La nuova ulteriore stretta del Garante sull’uso di Google Analytics e la crescente attenzione sulla gestione dei dati personali da parte degli utenti sta portando molti proprietari di e-commerce a prendere provvedimenti immediati.
Il GDPR infatti rischia di diventare un grosso ostacolo al marketing sui negozi online, sia in termini di tracciamento dei comportamenti, sia in termini di conservazione dei dati personali degli acquirenti.
In questo articolo cercheremo di fare chiarezza sulla situazione odierna e sulle soluzioni definitive che puoi adottare per metterti al riparo dalla scure sanzionatoria del Garante.
GDPR & Cookie
In Italia, la norma che prende il nome di “Codice per la Protezione dei Dati Personali” che introdusse delle garanzie per i cittadini in materia di privacy e trattamento dei dati personali, è stata sostituita dal regolamento generale sulla protezione dei dati dell’Unione Europea(GDPR).
Il GDPR è stato progettato per equilibrare e armonizzare le leggi sulla privacy in tutta Europa. È stato approvato dal Parlamento dell’UE il 14 aprile 2016 e in data 25 maggio 2018 è entrato in vigore.
Adeguarsi alle norme del GDPR è la sfida che tutti i siti web e gli ecommerce si trovano a dover affrontare per non essere soggetti a pesanti sanzioni.
Ma cosa sono i “dati personali”?
Con dati personali si intendono tutte quelle informazioni che possono identificare o rendere identificabile una persona fisica e che possono fornire informazioni circa le sue abitudini, lo stile di vita, la sua situazione economica, ecc. portando così a una dettagliata profilazione dell’utente.
Uso e utilizzo dei cookie, quale regolamentazione?
Nel GDPR si parla poco o niente dei cookie. L’unica specifica riguarda il fatto che le persone fisiche possono essere identificate tramite cookies.
L'uso dei Cookie e il loro relativo utilizzo è regolamentato dalla Direttiva ePrivacy più comunemente chiamata Cookie Law.
Cookie: cosa sono, durata e tipologie
I cookie sono piccole parti di codice installate all’interno del browser dell’utente da parte dei siti web o e-commerce. I cookie, tecnicamente, registrano sequenze di dati salvati in file di testo all’interno di cartelle presenti nel browser.
I cookie, dal punto di vista della durata, possono essere:
- temporanei
- persistenti
I cookie temporanei (o di sessione) sono tutti quei cookie che si cancellano automaticamente non appena viene terminata la navigazione.
I cookie persistenti sono i cookie che vengono registrati all’interno delle apposite cartelle del browser per un periodo che va, generalmente, da 1 a 12 mesi.
Inoltre, i cookie sono classificati in base al loro utilizzo. Esistono tre tipologie di cookie:
- cookie tecnici
- cookie di profilazione di prima parte
- cookie di profilazione di terze parti
Cosa sono i cookie tecnici?
I cookie tecnici sono cookie necessari al funzionamento e all’ottimizzazione del sito web. Sono cookie gestiti direttamente dal titolare del sito web o e-commerce.
Cosa sono i cookie di profilazione di prima parte?
I cookie di prima parte vengono utilizzati per azioni di marketing che hanno l’obiettivo di mostrare all’utente contenuti pubblicitari personalizzati sulla base di siti precedentemente visitati o con lo scopo di creare statistiche non aggregate.
Cosa sono i cookie di profilazione di terze parti?
I cookie di terze parti sono installati da altri siti rispetto al sito web o e-commerce visitati dall’utente e generati da script, inseriti all’interno dei siti, che richiamano funzionalità esterne.
Sono cookie di terze parti i cookie raccolti da Google Analytics, Facebook Pixel, ecc.
Cookie e GDPR: cosa cambia e l’impatto sui siti web
Affinché GDPR e Cookie Law siano in linea tra di loro, è necessario rispettare dei punti chiave soprattutto per i cookie di prima parte e di terze parti in quanto raccolgono dati personali dell’utente.
I punti chiave da soddisfare per essere in linea con la normativa Cookie e GDPR riguardano la necessità:
- di un blocco preventivo dei cookie fino ad accettazione della Cookie Privacy da parte dell’utente;
- che il consenso, fornito da parte dell’utente, sia:
- informato
- esplicito
- da confermare
- che la registrazione del consenso sia verificabile da parte delle autorità competenti;
- che la revoca al consenso sia ben chiara e deve essere possibile applicarla con la stessa facilità con cui avviene l’accettazione
- che l’informativa sull’utilizzo dei cookie di terze parti sia descritta in modo semplice ma dettagliato
- di avere un collegamento all’informativa sulla Privacy
Il GDPR, inoltre, rende necessaria l’esigenza di introdurre la registrazione del consenso e l’accettazione dello stesso, da parte dell’utente, mediante la selezione di un flag.
