”Abbiamo GA4 installato, siamo coperti.” No.
GA4 è installato sul sito da gennaio 2023. Vedi visite, pageview, eventi. Sembra di stare misurando. In realtà stai vedendo il 30-60% del reale, e per giunta stai esponendo dato cliente verso un fornitore extra-UE in un setup che per il Garante è zone grigia. Doppio problema in una mossa.
Premessa secca: GA4 da solo non basta per due ragioni tecniche e una giuridica. Tecniche: post-iOS 14.5 + ITP Safari + ad blocker mainstream, il tracking client-side perde tra il 40% e il 70% delle conversioni. Giuridica: i trasferimenti dato verso Google Analytics fuori dall’UE sono stati contestati esplicitamente dal Garante italiano (provvedimento giugno 2022) — soluzioni esistono, ma richiedono setup specifico, non installazione default.
Tradotto: chi ti dice “GA4 installato, GDPR a posto” sta facendo i conti senza misurare. Vediamo come si fa davvero.
I tre layer di analytics che servono in una PMI seria
1. GA4 client-side (con Consent Mode v2). Il classico. Utile per overview di alto livello, traffic sources, comportamento di navigazione aggregato. Con Consent Mode v2 (obbligatorio da marzo 2024) raccoglie dato anonimo se l’utente non dà consenso, dato granulare se lo dà. Configurato bene, mantiene utilità senza essere il “default invasivo” pre-2024.
2. Analytics privacy-first owned (Plausible o Matomo self-hosted). Plausible self-hosted o Matomo sul tuo VPS. Costo: VPS ~€10/mese + setup iniziale. Beneficio: dato in Europa, no cookie banner necessario per analytics di base (Plausible non usa cookie), dashboard pulita. Sostituisce parzialmente GA4 per le metriche di base; per certe PMI sostituisce GA4 del tutto.
3. Tracciamento server-side proprietario. Cloudflare Worker + endpoint sul tuo dominio + invio dato a Meta CAPI, Google MP, LinkedIn Conversion API. Recupera il 40-70% delle conversioni perse client-side. Dato passa per il tuo server, non direttamente al browser. Doppio beneficio: misurazione vera + minor esposizione GDPR.
I tre layer non si escludono: lavorano insieme. GA4 per overview, Plausible per real-time owned, server-side per attribution paid.
Cosa NON è analytics GDPR-friendly
Non è “GA4 con Consent Mode = compliant”. Consent Mode v2 è un pezzo, non tutto. Devi avere cookie banner conforme, base giuridica documentata, contratti SCC firmati con Google, valutazione TIA. Setup standard out-of-the-box non basta. Vedi GDPR per aziende per il quadro completo.
Non è “Plausible salva tutto”. Plausible è privacy-first ma non è magico: se lo configuri con eventi custom che includono dato cliente personale, hai lo stesso problema GDPR.
Non è “passiamo a Matomo on-premise e dimentichiamo Google”. Matomo è ottimo per analytics owned ma non ha gli automation di Google Ads. Se fai paid, ti serve comunque integrazione Google. Sostituire 1:1 non funziona quasi mai.
Non è “togliamo l’analytics, problema risolto”. Togli l’analytics e vai cieco: non sai più dove cadono i lead, non puoi ottimizzare niente. La risposta non è “meno tracking”, è “tracking owned e compliant”.
Cosa serve davvero (setup minimo serio)
Quattro componenti, in ordine:
1. Cookie banner Consent Mode v2 configurato. Cookiebot, Iubenda, Cookie Script — tutti adeguati. €0-€500/anno.
2. GA4 in modalità Consent Mode + GA4 360 se servono i raw data. GA4 standard per overview. GA4 360 (a pagamento, enterprise) se vuoi raw data export su BigQuery.
3. Analytics privacy-first owned in parallelo. Plausible o Matomo self-hosted. Setup: 2-4 ore di lavoro tecnico. €10-€30/mese VPS.
4. Server-side tracking proprietario. Cloudflare Worker per primo-party endpoint, invio a Meta CAPI + Google MP. Setup: 8-16 ore di lavoro tecnico. Vedi Conversion API Meta.
A regime: dato in dashboard direzionale tua, attribution paid recuperata, esposizione GDPR ridotta. Lo so perché l’ho fatto su sei progetti negli ultimi tre anni.
Tre esempi reali (frame)
E-commerce manifatturiero italiano. GA4 standard + Plausible owned + server-side tracking proprietario verso Google Ads e Meta. Recupero conversioni paid +50% misurato in 90 giorni post-deploy.
Studio medico privato (pattern Codice Massimo). Per dato sanitario art. 9, analytics owned (Plausible) + niente GA4 sulla parte autenticata. Storage criptato, access control, audit log.
PMI servizi B2B. GA4 + tracciamento server-side verso Meta CAPI e LinkedIn Conversion API. Attribuzione fino al fatturato chiuso via integrazione CRM. Dashboard direzionale owned con i numeri veri.
Quanto costa fare le cose sul serio
Onesto: setup completo dei tre layer (GA4 + analytics owned + server-side) richiede 16-32 ore di lavoro tecnico una tantum, più €10-€80/mese di runtime. Il prezzo del deploy completo è personalizzato e si discute in trattativa dopo l’Audit Operativo (€497, rimborso 30 min).
Prima di pagare il pacchetto “Audit GDPR a €3.000”, fai Audit Invisibile: 3 minuti, senza email, ti dice cosa è attivo e cosa manca sul tuo dominio attuale.
FAQ
GA4 è davvero GDPR-compliant? Con Consent Mode v2 + cookie banner conforme + DPA Google firmata + TIA documentata: utilizzabile. Senza: zona grigia, già contestata dal Garante.
Plausible o Matomo? Plausible per semplicità + privacy-first nativo, Matomo per profondità feature + tracking eventi avanzato. Entrambi self-hosted seri.
Cosa serve oltre GA4? Analytics privacy-first owned + tracciamento server-side per attribution paid. Vedi Conversion API e pixel Facebook.
Posso togliere completamente Google Analytics? Tecnicamente sì se hai analytics owned + server-side a Google Ads. Operativamente la maggior parte delle PMI mantiene GA4 come baseline + l’owned in parallelo.
Inizia l'audit · 3 min · senza email →
