Google ha cambiato le regole della privacy

Google unifica i controlli pubblicitari sotto il Consent Mode, eliminando la zona grigia di Google Signals

Hai disattivato Google Signals per non tracciare gli utenti? Dal 15 giugno 2026, quella scelta non serve più a nulla. Anzi, potrebbe costarti cara. Secondo l’annuncio ufficiale di Google Analytics, a partire da quella data Google Analytics utilizzerà il Consent Mode — il sistema di gestione del consenso integrato in Google Ads — come unico controllo per la raccolta dei dati dei cookie e degli ID pubblicitari. Il che significa una cosa molto concreta: se il tuo sito non ha una CMP (una piattaforma di gestione del consenso) configurata correttamente, e ti sei affidato alla disattivazione di Google Signals come misura di privacy, stai per ritrovarti con cookie pubblicitari attivi che prima non emettevi.

Il paradosso della privacy

Per capire fino in fondo quanto sia grottesco questo scenario, bisogna partire da come funzionava il sistema fino a ieri. Google Signals è una funzionalità di Google Analytics che, se attivata, consente a Google di associare i dati di sessione degli utenti connessi al proprio account Google a scopi pubblicitari. Molti publisher l’hanno disattivata deliberatamente, non perché non volessero tracciare nessuno, ma perché volevano limitare il flusso di dati verso la piattaforma pubblicitaria di Google. Una scelta di privacy ragionata, documentata internamente, spesso raccomandata dai consulenti SEO e analytics per non finire in zone grigie normative.

Il problema è che quella scelta funzionava come una terza via: non era un consenso pieno, ma nemmeno un rifiuto esplicito tramite Consent Mode. Era una via di mezzo che, di fatto, bloccava certi flussi pubblicitari. Dal 15 giugno, quella via di mezzo sparisce. Come ha notato un’analisi tecnica sul cambiamento, la riforma di giugno elimina esattamente questa “zona grigia” che Google Signals OFF garantiva, rendendo la scelta binaria: o il parametro ad_storage è impostato su “granted”, oppure su “denied”. Non esistono posizioni intermedie. Chi non ha configurato una CMP — e non ha quindi nessun segnale esplicito di Consent Mode — si ritrova in una situazione in cui il default assume valore di consenso.
E il default, in assenza di configurazioni contrarie, tende a far girare i dati.

C’è un elemento che rende tutto questo ancora più paradossale. Quei siti con Google Analytics collegato a Google Ads, che avevano disattivato Google Signals come misura precauzionale e che non dispongono di una CMP, dal 15 giugno emetteranno cookie pubblicitari che prima non emettevano. Non perché abbiano cambiato qualcosa. Non perché abbiano scelto diversamente. Semplicemente perché Google ha spostato i confini del campo da gioco, senza che loro muovessero un dito. Chi credeva di essere al sicuro non lo è più — e forse non lo sa ancora.

Il gioco delle tre carte

Google, nella sua comunicazione ufficiale, presenta tutto questo come una semplificazione. L’obiettivo dichiarato è “consolidare i controlli per rimuovere impostazioni ridondanti” tra Google Analytics e Google Ads, separando in modo netto cosa controlla cosa: le impostazioni di Google Ads gestiranno i dati pubblicitari, quelle di Google Analytics si occuperanno del reporting comportamentale interno. Pulito, lineare, razionale. Ma mentre i publisher credono di trovarsi di fronte a una riorganizzazione tecnica neutrale, il risultato pratico è che Google consolida in Google Ads il controllo su tutti i flussi di dati pubblicitari che transitano anche attraverso Analytics. Un’unica fonte di verità per il consenso pubblicitario — gestita, però, dalla piattaforma che vende pubblicità.

Vale la pena chiedersi: perché proprio ora? La risposta più ovvia è che il Consent Mode v2, introdotto per rispettare le normative europee, non ha avuto un’adozione uniforme. Molti publisher lo hanno ignorato, o implementato male. Unificare i controlli sotto Google Ads — e rendere il Consent Mode l’unico strumento valido — obbliga di fatto chiunque voglia gestire correttamente i propri dati a passare da lì. E “passare da lì” significa, nella maggior parte dei casi, attivare una CMP certificata da Google. Più dati strutturati, più segnali per il machine learning delle campagne, più accuratezza nell’attribuzione. C’è anche un caso documentato di recupero dati di attribuzione in cui, una volta corretta la configurazione del consenso, circa il 40% dei dati precedentemente invisibili è tornato visibile. Coincidenza? Forse. Ma è la coincidenza che fa più comodo a Google.

Chi paga il conto?

Ecco il nodo: senza CMP, il sito emette cookie pubblicitari anche se l’utente non ha mai dato consenso. Non è un’ipotesi teorica. Per le organizzazioni che operano nell’Unione Europea o nello Spazio Economico Europeo, l’esposizione al GDPR è concreta, non teorica. Il Regolamento europeo sulla protezione dei dati richiede un consenso esplicito, libero e informato prima che vengano depositati cookie non necessari. Un cookie pubblicitario attivato per default, in assenza di qualsiasi interazione dell’utente con un banner di consenso, non soddisfa nessuno di questi requisiti. Le autorità di protezione dei dati — il Garante italiano, l’CNIL francese, l’Irish DPC — hanno già dimostrato in passato di saper colpire sia i publisher che le piattaforme tecnologiche. Ma nella catena delle responsabilità, il primo anello visibile è sempre il sito che emette il cookie. Non Google, che ha solo “cambiato le impostazioni predefinite”.

Google ha anche annunciato che prevede di aggiornare ulteriormente la gestione dei dati di Google Analytics per la personalizzazione degli annunci in un momento non precisato del 2026 — un altro cambiamento in arrivo, senza date certe. E ha specificato che gli indirizzi IP raccolti automaticamente dal Google Tag e dall’SDK saranno crittografati e inviati all’account Google Ads collegato. Anche questo non era scontato, e anche questo è un flusso di dati che molti publisher non sapevano ci fosse, o non sapevano avrebbe cambiato rotta.

La domanda che rimane aperta, alla fine, è quella più scomoda: Google ha davvero reso il consenso più trasparente, o ha semplicemente girato il problema ai publisher? La risposta ufficiale è “semplificazione”. Ma quando una semplificazione sposta il rischio normativo su chi ha meno risorse per gestirlo — i piccoli publisher, i siti istituzionali, le organizzazioni no profit con Google Analytics installato da anni senza pensarci troppo — è lecito chiedersi per chi, esattamente, sia stata semplificata. E quando arriveranno le prime sanzioni, Google potrà sempre dire che aveva avvisato. Con un aggiornamento di documentazione, in inglese, pubblicato mesi prima. Il Garante risponderà a Google, o ai publisher? E i publisher lo sanno già?