Google tag manager: cos’è e perché il consenso privacy online è a rischio

Una recente (e analitica) sentenza del Tribunale amministrativo di Hannover (VG Hannover, 10 A 5385/22), datata 19 marzo 2025 (ma circolata di recente in lingua inglese), mette in discussione le fondamenta stessa di pratiche quotidiane nel digital marketing.

Il caso di un editore online

Nel caso di un publisher online, i giudici tedeschi hanno tracciato una linea invalicabile su cosa costituisca un consenso valido, smontando pezzo per pezzo le architetture ingannevoli di alcuni “cookie banner”.

Non solo, ma chiarisce giuridicamente – per la prima volta a livello giurisprudenziale europeo, per quanto noto – la natura di certi usi di strumenti terzi come quello di Google tag manager (Gtm), utilizzato dall’editore tedesco per gestire consensi e accessi degli utenti al proprio sito web.

In questo caso, l’editore non ha ricevuto una sanzione, bensì un ordine a modificare le proprie pratiche, oltre al pagamento delle spese legali del processo che ha comunque perso.

Però si tratta di un segnale: un domani non lontano potrebbe occuparsene un’autorità di controllo o un diverso foro giudiziario, con diverse e più gravose conseguenze.

Non si tratta di cavilli. Infatti siamo tutti protagonisti, più volte al giorno, della “guerra dei clic”. Apriamo un sito e, ritualmente, compare una finestra che ci chiede il permesso di esistere nel nostro browser.

Spesso, con la fretta di chi vuole solo leggere un contenuto, la nostra mano corre al pulsante più evidente. Ma quel clic è davvero libero? È davvero informato? E, ancor più specificamente, fare tutto questo con Google tag manager è sempre in linea con la normativa europea? Per rispondere a queste domande, facciamo un passo indietro.

L’abc di Google tag manager

Partiamo dai fondamentali. Google tag manager (Gtm) è uno strumento che assiste l’operatore di un sito web nel caricare e amministrare ulteriori componenti del sito web, come codice di programma o servizi.

La sua funzione principale è facilitare l’integrazione di vari servizi di terze parti in un sito web di terzi (i publisher/editori).

Questo include, per esempio, i tag per Google Analytics, Google AdWords, codici di tracciamento per vari strumenti di marketing online e di analisi web, codici per strumenti di gestione dei contenuti.

Gtm decide quando e a quali condizioni si caricano specifici codici o servizi (chiamati “tag”) sulla pagina di un sito web.

Come funziona Google tag manager

Quando si visita per la prima volta il sito web di un publisher, senza previo consenso, viene contattato il servizio statunitense di GTM. Ciò avviene trasmettendo un ID a Google e stabilendo una connessione ai server Usa del colosso di Cupertino.

Durante questa connessione, come appurato nel caso di specie, si trasmettono negli Usa i dati dal terminale dell’utente, in particolare: l’indirizzo IP, la configurazione del dispositivo, il Paese e l’Url di riferimento (referrer Url). Vengono attivamente richieste più informazioni dai dispositivi degli utenti, rispetto a una normale richiesta HTTP.

Successivamente, Google memorizza un JavaScript (chiamato gtm.js) sul dispositivo dell’utente, personalizzato individualmente per ogni utente.

La personalizzazione è dovuta al fatto che contiene l’ID utente di Google tag manager e legge informazioni di tale utente, interrogando i dati individuali del browser/dispositivo. Tipico del cosiddetto “browser fingerprinting“, tale da consentire la creazione di profili utente proprio assommando vari elementi particolari di uso e settaggio del browser. Una profilazione, ai sensi del GDPR.

Secondo i giudici tedeschi, GTM non offrirebbe agli utenti alcuna funzione aggiuntiva e non influirebbe in altro modo sulla funzionalità del sito web dal punto di vista dell’utente (soprattutto quanto ai consensi). Invece, servirebbe a caricare strumenti e codici che richiedono il consenso, dopo che il consenso è stato reso.

Infatti, il publisher utilizzava una Consent management platform (CMP) separata per la gestione dei consensi.

