Garante Privacy e Google Analytics Universal: alternative privacy-friendly per PMI italiane nel 2022

Il 23 giugno 2022 il Garante per la protezione dei dati personali ha messo nero su bianco quello che molti operatori privacy temevano da gennaio: Google Analytics Universal, nella sua configurazione standard, non è compatibile con il GDPR. Il provvedimento riguarda formalmente Caffeina Editore S.r.l., ma la motivazione vale per chiunque utilizzi GA UA con i parametri di default: il trasferimento dei dati di navigazione verso i server statunitensi di Google LLC, anche con Standard Contractual Clauses sottoscritte, non garantisce un livello di protezione equivalente a quello europeo. È la stessa traiettoria già tracciata dalla DSB austriaca il 12 gennaio 2022 e dalla CNIL francese il 10 febbraio 2022: l’Italia chiude il cerchio.

Per le PMI italiane il messaggio è chiaro: o si riconfigura GA Universal entro novanta giorni (il Garante ha lasciato finestra di adeguamento), oppure si migra verso strumenti privacy-friendly. La buona notizia è che le alternative esistono, sono mature e in molti casi costano meno di una cena per due: Matomo, Plausible, Fathom, Simple Analytics, Umami. In questa guida facciamo ordine: cosa ha deciso esattamente il Garante, perché GA UA è il problema, come si presenta GA4 in questo scenario, e quale strumento scegliere in base al budget, alla stack tecnologica e al tipo di reporting che serve davvero. L’obiettivo è uscire con un piano operativo di trenta giorni, non con un’altra lista di link da archiviare.

Cosa ha deciso il Garante il 23 giugno 2022

Il provvedimento (registro dei provvedimenti n. 224 del 9 giugno 2022, pubblicato il 23 giugno) prende in esame il sito di Caffeina Editore, che utilizzava Google Analytics Universal con configurazione standard: cookie _ga e _gid, raccolta di indirizzo IP completo, identificativi univoci dell’utente e parametri di navigazione trasmessi a Google LLC negli Stati Uniti. Il Garante riconosce che il titolare aveva firmato le Standard Contractual Clauses 2021 con Google, ma applica i criteri della sentenza Schrems II della Corte di Giustizia UE (luglio 2020) e delle Raccomandazioni 01/2020 dell’EDPB: in presenza di leggi statunitensi come FISA 702 ed Executive Order 12333, le SCC da sole non sono sufficienti se non sono accompagnate da misure tecniche supplementari (cifratura end-to-end con chiavi gestite in UE, pseudonimizzazione robusta) che impediscano l’accesso effettivo da parte delle autorità USA.

La sanzione concreta è un ammonimento accompagnato dall’ordine di adeguare il trattamento entro novanta giorni. Non c’è multa pecuniaria diretta, ma il Garante segnala che decorso il termine l’uso non conforme potrà comportare le sanzioni dell’articolo 83 GDPR. Soprattutto, il provvedimento è formulato in termini generali: chiunque utilizzi GA Universal con la configurazione descritta si trova nella stessa situazione. La portata è quindi sistemica.

Schrems II, SCC e perché tutto questo ci riguarda

Il filo logico parte dal 16 luglio 2020, giorno in cui la sentenza Schrems II ha invalidato il Privacy Shield e ha riaffermato che le SCC sono valide solo se il livello di protezione nel paese terzo è sostanzialmente equivalente. Da lì l’EDPB ha pubblicato le Raccomandazioni 01/2020 sul Transfer Impact Assessment, il documento scritto in cui ogni titolare deve mappare i trasferimenti, valutare il quadro legale del paese di destinazione e descrivere le misure tecniche supplementari. La DSB austriaca a gennaio 2022 applica questi criteri al caso NetDoktor: GA UA non passa il test. La CNIL francese a febbraio 2022 conferma la stessa lettura. Il Garante italiano a giugno 2022 chiude il cerchio sull’Italia.

Per la PMI questo significa due cose. Primo: il TIA non è più un esercizio teorico. Va scritto, datato, conservato e aggiornato. Secondo: le misure supplementari devono essere reali, non clausole copia-incolla. La cifratura con chiavi gestite dal cliente, l’hashing irreversibile dell’IP prima dell’invio, l’uso di server proxy europei sono esempi concreti. Senza queste misure, qualsiasi strumento che instrada dati personali verso gli Stati Uniti rimane esposto a un richiamo del Garante.

