Logo Logo
Cookiebot

 

Il Regolamento generale sulla protezione dei dati (GDPR) e la Direttiva ePrivacy (ePR) incidono su come i proprietari di siti web possono utilizzare Google Analytics per rintracciare i visitatori dall'UE.

 

Prova il nostro test di conformità gratuito per verificare se l'uso dei cookie e del monitoraggio online da parte del tuo sito web è conforme al GDPR / ePR.

Google Analytics è di gran lunga lo strumento più popolare per i proprietari di siti web per ottenere informazioni su come viene utilizzato il loro sito.

Ma è conforme al GDPR? Puoi continuare a usarlo rispettando il regolamento, e cosa ci vuole?

In questo articolo, forniamo un'introduzione a Google Analytics, al GDPR, e a ciò che i requisiti legali in realtà significano per il tuo sito web e il suo utilizzo di cookie, strumenti di monitoraggio e strumenti online.

Scopri cosa sta facendo Google in preparazione al GDPR, quali modifiche dovresti implementare nel tuo account Google Analytics, e come puoi rendere compatibile l'utilizzo del tuo sito web da parte di Google Analytics.

Se desideri saltare le introduzioni e metterti subito al lavoro, scorri fino all' checklist 1 in fondo a questo articolo.

Il mio uso di Google Analytics è conforme al GDPR e ePR?

Cos'è Google Analytics?


Google Analytics è lo strumento potente e ampiamente utilizzato di analisi del traffico di Google che consente ai proprietari di siti web di ottenere informazioni dettagliate e in tempo reale su come viene utilizzato il loro sito, quanto e da chi.

In che modo gli utenti trovano il tuo sito web, come si muovono su di esso, per quanto tempo rimangono e dove vanno da lì?

In quanto tale, Google Analytics è essenzialmente uno strumento di elaborazione dei dati dell'utente.

Cos’è il GDPR e in che modo influenza il mio sito web?


Il Regolamento generale sulla protezione dei dati è una legge dell'UE che stabilisce dei requisiti severi su come gestire i dati dei cittadini dell'UE.

È stato applicato il 25 maggio 2018 e riguarda società, organizzazioni e siti Web di piccole e grandi dimensioni, che gestiscono dati personali degli utenti dall'UE.

Per i proprietari di siti web, il regolamento significa che devi passare attraverso tutte le tue attività di elaborazione dei dati personali e assicurarti che siano conformi.

In genere, le attività di elaborazione dei dati sui siti Web sono di due tipi:

  1. Da un lato, moduli di contatto, abbonamenti e-mail e simili, in cui i dati personali sono esplicitamente richiesti e inoltrati direttamente dall'utente, 
  2. e cookie e tracciamento online dall'altro.

Il GDPR significa che devi passare attraverso entrambi e rivedere quali dati stai raccogliendo, se hai davvero bisogno di questi dati e perché, e come stai mantenendo il tutto sicuro.

Il problema con i cookie nel GDPR

A causa dei loro molteplici usi, i cookie sono spesso la parte delicata per garantire la conformità con la normativa.

I cookie hanno una gamma di scopi diversi, dalla funzionalità, alla statistica, e infine al marketing mirato.

Alcuni sono necessari per il funzionamento del sito web, altri no.

Alcuni migliorano l'esperienza dell'utente, alcuni servono per il monitoraggio e la profilazione degli utenti, e alcuni fanno entrambi.

Alcuni sono impostati dal sito web stesso, mentre la maggior parte è di provenienza di terze parti, in genere impostata da plug-in e strumenti incorporati.

Inoltre, i cookie sui siti web tendono a cambiare, il ché significa che ottenere una panoramica una volta per tutte non sarà sufficiente.

In termini generali, però, i cookie tracciano le azioni degli utenti e sono quindi soggetti al GDPR.

Il regolamento riguarda l'utilizzo dei cookie e il monitoraggio online, la politica sui cookie e l'informativa sulla privacy, e il modo in cui si ottiene il consenso degli utenti per l'impostazione dei cookie.

Plugin, contenuti incorporati e strumenti in uso sul tuo sito web impostano tutti i cookie.

