Mulți proprietari de site-uri din Moldova instalează Google Analytics 4 și presupun că „doar numără vizite". În realitate, GA4 colectează un set surprinzător de bogat de date încă din primul milisecunda de la încărcare — și, dacă nu ai configurat nimic, o face înainte ca vizitatorul să apuce să consimtă. Iată exact ce se întâmplă.
Ce trimite GA4 la primul hit
În configurarea implicită, fără niciun mecanism de consimțământ, GA4 trimite la prima încărcare a paginii un eveniment page_view care include, printre altele:
- Adresa IP — folosită pentru localizare aproximativă (deși Google o anonimizează parțial).
- User agent — browser, sistem de operare, tip de dispozitiv.
- Pagina vizitată și referrer-ul — de unde a venit vizitatorul.
- Un identificator de client (client ID) stocat într-un cookie, care leagă sesiunile aceluiași vizitator.
- Rezoluția ecranului, limba, țara.
Individual, unele par inofensive. Împreună, însă, pot contribui la identificarea sau urmărirea unei persoane, iar identificatorul din cookie este exact tipul de dată care intră sub incidența regulilor de protecție a datelor.
De ce contează juridic
Pe piața locală, cadrul de bază este Legea nr. 133/2011 privind protecția datelor cu caracter personal, supravegheată de CNPDCP. Aceasta cere temei pentru prelucrarea datelor personale. GDPR (UE) nu se aplică direct în Moldova, dar devine relevant dacă ai vizitatori sau clienți din UE.
Problema: dacă GA4 pune un cookie și colectează identificatori înainte de consimțământ, prelucrezi date fără temeiul cerut. Bannerul cosmetic care apare peste tracking-ul deja pornit nu rezolvă nimic — colectarea a avut deja loc.
Modul „fără cookie" cu Consent Mode v2
Vestea bună este că GA4 poate funcționa într-un mod restrâns, respectuos, prin Consent Mode v2. Când analytics_storage este pe denied:
- GA4 nu scrie cookie-uri și nu setează client ID persistent.
- Poate trimite doar pinguri agregate și anonime, fără date care să identifice persoana.
- Nu construiește profil individual al vizitatorului.
Când vizitatorul apasă „Accept", treci semnalul pe granted și colectarea completă pornește. Astfel, până la acord, GA4 rămâne în modul minim, iar tu ești conform.
Ce NU rezolvă anonimizarea singură
Unii cred că e suficient să activeze anonimizarea IP sau să bifeze o setare din GA4. Nu este:
- Anonimizarea IP nu oprește cookie-ul cu client ID.
- Setările interne GA4 nu controlează momentul primului hit.
- Fără Consent Mode, primul
page_viewscapă oricum înainte de banner.
Singura abordare corectă este să controlezi starea consimțământului ÎNAINTE de încărcarea tag-ului.
Cum limitezi colectarea corect
Configurarea manuală cere setarea stării implicite pe denied înainte de gtag și ordine strictă a scripturilor. GDPR Moldova face asta automat: setează Consent Mode v2 și blochează real GA4, Google Ads și Meta Pixel până la acord, cu banner și politică de cookies în română și rusă. Instalarea durează aproximativ 2 minute, cu 7 zile gratis pentru test.
Verifică singur: deschide site-ul în incognito, intră în tab-ul Application → Cookies și confirmă că GA4 nu a pus cookie-uri (_ga) înainte de „Accept".
Concluzie
GA4 colectează mult mai mult decât „numărul de vizite" și o face instant, dacă nu îl ții în frâu. Cheia este să restrângi colectarea la modul fără cookie până la consimțământ, prin Consent Mode v2. Așa respecți Legea 133/2011, ești pregătit pentru trafic din UE și păstrezi doar datele pentru care ai temei.
Material orientativ, nu constituie consultanță juridică.