12 Gennaio 2021

Piccola guida a Google Consent Mode

Questo articolo è la guida a Google Consent Mode, un tool che recentemente Google ha rilasciato (in versione Beta) e che può essere un grande alleato per tutti noi che ci troviamo a dover creare valanghe di blocking trigger per essere sicuri che il nostro tracking rispetti il regolamento GDPR.

Premessa

Se “GDPR” e “Blocking trigger” ti sembrano parole nuove, stiamo parlando della gestione dei cookie legata al tracking.
Come saprai il nuovo regolamento GDPR impone delle regole decisamente rigide in materia di tracking, cookie e advertising online.

Per essere sicuri di rispettare le regole, la prima regole è rivolgersi a un legale che possa aiutarci, la seconda è di installare un sistema di Cookie Management come OneTrust o CookieBot.
Questi sistemi ci inviano dei dataLayer.push con dei parametri. A ogni parametro corrisponde una tipologia di cookie. Se nel dataLayer c’è il parametro, vuol dire che il cookie corrispondente è stato accettato dall’utente.

Questo comporta che tutti i tag di Google Analytics o di Advertising che passano per Google Tag Manager devono essere bloccati nel caso in cui il parametro non sia presente nel dataLayer (e quindi non accettato).
Tutto questo implica un grande sforzo da parte di noi web analyst che dobbiamo bloccare manualmente ogni tag sulla base della tipologia di cookie che viene rilasciato.

Come può aiutarci GCM

Ma torniamo alla guida per Google Consent Mode. In che modo questo può aiutarci?
Il Google Consent Mode è uno strumento attraverso cui diventa possibile gestire il comportamento dei tag di Google (esclusivamente di Google) senza essere costretti a ricorrere ai blocking trigger ma lasciando che i tag scattino liberamente.

Come detto, Google Consent Mode supporta solamente i tag di Google e della Google Platform, in particolare:

  • Google Ads
  • Floodlight
  • Google Analytics

Tutti gli altri tag dovranno essere gestiti con il cookie policy management system che si è scelto di installare sul proprio sito.
Una volta installato, Google Consent Mode rilascerà dei ping che permetteranno a Google di utilizzare i cookie sulla base delle scelte dell’utente.

Google Consent Mode analizza due tipi di consenso:

  • Ads Storage
  • Analytics Storage

Quando l’utente ha rilasciato il suo consenso a uno o entrambi i tipi di storage, Google Consent Mode automaticamente rileva la risposta e agisce di conseguenza, salvando o meno i dati degli utenti sulle piattaforme.

Come abbiamo già detto, è molto importante ricordare che Google Consent Mode non è un sistema di cookie management. Non può quindi sostituire in alcun modo uno strumento di gestione dei cookie come CookieBot o OneTrust.

Per far sì che sia funzionante, Consent Mode deve poter leggere i parametri contenuti nei dataLayer inviati dal sistema di gestione cookie.

Inoltre, ricordiamo ancora una volta che Consent Mode funziona solo sui tag di vendor Google, per fare un esempio: è inefficace sui pixel di Facebook che devono essere bloccati dal sistema di gestione cookie principale.

Piccola guida all’implementazione 

Abbiamo parlato di dataLayer che vengono letti, di tag che vengono attivati in ogni circostanza e di tool da installare. Facciamo chiarezza e vediamo quali sono gli step necessari per l’implementazione del Google Consent Mode:

  • Step 1 - Implementazione dello snippet di Google Consent Mode 

Il primo step è l’implementazione dello snippet nel codice HTML della pagina. Questo può essere fatto direttamente da codice (preferibile) o tramite Custom HTML tag.

  • Step 2 - Settare l’Analytics Storage e il default Storage di default

Google Consent Mode cambia il comportamento sulla base di due criteri:

  • analytics_storage: può essere granted o denied
  • ad_storage: può essere granted o denied

A noi e agli sviluppatori il compito di impostare i valori corretti in base alla nostra strategia di gestione cookie.

  • Step 3 - Fare in modo che Google Consent Mode risponda alla scelta dell’utente

Quando l’utente interagisce con il banner della cookie policy, Google Consent Mode, leggendo i parametri nei dataLayer, aggiornerà il consenso sulla base della scelta fatta creando un evento ad hoc.