Questa esigenza impone, di fatto, la ricezione di un consenso esplicito molto granulare in quanto la normativa sul trattamento dei dati personali deve essere trasparente e chiara per l’utente stesso.
Di contro, i titolari di siti web e e-commerce rischiano di registrare un calo sensibile delle visite e di conseguenza delle conversioni.
Cookie e GDPR: l’evoluzione del cookie banner
Con l’introduzione del GDPR è cambiato il funzionamento del cookie banner.
Infatti, per essere GDPR compliant, il banner deve contenere una descrizione ben dettagliata dei cookie presenti sul sito o e-commerce e la richiesta di consenso deve essere fornita in modo esplicito da parte dell'utente.
Di seguito il cookie banner presente sul sito https://brainlead.it/ in linea con la normativa GDPR.
Per ogni tipo di cookie, l’utente ha un’informativa dettagliata che indica le finalità del cookie stesso e la facoltà di accettarli o meno.
GDPR e Web Marketing: quale impatto sui siti web e e-commerce?
L’applicazione della normativa GDPR ha impatti differenti a seconda che si tratti di siti web o e-commerce.
L’impatto della normativa GDPR sui siti web
I siti web come siti di quotidiani, news o blog sono siti che offrono contenuti, più o meno, gratuiti, agli utenti che li visitano.
Ciò che accomuna queste tipologie di siti web è la necessità di auto-sostenersi monetizzando il proprio sito grazie a pubblicità esterne presenti nelle singole pagine.
La normativa GDPR per questi siti web impatta, sostanzialmente, su 2 punti:
la gestione della privacy utile per le interazioni di base con il sito
la gestione della pubblicità
Se il primo punto legato alla gestione della privacy ha un impatto meno invasivo quello relativo alla gestione della pubblicità (e i relativi introiti) risulta decisamente più critico
GDPR e gestione privacy per i siti web
L’adeguamento alla normativa GDPR per quanto riguarda la gestione della privacy sui siti web non è particolarmente complesso.
È sufficiente usare la combinazione tra moduli di consenso a norma (quindi con la possibilità per l’utente di fornire il consenso in modo esplicito) e un’informativa chiara e dettagliata.
GPDR e gestione della pubblicità sui siti web
Se per la gestione della privacy, l’adeguamento alla normativa GDPR risulta semplice, le cose si complicano nel caso in cui sia necessario adeguare il proprio sito web per quanto riguarda la pubblicità presente sulla propria piattaforma.
In questi casi, i siti devono applicare un blocco preventivo che prevede la richiesta di consenso da parte dell’utente per i cookie di profilazione. Questo porta alla situazione in cui l’utente vedrà le pubblicità solo in un secondo momento ovvero solo dopo aver dato il consenso esplicito alla profilazione.
Tale situazione porta a due “problemi” per i gestori dei siti web:
diminuzione del guadagno in quanto l’utente fino a quando non accetta i cookie di profilazione non vedrà alcuna pubblicità personalizzata sulla quale potenzialmente potrebbe cliccare
il cookie banner articolato con anche i cookie di profilazione potrebbe risultare invasivo per l’utente che, cliccando rapidamente, potrebbe chiudere il banner senza approfondire
L’impatto della normativa GDPR sui siti e-commerce
L’impatto della normativa GDPR sugli e-commerce è diametralmente opposto a quello per i siti web.
Gli e-commerce anziché ospitare pubblicità terze, acquistano pubblicità su piattaforme social o come Google Ads con l’obiettivo di essere visibili agli utenti.
La visibilità online data dalle pubblicità prevede la necessità di installare sul proprio shop codici di remarketing e di tracciamento, con la conseguente possibile drastica diminuzione dell’accettazione alla profilazione a causa di un percorso di rilascio del consenso complesso.
Oltre al discorso relativo alla pubblicità gli e-commerce acquisiscono dati personali anche in maniera diretta come, ad esempio, nel caso di un ordine di acquisto.
Anche se gli utenti che acquistano un prodotto sono più propensi a rilasciare consensi dettagliati rispetto agli utenti che accedono a contenuti informativi, la normativa GDPR impone che la gestione del database dei dati dei clienti sia fatta a regola d’arte.
Sono richiesti, infatti, un processo di conservazione dei dati efficiente e sicuro, oltre a una giusta durata di conservazione del dato stesso. In quest’ultimo caso, la normativa GDPR non pone dei limiti temporali ben definiti ma introduce il concetto di conservazione per lo stretto tempo necessario rispetto alla funzione per la quale sono stati rilasciati i dati.
GDPR e Social Network possono convivere?
Tutti i social network acquisiscono un enorme quantità di informazioni e dati personali, analizzandoli e mettendoli in relazione tra di loro. Diventa fondamentale, quindi, per tutte le piattaforme social trovare il modo di gestire i dati personali e trattarli secondo la normativa vigente.