Precisazione importante: si tenga conto che la causa è stata avviata da un reclamo nel 2018, però gli accertamenti tecnici alla base del provvedimento sono stati svolti fino al 2022. Pertanto quanto di seguito esaminato dovrebbe subire “la tara” di una contestualizzazione all’attualità dello strumento GTM. Per quanto identico a quanto qui descritto, si potrà considerare come attuale.

Punto di competenza: chi controlla i controllori dei cookie

La sentenza affronta una questione preliminare fondamentale, trattando in diritto.

L’editore sosteneva che l’autorità per la protezione dei dati (in questo caso, il commissario di Stato della Bassa Sassonia) non fosse competente a vigilare sulla TTDSG, la legge tedesca che recepisce la direttiva ePrivacy (per capire meglio, si tratta della Direttiva 2002/58 che in Italia abbiamo accolto in diversi articoli del Codice privacy nazionale, D.Lgs. 196/2003).

L’argomentazione

La TTDSG proteggerebbe la “riservatezza” delle comunicazioni (come da art. 7 della Carta dei diritti fondamentali dell’UE), non strettamente la “protezione dei dati personali” (art. 8), e quindi sarebbe fuori dal campo di applicazione del Gdpr e delle autorità data protection.

Il tribunale ha respinto con forza questa tesi, definendola una visione che porterebbe persino a un’“insensata” divisione delle competenze.

I giudici hanno stabilito, tra l’altro, che:

• privacy e protezione dati sono intrecciate (i due diritti sono strettamente correlati e spesso si sovrappongono, rappresentando concretizzazioni di un diritto fondamentale alla persona);
• e che bisogna evitare la frammentazione (separare le competenze creerebbe il caos; avere due autorità diverse potrebbe portare a decisioni contraddittorie e a un sistema opaco sia per i cittadini che per le aziende).

Cookie banner: anatomia di un consenso non valido

Un altro punto chiave della sentenza concerne la demolizione del design del banner di consenso che l’editore utilizzava in questo caso.

Il tribunale lo ha giudicato non conforme sotto ogni aspetto, offrendo una vera e propria checklist di pratiche illegittime. Difatti il consenso, per essere valido, deve essere “informato” (art. 4 n. 11 GDPR).

Il banner dell’editore falliva miseramente su questo punto:

• il banner parlava di “esperienza utente ottimale”, senza menzionare esplicitamente che si stava per dare un consenso legalmente vincolante a specifici fini;
• per scoprire dettagli fondamentali come il trasferimento di dati verso Paesi terzi (vedi gli Usa, dato il coinvolgimento di Google) o il diritto di revoca, l’utente doveva fare lo sforzo di scorrere il testo all’interno del banner. Il tribunale, con sano pragmatismo, ha notato che un utente medio, interessato al contenuto della pagina, solitamente non compie questa azione, si tratterebbe di informazioni da comunicare (succintamente) da subito, senza necessità di ulteriore interazione;
• l’informazione che i dati sarebbero stati condivisi con ben oltre cento fornitori terzi non era presente nel primo livello del banner. Questa, secondo i giudici, è un’informazione decisiva che potrebbe spingere l’utente a non accettare o, quantomeno, a voler prima approfondire sul piano della trasparenza.

Consenso non volontario: i dark pattern che ci guidano la mano

La critica del Tribunale si fa ancora più incisiva: il consenso non era “libero” perché l’intero design del banner era costruito per spingere l’utente verso una sola direzione.

