Home / Journal / Conformità GDPR automatica con i Tag di Google

Written by Michele Pisani

6 Novembre 2020

Conformità GDPR automatica con i Tag di Google

Il valore del dato compliance è sempre più centrale in qualunque esperienza di raccolta.

La Data Analysis e tutte le forme di acquisizione dell’informazione, compreso l’utilizzo di Google Tag Manager e Google Analytics, hanno senso quando il dato è ottenuto in modo strutturato e a norma di legge ovvero, quando può essere utilizzabile. Anche a Mountain View stanno andando in questa direzione, tant’è che Google, ad oggi, ha introdotto una nuova forma di modalità di consenso integrata per i propri tag.

Di seguito entreremo nello specifico descrivendo i vantaggi della conformità automatica gestita da questi tag, le differenti tipologie di implementazione e gli approfondimenti che si possono trovare. Quello che vogliamo evidenziare è come ormai la raccolta a norma di legge non sia più un’esigenza di alcune aziende attente alla qualità delle informazioni che stanno acquisendo, bensì stia diventando un vero e proprio mantra anche per le Big 4.

L’aspetto fondamentale e positivo sarà ottenere dati utilizzabili per le proprie strategie di business, raccolti a norma di legge.

Consent mode

In ottica di miglioramento della privacy e protezione dei dati personali, Google ha introdotto la modalità di consenso. In pratica, i tag di Google Analytics, Google Ads, Floodlight e Conversion Linker che abbiamo sui nostri siti riescono a regolarsi in modo automatico, in base all’accettazione dei cookie espressa dagli utenti.

È importante assicurarsi che i tag Google vengano sempre caricati prima della finestra di consenso e, dopo un’impostazione iniziale, il resto sarà gestito in modo automatico nei rispetti del GDPR. Mi riferisco in particolare ai meccanismi di recupero delle informazioni dagli URL, lettura e scrittura di cookie e invio di dati tramite pixel.

La funzionalità richiede di essere agganciata ad un sistema di gestione dei consensi preesistente e, poiché ad oggi è ancora in fase beta, rimando tutti gli aspetti tecnici e di implementazione alla documentazione ufficiale Google. Può essere configurato con Google Tag Manager, Fig. 1, o tramite codice esplicito in pagina. In questo modo, successivi aggiornamenti alle linee guida potranno essere monitorati e di conseguenza adeguati nei propri sistemi.

Fig. 1 – Tag di configurazione in Google Tag Manager per il comando di default del Consent Mode

È possibile definire il comportamento di questi tag in due fasi. La prima, nel momento in cui la pagina è caricata, ovvero prima dell’espressione del consenso e l’altra, richiamando il comando update nelle impostazioni del tag, per aggiornare il comportamento dopo l’accettazione da parte dell’utente.

In breve non si parla più di blocco completo del tracciamento, sia che si tratti di Analytics che di Ads, ma di regolazione. Inutile dire che per casi particolari, come le variazioni locali in termini di normativa, i tag possono essere ancora gestiti adeguandoli in modo personalizzato come fatto fino ad oggi.

Quale è il vantaggio rispetto ad effettuare l’attività manualmente?

La modalità di consenso sfrutta l’API di gtag, chi dovrà implementare il codice sarà agevolato poiché si tratta di una libreria nota, tuttavia i veri vantaggi sono altri e di seguito riporto i principali che ho rilevato:

  • In un mio precedente articolo “Anonimizza veramente gli IP degli utenti di Google Analytics” ho fatto menzione sulla questione della diversa interpretazione delle classificazioni dei cookie da parte dei vari garanti degli Stati membri. In termini generali la modalità di consenso può andare incontro a questo tipo di esigenze. Con l’introduzione del parametro region è possibile regolare la gestione dei tag sulla base delle necessità dettate dalle normative locali. Per lo stesso sito ad esempio, posso essere rilasciati cookie statistici per gli utenti che accedono dall’Italia e bloccarli preventivamente se accedono dall’UK:
gtag('consent', 'default', {
'analytics_storage': 'granted'
'ad_storage': 'denied',
'region': ['UK']
});

 

gtag(‘consent’, ‘default’, {

‘analytics_storage’: ‘granted’,
‘ad_storage’: ‘denied’,
‘region’: [‘IT’]
});

 

  • Bloccando la scrittura dei cookie relativi agli annunci, eventuali parametri presenti in queryString, come il gclid del Paid Search di Google, non vengono salvati nel browser nel caso l’utente non fornisca il consenso nella pagina di atterraggio. Tuttavia, attivando la funzionalità di gtag chiamata url_passthrough è possibile mantenere questa informazione anche nelle pagine successive, per questo motivo se l’utente rilascia il proprio consenso nella seconda pagina, l’informazione dell’annuncio e l’opportuna attribuzione verranno assegnate correttamente.

 

  • Un aspetto che sicuramente mancava fino ad oggi e sul quale ho sempre sostenuto esserci una falla dal punto di vista tecnico e normativo, è quello della gestione dei cookie di marketing installati nel proprio browser a seguito di una precedente navigazione. Quello che normalmente succede, anche con la migliore delle impostazioni, è che, qualora un utente accetti tutti i cookie dalla cookiebar e poi ripensandoci ne negasse successivamente il consenso, i cookie installati nel primo frangente continueranno a svolgere le loro funzionalità native, ovvero la revoca del consenso non ha alcun effetto su di essi. Con la nuova funzionalità di Google invece, in caso di revoca dei consensi e previa corretta configurazione lato sviluppo, i tag Google associati non imposteranno nuovi cookie per scopi pubblicitari. Inoltre, eventuali cookie di terze parti precedentemente impostati su com e doubleclick.net, che vengono aggiunti passivamente nelle intestazioni delle richieste di rete dal browser, non verranno né letti né utilizzati se non potenzialmente per scopi di spam e frode.

Conclusioni

Solo l’ultimo dei punti elencati può essere un valido motivo per implementare questa nuova funzionalità e fare un altro passo in direzione del GDPR volto a garantire l’integrità del dato.

Sicuramente sono attesi nuovi rilasci da parte di Google per il miglioramento delle logiche e una maggiore granularità in termini di consensi, nonché una gestione ottimizzata delle interazioni inviate a Google Analytics quando il consenso è negato.
In questa condizione, e per il momento, infatti, Google Analytics non utilizzerà il cookie _ga per identificare l’utente, neanche se già presente nel browser, bensì assocerà un identificativo temporaneo che ha vita solo nella pagina corrente. Questo garantisce la non rintracciabilità della navigazione tuttavia, nonostante le interazioni vengano inviate ai server di Google Analytics, il set di dati in questione, caratterizzato da un parametro che ne identifica la modalità di consenso, non viene attualmente raccolto/esposto nei report.

Il consiglio pertanto è quello di bilanciare bene gli aspetti positivi portati da questa modalità con quelli già presenti nelle proprie attuali implementazioni di tracking di compliance. L’aspetto fondamentale e positivo sarà ottenere dati utilizzabili per le proprie strategie di business, raccolti a norma di legge.

Written by Michele Pisani

Head of Analytics 

Contattaci

Unlock your digital
potential