Fatto questo, si possono cancellare, qualora siano giĂ  stati impsotati, tutti i blocking trigger presenti nei tag Google.
Per il procedimento dettagliato e per gli script da implementare, qui potete trovare la guida di google.

QA

Esistono due metodi per verificare che il Google Consent Mode sia correttamente implementato.

  1. Visitando il vostro sito e aprendo i report real time di GA, qualora non accettiate i cookie, vedrete che a ogni vostro evento sulla pagina, aumenterà di un’unità il numero di utenti attivi sul sito.
  2. Simulando una visita al vostro sito senza accettare i cookie di performance, segnate il cid (client id, lo trovate nella console alla sezione dei cookie) con cui state navigando e il giorno dopo dallo User Explorer di GA assicuratevi di non trovare nessun id corrispondente al vostro salvato.

Implementazione con Custom HTML

Per tutti quelli che non si sentono troppo sicuri con i codici HTML o che non possono accedere al codice del sito, questi sono gli step nel caso si voglia procedere con i Custom HTML.

  • Step1 - Creazione delle variabili

Il primo step consiste nella creazione di due variabili:

  • Una variabile che catturi i valori della Analytics Storage capace di leggere nella regex table come input il valore nel dataLayer (in questo caso OneTrust) che fa riferimento ai cookie di analytics e come output la stringa “granted” mantenendo la Default Value come “denied”. La versione “raccontata” della variabile in foto sarebbe: se il dataLayer OneTrust contiene C0002 (cookie analytics) restituisci come valore “granted”, altrimenti “denied” di default.

  • Una variabile che catturi i valori della Ads Storage capace di leggere nella regex table come input il valore nel dataLayer che fa riferimento ai cookie di advertising e come output la stringa “granted” mantenendo la Default Value come “denied”.

Il secondo step consiste nella creazione dei tag Custom HTML:

Dobbiamo adesso creare 4 tag custom HTML:

  • Tag che invia il valore analytics di default:

<script>

  window.dataLayer = window.dataLayer || [];

  function gtag(){dataLayer.push(arguments)};

  gtag('consent', 'default', {

    'analytics_storage': {{variabile con valore analytics}}

  });

</script> 

 

  • Tag che invia il valore analytics updated:

<script>

  window.dataLayer = window.dataLayer || [];

  function gtag(){dataLayer.push(arguments)};

  gtag('consent', 'update', {

    'analytics_storage': {{variabile con valore analytics}}

  });

</script>

 

  • Tag che invia il valore advertising di default:

<script>

  window.dataLayer = window.dataLayer || [];

  function gtag(){dataLayer.push(arguments)};

  gtag('consent', 'update', {

    'ad_storage': {{variabile con valore ads}}

  });

</script>

 

  • Tag che invia il valore ads updated:

<script>

  window.dataLayer = window.dataLayer || [];

  function gtag(){dataLayer.push(arguments)};

  gtag('consent', 'update', {

    'ads_storage': {{variabile con valore ads}}

  });

</script>

 

Perché usare il GCM?

Google Consent Mode rende sicuramente più facile l’implementazione dei tag Google, ci mette nelle condizioni di non dover bloccare manualmente i tag rischiando di commettere errori sui parametri e soprattutto errori di distrazione che, magari, ci fanno pubblicare dei tag senza rispettare le regole del GDPR.

Perché aspettare?

Google Consent Mode, purtroppo rende difficile la gestione degli eventi scattati prima di aver accettato i cookie. Questo vuol dire che ogni evento scattato prima di aver accettato i cookie viene perso, anche nel caso si tratti di una pageview.
Questo può provocare la perdita dei parametri utm e quindi delle informazioni legate a canali e campagne. Inoltre potrebbe provocare un aumento delle landing page not set.

Possiamo sperare che nei prossimi mesi venga rilasciata una versione ottimizzata del tool ma, per il momento, installandola si incorrerĂ  in questi problemi.

In conclusione...

Speriamo che questa guida a Google Consent Mode ti sia stata utile, se hai ancora dei dubbi puoi contattarti senza problemi da qui, saremo felici di aiutarti!

12 Aprile 2018

Come modificare la data retention di Google Analytics

In questo articolo parliamo della data retention di Google Analytics.