La criticità più grossa che si trovano ad affrontare le piattaforme social è quella di gestire correttamente la granularità delle informazioni personali inserite dall’utente stesso. Tale gestione non può essere soddisfatta con la sola esposizione di un banner o l’attivazione o meno delle pubblicità.
Sono necessarie delle sezioni per la gestione della privacy dell’utente ampie e articolate.
Viene da chiedersi quanti utenti leggeranno in modo approfondito e soprattutto consapevole le opzioni sulla propria privacy all’interno delle piattaforme social.
È possibile che la maggior parte di essi, attratti principalmente dal funzionamento del social stesso, tralasceranno la maggior parte delle scelte lasciando alla piattaforma la libertà di gestire e diffondere i propri dati personali.
Perchè il pixel di BrainLead è compliant alla normativa GDPR?
Se ti stai domandando se esiste un’alternativa a Google Analytics per quanto riguarda l’analisi dei dati che sia compliant alla normativa GDPR, la risposta è sì! È la nostra piattaforma di Marketing Automation, BrainLead.
Con il monitoraggio senza cookie (cookieless) abilitato, puoi dire addio a quelle fastidiose schermate pop-up di consenso dei cookie.
Ma soprattutto con questo tipo di monitoraggio ottieni il 100% della proprietà dei tuoi dati di analisi web. Ciò significa che usando il pixel proprietario di tracciamento cookieless di Brainlead hai la certezza che i tuoi dati non vengano venduti a terzi, come succede con Google Analytics.
Inoltre, se non vuoi rinunciare al tracciamento tramite cookie, per ottenere maggiori dettagli sui tuoi utenti, ecco che Brainlead ti viene in aiuto. Con una grande differenza rispetto ad Analytics.
Infatti, con Brainlead i dati degli utenti vengono inviati in un sottodominio del tuo ecommerce che creiamo apposta per tutti i nostri clienti (per Google sarebbe impossibile).
Qual è il vantaggio per te? Che questi cookie risultano di prima parte (non di terze parti come quelli di Google) e il browser gli assegna una vita più lunga.
Fantastico, non trovi?
Perché scegliere BrainLead come strumento di web analytics rispetto alla nuova modalità di tracciamento Google Analytics 4?
C’è, attualmente, una forte diatriba sul fatto che GA4 sia compliant alla normativa GDPR a differenza del suo predecessore, Universal Analytics.
Il problema fondamentale risiede nel fatto che i dati analizzati con Google Analytics vengono poi inoltrati presso i server di Google LCC, negli Stati Uniti dove sono dichiaratamente accessibili ad autorità governative come CIA e NSA.
Il provvedimento del Garante italiano del 23 giugno 2022 ha costretto le aziende italiane ad aprire un focus sull’impiego di Google Analytics.
Su questo punto, la risposta del colosso statunitense è positiva.
Google Analytics 4 risolve ogni problema di conformità al GDPR, perché i server utilizzati per “far girare” il tool sono situati in Europa e la gestione è soggetta, quindi, al diritto europeo.
Non sono tutti dello stesso avviso, però, in quanto l’assetto normativo statunitense impone a Google (ma anche a Meta e Microsoft) di inviare alle autorità richiedenti i dati anche se raccolti fuori dagli Stati Uniti.
In poche parole, anche se il titolare del trattamento di GA4 è una società europea e con server in Europa, la controllante statunitense dovrebbe comunque fornire i dati a CIA e NSA qualora ne venisse fatta richiesta.
Allo stato attuale, GA4 non fornisce garanzie idonee sulla compliance.
BrainLead come strumento di web analytics compliant GDPR: 6 punti differenzianti
Basandosi sul proprio Pixel proprietario, BrainLead ha dalla sua parte 6 punti chiave fondamentali:
- anonimizza automaticamente gli IP dei visitatori
- elimina regolarmente i vecchi dati grezzi dei visitatori
- permette di includere una funzione di disattivazione dell’analisi dei dati sul sito web
- rispetta la preferenza Do Not Track
- aggiorna l’Informativa Privacy con l’utilizzo del nostro pixel proprietario
- anonimizza i dati che sono già stati tracciati
Anonimizza automaticamente gli IP dei visitatori
Per impostazione predefinita, l'anonimizzazione IP è abilitata automaticamente su BrainLead.
Ciò significa che BrainLead memorizza nel database ogni nuovo indirizzo IP del visitatore (formato ipv4 o ipv6) con gli ultimi componenti rimossi per proteggere la privacy dell'utente.
Con l'anonimizzazione dell'IP proteggi così la privacy degli utenti con un indirizzo IP statico, la cui cronologia di navigazione sarebbe facilmente monitorata per diversi giorni.