Perché GA Universal è il problema

GA Universal, nella sua forma standard, raccoglie e trasmette a Google: indirizzo IP completo del visitatore, ID univoco persistente del cookie _ga, user agent, dimensioni schermo, lingua del browser, eventi di navigazione, sessione, sorgente di traffico. Anche attivando la funzione IP Anonymization (il flag anonymize_ip), il troncamento avviene dopo che l’IP è arrivato sui server di Google: dal punto di vista del Garante, il trasferimento c’è già stato. La motivazione del provvedimento è netta su questo punto.

A questo si aggiunge la natura del cookie _ga: identificatore univoco persistente che, combinato con altri parametri raccolti da Google in altri servizi (Search, YouTube, Gmail), permette potenzialmente la re-identificazione. Per la normativa europea questo è un dato personale a tutti gli effetti, anche se non contiene nome e cognome. Le funzionalità Google Signals e User-ID amplificano il problema perché collegano la sessione a un account Google reale.

Opzione 1: GA4, la mossa di Google

Google Analytics 4 è disponibile dal ottobre 2020 e Google sta spingendo per la migrazione, complice anche l’annuncio di sunset di Universal Analytics il 1 luglio 2023. GA4 introduce alcune migliorie rilevanti dal punto di vista privacy: l’IP anonymization è attiva per default e non opzionale, la conservazione dei dati è configurabile (default 2 mesi, massimo 14), Google Signals può essere disattivato, esiste l’export BigQuery che può essere ospitato in regione europea, e il modello dati è event-based con maggiore controllo sui parametri.

Tuttavia il Garante non si è ancora pronunciato esplicitamente su GA4 al 23 giugno 2022. Il provvedimento riguarda GA Universal e la motivazione tecnica (trasferimento dati USA, identificatori univoci) si applica almeno in parte anche a GA4: gli endpoint region1.google-analytics.com e simili sono ospitati su Google LLC. La nuova architettura riduce il rischio ma non lo elimina senza misure aggiuntive come il server-side GTM con proxy EU. Per le PMI questo significa: GA4 è ragionevolmente più sicuro di UA, ma chi vuole stare tranquillo deve mettere in piano almeno un proxy EU o valutare un’alternativa native europea.

Opzione 2: Matomo, il classico europeo

Matomo (ex Piwik) è l’alternativa storica a Google Analytics, sviluppata in Nuova Zelanda con community europea e hosting cloud certificato in UE (Francoforte e Parigi). Esistono due edizioni: Matomo Cloud, gestita dal vendor a partire da circa €23 al mese per 50.000 hit, e Matomo On-Premise, open source con licenza GPL e installabile su qualsiasi server proprio. Sul piano funzionale è quella più simile a Google Analytics: dashboard ricca, segmentazione, funnel, e-commerce, heatmap e session recording (a pagamento), reportistica avanzata. Esiste un importer ufficiale che permette di portare lo storico da Google Analytics Universal, mantenendo continuità sulle serie temporali.

I punti di forza per il contesto italiano: il titolare può decidere di disattivare i cookie e usare il cookieless tracking basato su impronta breve della sessione, eliminando in questo modo l’obbligo di banner di consenso per le analitiche; l’IP può essere mascherato a 2 byte prima della memorizzazione; i dati personali del visitatore non escono mai dall’infrastruttura del titolare nel caso on-premise. Il limite tipico è il costo di gestione del self-hosting: serve un sistemista per aggiornamenti, backup e tuning del database MySQL/MariaDB con tabelle che crescono velocemente sui siti grossi.

Opzione 3: Plausible, il minimalista open source

Plausible Analytics nasce nel 2018 in Estonia, è open source con licenza AGPL e ha cloud ufficiale ospitato a Francoforte. Il pricing parte da €9 al mese per 10.000 pageview ed è notoriamente uno dei più trasparenti del settore: niente piani enterprise nascosti, niente add-on. Lo script di tracciamento pesa meno di 1 KB, contro i 45+ KB di Google Analytics, con benefici diretti su Core Web Vitals e quindi posizionamento SEO.

