LINEA INFO: 06 1 614 CLICK
 

5 passi di Google Analytics per la conformità al GDPR | Weboptim

Cos'è il GDPR e perché dovrebbe interessarvi?
Il Regolamento generale sulla protezione dei dati (GDPR) è la legge dell'Unione europea sulla protezione dei dati, che entra in vigore il 25 maggio 2018. Ha lo scopo di consolidare le norme sulla protezione dei dati nell'UE.

Alcune informazioni importanti sul GDPR

- Se un'organizzazione non si adegua, potrebbe incorrere in una sanzione pecuniaria fino a 20 milioni di euro, o 4% del fatturato globale.
- Dovete adeguarvi anche se non siete fisicamente presenti nell'UE ma fornite beni o servizi a cittadini dell'UE.
- La definizione di dati personali è ampia e comprende indirizzi IP, identificatori di cookie e posizione GPS.
- È necessario un consenso chiaro e trasparente: ciò significa che l'inattività e le caselle di controllo pre-selezionate non costituiscono un consenso.
- I cittadini dell'UE hanno il diritto di cancellare i propri dati e devono farlo su richiesta.
- Il GDPR crea un'opportunità per creare fiducia e mettere in evidenza il vostro marchio.

 

europe-3256079_640
 

 

Google Analytics: il responsabile dei dati

Se utilizziamo Google Analytics, Google è il nostro responsabile del trattamento dei dati. Noi siamo il responsabile del trattamento dei dati, in quanto possiamo controllare quali dati inviamo a Google Analytics.

 

 

Passi:

1. Controllare le informazioni di identificazione personale (PII)

Speriamo non sia una sorpresa, ma la raccolta di informazioni di identificazione personale è contraria ai termini e alle condizioni di Google Analytics.
Questo vale sia per Google Analytics Standard gratuito che per Google Analytics 360 a pagamento. Che lo sapessimo o meno, è giunto il momento di assicurarsi di non trasmettere informazioni di identificazione personale.

 

  • Controlliamo gli URL, gli indirizzi e le altre dimensioni dei dati delle pagine per garantire che non vengano raccolte informazioni di identificazione personale. Un esempio comune di raccolta di dati PII è quello in cui l'URL contiene un parametro fisso "email = querystring".
  • Ci assicuriamo che le informazioni fornite dagli utenti nei moduli, raccolte anche da Analytics, non contengano dati di identificazione personale.
  • Si noti che il semplice filtraggio dei dati PII non è sufficiente, ma deve essere gestito a livello di codice per evitare che i dati personali entrino in Google Analytics.

 

2. Attivare l'anonimizzazione dell'IP

Il GDPR considera gli indirizzi IP come dati personali. Anche se l'indirizzo IP (per impostazione predefinita) non viene mai mostrato nei report, Google lo utilizza per fornire dati di geolocalizzazione.

Per motivi di sicurezza, si consiglia di attivare la funzione di anonimizzazione dell'IP di Google Analytics. Ciò richiede una modifica del codice.

 

Se si utilizza Google Tag Manager, aggiungere il tag alle impostazioni di Google Analytics.
Aprite la variabile, fate clic sul pulsante Altre opzioni e aggiungete il seguente campo come nuovo campo: nome: anonymizeIp valore: true

 

tag manager ip anonim
 

 

Se non si utilizza Google Address Manager, potrebbe essere necessario modificare direttamente il codice.
È necessario includere la seguente riga supplementare: ga('set', 'anonymizeIp', true);

 

Questa modifica comporterà l'anonimizzazione dell'indirizzo IP da parte di Google, che tecnicamente può essere effettuata rimuovendo l'ultimo ottetto dell'indirizzo IP (ad esempio, l'indirizzo IP sarà 123.123.13.0). Questa operazione viene eseguita prima che i dati vengano memorizzati ed elaborati. Se questa funzione è attivata, l'indirizzo IP completo non verrà mai inserito nel sistema.
L'effetto è che l'accuratezza della rendicontazione geografica è leggermente ridotta.

