In questo articolo faremo chiarezza su un argomento sul quale - a meno di un mese dall’entrata in vigore della regolamentazione - c’è ancora molta confusione: Cookie policy e Google Analytics. Il nostro obiettivo è analizzare le conseguenze del General Data Protection Regulation (GDPR) sui sistemi di tracking del tuo sito web.

Aggiornamento di gennaio 2021: con il consent mode ora è tutto più facile, scoprilo qui.

Nota importante: Digital Pills è un’agenzia specializzata in data-driven marketing e analytics. Non offriamo consulenza legale, per la quale consigliamo di rivolgersi a dei professionisti. Se ti interessano gli aspetti strettamente legali del GDPR consigliamo questo articolo dello studio internazionale Bird&Bird: vai all'articolo.

Sommario

1. Introduzione
2. Le 5 conseguenze del GDPR sul tracking
3. Le principali categorie di cookie (cookie tecnici, cookie di profilazione...)
4. Un esempio di implementazione corretta
5. Gestione dei dati demografici in Google Analytics
6. Faq (domande frequenti)
7. Conclusione

Introduzione

Per cominciare, cos’è esattamente il GDPR?

Il General Data Protection Regulation, anche noto come Regolamento UE 2016/679, è un regolamento europeo che ha l’obiettivo di sostituire le regolamentazioni dei singoli paesi in materia di protezione dei dati personali.

Il Regolamento è in realtà in vigore dal 2016, ma diventerà applicable il 25 maggio 2018.
A questo link puoi trovare tutti i dettagli in legalese: https://ec.europa.eu/info/law/law-topic/data-protection_en

Lo scopo di questo regolamento è semplice: proteggere i dati personali di tutti i cittadini europei attraverso una serie di regole più stringenti che indichino come le organizzazioni (aziende, enti no profit, scuole e così via) dovranno trattare i dati personali dei cittadini europei.

Una delle novità più importanti è che la normativa riguarda tutte le aziende che trattano i dati di cittadini europei, a prescindere dalla loro sede legale. Si tratta quindi di una regolamentazione che avrà un impatto a livello globale.

A quanto ammontano le multe per chi non si adegua?

Le multe saranno molto salate: fino a 20 milioni di euro o al 4% del fatturato mondiale annuo, se superiore.

Da considerare un fatto importante: per i cittadini europei il processo di segnalazione delle violazioni sarà semplice e diretto. Il GDPR dispone, in particolare, che gli interessati possano proporre reclamo al Garante della Privacy del proprio paese.

I rischi quindi ci sono, e sono molto elevati. Adeguarsi diventa fondamentale per evitare brutte soprese.
Vediamo quindi le conseguenze che il GDPR avrà sui tuoi sistemi di tracking esistenti.