Come proprietario di un sito web, sei responsabile di tutte le attività di elaborazione dei dati sul tuo sito web, che siano di provenienza di prima parte o di terze parti.

Cosa si intende per "dato personale" nel GDPR?

Il problema per i proprietari di siti web quando si tratta di utilizzare strumenti come per esempio quelli per l'analisi, è l'ampia definizione di cosa si intende per dati personali nel GDPR:

Non solo gli indirizzi IP, le informazioni di contatto e i dati sensibili come i registri medici e finanziari sono personali, ma anche tutti i dati che possono identificare qualcuno "direttamente o indirettamente" utilizzando "tutti i mezzi ragionevolmente probabili da venir impiegato".

Ciò include dati pseudonimi, identificatori online e cookie che, come afferma il GDPR, possono essere combinati con altri dati per creare "profili delle persone fisiche e identificarli".

Quali dati personali vengono raccolti da Google Analytics?

Google Analytics funziona tramite un codice di monitoraggio che viene aggiunto alle pagine del tuo sito web.

Ogni utente è registrato con un ID univoco, in modo che Google Analytics possa fornire informazioni dettagliate su quanti visitatori unici ci sono sul sito, ad esempio, e quanti utenti ritornano.

Con Google Analytics, è possibile verificare con quale frequenza ogni singolo utente ha visitato il sito Web, quali pagine ha visitato, per quanto tempo è rimasto e come ha interagito con il sito.

In combinazione con i loro enormi dati statistici sugli utenti del Internet, Google Analytics può fornire informazioni molto precise sui segmenti che il tuo sito web attrae in base a dati demografici quali età, sesso, interessi professionali e privati, posizione geografica, ecc.

È difficile ottenere una visione accurata dei dati effettivamente tracciati da Google Analytics, poiché ciò è in costante sviluppo, e perché Google non fornisce trasparenza sui loro metodi.

Secondo i Termini della protezione dei dati di Google Ads: Informazioni sul servizio, , Google Analytics raccoglie i seguenti tipi di dati personali: 

Per avere un'idea generale di quali dati sta raccogliendo Google, puoi dare un'occhiata alla politica sulla privacy di Google:

"Raccogliamo informazioni per fornire servizi migliori a tutti i nostri utenti: dalla scoperta di che lingua parli, a cose più complesse come gli annunci che ritieni più utili, le persone che contano di più per te online o quali Video di YouTube che ti potrebbero piacere.

Raccogliamo informazioni in due modi:

1. Informazioni che ci dai.
Ad esempio, molti dei nostri servizi richiedono la registrazione di un account Google. Quando lo fai, ti chiederemo informazioni personali, quali il tuo nome, indirizzo email, numero di telefono o numero di carta di credito.

Se desideri sfruttare appieno le funzionalità di condivisione che offriamo, potremmo anche chiederti di creare un profilo Google visibile pubblicamente, che potrebbe includere il tuo nome e la tua foto.

2. Informazioni ottenute tramite il tuo utilizzo dei nostri servizi
Raccogliamo informazioni sui servizi che utilizzi e su come li utilizzi, ad esempio quando guardi un video su YouTube, visiti un sito web che utilizza i nostri servizi pubblicitari o visualizzi e interagisca con i nostri annunci e contenuti. "

In base alla definizione dei dati personali di GDPR sopra descritta, il tracciamento del comportamento e della profilazione degli utenti è conforme alle normative UE solo quando il sito web ottiene il consenso preventivo del visitatore, ovvero blocca Analytics fino a quando il visitatore non ha aderito.

Quindi, cosa sta facendo Google Analytics in preparazione per l'applicazione GDPR?


Dal loro blog, Google in Europa, Google ha condiviso informazioni su come si stanno preparando a soddisfare i requisiti del GDPR da agosto 2017.