In data20 aprile 2018 Google ha iniziato ad inviare agli amministratori di account Google Analytics una mail. L'oggetto era: [Azione richiesta] Aggiornamenti importanti sulla conservazione dei dati di Google Analytics e sul Regolamento generale sulla protezione dei dati (GDPR). Si tratta della comunicazione ufficiale sulle nuove funzionalitĂ  relative alla data retention, per capire come procedere continua a leggere.

Ad aprile 2018 Google ha introdotto una novitĂ  importante all'interno di Analytics. Si tratta della possibilitĂ  per i proprietari di account Google Analytics di modificare il periodo di data retention dei dati raccolti tramite il software di analisi del traffico web.

Cosa significa?

Per rispettare l'imminente entrata in vigore del GDPR, Google ha inserito questa opzione che permette di impostare il periodo di tempo per i quale i dati raccolti sui visitatori del proprio sito web saranno conservati all'interno dei server di Google, prima di essere cancellati.

Come modificare il periodo di data retention su Google Analytics

Per poter modificare questa impostazione è necessario possedere almeno i privilegi di modifica all'interno della property. Le impostazioni possono essere raggiunte così:

  • Effettua l'accesso a Google Analytics
  • Clicca sul bottone Admin in basso a sinistra:
  • Seleziona la property che vuoi modificare, clicca su tracking info e poi su data retention:
  • Seleziona dalla tendina la "data di scadenza" dei dati. Puoi scegliere tra 14 mesi, 26 mesi, 38 mesi, 50 mesi o nessuna scadenza. Nota: l'impostazione si applica soltanto ai dati NON aggregati (es. user-ID, eventi, cookie di conversione) e quindi non influenzerĂ  la maggior parte dei report di Google Analytics che invece utilizzano dati aggregati.
  • Imposta il bottone "reset on new activity" su ON oppure su OFF. Cosa significa? Se è impostato su ON, la data di scadenza dei dati sarĂ  calcolata dall'ultima attivitĂ  dell'utente e quindi verrĂ  spostata avanti nel tempo. Facciamo un esempio pratico:

Se hai impostato come periodo di data retention 14 mesi, ti aspetteresti che i dati raccolti il 1° gennaio 2018 vengano eliminati il 1° marzo 2019. Nel caso il selettore "reset on new activity" rimanga su ON, questo non è necessariamente vero.

Se infatti il visitatore che ha generato i dati torna a visitare il tuo sito il 1° settembre 2018, la nuova data di scadenza  sarĂ  calcolata a partire da questo momento, e verrĂ  quindi spostata in avanti di 9 mesi (1° dicembre 2019). Questo "reset" della data di scadenza avviene tutte le volte che un visitatore ritorna sul tuo sito, e potenzialmente prolunga la data di scadenza all'infinito.

Nel caso tu voglia che i dati vengano cancellati 14 mesi dopo il momento in cui sono stati registrati, indipendentemente dal ritorno dell'utente sul tuo sito, dovrai impostare il selettore su OFF.

Conclusione

Questa è sicuramente una novità importante che aiuterà i proprietari di siti web e le agenzie ad adeguarsi al GDPR entro i termini di legge. La cancellazione dei dati non deve comunque spaventare, perché nel caso di Google Analytics riguarda soltanto i dati non aggregati: la maggior parte dei report quindi sarà fruibile all'infinito e senza limitazioni temporali.

Aspettiamo con curiositĂ  le mosse degli altri player come Facebook, per vedere in che modo si adegueranno alla nuova normativa europea.

5 Aprile 2018

Cookie policy e Google Analytics: tutto quello che devi sapere

In questo articolo faremo chiarezza su un argomento sul quale - a meno di un mese dall’entrata in vigore della regolamentazione - c’è ancora molta confusione: Cookie policy e Google Analytics. Il nostro obiettivo è analizzare le conseguenze del General Data Protection Regulation (GDPR) sui sistemi di tracking del tuo sito web.

Aggiornamento di gennaio 2021: con il consent mode ora è tutto più facile, scoprilo qui.

Nota importante: Digital Pills è un’agenzia specializzata in data-driven marketing e analytics. Non offriamo consulenza legale, per la quale consigliamo di rivolgersi a dei professionisti. Se ti interessano gli aspetti strettamente legali del GDPR consigliamo questo articolo dello studio internazionale Bird&Bird: vai all'articolo.

