L’uso di Google Analytics è soggetto a determinati requisiti ai sensi del GDPR (Regolamento generale sulla protezione dei dati). La protezione dei dati e Google Analytics sono in conflitto da tempo. Al più tardi dalla sentenza della Corte di giustizia sul tracciamento, è stato previsto un opt-in per Google Analytics. In questo contesto, è importante la questione del trattamento dei cookie di Google Analytics. Troverai supporto dai fornitori di gestione del consenso (CMP) per l’integrazione legalmente sicura di Google Analytics. Con le soluzioni per il consenso dei cookie contribuisci alla protezione dei dati in Google Analytics.
Google Analytics in sintesi: l’importanza della protezione dei dati
La maggior parte dei siti Web più grandi si basa su strumenti di analisi per trarre conclusioni sul comportamento dei visitatori. Lo strumento di analisi degli utenti di gran lunga più popolare è Google Analytics. Come si può vedere da varie statistiche, questo strumento viene utilizzato su circa la metà di tutti i siti web, a seconda del sondaggio. Da un lato, questa popolarità è dovuta al fatto che Google ha accesso a una quantità particolarmente grande di dati degli utenti . D’altra parte, la popolarità deriva dal fatto che una vasta gamma di funzioni di Google Analytics è gratuita per tutti gli utenti .
Google Analytics utilizza i cookie per valutare i dati degli utenti. Questi piccoli file vengono memorizzati nel browser del visitatore. Gli utenti hanno numerose opzioni per raccogliere dati diversi in base a impostazioni personalizzate. Google Analytics consente quindi agli operatori del sito Web di elaborare e valutare i dati in base a vari parametri. Su questa base, è possibile tenere traccia di cifre chiave importanti come visualizzazioni di pagina, comportamento degli utenti o durata della permanenza sul sito. Google Analytics consente inoltre di monitorare con precisione le singole azioni , incluso l’iscrizione a una newsletter o il download di determinati file. Le opzioni di monitoraggio delle conversioni possono essere utilizzate per determinare i punti in cui i visitatori diventano clienti. Ciò rivela il potenziale di ottimizzazione e contribuisce a un miglioramento continuo delle prestazioni della pagina.
Dal punto di vista della protezione dei dati , le grandi quantità di dati che Google Analytics raccoglie e valuta devono essere considerate in modo critico. In particolare, i responsabili della protezione dei dati si lamentano della memorizzazione e della trasmissione di indirizzi IP completi dei visitatori a Google (direttamente negli Stati Uniti). Inoltre, i responsabili della protezione dei dati criticano il fatto che le norme sulla protezione dei dati di Google non forniscano informazioni sufficienti su quali dati del visitatore del sito vengono effettivamente raccolti, archiviati e trasmessi .
A causa dell’accesso a molti dati degli utenti, la protezione dei dati in Google Analytics è stata a lungo controversa. Con l’entrata in vigore del GDPR (anche GDPR: General Data Protection Regulation) e ancor di più dopo la pronuncia della Corte di giustizia sui cookie nel 2019, l’uso legalmente sicuro di Google Analytics è soggetto a determinati requisiti. Se Google Analytics non è coordinato con il GDPR, gli operatori del sito potrebbero essere soggetti a severi avvisi o multe .
Google Analytics: Contesto giuridico (GDPR e sentenza della Corte di giustizia europea)
Il coordinamento di Google Analytics con il GDPR è diventato indispensabile al più tardi dall’entrata in vigore di quest’ultimo. Le autorità di protezione dei dati hanno minacciato gli operatori del sito web di multe per l’utilizzo di questo strumento in passato. Prima del GDPR, Google Analytics poteva essere utilizzato anche senza consenso, a condizione che fossero soddisfatti solo alcuni requisiti (es. anonimizzazione IP e contratto AV). Il GDPR era legato alla speranza che la questione del consenso sarebbe stata regolata solo con il Regolamento ePrivacy . Fino ad allora, gli operatori di siti web hanno voluto fare affidamento sul “legittimo interesse” ai sensi dell’articolo 6 par. 1 lit. f GDPR nominato.