Durante la primavera del 2018, hanno regolarmente rilasciato aggiornamenti sul proprio lavoro per diventare conformi a GDPR:

hanno aggiornato la propria politica di consenso degli utenti dell'UE , apportato modifiche alle loro condizioni contrattuali, e apportato modifiche ai propri prodotti al fine di soddisfare i requisiti:

Politica aggiornata di consenso degli utenti dell'UE

In linea con la loro politica sui servizi pubblicitari, sia i clienti di Google Analytics che quelli di Analytics 360 che utilizzano le funzioni pubblicitarie devono rispettare le Norme per il consenso degli utenti di Google. Google's Le norme di consenso degli utenti dell'UE di Google vengono aggiornate per riflettere i requisiti legali del GDPR.

Stabilisce le responsabilità dei proprietari dei siti web per la divulgazione e l'ottenimento di consensi da parte degli utenti finali nello Spazio economico europeo (d'ora in poi SEE).

Ad esempio, in base a tale politica, agli inserzionisti verrà richiesto di ottenere il consenso degli utenti per la raccolta di dati per annunci personalizzati (ad esempio tag di remarketing per creare elenchi di pubblico) e per l'uso di cookie laddove richiesto dalla legge (ad esempio tag di conversione).

La politica è incorporata nei contratti per la maggior parte degli annunci e dei prodotti di misurazione di Google a livello globale.

Cambiamenti contrattuali

Google ha pubblicato aggiornamenti dei loro contratti per molti prodotti sin da agosto 2017, rispecchiando il loro status come processore o controller sotto il GDPR  (vedere la classificazione completa dei prodotti Google).

Le nuove condizioni GDPR completano il tuo contratto con Google e sono entrate in vigore il 25 maggio 2018. Sia in Google Analytics che in Analytics 360, Google opera come un elaboratore di dati personali gestito nel servizio.

Modifiche del prodotto

Per conformarsi, e per supportare la conformità dei propri clienti con GDPR, Google sta:

Scopri di più

Consulta privacy.google.com/businesses per ulteriori informazioni sulle norme sulla privacy dei dati di Google e sull'approccio, nonché i termini relativi all'elaborazione dei dati e i termini del controller di dati.

Cosa dovresti fare

Tuttavia, tutti questi passaggi inascoltati, in qualità di proprietario del sito web, tu sei la parte responsabile per i dati personali dei tuoi visitatori che vengono gestiti sul tuo sito.

Consulta questo utile articolo su come preparare l'utilizzo di Google Analytics per GDPR (in inglese). .

Per preparare l'utilizzo di Google Analytics per GDPR, ci sono fondamentalmente due cose da fare:

  1. Apportare modifiche nelle impostazioni del tuo account Google Analytics
  2. Assicurarti che l'utilizzo del tuo sito web di Google Analytics e di altri strumenti sia conforme.

Checklist 1: Passaggi per rendere conforme al GDPR il tuo conto di Google Analytics


1. Controlla come stai trasmettendo i dati personali a Google

Non è sufficiente filtrare i dati personali tramite i filtri di Google Analytics. La trasmissione deve essere interrotta a livello di codice per impedire che i dati vengano mai inviati a Google Analytics.

Controlla l'URL della tua pagina, i titoli delle pagine e altre dimensioni. Fai a modo di garantire che non vengano raccolti dati personali.

Un esempio comune di raccolta di dati personali è quando si acquisisce un URL di pagina che contiene un parametro "email = querystring".

Se questo è il caso, è probabile che stai perdendo dati personali su altre tecnologie di marketing in uso sul tuo sito!

2. Attivare l'anonimizzazione IP

L'indirizzo IP è un dato personale secondo la definizione nel GDPR.

Gli indirizzi IP per impostazione predefinita non sono mai esposti nei rapporti, ma Google li utilizza per fornire dati di geolocalizzazione.

Pertanto, è consigliabile attivare la funzione di anonimizzazione IP in Google Analytics. Questa modifica ridurrà leggermente l'accuratezza del rapporto geografico del tuo account Google Analytics.

Per attivare l'anonimizzazione, è necessario apportare una modifica al codice.

Se utilizzi Google Tag Manager, modifica il tag o la variabile Impostazioni di Google Analytics facendo clic su Altre impostazioni -> Campi da impostare e quindi aggiungi un nuovo campo denominato "anonymizeIp" con un valore di "true".