Le 5 conseguenze del GDPR sul tracking

1. L’indirizzo IP è considerato un dato personale
   Questo significa che qualora i nostri cookie di monitoraggio lo registrino (v. di seguito la sezione dedicata a Google Analytics), dovremo informare l’utente e iniziare a tracciare questa informazione solo dopo aver ricevuto il consenso esplicito.
2. L’informativa deve essere chiara
   Nei siti web deve essere presente una sezione (cookie policy) in cui è spiegato in linguaggio chiaro e comprensibile perché si utilizzano dei cookie specifici e per quali finalità. Un esempio molto ben fatto è quello di Mailchimp, che puoi consultare a questo link (in inglese).
3. L'opt-in deve essere esplicito
   Uno dei pilastri del GDPR è il consenso libero e informato, quindi non saranno più validi i soliti banner che a) avvisano in modo generico (“questo sito utilizza i cookies per migliorare l’esperienza dell’utente”, chi ci hai mai creduto davvero?) b) implicano un consenso dell’utente derivato dalla semplice navigazione del sito. Insomma se al momento hai sul tuo sito uno di quei banner che dicono qualcosa del tipo “Questo sito utilizza cookie, anche di terze parti, a scopi pubblicitari e per migliorare servizi ed esperienza dei lettori. Se decidi di continuare la navigazione consideriamo che accetti il loro uso.” è arrivato il momento di cambiarlo.ATTENZIONE: Come vedremo dopo, una delle aziende leader nella realizzazione di banner per la gestione dei cookies “GDPR compliant” è l’americana One Trust. Non è sufficiente installare uno di questi banner soltanto di facciata, ma è neccessario collegarlo ai sistemi di tracking esistenti (ad esempio utilizzando Google Tag Manager). Se ti interessa l’argomento contattaci.
4. L'opt-out deve essere sempre possibile
   In ogni momento della navigazione (anche successivamente all’accettazione di tutti i cookie, e anche in sessioni successive alla prima) l’utente deve essere messo nella condizione di rifiutare tutti i cookie o una categoria di essi, e quindi non essere più tracciato.Ecco ad esempio il pannello di gestione dei cookie offerto da One Trust:
5. Il controller è responsabile dei dati inviati al processor
   Questo è un punto molto importante: il GDPR dice chiaramente che il controller (per capirci, l’azienda che installa Google Analytics sul suo sito) è responsabile dei dati inviati al processor (in questo caso, Google).Di conseguenza se il tuo sistema di tracking invia al processor - anche per errore - delle PII (personal identificaible information) come ad esempio l’indirizzo email, la tua azienda è sanzionabile.
   Stiamo parlando di uno scenario molto comune, ecco un esempio pratico che ci è capitato qualche settimana fa mentre lavoravamo sul tracking di un ecommerce di uno noto marchio di abbigliamento italiano (abbiamo ricostruito il caso nella nostra sandbox per non pubblicare dati sensibili):Vedi l’indirizzo email all’interno dell’URL? In pratica per come è costruito questo portale, ogni volta che un utente invia un form di contatto con degli errori, la pagina viene ricaricata inserendo i campi all’interno dell’indirizzo della pagina.Questo causava l’invio errato di una PII (in questo caso l’indirizzo email) a Google Analytics.
   Il cliente in questione rischiava non solo la multa da 20 milioni di euro, ma anche la cancellazione di tutti i dati dell’account di Google Analytics, come previsto dai termini e condizioni di servizio.Per evitare il verificarsi di questa situazione abbiamo implementato un pezzo di codice custom che ha la funzione di riconoscere e filtrare alla fonte (prima di inviarli a Google) eventuali dati personali dell’utente.

Cookie e GDPR, un rapporto impossibile?

Dopo aver appreso tutti i possibili problemi e le multe salatissime in cui rischi di incorrere, inizierai a pensare che "il gioco non valga la candela" e forse stai già pensando di eliminare del tutto il tracking dal tuo sito web. Prima di correre ai ripari, continua a leggere perché adeguarsi non è così complicato e potrebbe essere anche una buona opportunità.

Per prima cosa, ricordiamo che parlare di cookie in generale è fuorviante, oltre che impreciso. Cookie non significa tracking. I cookie sono uno dei pilastri del web, senza di loro non funzionerebbero la maggior parte dei siti che utilizziamo ogni giorno.

Cerchiamo quindi di capire esattamente cosa sono i cookie e in quali categorie si suddividono. Eh sì, perché non tutti i cookie sono uguali e le loro applicazioni sono davvero varie.

Per semplificare, esistono quattro categorie fondamentali di cookie:

1. Cookie tecnici. Ad esempio quelli che utilizza la tua banca o qualsiasi altro sito web per l’accesso alla sua area privata per verificare l’avvenuto accreditamento dell’utente. Non possono essere disattivati perché altrimenti il sito smetterebbe di funzionare.
2. Cookie di performance e funzionalità. Esempio Google Analytics. Questi cookie sono utilizzati per migliorare le performance e le funzionalità del sito web, ma non sono essenziali per la sua fruizione.
   Per fare l’esempio di Google Analytics, tutte le informazioni raccolte sono aggregate e quindi anonime (sempre che abbiate anonimizzato l’IP del visitatore).
3. Cookie di analisi e personalizzazione. Esempio Hotjar. Questi cookie raccolgono informazioni che sono elaborate in forma aggregata per capire come il sito web è utilizzato dagli utenti o per personalizzare l’esperienza in base alla categoria di fruitore.
4. Cookie di profilazione. Esempio Facebook pixel. Questi sono i famosi cookie di remarketing, ad esempio quelli che permettono a booking.com di seguirti per settimane con i suoi banner sul viaggio in Grecia che ormai hai già prenotato. Sono anche qualli che permettono di profilare gli utenti e far capire ad un sito di ecommerce che i suoi acquirenti più assidui sono le donne tra i 35 e i 40 anni a cui piace Chanel.