Un importante cambiamento è arrivato con la sentenza della Corte di giustizia del 2019 nella causa Planet49 (Rif.: C-673/17). Il giudizio è accompagnato da chiara informativa in merito al consenso all’uso dei cookie di Google Analytics e di altri cookie. La struttura del consenso dovrebbe essere tale che i visitatori debbano prima espressamente acconsentire all’uso dei cookie di Google Analytics. Pertanto, Google Analytics si basa sull’opt-in : gli utenti devono prima acconsentire volontariamente prima che un operatore sia autorizzato a raccogliere ed elaborare i cookie di Google Analytics. Fanno eccezione i cookie, che sono assolutamente necessari al funzionamento tecnico del sito.
Nella sua sentenza, la Corte di giustizia ha evidenziato che il Regolamento ePrivacy (art. 5, comma 3) prevedeva già il consenso anche per i cookie non strettamente necessari. Simili affermazioni della Corte di giustizia sono già note da precedenti giurisprudenze.
I requisiti legali per l’utilizzo dei cookie di Google Analytics sono stati rivalutati dal comitato di coordinamento delle autorità tedesche di controllo della protezione dei dati (DSK) il 12 maggio 2020. Con questa delibera si aggiunge anche la guida di orientamento per i fornitori di servizi di telecomunicazione . Questa guida di orientamento spiega varie impostazioni quando si utilizza Google Analytics in termini di utilizzo conforme alla legge.
Utilizzo conforme alla legge di Google Analytics: misure per gli operatori del sito web
Chiunque continui ad affidarsi a Google Analytics come operatore di siti web, ad esempio nel settore dei media o nell’e-commerce , è bene avvisare di attuare alcune misure che garantiscano la certezza del diritto per lo strumento di tracciamento.
Garantire la trasparenza nelle normative sulla protezione dei dati
Gli operatori del sito web dovrebbero fornire informazioni complete sull’uso e il trattamento dei dati personali nelle normative sulla protezione dei dati. Tale trasparenza deve essere garantita ai sensi dell’articolo 13 GDPR in modo che Google Analytics possa essere coordinato con il GDPR.
Per quanto riguarda i requisiti specifici dell’obbligo di informazione, gli esperti di protezione dei dati fanno riferimento alle linee guida sulla trasparenza del Comitato europeo per la protezione dei dati. Quando si adatta la dichiarazione sulla protezione dei dati, è necessario specificare almeno il seguente contenuto informativo, tenendo conto dei requisiti DSK secondo gli articoli 12 e 13 DSGVO: L’ ambito della raccolta dei dati deve essere comunicato chiaramente. Inoltre, la dichiarazione sulla protezione dei dati deve fornire informazioni sulla base giuridica su cui i dati sono raccolti. Allo stesso modo, l’informativa sulla privacy deve essere spiegata in ordine
per quanto tempo i dati sono conservati. In questo contesto, il
Sono indicati i criteri per la determinazione del periodo di conservazione. La dichiarazione sulla protezione dei dati dovrebbe inoltre fornire un riferimento al diritto di recesso e alla sua attuazione.
Accorciare l’indirizzo IP
Come ulteriore misura per coordinare Google Analytics con il GDPR, gli operatori di un sito web con questo strumento di tracciamento dovrebbero fare in modo che l’indirizzo IP venga abbreviato . Questo può essere implementato aggiungendo il comando “_anonymizeIp()” al codice di monitoraggio. Questo si riferisce a qualsiasi sito Web che dispone di un’integrazione di Google Analytics. I dettagli tecnici su questo tipo di troncamento dell’indirizzo IP possono essere trovati direttamente nelle istruzioni sulla pagina Sviluppatori di Google.
L’abbreviazione dell’indirizzo IP è una misura importante per proteggere gli utenti ai sensi dell’articolo 25 cpv. 1 GDPR. Tuttavia , il semplice accorciamento dell’indirizzo IP non è sufficiente per garantire un trattamento anonimo dei dati. Oltre al puro indirizzo IP, l’utilizzo di Google Analytics comporta la raccolta di numerosi altri dati di utilizzo. Ciò include i dati personali, come quelli utilizzati per identificare gli utenti (ad es. nel senso di collegamento a un account Google esistente).