Se non utilizzi Google Tag Manager, il tuo sistema di gestione dei tag potrebbe avere questa impostazione esposta come opzione oppure potresti dover modificare direttamente il codice.

Una volta implementato, Google renderà anonimo l'indirizzo IP non appena tecnicamente possibile rimuovendo l'ultimo ottetto dell'indirizzo IP prima che inizi la memorizzazione o l'elaborazione (il tuo IP diventa 123.123.123.0 - dove l'ultima porzione / ottetto viene sostituita con uno "0" ).

Una volta abilitate queste funzionalità, l'indirizzo IP completo non verrà mai scritto sul disco secondo Google.

3. Revisiona la raccolta di identificatori pseudonimi in Google Analytics

L'implementazione di Google Analytics potrebbe già utilizzare identificatori pseudonimi. Questi possono includere quanto segue:

ID utente:  controlla che gli ID utente siano identificatori alfanumerici del database e non dati scritti in testo normale come e-mail, nomi utente, ecc.

Dati crittografati / crittografati come l'indirizzo di posta elettronica: verificare se è possibile fare a meno di dati crittografati. Google ha un requisito minimo per l'hashing di SHA256. Tuttavia, si raccomanda di evitare la raccolta di dati in questo modo.

ID transazione : gli ID transazione sono identificatori tecnicamente pseudonimi, poiché quando sono collegati a un'altra origine dati, possono portare all'identificazione di un individuo. Assicurati che questo ID sia un identificatore alfanumerico del database.

Checklist 2: Procedura per rendere l'utilizzo del tuo sito web di Google Analytics, ecc. GDPR-conforme


1. Fornire trasparenza sull'elaborazione dei dati sul tuo sito nella tua politica sulla privacy e / o sulla politica sui cookie

Assicurati che l'effettiva elaborazione dei dati in corso sul tuo sito web sia chiaramente indicata, ad esempio nella tua politica sulla privacy. È un requisito del GDPR, che le informazioni sulla raccolta dei dati siano...

Hai una politica cookie corretta in atto?

La politica sui cookie dovrebbe essere accessibile per i tuoi utenti e delineare quali cookie sono in uso, quale scopo servono e come uno può optare per entrare e uscire da essi.

Non importa se la tua politica sui cookie è un documento indipendente o integrato nella tua politica sulla privacy, purché le informazioni siano facilmente accessibili per i tuoi utenti.

Con Cookiebot, il report mensile della scansione del tuo sito web può essere pubblicato come parte integrante della tua politica sulla privacy e della cookie policy.

In questo modo, le tue informazioni ai tuoi utenti sono sempre specifiche e aggiornate con l'effettiva elaborazione dei dati in corso e dei cambiamenti dei tuoi strumenti e cookie.

Inoltre, la dichiarazione fornisce automaticamente le opzioni obbligatorie di modifica e revoca del consenso.

2. Implementare un consenso cookie conforme a GDPR

Ottenere un consenso appropriato all'uso dei cookie da parte dei visitatori è una parte cruciale del rendere il sito web conforme al GDPR. Per essere conforme, il consenso deve essere ...

Leggi di più nel nostro articolo sui consensi di cookie e il GDPR.

Cookiebot Cookiebot è una delle poche soluzioni di consenso sui cookie che fa tutto ciò. Non puoi controllare Google. Tuttavia, implementando Cookiebot, puoi rendere l'utilizzo dei cookie e del monitoraggio online da parte del tuo sito web conforme al GDPR.

Risorse


GDPR Report: GDPR and Google Analytics
Digital Third Coast: How does Google Analytics actually work?
Shivarweb: What does Google Analytics do?
Google developers guide: Google Analytics cookie usage on websites
Stackoverflow: What data is collected by Google Analytics (by default)
Google's Privacy policy
Medium: Google Analytics and GDPR Compliance
Google Ads Data Protection Terms: Service Information
GOOGLE IN EUROPE Getting ready for Europe’s new data protection rules
Googles EU User Consent Policy
Full classification of Googles Ads products

Rendi l'uso dei cookie e del tracciamento online sul tuo sito conforme al GDPR/ePR oggi stesso

Provalo gratuitamente