analytics senza attendere il consenso commette quindi una doppia violazione: infrazione delle norme sui cookie e trasferimento non autorizzato di dati verso gli Stati Uniti.
Il Data Privacy Framework: un miglioramento incerto
Nel luglio 2023, la Commissione europea ha adottato l’EU-US Data Privacy Framework (DPF), un nuovo quadro giuridico destinato a risolvere il problema dei trasferimenti transatlantici di dati. Google è stato certificato nell’ambito del DPF, il che in teoria legalizza nuovamente i trasferimenti verso i suoi server americani. Tuttavia, questo quadro si basa su impegni delle autorità statunitensi e sono già in corso impugnazioni giuridiche. L’organizzazione noyb ha annunciato l’intenzione di contestare il DPF dinanzi alla Corte di giustizia dell’UE, come ha fatto con il Privacy Shield. Un’eventuale sentenza «Schrems III» potrebbe invalidare questo quadro a sua volta. Nel 2026, l’incertezza giuridica persiste.
Google Analytics 4: è sufficiente?
Dal luglio 2023, Google ha ritirato Universal Analytics e lo ha sostituito con Google Analytics 4 (GA4). Questa nuova versione apporta miglioramenti significativi in materia di protezione dei dati.
I progressi di GA4
GA4 anonimizza gli indirizzi IP di default, senza configurazione aggiuntiva. I periodi di conservazione dei dati sono più brevi (2 o 14 mesi anziché i 26 mesi predefiniti di Universal Analytics). Il modello di dati è basato sugli eventi anziché sulle sessioni, e GA4 offre un maggiore controllo sui dati raccolti.
I limiti persistenti
Nonostante questi miglioramenti, GA4 continua a depositare cookie sul dispositivo dell’utente, il che richiede sempre un consenso preventivo conforme. I dati vengono ancora trattati da Google, un’azienda soggetta al diritto statunitense (Cloud Act, FISA Sezione 702). Il DPF potrebbe essere invalidato, il che riporterebbe GA4 nella stessa situazione del predecessore. Inoltre, anche con il consenso, i dati trasmessi a Google alimentano un ecosistema pubblicitario fuori dal controllo dell’utente.
Posizione attuale delle autorità
Nel 2026, GA4 è considerato utilizzabile a condizione che vengano soddisfatti tre requisiti cumulativi: ottenere il consenso preventivo dell’utente prima di qualsiasi deposito di cookie, configurare GA4 in modo rigoroso (disattivare i segnali di Google, ridurre la conservazione, limitare la condivisione dei dati) e menzionare GA4 nella propria politica dei cookie. Questa tolleranza si fonda però sulla validità del DPF, che resta giuridicamente fragile.
Le alternative conformi al RGPD
Di fronte ai rischi legati a Google Analytics, diverse alternative consentono di misurare l’audience del vostro sito in piena conformità con il RGPD.
Matomo (ex Piwik)
Matomo è la principale alternativa open source a Google Analytics. Offre una gamma di funzionalità comparabile (report sul traffico, conversioni, mappe di calore) garantendo il pieno controllo sui dati. Ospitato in Europa (in self-hosting o tramite Matomo Cloud in Germania), elimina il problema del trasferimento transatlantico. In determinate condizioni di configurazione (nessun incrocio di dati, durata dei cookie limitata, raccolta minima), Matomo può essere utilizzato senza raccogliere il consenso preventivo, secondo l’esenzione riconosciuta dalla CNIL e il cui approccio è considerato valido anche da altre autorità europee. La versione self-hosted è gratuita; Matomo Cloud parte da 19 euro al mese.
Plausible Analytics
Plausible è uno strumento leggero e incentrato sulla privacy. Non deposita alcun cookie, non raccoglie dati personali e pesa meno di 1 KB (rispetto a circa 45 KB di GA4). Poiché non utilizza cookie, nessun banner di consenso è necessario per la misurazione dell’audience. I dati sono ospitati nell’Unione europea. Il prezzo parte da circa 9 euro al mese. L’interfaccia è volutamente minimalista, ideale per le piccole imprese che cercano metriche essenziali senza complessità.
Fathom Analytics
Fathom condivide la filosofia di Plausible: nessun cookie, nessun dato personale, conformità al RGPD by design. Offre un’interfaccia pulita, uno script ultraleggero e un hosting conforme. Si distingue per il filtraggio intelligente del traffico bot e i report via e-mail. Il prezzo parte da circa 14 dollari al mese.