Plausible non usa cookie, non raccoglie identificatori persistenti, non profila l’utente: il calcolo di sessione e visitatore unico avviene tramite hash giornaliero dell’IP combinato con user agent e dominio, e il risultato viene salvato come contatore aggregato. Per il Garante questo è ideale: non c’è dato personale identificabile a livello individuale, non serve il consenso preventivo per analytics. Il rovescio della medaglia è che la reportistica è essenziale: visitatori, pageview, sorgenti, paesi, dispositivi, eventi custom. Niente coorti, niente funnel multi-step, niente attribuzione cross-device. Per il 70% delle PMI italiane è esattamente quello che serve; per chi ha un e-commerce complesso con flussi multi-touch potrebbe essere troppo poco.

Opzione 4: Fathom Analytics, la semplicità canadese con hosting EU

Fathom Analytics è prodotto da una società canadese ma serve i clienti europei tramite isolamento dati in regione UE (Francoforte e Parigi), con cifratura a riposo e in transito. Il prezzo parte da 14 dollari al mese per 100.000 pageview, con piani che scalano linearmente. Anche Fathom è cookieless, calcola sessione tramite hash giornaliero rotativo dell’IP e considera l’identificatore non-personal ai sensi del GDPR. Esiste una dichiarazione di conformità GDPR/PECR pubblica e Fathom ha pubblicato il proprio TIA come modello scaricabile.

La differenza rispetto a Plausible è soprattutto di approccio: Fathom è ancora più sintetico nelle metriche (il dashboard single page mostra tutto in una vista), con focus su visitatori unici, pageview, sorgenti e referral. Ha campagne UTM, eventi custom, email digest. Il punto debole è che essendo società extra-UE alcuni Data Protection Officer preferiscono evitare per principio, anche se l’infrastruttura tecnica è in Europa. Per chi vuole massima difendibilità Matomo o Plausible sono scelte più conservative.

Opzione 5: Simple Analytics, Cabin, Pirsch, Umami

Simple Analytics è olandese, ha sede ad Amsterdam, hosting in UE, costa €19 al mese nel piano base. Caratteristiche simili a Fathom: cookieless, dashboard essenziale, eventi custom. Per chi cerca un fornitore strettamente europeo a livello societario è una scelta naturale.

Pirsch è tedesco, basato a Berlino, parte da €6 al mese: ottimo rapporto qualità prezzo, dashboard cookieless, integrazione con Google Search Console per il SEO. Counter.dev è gratuito e open source, sviluppato dalla community, perfetto per blog personali o progetti piccoli. Cabin Analytics si distingue per il focus sull’impronta carbonica: oltre alle metriche di traffico mostra emissioni stimate delle pagine.

Sulla parte completamente self-hosted spiccano due open source: Umami (MIT license, stack Node.js + PostgreSQL/MySQL, deploy in pochi minuti su un VPS da 5€ al mese) e GoatCounter (Go + SQLite, ancora più leggero, indicato per blog e siti vetrina). Sono la scelta zero-budget per chi ha competenze sistemistiche interne. Microsoft Clarity merita una menzione separata: è gratuito, include heatmap e session recording, ma trasferisce dati a Microsoft USA: rientra nelle stesse criticità di GA UA dal punto di vista del trasferimento extra-UE.

Confronto pricing e scelta operativa

Mettendo a confronto i piani entry-level per un sito che fa 50.000 pageview al mese (situazione tipica di una PMI italiana medio-piccola con buon traffico): Matomo Cloud €23, Matomo On-Premise €0 (più VPS €10-20), Plausible €19 (piano 100k), Fathom $24 (piano 200k pageview, $14 quello base con 100k), Simple Analytics €19, Pirsch €6, Umami self-host €5-10 (VPS), GoatCounter self-host €5 (VPS), Counter.dev gratis. Il confronto puramente economico è impari: le alternative europee costano una frazione di quanto GA4 finirà per costare ai grandi clienti nella sua versione 360.

La scelta operativa per la PMI italiana si articola in tre profili. Profilo conservativo legale: Matomo On-Premise su VPS italiano o tedesco, con sistemista interno o consulente esterno per la manutenzione. Profilo standard pragmatico: Plausible Cloud o Fathom, costo basso, integrazione in dieci minuti, conformità out-of-box, niente cookie quindi niente banner per le analitiche. Profilo migrazione progressiva: GA4 con server-side GTM su stape.io regione UE per ridurre il rischio, in parallelo a Matomo come secondo strumento di verifica. Non esiste una scelta giusta universale: dipende dal contesto.