Pertanto, anche dopo che l’indirizzo IP è stato abbreviato, devono essere osservati ulteriori requisiti per il coordinamento di Google Analytics con il DSGVO. Allo stesso modo, nella suddetta dichiarazione sulla protezione dei dati, è necessario indicare se l’indirizzo IP è stato abbreviato.
Determinazione del periodo di conservazione dei dati
Per coordinare Google Analytics con il GDPR, è inoltre necessario specificare esattamente quale periodo di conservazione è previsto per i dati. Google Analytics include alcuni controlli sulla conservazione dei dati . L’impostazione predefinita è progettata per memorizzare automaticamente i dati dell’utente e i dati degli eventi per 26 mesi. Spesso il pulsante “Ripristina su nuova attività” è disabilitato nelle impostazioni predefinite. Questo pulsante deve essere disattivato per coordinare Google Analytics con il GDPR (cfr. Art. 25: Protezione dei dati dal design). Il periodo di conservazione dei dati dovrebbe essere limitato a 14 mesi .
Per modificare il periodo di conservazione dei dati, è necessario selezionare la proprietà da modificare nella scheda “Gestione”. Nella colonna “Proprietà” corrispondente è possibile impostare la durata della memorizzazione in “Informazioni sul monitoraggio – Memorizzazione dei dati”. Dopo aver selezionato qui un’impostazione diversa, ricordarsi di adattare la dichiarazione sulla protezione dei dati a queste modifiche.
Espresso consenso all’uso dei cookie
Uno dei prerequisiti più importanti per la progettazione legalmente conforme dell’uso di Google Analytics è la garanzia di un consenso ai cookie ben ponderato . Il consenso del visitatore all’uso di Google Analytics e dei cookie deve contenere alcune informazioni: innanzitutto il titolo deve essere chiaro e non ambiguo. Deve dimostrare che l’utente acconsente al trattamento dei dati da parte di Google dopo aver espresso il proprio consenso. Inoltre, gli utenti devono essere informati che nell’ambito del trattamento dei dati, i dati personali e i dati sul comportamento di utilizzo del sito Web vengono trasmessi a Google . La richiesta di consenso dovrebbe contenere anche indicazioni precise sulle tipologie di dati coinvolti.
È inoltre importante sapere che i dati raccolti vengono elaborati principalmente da Google . Va sottolineato che il gestore del sito web non ha alcuna influenza sul trattamento dei dati in questo senso. Google tratta i dati per proprie finalità (es. profilazione).
È anche importante sapere se i dati raccolti possono essere collegati anche a informazioni provenienti da altre fonti. È inoltre necessario aggiungere informazioni sul fatto che i dati siano archiviati negli Stati Uniti e se le autorità statali possano avere accesso a tali dati.
Requisiti tecnici per il consenso e il ritiro
Inoltre, l’opzione del consenso non deve rappresentare un consenso onnicomprensivo all’uso dei cookie. Un importante requisito tecnico per il consenso è il coinvolgimento attivo dell’utente. L’utente deve avere la possibilità di acconsentire attivamente all’utilizzo dei dati. Ciò esclude le caselle preselezionate o le caselle di controllo !
Ciò è associato al requisito che lo strumento di tracciamento e i relativi cookie di Google Analytics possano diventare attivi solo dopo che gli utenti hanno dato il loro consenso attivo. I cookie di Google Analytics non devono essere impostati in anticipo.
I dati possono essere raccolti solo dopo che gli utenti hanno selezionato attivamente la casella. Inoltre, tale consenso deve essere volontario. Ciò è anche legato alla possibilità per gli utenti di negare il consenso in qualsiasi momento.