Elimina regolarmente i vecchi dati grezzi dei visitatori
È possibile configurare BrainLead per eliminare automaticamente i dati grezzi vecchi come ad esempio i vecchi registri dei visitatori dal database.
L'eliminazione dei vecchi dati grezzi ha anche un altro importante vantaggio: libera spazio nel database che, a sua volta, aumenterà le prestazioni.
Includi una funzione di disattivazione dell’analisi dei dati sul sito web
Nella pagina di Privacy Policy del sito è possibile aggiungere una funzionalità affinché i visitatori possano rinunciare di essere tracciati.
Per impostazione predefinita, tutti i visitatori di un sito web dove è installato BrainLead vengono tracciati, ma se attivano tale funzione saranno esclusi.
Rispetta la preferenza Do Not Track
Do Not Track è una direttiva di controllo delle pagine web che comunica al server web la preferenza dell’utente riguardo la raccolta dei suoi dati di navigazione.
Per impostazione predefinita, BrainLead rispetta le preferenze degli utenti e non terrà quindi traccia dei visitatori che hanno specificato "Non voglio essere rintracciato" nei loro browser web.
Anonimizza i dati che sono già stati tracciati
Con Brainlead puoi sempre decidere di rendere anonimi, in un secondo momento, dati tracciati in precedenza.
Quali soluzioni per la gestione dei cookie e il cookie banner?
È arrivato il momento di assumersi la responsabilità dei dati dei propri utenti, nasce quindi la necessità di adottare soluzioni affidabili e sincere.
Cookiebot e Cookie Yes sono 2 piattaforme di gestione del consenso che permettono di ottenere il consenso dai visitatori del proprio sito web in modo da poter utilizzare cookie, script di terze parti e altre tecnologie di monitoraggio.
Come utilizzare il pixel di BrainLead e le 2 piattaforme Cookie? Vediamolo insieme.
Che tu utilizzi Cookiebot o Cookie Yes, è necessario indicare nella pagina Cookie Policy che utilizzerai i cookie di BrainLead per il tracking per rendere l’esperienza dell’utente il più personalizzata possibile.
Come impostare il pixel di BrainLead con Cookiebot e Cookie Yes
Per fare in modo che il pixel di BrainLead venga visualizzato correttamente su entrambe le piattaforme è necessario configurare, direttamente nel pannello di amministrazione delle piattaforme, i cookie di BrainLead.
Nella sezione di gestione dei cookie ricercare i cookie di BrainLead all’interno della lista presente.
È probabile che i cookie di BrainLead vengano catalogati da Cookiebot e Cookie Yes come “Altri”.
I cookie da configurare sono quelli che hanno il nome:
_bl_vid
_bl_*
Le modifiche da fare riguardano essenzialmente la categoria (o tipologia) di cookie e la sua descrizione.
Per la categoria impostare “analitica” e per la descrizione inserire il seguente messaggio:
“Utilizziamo cookie per rendere più coinvolgente l’esperienza dell’utente. Alcuni impieghi comuni dei cookie includono la selezione dei contenuti in base a ciò che è pertinente per un utente, il miglioramento dei rapporti sul rendimento delle campagne e la possibilità di evitare la visualizzazione di contenuti che l'utente ha già visto.”
Una volta configurati tutti i cookie di BrainLead per la categoria e la descrizione, è possibile lanciare una nuova scansione del sito direttamente dalla dashboard di Cookiebot e Cookie Yes. La scansione permetterà di verificare se il caricamento dei cookie è effettivamente compliant alla normativa.
Oltre alla configurazione dei cookie di BrainLead, sono disponibili una serie di modifiche al cookie banner.
Per procedere alle modifiche, è necessario accedere alla sezione “Cookie Banner” di Cookiebot e Cookie Yes.
Nella sezione Cookie Banner sono presenti tutte le opzioni per personalizzare i vari elementi che compongono il banner.
Nell’elemento “layout” si stabilisce la posizione del banner sul sito.
L’elemento “content” permette di:
inserire il testo che dovrà apparire nel banner
attivare la “X” che permette di chiudere il banner
personalizzare le label dei pulsanti di accettazione consenso e gestione delle preferenze
gestire il contenuto delle tab che indicano le varie tipologie di cookie: necessari, funzionali, analitica, ecc
Attraverso l’elemento “colours” è possibile impostare lo stile del banner quindi i colori dei vari pulsanti, del banner stesso e delle tab tipologie cookie.
Tramite l’elemento “comportamento” del banner è possibile configurare la parte relativa alla rivisitazione dei cookie ovvero la possibilità di riaprire il banner cookie da parte dell’utente in modo tale da modificare i consensi precedentemente forniti.
Per ultimo, entrambe le piattaforme permettono di inserire delle regole css custom.