Circa le pratiche scorrette di manipolazione (dark pattern) identificate:

• al primo livello, l’utente aveva due opzioni per dare un consenso ampio (“Accetta tutto” e “Accetta e chiudi x”), però nessuna opzione chiara e diretta per rifiutare e basta. Per negare il consenso, era necessario un percorso più complesso: cliccare su Impostazioni, aprire vari menu a tendina e infine cliccare su Salva selezione;
• il colore, il layout conta: il pulsante “Accetta tutto” era evidenziato in blu con scritte bianche, rendendolo l’elemento più visibile e cliccabile. Gli altri pulsanti erano in nero su bianco, confondendosi con il resto del testo;
• nell’angolo in alto a destra, dove gli utenti si aspettano di trovare una semplice “x” per chiudere la finestra, era presente la dicitura “Accetta e chiudi x”. Il tribunale ha definito questa pratica “sorprendente e insolita”, poiché un utente medio non si aspetta di dare il proprio consenso cliccando su un’icona di chiusura. La combinazione delle due funzioni (“Accetta” e “Chiudi”) è intrinsecamente fuorviante;
• se un utente si prendeva la briga di rifiutare il consenso, il banner riappariva a ogni nuova visita del sito (c.d. nagging). Questa tattica è chiaramente progettata per “sfiancare” l’utente e indurlo, alla fine, a cliccare su “Accetta tutto” per non essere più disturbato.

La questione Google tag manager: un “facilitatore” che richiede consenso

Fin qui punti rilevanti però, tutto sommato, nulla di inedito (purtroppo). Il vero punto dirimente e “nuovo” della sentenza riguarda l’uso di Google tag manager (Gtm).

L’editore sosteneva che Gtm fosse uno strumento puramente tecnico, una sorta di “contenitore” per gestire altri script, e che quindi non necessitasse di per sé un consenso preventivo. Anche qui, il tribunale ha ripercorso le analisi tecniche svolte dall’autorità privacy locale e ha stabilito il contrario.

Ecco perché GTM non sarebbe uno strumento “neutro”, secondo la sentenza tedesca:

• le analisi tecniche avevano dimostrato che – già al semplice caricamento della pagina web e prima che l’utente interagisse con il banner – GTM stabiliva una connessione con i server di Google e salvava uno script (gtm.js) sul dispositivo dell’utente (operazione di “intrusione” nel dispositivo dell’utente che fa già parte di un’attività di comunicazione elettronica e gestione dei dati, rilevante lato normativo). Durante questo contatto iniziale, venivano già trasmessi dati personali come l’indirizzo IP e informazioni sulla configurazione del dispositivo;
• poiché GTM accede al terminale dell’utente, necessita di un consenso quale condizione preliminare. L’eccezione per gli strumenti “strettamente necessari” (come previsto dalla direttiva ePrivacy, art. 5.3: “al solo fine di effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dall’abbonato o dall’utente a erogare tale servizio” ) qui non si applica. GTM è, infatti, uno strumento che semplifica la vita allo sviluppatore e all’editore, non certo essenziale per fornire un servizio che l’utente ha esplicitamente richiesto (il punto di vista deve essere quello del solo utente). Esisterebbero alternative, come script personalizzati, per gestire il caricamento condizionale dei tag ed evitare accessi non consentiti.

L’uso di GTM, quindi, non si può rubricare quale “mera” operazione tecnica a monte del consenso. È infatti un’operazione che richiede un consenso, da ottenere prima di caricare lo strumento.

Usarlo per gestire i consensi è un paradosso e una violazione della normativa.
Gli strumenti di trattamento non sono mai neutri: ogni tool di terze parti che accede al dispositivo di un utente, anche solo per “facilitare” la gestione di altri script, deve essere considerato un trattamento a sé che richiede consenso preventivo.

Un approfondimento più tecnico su Google tag manager

Per capire l’alternativa tra uso di GTM e diverso uso di script (e così evitare il problema esposto nel caso tedesco) è necessario riprendere i concetti, scendendo un poco più nella disamina tecnica del procedimento.

