Nuovo GDPR. Come adeguare il proprio sistema di WEB analytics e perdere meno dati possibili

Dal 10 gennaio sono in vigore le nuove disposizione del garante della privacy a cui tutti i siti web debbono attenersi. Le nuove linee guida studiate dall’autorità hanno come obiettivo non solo il rafforzamento della privacy dell’utente ma anche di dare maggiore potere decisionale, in materia di trattamento dei dati personali, a chi naviga in rete.

Le nuove disposizioni hanno avuto degli impatti non solo sugli utenti ma anche nell’attività delle imprese che raccolgono dati. Il garante ha infatti imposto dei nuovi obblighi in particolare su:

• Cookie banner: ora l’informativa deve prevedere la possibilità di rifiutare il consenso e diventano obbligatori i pulsanti “Accetta” e “Rifiuta”.

• Cookie disabilitati di default: l’utente deve esprimere il suo esplicito consenso per essere tracciato. In sostanza tutti i siti web devono avere i cookie (anche di terze parti) e strumenti di tracking disabilitati. Gli unici consentiti sono quelli tecnici.

Il garante ha previsto per l’utente scelte più granulari, in particolare sulle terze parti e sulle categorie di cookie da installare. In quest’ottica rientrano anche le preferenze di tracciamento che debbono essere modificabili dall’utente in ogni momento. Secondo le nuove disposizioni la validità di tali preferenze in merito al consenso ai cookie deve essere indicata una sola volta e considerata valida per 6 mesi prima di poterla chiedere nuovamente, fatto salvo lo svuotamento della cache o in caso di cambiamento delle preferenze impostato dall’utente stesso. Fra le disposizioni imposte dal garante anche il divieto di mostrare il cookie banner agli utenti che hanno negato il consenso e l’eliminazione del cookie wall. È quindi illegale chiedere all’utente di accettare i cookie per poter accedere ai contenuti di un sito. Infine, non è più valida la raccolta del consenso via semplice scrolling del mouse.

Questi cambiamenti normativi hanno degli impatti per le aziende che raccolgono i dati: da gennaio, in sostanza, gli utenti possono rifiutare in toto i cookie di tracciamento con un semplice gesto. Si tratta di una breccia nell’interno mondo del Digital Marketing che per anni ha raccolto dati sugli utenti basandosi fino al 2021 su una normativa dalle maglie più larghe.

Le problematiche di privacy legate alla raccolta dei dati sono ben note anche a livello europeo. In alcuni Paesi, la giustizia ha già fatto il suo corso. In Belgio, ad esempio, una recente sentenza ha affermato come il trattamento dei dati personali TCF sia incompatibile con l’attuale GDPR; in Germania la corte amministrativa di Wiesbaden ha sentenziato che Google Font violi il GDPR e che i dati conservati dai “Cookiebot” non possono essere trasferiti negli Stati Uniti.

In tale panorama di oggettivo cambiamento per le aziende che basano il loro business sulla raccolta ed elaborazione dei dati, il bicchiere però non è solo mezzo vuoto. Le imprese, se implementano correttamente la normativa GDPR, possono evitare la perdita completa del tracciamento del traffico verso i siti. Di certo, è inevitabile, le aziende perdono, in tutto o in parte, i dati di profilazione, ma potrebbero salvaguardare le quantità grazie al tracciamento anonimo, rispettando GDPR e i termini di servizio dei tool in uso.

C’è di più. Sono tre i punti requisito che il Garante impone di rispettare per la raccolta dei dati. Ecco come implementarle in Google Analytics, il tool più diffuso:

• Anomizzazione dell’indirizzo IP: occorre rendere Google Analytics conforme al GDPR tramite la modifica dello script. In questo modo viene oscurata una parte dell’indirizzo IP (resterà visibile l’area geografica). Questa funzionalità risulta applicata di default sul nuovo Google Analytics 4, mentre è necessario un intervento tecnico se si usa la precedente versione.
• Rimozione di qualsiasi dato personale: Come già normato dal GDPR nel 2016, è un diritto dell’utente chiedere la cancellazione dei dati personali. È inoltre vietata la raccolta, anche involontaria, di dati personali all’interno di Google Analytics o di qualsiasi altra piattaforma di web analytics.
• Anomizzazione degli identificativi unici: questa tecnica viene applicata ai dati personali in modo che le persone fisiche interessate non possano più essere identificate in nessun modo. Eventuali identificativi, come lo user ID, devono essere correttamente processati e criptati prima di poter essere inoltrati alle piattaforme di web analytics, così che non sia più possibile risalire alla persona fisica.

Se rispettati, quindi è possibile utilizzare strumenti come Google Analytics senza dover chiedere il consenso all’utente e salvaguardare così almeno la parte quantitativa di raccolta dati.

Vuoi saperne di più? Contatta i nostri esperti di Marketing. Ti possono affiancare anche negli strumenti privacy-first