Inoltre, deve essere tecnicamente assicurato che gli utenti non subiscano svantaggi in caso di mancato consenso. Agli utenti devono essere fornite soluzioni tecniche chiare e di facile utilizzo per garantire e implementare il consenso. Gli strumenti di consenso offrono una possibilità per questo. Questi dovrebbero offrire la possibilità di revocare tale consenso in qualsiasi momento, anche dopo che il consenso è già stato prestato. In tutte le app o soluzioni per il consenso dei cookie, deve esserci anche un’opzione facilmente accessibile per una revoca effettiva nelle impostazioni.
In linea di principio, Google offre un componente aggiuntivo del browser che disattiva Google Analytics. Va notato che non è sufficiente indirizzare gli utenti a questo componente aggiuntivo. Ciò non offre agli utenti una possibilità sufficiente di revoca. Secondo l’articolo 7 cpv. 3 p.4 GDPR, la revoca del consenso deve essere altrettanto semplice del consenso. Il componente aggiuntivo di Google non soddisfa questi requisiti perché prima richiede all’utente di scaricare un programma sotto forma di componente aggiuntivo.
Importanza della procedura di opt-in
Il consenso attivo ed espresso all’uso dei cookie di Google Analytics è noto anche come procedura di opt-in. La progettazione del consenso all’uso deve essere progettata come un vero e proprio opt-in di Google Analytics al più tardi dopo la sentenza della Corte di giustizia sui cookie. In linea di principio, a partire dalle linee guida sulla protezione dei dati dell’UE del 2009, è stato previsto che agli utenti del sito Web venga chiesto il consenso. Finora, tuttavia, molti operatori hanno interpretato questo consenso come un opt-out. In pratica, ciò significa che i cookie vengono raccolti senza che l’utente debba fare nulla. I visitatori hanno solo la possibilità di impedire la raccolta dei cookie. Secondo la sentenza della Corte di giustizia sui cookie, un sito Web non può più impostare cookie prima che il visitatore abbia dato il proprio consenso espresso e attivo . Ciò significa che i cookie di Google Analytics possono essere impostati solo dopo che il visitatore ha optato per essi (opt-in).
CMP: soluzioni di gestione del consenso per i siti Web e i loro vantaggi
È importante che gli operatori del sito Web e le aziende prendano precauzioni in tempo utile per un effettivo consenso all’uso di Google Analytics. I banner per la gestione del consenso, da un lato, forniscono agli utenti un’esauriente informativa sull’uso dei dati e, al tempo stesso, chiedono loro di prestare il proprio consenso.
La realizzazione tecnica di una gestione dei cookie a norma di legge beneficia del cosiddetto consenso
Soluzioni. Un buon gestore del consenso tiene conto dei requisiti del GDPR e della sentenza della Corte di giustizia, nonché di un’esperienza utente positiva. Gli aspetti più importanti di un’esperienza utente positiva includono un lungo tempo di permanenza e un alto tasso di accettazione . Di conseguenza, la frequenza di rimbalzo dovrebbe essere mantenuta il più bassa possibile. Buone soluzioni di gestione del consenso aiutano ad aumentare il tasso di accettazione e allo stesso tempo a ridurre al minimo la frequenza di rimbalzo. In questo modo, garantiscono il buon funzionamento del sito Web e contribuiscono all’acquisizione e alla fidelizzazione dei clienti.
Una soluzione di gestione del consenso ben congegnata offre una panoramica in tempo reale delle frequenze di accettazione e di rimbalzo. Ciò consente di trarre preziose conclusioni sulle prestazioni attuali del sito Web e sul corrispondente potenziale di miglioramento.
Le soluzioni di consenso sono orientate a livello internazionale . Il banner visualizzato compare automaticamente nella rispettiva lingua del Paese nell’area GDPR da cui si accede al sito web. Complessivamente, il fornitore di gestione del consenso visualizza le informazioni in 29 lingue. Allo stesso modo, un design reattivo e un adattamento sono superflui in una moderna soluzione di consenso. La soluzione del consenso tiene conto del dispositivo finale, del sistema operativo e delle dimensioni dello schermo e visualizza il banner del consenso in modo ottimizzato.
