O GA4 foi comercializado como uma versão mais amigável à privacidade do Google Analytics, mas os problemas fundamentais de conformidade com o GDPR persistem. Múltiplas autoridades europeias de proteção de dados confirmaram que suas decisões se aplicam a todas as versões, incluindo o GA4.

O Que o GA4 Mudou

O GA4 introduziu a anonimização de IP por padrão, reduziu a dependência de cookies para algumas medições e migrou para um modelo de dados baseado em eventos. Essas mudanças representam melhorias incrementais de privacidade.

O Que o GA4 Não Mudou

O GA4 ainda coleta dados pessoais por meio de cookies e identificadores únicos. Os dados ainda são transferidos para servidores baseados nos EUA. O Google ainda se qualifica como um provedor de comunicações eletrônicas sujeito a obrigações de vigilância dos EUA. As cláusulas contratuais padrão e as medidas técnicas disponíveis não protegem adequadamente os dados contra o acesso potencial do governo dos EUA.

Posição Regulatória

A CNIL e outras autoridades da UE confirmaram explicitamente que suas decisões contra o Google Analytics se aplicam independentemente da versão ou configuração. Nenhuma configuração técnica pode resolver o problema fundamental: dados pessoais são transferidos para uma jurisdição onde podem ser acessados por agências de inteligência sem salvaguardas adequadas.

O Veredito

O GA4 não está em conformidade com o GDPR pelas mesmas razões que o Universal Analytics não estava: o problema de transferência de dados é estrutural, não técnico. Organizações que buscam conformidade genuína precisam de soluções que não coletem dados pessoais ou que os processem exclusivamente dentro da UE/EEE.