Integrazione tag in WordPress, WooCommerce, Magento

Per WordPress tutte le alternative offrono plugin ufficiali: Matomo for WordPress (ex WP-Piwik), Plausible Analytics, Fathom Analytics, Simple Analytics. L’installazione richiede chiave API o site ID dal provider, attivazione del plugin, e nella maggior parte dei casi inclusione automatica dello script in header. Per la massima leggerezza si può comunque inserire lo snippet direttamente nel theme tramite wp_head e disattivare i plugin.

Su WooCommerce il tracking degli eventi e-commerce (add_to_cart, begin_checkout, purchase) richiede configurazione aggiuntiva. Matomo ha un plugin dedicato che mappa automaticamente le hook di WooCommerce. Plausible ha un’estensione community per gli eventi custom. Per Fathom e Simple Analytics si usa l’API JavaScript dentro i template di pagina ordine completato. Il valore della transazione viene passato come parametro evento.

Su Magento 2 esistono moduli Matomo (Mage2) e integrazioni custom per le altre piattaforme tramite Google Tag Manager. La strada più pulita per chi ha già GTM è caricare lo script di analytics privacy-friendly come tag GTM e gestire i trigger sugli eventi GA4 esistenti per non duplicare il lavoro.

Server-side GTM su stape.io per chi vuole tenere GA4

Per le aziende che non possono o non vogliono abbandonare l’ecosistema Google, lo strumento più maturo nel 2022 è il server-side Google Tag Manager ospitato in regione UE. Provider come stape.io permettono di creare un container GTM lato server su un endpoint custom (per esempio data.miosito.it) ospitato a Francoforte o Amsterdam. In questo modo il browser invia gli eventi al server del titolare, che li elabora con possibilità di mascheramento IP, rimozione di parametri sensibili, hashing dei valori; poi inoltra a GA4 una versione filtrata.

Il vantaggio è doppio: tecnico (mascheramento dei parametri prima dell’invio a Google) e legale (il primo endpoint che il browser contatta è in UE, quindi il trasferimento avviene server-to-server e non browser-to-USA). Il costo del piano base stape.io nel 2022 è di circa $20 al mese per traffico medio. Resta da scrivere il TIA per il passaggio finale server EU verso Google LLC, ma il livello di rischio scende significativamente. Per le PMI con e-commerce questo è spesso il compromesso più realistico.

Cookie e consenso: cosa dicono le Linee Guida Garante 10 giugno 2021

Le Linee Guida del Garante del 10 giugno 2021 distinguono tre categorie di cookie. I tecnici non richiedono consenso. Gli analytics di prima parte, configurati per non profilare e con IP mascherato, sono equiparati ai tecnici e non richiedono consenso esplicito: bastano informativa e meccanismo di opt-out. Gli analytics di terza parte (come GA Universal di Google) richiedono consenso preventivo esplicito tramite banner conforme.

Per le alternative privacy-friendly questo significa: Matomo on-premise con cookieless mode rientra nei tecnici, niente banner per analytics. Plausible, Fathom, Simple Analytics, Umami sono cookieless di natura, niente banner per analytics. Matomo Cloud con cookie disattivati rientra nei tecnici. Risultato: passando alle alternative non solo si è a posto con Schrems II, ma si elimina anche l’obbligo di banner per la parte analytics, con tasso di consenso effettivo che sale dal 30-50% di GA al 100% di copertura su Matomo o Plausible.

Errori comuni da non commettere

Il primo errore è mantenere GA UA senza fare nulla sperando che il problema sparisca. Il Garante ha lasciato novanta giorni: chi non si muove tra ottobre e novembre 2022 entra in una zona grigia che può attirare ispezioni soprattutto su segnalazione. Il secondo errore è attivare solo l’IP anonymization pensando che basti: il provvedimento lo dichiara esplicitamente insufficiente. Il terzo errore è migrare a GA4 senza riconfigurarlo: GA4 di default è migliore di UA ma non è automaticamente conforme, va impostato con conservazione a 2 mesi, Google Signals OFF, BigQuery EU se attivato, e idealmente server-side GTM.

Il quarto errore tipico è credere che l’importer GA4 importi lo storico UA: in realtà GA4 ha un modello dati diverso e l’importer mappa solo le configurazioni, non i dati storici. Per non perdere serie temporali la mossa è esportare i report UA su Google Data Studio o BigQuery prima del sunset di luglio 2023. Il quinto errore è non aggiornare il banner di consenso: se si dismettono i cookie di terza parte di GA, il banner deve essere aggiornato altrimenti il visitatore continua a vedere il blocco per niente.