Sommario

  1. Introduzione
  2. Le 5 conseguenze del GDPR sul tracking
  3. Le principali categorie di cookie (cookie tecnici, cookie di profilazione...)
  4. Un esempio di implementazione corretta
  5. Gestione dei dati demografici in Google Analytics
  6. Faq (domande frequenti)
  7. Conclusione

Introduzione

Per cominciare, cos’è esattamente il GDPR?

Il General Data Protection Regulation, anche noto come Regolamento UE 2016/679, è un regolamento europeo che ha l’obiettivo di sostituire le regolamentazioni dei singoli paesi in materia di protezione dei dati personali.

Il Regolamento è in realtà in vigore dal 2016, ma diventerà applicable il 25 maggio 2018.
A questo link puoi trovare tutti i dettagli in legalese: https://ec.europa.eu/info/law/law-topic/data-protection_en

Lo scopo di questo regolamento è semplice: proteggere i dati personali di tutti i cittadini europei attraverso una serie di regole più stringenti che indichino come le organizzazioni (aziende, enti no profit, scuole e così via) dovranno trattare i dati personali dei cittadini europei.

Una delle novità più importanti è che la normativa riguarda tutte le aziende che trattano i dati di cittadini europei, a prescindere dalla loro sede legale. Si tratta quindi di una regolamentazione che avrà un impatto a livello globale.

A quanto ammontano le multe per chi non si adegua?

Le multe saranno molto salate: fino a 20 milioni di euro o al 4% del fatturato mondiale annuo, se superiore.

Da considerare un fatto importante: per i cittadini europei il processo di segnalazione delle violazioni sarĂ  semplice e diretto. Il GDPR dispone, in particolare, che gli interessati possano proporre reclamo al Garante della Privacy del proprio paese.

I rischi quindi ci sono, e sono molto elevati. Adeguarsi diventa fondamentale per evitare brutte soprese.
Vediamo quindi le conseguenze che il GDPR avrĂ  sui tuoi sistemi di tracking esistenti.

Le 5 conseguenze del GDPR sul tracking

  1. L’indirizzo IP è considerato un dato personale
    Questo significa che qualora i nostri cookie di monitoraggio lo registrino (v. di seguito la sezione dedicata a Google Analytics), dovremo informare l’utente e iniziare a tracciare questa informazione solo dopo aver ricevuto il consenso esplicito.
  2. L’informativa deve essere chiara
    Nei siti web deve essere presente una sezione (cookie policy) in cui è spiegato in linguaggio chiaro e comprensibile perché si utilizzano dei cookie specifici e per quali finalità. Un esempio molto ben fatto è quello di Mailchimp, che puoi consultare a questo link (in inglese).
  3. L'opt-in deve essere esplicito
    Uno dei pilastri del GDPR è il consenso libero e informato, quindi non saranno più validi i soliti banner che a) avvisano in modo generico (“questo sito utilizza i cookies per migliorare l’esperienza dell’utente”, chi ci hai mai creduto davvero?) b) implicano un consenso dell’utente derivato dalla semplice navigazione del sito. Insomma se al momento hai sul tuo sito uno di quei banner che dicono qualcosa del tipo “Questo sito utilizza cookie, anche di terze parti, a scopi pubblicitari e per migliorare servizi ed esperienza dei lettori. Se decidi di continuare la navigazione consideriamo che accetti il loro uso.” è arrivato il momento di cambiarlo.ATTENZIONE: Come vedremo dopo, una delle aziende leader nella realizzazione di banner per la gestione dei cookies “GDPR compliant” è l’americana One Trust. Non è sufficiente installare uno di questi banner soltanto di facciata, ma è neccessario collegarlo ai sistemi di tracking esistenti (ad esempio utilizzando Google Tag Manager). Se ti interessa l’argomento contattaci.
  4. L'opt-out deve essere sempre possibile
    In ogni momento della navigazione (anche successivamente all’accettazione di tutti i cookie, e anche in sessioni successive alla prima) l’utente deve essere messo nella condizione di rifiutare tutti i cookie o una categoria di essi, e quindi non essere più tracciato.Ecco ad esempio il pannello di gestione dei cookie offerto da One Trust:esempio informativa cookie
  5. Il controller è responsabile dei dati inviati al processor
    Questo è un punto molto importante: il GDPR dice chiaramente che il controller (per capirci, l’azienda che installa Google Analytics sul suo sito) è responsabile dei dati inviati al processor (in questo caso, Google).Di conseguenza se il tuo sistema di tracking invia al processor - anche per errore - delle PII (personal identificaible information) come ad esempio l’indirizzo email, la tua azienda è sanzionabile.
    Stiamo parlando di uno scenario molto comune, ecco un esempio pratico che ci è capitato qualche settimana fa mentre lavoravamo sul tracking di un ecommerce di uno noto marchio di abbigliamento italiano (abbiamo ricostruito il caso nella nostra sandbox per non pubblicare dati sensibili):email URL analyticsVedi l’indirizzo email all’interno dell’URL? In pratica per come è costruito questo portale, ogni volta che un utente invia un form di contatto con degli errori, la pagina viene ricaricata inserendo i campi all’interno dell’indirizzo della pagina.Questo causava l’invio errato di una PII (in questo caso l’indirizzo email) a Google Analytics.
    Il cliente in questione rischiava non solo la multa da 20 milioni di euro, ma anche la cancellazione di tutti i dati dell’account di Google Analytics, come previsto dai termini e condizioni di servizio.Per evitare il verificarsi di questa situazione abbiamo implementato un pezzo di codice custom che ha la funzione di riconoscere e filtrare alla fonte (prima di inviarli a Google) eventuali dati personali dell’utente.