AT Internet (Piano Analytics)
AT Internet, ora Piano Analytics, è una soluzione francese di misurazione dell’audience utilizzata da numerose amministrazioni pubbliche e grandi imprese. La CNIL le ha concesso l’esenzione dal consenso nella configurazione di misurazione dell’audience. È lo strumento di riferimento per le organizzazioni con requisiti di conformità stringenti. I prezzi sono disponibili su preventivo, generalmente adatti a siti ad alto traffico.
Soluzione ibrida: il meglio di entrambi i mondi
Nel 2026, numerosi siti adottano un approccio ibrido: uno strumento senza cookie (Plausible o Matomo esente) per catturare le statistiche di base di tutti i visitatori, integrato da GA4 attivato solo dopo il consenso per gli utenti che lo accettano. Questa strategia consente di ottenere dati di base sul 100 % del traffico conservando le funzionalità avanzate di GA4 per i visitatori consenzienti.
Come configurare GA4 in modo conforme
Se scegliete di mantenere Google Analytics 4, una configurazione rigorosa è indispensabile per limitare il rischio giuridico.
Ottenere il consenso prima di qualsiasi deposito di cookie. Lo script GA4 deve caricarsi solo dopo l’accettazione esplicita tramite un banner di consenso conforme. Strumenti come Iubenda, Cookiebot o Osano consentono di condizionare il caricamento degli script al consenso.
Configurare GA4 in modo restrittivo. Nell’interfaccia di amministrazione di GA4: disattivare i segnali di Google (Google Signals), ridurre il periodo di conservazione dei dati a 2 mesi, disattivare la raccolta di dati pubblicitari granulari e attivare la modalità di consenso avanzata (Consent Mode v2).
Documentare la conformità. Menzionare Google Analytics nella politica dei cookie precisando la finalità (misurazione dell’audience), i tipi di cookie depositati, la loro durata e i trasferimenti di dati verso gli Stati Uniti nell’ambito del DPF.
L’impatto sulla vostra politica dei cookie
L’utilizzo di Google Analytics o di qualsiasi alternativa ha un impatto diretto sulla vostra politica dei cookie. Questo documento deve elencare con precisione ogni strumento di misurazione dell’audience utilizzato, i cookie depositati (o la loro assenza nel caso di Plausible o Fathom), i dati raccolti e la loro finalità, gli eventuali trasferimenti al di fuori dell’Unione europea e la base giuridica del trattamento (consenso o esenzione).
Se utilizzate un approccio ibrido, entrambi gli strumenti devono essere documentati separatamente. Per una guida alla redazione di una politica dei cookie completa e conforme, consultate la nostra guida sulle regole e sanzioni per i cookie. Ricordate che una politica dei cookie è uno dei 4 documenti legali obbligatori per ogni sito di e-commerce. La mancata conformità può esporre il vostro sito a sanzioni fino a 300 000 euro, come dettagliato nella nostra analisi delle principali sanzioni RGPD.
Conclusione: quale soluzione scegliere nel 2026?
La scelta del vostro strumento di analisi dipende dal vostro profilo e dalle vostre esigenze.
Piccola impresa o startup con budget limitato: Plausible Analytics (da 9 euro/mese) o Matomo self-hosted (gratuito) offrono una conformità RGPD nativa senza obbligo di consenso per la misurazione dell’audience. Questi strumenti coprono le esigenze essenziali di monitoraggio del traffico.
Impresa di medie dimensioni con esigenze di marketing: Matomo Cloud (da 19 euro/mese) o Plausible, integrato da GA4 con consenso preventivo. L’approccio ibrido consente di conservare le funzionalità avanzate di Google garantendo dati di base sull’intero traffico.
Grande impresa o ente pubblico: Piano Analytics (AT Internet) offre una soluzione francese esente dalla CNIL, con un livello di dettaglio e personalizzazione adatto a siti ad alto traffico e requisiti di conformità stringenti.
Qualunque sia la vostra scelta, un punto resta imprescindibile: la vostra politica dei cookie deve essere aggiornata e riflettere fedelmente gli strumenti utilizzati. La conformità analitica è inscindibile dalla conformità documentale. Non lasciate che uno strumento di misurazione dell’audience comprometta la conformità complessiva del vostro sito.