Riepiloghiamo quanto emerge dalla sentenza e da nozioni liberamente accessibili sul web:

• il flusso “problematico”, giuridicamente, è composto dal caricamento iniziale, come già visto sopra: quando un utente visita il sito web, il codice Html della pagina contiene un’istruzione che ordina al browser di caricare immediatamente lo script principale di GTM (solitamente gtm.js) dai server di Google;
• il primo caricamento avviene prima che l’utente possa interagire con il banner del consenso. In questo istante, si verificherebbero ben due azioni che violano la normativa: (a) lo script gtm.js viene salvato sul dispositivo dell’utente; (b) per stabilire la connessione, il browser dell’utente invia ai server di Google dati come l’indirizzo IP e altre informazioni sul dispositivo/browser (user agent, configurazione eccetera);
• solo dopo questo primo accesso, all’utente verrebbe mostrato il banner del consenso (Consent management platform o Cmp); se l’utente dà il suo consenso, la CMP lo comunica a GTM che a sua volta “attiva” (carica) gli altri script che gestisce (per esempio, Google Analytics, Facebook Pixel eccetera) e selezionati dal publisher.

Il punto cruciale è ora evidente: l’accesso iniziale al dispositivo – da parte di Google tag manager stesso, dunque da parte di Google – è già avvenuto senza consenso.

Uno script post consenso personalizzato

Un’alternativa conforme invertirebbe completamente questa logica, seguendo il principio “script post consenso”. Volendo ipotizzare uno scenario di programmazione di un proprio script separato, conforme a normativa:

• l’Html della pagina non contiene alcun tag script che carichi GTM o altri tracker di terze parti; l’unico script relativo al tracciamento che può essere caricato è quello della CMP, se necessario per il suo funzionamento (oppure il codice della CMP può essere integrato direttamente nella pagina);
• l’utente interagisce con il banner della CMP e le sue scelte (per esempio, “Accetto Analytics”, “Rifiuto Marketing”) vengono salvate localmente sul suo dispositivo, solitamente in un cookie di prima parte o nel local Storage; questo specifico cookie, che serve solo a memorizzare la scelta del consenso, può essere considerato “strettamente necessario” e quindi lecito;
• a questo punto entra in gioco lo “script personalizzato“: si tratta di una semplice funzione JavaScript, scritta direttamente dagli sviluppatori del sito, che agisce come un “gatekeeper”, come controllore degli accessi; questa funzione si attiva dopo che l’utente ha fatto la sua scelta sul banner e fa una cosa molto semplice: legge il cookie o il locaStorage per vedere quali categorie di servizi l’utente ha autorizzato;
• se il consenso è stato reso, lo script personalizzato crea dinamicamente un nuovo elemento script (nel cosiddetto DOM – Document Object Model – della pagina web), con attributo con l’URL dello script di Google – e solo a questo punto l’elemento script verrebbe “iniettato” nel codice della pagina (per esempio, nell'<head>). Solo ora il browser dell’utente contatterà i server di Google per scaricare ed eseguire per es. lo script di Analytics;
• se il consenso viene negato, lo script non fa assolutamente nulla, tantomeno avviare connessioni a Google o altro.

Come precisato in sentenza, in definitiva, le soluzioni alternative a GTM sarebbero generalmente accessibili e altrettanto valide, operativamente parlando: il processo di caricamento degli strumenti di marketing e dei cookie può essere eseguito anche senza Google tag manager.

La soluzione facile

L’uso di GTM è spesso preferito dagli operatori di siti web soprattutto perché, semplicemente, rende le cose “più facili”, in quanto lo strumento è gratuito e funziona bene.

Ma il comprovato, inevitabile trasferimento di dati personali a Google non potrebbe essere giustificato solo per motivi di semplicità, rispetto ai diritti fondamentali degli utenti, tutelati dalla normativa sopra invocata.

Ulteriori alternative di minor impatto ve ne sarebbero: sviluppo in-house, software open source eccetera.

Nel caso di specie, è tutto da valutare se e come (per es. l’uso di soluzioni server-side e/o opportune configurazioni, con blocco totale dello script suindicato, fino a consenso, senza i “cookieless ping”) l’editore avrebbe potuto mantenere salvo l’uso di GTM, impedendone le operazioni qui censurate.

Alcune riflessioni giuridiche

Da una prospettiva giuridica europea, questa sentenza non è rivoluzionaria, è piuttosto un consolidamento rigoroso di principi già ben stabiliti dalla Corte di Giustizia dell’Unione Europea (Cgue) e dall’European Data Protection Board (EDPB), oltre che da numerose singole autorità.