Cookie e GDPR, un rapporto impossibile?

Dopo aver appreso tutti i possibili problemi e le multe salatissime in cui rischi di incorrere, inizierai a pensare che "il gioco non valga la candela" e forse stai già pensando di eliminare del tutto il tracking dal tuo sito web. Prima di correre ai ripari, continua a leggere perché adeguarsi non è così complicato e potrebbe essere anche una buona opportunità.

Per prima cosa, ricordiamo che parlare di cookie in generale è fuorviante, oltre che impreciso. Cookie non significa tracking. I cookie sono uno dei pilastri del web, senza di loro non funzionerebbero la maggior parte dei siti che utilizziamo ogni giorno.

Cerchiamo quindi di capire esattamente cosa sono i cookie e in quali categorie si suddividono. Eh sì, perché non tutti i cookie sono uguali e le loro applicazioni sono davvero varie.

Per semplificare, esistono quattro categorie fondamentali di cookie:

  1. Cookie tecnici. Ad esempio quelli che utilizza la tua banca o qualsiasi altro sito web per l’accesso alla sua area privata per verificare l’avvenuto accreditamento dell’utente. Non possono essere disattivati perché altrimenti il sito smetterebbe di funzionare.
  2. Cookie di performance e funzionalitĂ . Esempio Google Analytics. Questi cookie sono utilizzati per migliorare le performance e le funzionalitĂ  del sito web, ma non sono essenziali per la sua fruizione.
    Per fare l’esempio di Google Analytics, tutte le informazioni raccolte sono aggregate e quindi anonime (sempre che abbiate anonimizzato l’IP del visitatore).
  3. Cookie di analisi e personalizzazione. Esempio Hotjar. Questi cookie raccolgono informazioni che sono elaborate in forma aggregata per capire come il sito web è utilizzato dagli utenti o per personalizzare l’esperienza in base alla categoria di fruitore.
  4. Cookie di profilazione. Esempio Facebook pixel. Questi sono i famosi cookie di remarketing, ad esempio quelli che permettono a booking.com di seguirti per settimane con i suoi banner sul viaggio in Grecia che ormai hai giĂ  prenotato. Sono anche qualli che permettono di profilare gli utenti e far capire ad un sito di ecommerce che i suoi acquirenti piĂą assidui sono le donne tra i 35 e i 40 anni a cui piace Chanel.