 

3. Controllare la raccolta di pseudo-ID (email con hash, ID utente).

Nell'implementazione di Google Analytics possiamo utilizzare pseudonimi e pseudo-identificatori. Ciò può includere i seguenti elementi:

  • ID utenteID utente - deve essere un identificativo alfanumerico del database; mai testo semplice, ad esempio nome utente.
  • Dati criptaticome ad esempio un indirizzo e-mail: Google ha un minimo di hash e si consiglia vivamente di utilizzare una catena di almeno 8 caratteri.
  • ID transazione: tecnicamente, si tratta di uno pseudo-identificatore, in quanto può portare all'identificazione dell'individuo se combinato con altre fonti di dati. Questo identificativo deve essere sempre un identificativo alfanumerico del database.

Questa sembra essere una pratica accettabile ai sensi del GDPR e dei Termini e condizioni di Google Analytics. Tuttavia, si raccomanda di assicurarsi che l'Informativa sulla privacy sia aggiornata per riflettere lo scopo della raccolta dei dati e che venga ottenuto il consenso esplicito degli utenti. In entrambi i casi, le informazioni fornite agli utenti devono essere chiare e rispondere alle domande "quali dati raccogliamo" e "come li utilizziamo".

 

4. Aggiornare l'informativa sulla privacy

Secondo il GDPR, l'aggiornamento dell'informativa sulla privacy è uno dei compiti più importanti e deve essere sempre comunicato agli utenti in modo chiaro, comprensibile e conciso.
Come è sempre stato, lo scopo di un'informativa sulla privacy è quello di descrivere ciò che viene raccolto e, soprattutto, ciò che un'organizzazione è tenuta a seguire e a fare come indicato qui. Il pubblico di una politica sulla privacy è l'utente finale (non l'avvocato).

 

Quando si scrive un'informativa sulla privacy, è necessario tenere conto delle seguenti domande:

  • Quali informazioni raccogliamo?
  • chi li colleziona?
  • come si raccoglie?
  • perché si colleziona?
  • come lo userete?
  • con chi lo condividete?
  • che impatto avrà sulle persone interessate?
  • il soggetto si opporrà all'uso proposto?

 

gdpr regulation
 

5. Creare opzioni di opt-in/out

La grande domanda che tutti si pongono è se sia davvero necessario un consenso esplicito. Dopo tutto, questo può essere un lavoro significativo e può avere un impatto assoluto sulla partecipazione degli utenti.

 

Pensiamoci!

Se raccogliamo identificatori dell'utente o altri pseudo-identificatori, l'utente deve dare il proprio consenso. Come già detto, il consenso deve essere esplicito (opt-in). Sono finiti i tempi in cui i cookie pubblicitari indicavano che se si continuava a utilizzare il sito, si dava il consenso: questo non è più un consenso. Al contrario, agli utenti deve essere chiesto chiaramente. L'approccio più comune è quello di inserire una finestra pop-up nella pagina al momento dell'accesso che chieda il consenso dell'utente e, in caso di consenso, la pagina venga ricaricata o vengano eseguiti gli script di Google Analytics.

 

Se i dati dell'ID utente vengono raccolti o utilizzati per la profilazione comportamentale o per altre tecnologie pubblicitarie, è necessario stabilire un meccanismo di consenso opt-in.

 

Google Analytics registra anche un cookie identificativo chiamato GA client identifier e, poiché si tratta di una caratteristica fondamentale del prodotto, è probabile che Analytics offra il permesso di opt-in a tutti i visitatori dell'UE. Questi identificatori online sono considerati dati personali e sono quindi soggetti a regolamentazione.
Nell'ambito del GDPR, è necessario fornire una prova del consenso (audit trail). Si consiglia di tenere traccia del consenso in Google Analytics come evento individuale.

 

 

 

Sintesi

Queste cinque azioni sono un ottimo modo per garantire che il vostro account Google Analytics o il vostro sito web siano conformi al GDPR. Il GDPR è una normativa complessa ed è essenziale che la vostra organizzazione abbia un piano per raggiungere la conformità.

 

 

 

Fonte: http://www.blastam.com/blog/5-actionable-steps-gdpr-compliance-google-analytics

 

 

Vi è piaciuto l'articolo? Potete condividerlo qui!


Riferimenti
Si prega di contattare
per un preventivo!