La sua importanza risiede nell’applicazione meticolosa di questi principi a pratiche di mercato ormai estremamente diffuse, fornendo un precedente di grande impatto.
Anzitutto la decisione del tribunale di affermare la propria competenza sulla TTDSG è giuridicamente ineccepibile.

La frammentazione attuale della disciplina ePrivacy – con 27 leggi nazionali che recepiscono, a volte con certo scarto, una Direttiva del 2002 (aggiornata nel 2009) – crea un’incertezza che i tribunali nazionali sono costretti a sanare con interpretazioni “sistemiche”.

La corte di Hannover, di fatto, sta armonizzando a livello giudiziale ciò che la politica non è riuscita a fare con pluri-fallite bozze di Regolamento ePrivacy. È una via pragmatica, però non ideale per la certezza del diritto su scala continentale.

Quanto alle conclusioni su informazione e volontarietà del consenso, sono una diretta applicazione, soprattutto, della storica sentenza “Planet49” (C-673/17) della CGUE e delle Linee guida dell’EDPB (in particolare le 05/2020 sul consenso e le 3/2022 sui deceptive design patterns).

La posizione su GTM è forse la più dirompente a livello operativo: la corte applica correttamente il test restrittivo della Direttiva ePrivacy sull’eccezione della “stretta necessità” e del punto di vista dell’utente nel valutare la condizione giuridica di trattamento dei dati (o, più precisamente trattandosi di ePrivacy, delle “informazioni”).

I casi come Fashion ID (C-40/17)

Oltretutto la decisione riecheggia implicitamente la dottrina della contitolarità stabilita dalla Cguein casi come Fashion ID (C-40/17): integrando GTM, che trasmette autonomamente dati a Google prima di qualsiasi consenso, il publisher del sito web utilizzatore diventerebbe contitolare di quel trattamento iniziale.

Tantomeno non può chiamarsi fuori invocando la foglia di fico dello strumento tecnico “neutrale” o simile. Questa sentenza (ripetiamo, nazionale e di ambito operativo nel territorio tedesco, tuttavia facilmente “replicabile” anche dalle nostre parti) obbligherebbe i titolari a una profonda revisione dell’architettura tecnica dei loro siti, imponendo che nessun tag o script che comporti accesso al terminale o trasmissione di dati personali venga caricato prima di un consenso specifico, granulare e validamente raccolto.

Oppure costringerebbe il “convitato di pietra”, cioè Google, a rivedere il funzionamento del proprio strumento, per tutti (pensiamo a quanto accaduto nel caso del TCF di IAB circa i dati raccolti tramite cookie).

Non è comunque chiaro se vi sia un margine, da parte del provider, per poter attribuire errori di configurazione e governance ai publisher, comunque sia si dovrebbe avviare un percorso di riflessione generale del mercato sul punto, da parte degli stessi publisher e inserzionisti. Prima che lo facciano tribunali e autorità data protection locali.

La sentenza su Google tag manager non nasce nel vuoto

La sentenza di Hannover si inserisce in una lunga e complessa storia di tensioni tra il modello di business di Google, basato sui dati, e la visione europea della privacy come diritto fondamentale.

Basti ricordare come, in risposta alle crescenti pressioni, Google annunciasse più volte il suo piano per eliminare gradualmente i cookie di terze parti dal browser Chrome, sostituendoli con nuove tecnologie raggruppate nel “Privacy Sandbox” (come “FLoC”, poi “Topics”).

Per fare una successiva marcia indietro, una volta suscitato lo scetticismo da parte di attivisti e regolatori, ipotizzando una strategia per rafforzare ulteriormente il controllo di Google sull’ecosistema pubblicitario, trasformando il browser stesso nel nuovo intermediario principale per la profilazione degli utenti.

Insomma, ora tocca a uno dei veicoli di punta dei business model digitali: cosa accadrà non è facile prevederlo, che possa restare tutto com’è pare però davvero improbabile.