Un esempio di tracking che rispetta la GDPR

Sul sito della nostra agenzia abbiamo scelto di implementare One Trust qualche mese prima dell'entrata in vigore del GDPR. Ecco come funziona il sistema:

  1. Per prima cosa abbiamo aperto un account gratuito sul sito di One Trust, a questo link. L'account gratuito presenta numerose restrizioni (ad esempio è disponibile solo in inglese), ma è un buon punto di partenza.
  2. Abbiamo quindi installato direttamente il codice fornito dalla piattaforma all'interno del nostro sito.
  3. Una volta installato, ai nuovi visitatori viene mostrato un banner nella parte bassa dello schermo in cui viene richiesto se desiderano accettare tutti i cookies:
  4. Se l'utente non clicca su "accetto" oppure chiude la notifica, i cookie di profilazione e di conversione non vengono attivati (nemmeno la sezione "demographics" di Google Analytics.
  5. Anche dopo aver cliccato su "accetto" l'utente può modificare in ogni momento la propria preferenza accedendo al pannello di gestione delle preferenze presente nel footer della pagina:esempio informativa cookie

Come gestire le informazioni demografiche all'interno di Google Analytics

Come probabilmente già saprai, all'interno di Google Analytics è presente una sezione molto interessante che raccoglie le informazioni demografiche e sugli interessi sui tuoi visitatori:

Tutte informazioni molto utili, se non fosse per un problema: per raccogliere questi dati Google deve inserire all'interno del tuo sito web lo script di DoubleClick, che rientra tra i cookie di profilazione. Per rispetto della normativa GDPR è quindi necessario richiedere il consenso all'utente prima di attivare queste funzioni. Fino a poche settimane fa risolvere questo problema era abbastanza complicato, ma grazie all'introduzione del campo allowAdFeatures è diventato (quasi) un gioco da ragazzi. Vediamo come fare.

Il modo più semplice per gestire questa situazione è attraverso Google Tag Manager, strumento che dovresti già conoscere. Quello che devi fare è semplicemente modificare il tag di Google Analytics aggiungendo un nuovo campo, chiamato appunto allowAdFeatures.

Come vedi, il valore che dovrai dare a questo campo è quello di una variabile all'interno della quale hai salvato la preferenza dell'utente.

FAQ (domande frequenti)

Google analytics deve essere bloccato per rispettare la GDPR?
No, se hai impostato il campo anonymizeIp a true. Cosa significa? In pratica devi comunicare preventivamente a Google che non vuoi che gli indirizzi IP degli utenti vengano registrati. Come fare? Dipende se utilizzi Google Analytics o Google Tag Manager:

Come anonimizzare gli ip se utilizzi google analytics

Se Google Analytics è stato inserito direttamente all'interno del codice da te o dagli sviluppatori, è necessario anonimizzare le hit (ad esempio le visualizzazioni di pagina) che vengono inviate a Google. Per farlo, devi modificare la riga di codice di gtag.js in questo modo, impostando il parametro anonymize_ip a true:

gtag('config', '<GA_TRACKING_ID>', { 'anonymize_ip': true });

Ricordiamo che l'implementazione di Google Analytics consigliata è quella tramite Google Tag Manager.

Come anonimizzare gli ip se utilizzi google tag manager

Se il tuo sito web utilizza Google Tag Manager, sarĂ  sufficiente modificare la variabile dei google analytics settings aggiungendo il field to set anonymizeIp e dandogli valore true.

La mia azienda ha sede all’estero, il GDPR è applicabile?
Sì, su questo punto la regolamentazione parla chiaro: non conta la sede fisica dell’azienda ma la residenza dell’utilizzatore. Il regolamento vuole tutelare tutti i cittadini europei, quindi qualsiasi sito web accessibile dall’Europa è tenuto ad adeguarsi. In pratica, tutto il mondo.

Cosa rischio se non mi adeguo al GDPR?
Le multe sono salate: fino a 20 milioni di euro oppure il 4% del fatturato annuo globale (se superiore).

Conclusione

Le opportunità possono essere superiori ai costi: dopo il recente caso Cambridge Analytica le persone hanno perso la fiducia nei giganti del web, questa potrebbe essere una buona occasione per ricostruirla. Dopotutto ci sembra giusto che l’Europa prenda una posizione forte su un tema così delicato dopo che gli Stati Uniti si sono rivelati incapaci di farlo.

NON PERDIAMOCI DI VISTA
VUOI RICEVERE AGGIORNAMENTI?
SEGUICI SUI SOCIAL

Copyright 2021, Digital Pills SRL