Roadmap di migrazione in 30 giorni

Una migrazione realistica per una PMI con un sito vetrina o un piccolo e-commerce si struttura in quattro settimane. Settimana 1: TIA scritto e firmato, scelta dello strumento (decisione di profilo), attivazione account o setup del server self-hosted, configurazione iniziale, attivazione tagging in parallelo a GA UA (doppio tracking). Settimana 2: verifica dati raccolti, confronto numeri con GA UA per identificare scostamenti (di solito le alternative cookieless riportano numeri inferiori del 15-25% perché non gonfiano il dato con bot e accessi multi-device contati come unici), configurazione eventi custom su WooCommerce o equivalenti, ricostruzione dashboard principali.

Settimana 3: aggiornamento informativa privacy con riferimento al nuovo strumento, aggiornamento banner consenso (rimozione opt-in per analytics se passa a cookieless di prima parte), comunicazione interna al team marketing su come leggere i nuovi report, formazione sintetica. Settimana 4: rimozione dello script GA UA dal sito, eventuale export storico GA UA verso BigQuery o file CSV, archiviazione documentale, aggiornamento TIA con misura adottata, comunicazione formale al DPO interno o esterno. Trenta giorni è realistico se non emergono complicazioni; per portali multi-dominio o e-commerce con tagging complesso bisogna prevedere quarantacinque-sessanta giorni.

Conservazione log e GDPR Art. 32

Un punto spesso trascurato è la conservazione dei log: anche scegliendo Matomo self-hosted, il titolare ha l’obbligo dell’articolo 32 GDPR di garantire sicurezza adeguata. Significa cifratura at-rest del database analytics, backup cifrati, accesso al pannello tramite autenticazione a due fattori, ruoli definiti. La retention dei log applicativi va impostata coerentemente con la base giuridica: per analytics aggregati una conservazione di 13-25 mesi è proporzionata; oltre i 25 mesi serve giustificazione documentata. Sui log raw del web server (Apache, nginx) la prassi italiana è 30-90 giorni salvo necessità di sicurezza.

FAQ

Devo togliere subito Google Analytics dal mio sito?
No, hai novanta giorni dal provvedimento (giugno-settembre 2022) per adeguarti. Il consiglio operativo è iniziare la migrazione subito per non arrivare con il fiato sul collo e per avere un periodo di sovrapposizione in cui confronti i dati.

GA4 è conforme al GDPR?
GA4 è ragionevolmente più sicuro di Universal grazie a IP anonymization di default e data retention configurabile, ma il Garante non si è ancora pronunciato esplicitamente. Per stare tranquilli serve almeno server-side GTM in UE o un’alternativa nativa europea.

Posso usare Matomo on-premise senza chiedere il consenso?
Sì, se configurato con cookieless tracking e IP mascherato. In questa modalità rientra nei cookie tecnici come da Linee Guida del Garante 10 giugno 2021 e non richiede consenso esplicito, ma serve sempre l’informativa.

Plausible va bene per e-commerce?
Per piccoli e-commerce sì, con eventi custom su purchase e transazione. Per e-commerce complessi con attribuzione multi-touch e coorti è troppo essenziale: meglio Matomo o GA4 con server-side proxy.

Quanto costa migrare?
I costi tecnici sono bassi: Plausible da €9 al mese, Matomo on-premise zero licenze. I costi reali sono di setup e formazione: tipicamente 8-20 ore di consulenza, quindi €600-1.500 per la prima implementazione su un sito medio.

Posso essere multato se non faccio niente?
L’attuale provvedimento è un ammonimento per Caffeina Editore, ma il Garante ha esplicitato che dopo i novanta giorni l’uso non conforme potrà comportare le sanzioni dell’articolo 83 GDPR (fino a €20 milioni o 4% del fatturato). La probabilità per una piccola PMI è bassa nel breve termine, ma il rischio reputazionale e contrattuale (B2B con clienti grandi che chiedono conformità) è già rilevante.

L’importer GA4 importa lo storico di Universal?
No, importa solo le configurazioni (proprietà, viste, eventi). I dati storici di GA Universal vanno esportati separatamente verso BigQuery o file CSV prima del sunset del 1 luglio 2023.