Un esempio di tracking che rispetta la GDPR

Sul sito della nostra agenzia abbiamo scelto di implementare One Trust qualche mese prima dell'entrata in vigore del GDPR. Ecco come funziona il sistema:

1. Per prima cosa abbiamo aperto un account gratuito sul sito di One Trust, a questo link. L'account gratuito presenta numerose restrizioni (ad esempio è disponibile solo in inglese), ma è un buon punto di partenza.
2. Abbiamo quindi installato direttamente il codice fornito dalla piattaforma all'interno del nostro sito.
3. Una volta installato, ai nuovi visitatori viene mostrato un banner nella parte bassa dello schermo in cui viene richiesto se desiderano accettare tutti i cookies:
4. Se l'utente non clicca su "accetto" oppure chiude la notifica, i cookie di profilazione e di conversione non vengono attivati (nemmeno la sezione "demographics" di Google Analytics.
5. Anche dopo aver cliccato su "accetto" l'utente può modificare in ogni momento la propria preferenza accedendo al pannello di gestione delle preferenze presente nel footer della pagina:

Come gestire le informazioni demografiche all'interno di Google Analytics

Come probabilmente già saprai, all'interno di Google Analytics è presente una sezione molto interessante che raccoglie le informazioni demografiche e sugli interessi sui tuoi visitatori:

Tutte informazioni molto utili, se non fosse per un problema: per raccogliere questi dati Google deve inserire all'interno del tuo sito web lo script di DoubleClick, che rientra tra i cookie di profilazione. Per rispetto della normativa GDPR è quindi necessario richiedere il consenso all'utente prima di attivare queste funzioni. Fino a poche settimane fa risolvere questo problema era abbastanza complicato, ma grazie all'introduzione del campo allowAdFeatures è diventato (quasi) un gioco da ragazzi. Vediamo come fare.

Il modo più semplice per gestire questa situazione è attraverso Google Tag Manager, strumento che dovresti già conoscere. Quello che devi fare è semplicemente modificare il tag di Google Analytics aggiungendo un nuovo campo, chiamato appunto allowAdFeatures.

Come vedi, il valore che dovrai dare a questo campo è quello di una variabile all'interno della quale hai salvato la preferenza dell'utente.

FAQ (domande frequenti)

Google analytics deve essere bloccato per rispettare la GDPR?
No, se hai impostato il campo anonymizeIp a true. Cosa significa? In pratica devi comunicare preventivamente a Google che non vuoi che gli indirizzi IP degli utenti vengano registrati. Come fare? Dipende se utilizzi Google Analytics o Google Tag Manager:

Come anonimizzare gli ip se utilizzi google analytics

Se Google Analytics è stato inserito direttamente all'interno del codice da te o dagli sviluppatori, è necessario anonimizzare le hit (ad esempio le visualizzazioni di pagina) che vengono inviate a Google. Per farlo, devi modificare la riga di codice di gtag.js in questo modo, impostando il parametro anonymize_ip a true:

gtag('config', '<GA_TRACKING_ID>', { 'anonymize_ip': true });

Ricordiamo che l'implementazione di Google Analytics consigliata è quella tramite Google Tag Manager.

Come anonimizzare gli ip se utilizzi google tag manager

Se il tuo sito web utilizza Google Tag Manager, sarà sufficiente modificare la variabile dei google analytics settings aggiungendo il field to set anonymizeIp e dandogli valore true.

La mia azienda ha sede all’estero, il GDPR è applicabile?
Sì, su questo punto la regolamentazione parla chiaro: non conta la sede fisica dell’azienda ma la residenza dell’utilizzatore. Il regolamento vuole tutelare tutti i cittadini europei, quindi qualsiasi sito web accessibile dall’Europa è tenuto ad adeguarsi. In pratica, tutto il mondo.

Cosa rischio se non mi adeguo al GDPR?
Le multe sono salate: fino a 20 milioni di euro oppure il 4% del fatturato annuo globale (se superiore).

Conclusione

Le opportunità possono essere superiori ai costi: dopo il recente caso Cambridge Analytica le persone hanno perso la fiducia nei giganti del web, questa potrebbe essere una buona occasione per ricostruirla. Dopotutto ci sembra giusto che l’Europa prenda una posizione forte su un tema così delicato dopo che gli Stati Uniti si sono rivelati incapaci di farlo.