BlueOcean Privacy AI

Guide Tool-Check

Google Analytics 4 e GDPR: cosa devono sapere le agenzie nel 2026

Google Analytics 4 può essere utilizzato nell'UE, ma solo con il consenso. Chi carica GA4 già all'apertura della pagina rischia reclami al Garante e sanzioni. Cosa conta davvero.

BlueOcean Privacy AI 3 min di lettura

Google Analytics 4 è davvero consentito?

Sì: GA4 non è vietato, ma richiede il consenso. Può trattare dati solo dopo che il visitatore ha prestato un consenso attivo.

GA4 installa cookie e identificatori sul dispositivo e trasferisce dati a Google, anche verso gli Stati Uniti. Entrambe le operazioni sono lecite solo con un consenso valido. La base giuridica è duplice: per l'archiviazione e l'accesso alle informazioni sul dispositivo si applica l'art. 122 del Codice Privacy (D.lgs. 196/2003), che recepisce la direttiva ePrivacy, mentre per il successivo trattamento dei dati personali vale l'art. 6 del GDPR. Il quadro operativo è fissato dal Provvedimento del Garante in materia di cookie dell'8 maggio 2021. Senza il consenso, GA4 non può essere caricato.

Le 4 condizioni per GA4

Perché GA4 funzioni in modo conforme alla normativa devono coesistere quattro elementi: se ne manca uno, il sito è attaccabile.

  • Consenso prima del caricamento: GA4 si avvia solo dopo "Accetta", mai prima. Secondo il Provvedimento cookie del Garante, il rifiuto deve essere semplice quanto l'accettazione, quindi il pulsante "Rifiuta tutto" deve avere pari evidenza rispetto ad "Accetta tutto".
  • Google Consent Mode v2: trasmette correttamente lo stato del consenso a Google.
  • Nomina a responsabile del trattamento: Google mette a disposizione le condizioni per il trattamento dei dati ai sensi dell'art. 28 del GDPR; vanno accettate e documentate.
  • Trasparenza: GA4 e il trasferimento verso gli USA devono essere indicati nell'informativa privacy.
Controlla il tuo sito in 5 minuti — gratis. Avvia una scansione gratuita del sito →

L'errore più frequente (e costoso)

Sulla maggior parte dei siti GA4 si attiva già all'apertura della pagina, prima ancora che il visitatore abbia cliccato. Il banner diventa così pura decorazione.

Molti plugin per i cookie mostrano solo un banner ma non bloccano tecnicamente il tracker. Il risultato: GA4 invia dati da tempo mentre il banner sta ancora chiedendo il consenso. È proprio questo che il Garante per la protezione dei dati personali contesta, a prescindere da ciò che è scritto nel banner. Il rilascio di cookie di profilazione o di tracciamento prima del consenso espone il sito a reclami e a un procedimento dell'Autorità.

Come rendere GA4 a norma

Adotta un banner che blocchi davvero GA4 finché non è stato prestato il consenso, e verificalo.

BlueOcean Privacy AI blocca tecnicamente i tracker come GA4 fino al consenso, trasmette il Consent Mode v2 e mantiene l'informativa privacy sempre aggiornata. Una scansione gratuita del sito ti mostra in 5 minuti se GA4 si carica sulle tue pagine prima del consenso.

Diamo un’occhiata ai tuoi siti

In una chiamata di 15 minuti vedi a che punto sono i siti dei tuoi clienti — e come metterli al sicuro senza sforzo.

Avvia una scansione gratuita del sito Prenota una consulenza gratuita

Domande frequenti

Google Analytics 4 è consentito nell'UE?

Sì, con un consenso valido del visitatore, Consent Mode v2 e la nomina di Google a responsabile del trattamento ex art. 28 GDPR. Senza consenso GA4 non può essere caricato.

Per GA4 serve un accordo con Google sul trattamento dei dati?

Sì. Google mette a disposizione le condizioni per il trattamento dei dati ai sensi dell'art. 28 del GDPR; devono essere accettate e documentate.

Cosa succede se GA4 si carica senza consenso?

È una chiara violazione del GDPR e degli artt. 122 del Codice Privacy / direttiva ePrivacy, contestabile dal Garante anche se è presente un banner cookie.

Vedi tutte le guide →