Google Analytics in Europa: come garantire la conformità al GDPR

Le regole del gioco della privacy dei dati si sono trasformate in un centesimo, influendo sulla capacità delle imprese europee di valutare accuratamente le proprie prestazioni e valutare adeguatamente i propri sforzi di marketing. Con i divieti comparsi, le solite modalità di lavoro non sono più possibili, portando alla perdita di dati preziosi che non verranno mai sostituiti.

L'enorme cambiamento nell'analisi digitale è iniziato con il divieto di utilizzare Google Analytics in alcuni paesi europei e si è concluso con un nuovo quadro sulla privacy dei dati tra l'UE e gli Stati Uniti. Secondo recenti decisioni delle autorità europee per la protezione dei dati, l'utilizzo di Google Analytics è diventato illegale per gli operatori di siti Web in diversi paesi. Poiché l'implementazione di Google Analytics è ora vista come una violazione del capitolo V del GDPR, le aziende europee stanno affrontando una crisi.

Tuttavia, a marzo 2022, la situazione è cambiata, quindi proviamo a determinare finalmente quali problemi sono sorti con la privacy dei dati e cosa possono fare le aziende europee per proteggere le loro analisi di marketing.

Negli ultimi due anni sono accaduti molti eventi nel campo della privacy dei dati e di Google Analytics. Per le aziende europee, questi cambiamenti nella raccolta e nell'applicazione dei dati hanno significato la fine dell'era d'oro dell'analisi di marketing avanzata e ottimizzata. Limitazioni e divieti nell'uso dei dati rendono impossibile l'applicazione dei flussi di lavoro stabiliti. Abbiamo raccolto e mappato tutte le informazioni che abbiamo per vedere come sono iniziati tutti questi cambiamenti e dove siamo ora.

Nel 2020, l'organizzazione senza scopo di lucro NOYB ha presentato 101 reclami contro i siti Web dello Spazio economico europeo (SEE) che applicavano Google Analytics o Facebook Connect. Successivamente, le autorità per la protezione dei dati del SEE hanno iniziato a emettere sentenze che obbligano gli operatori del sito Web del SEE a interrompere l'utilizzo di questi servizi in quanto non rispettano il regolamento generale sulla protezione dei dati (GDPR).

Il problema era nel metodo di applicazione di Google Analytics in Europa, poiché memorizza i dati raccolti sui residenti nell'UE (dati sul comportamento degli utenti) su un servizio cloud con sede negli Stati Uniti. Il punto critico era, ed è tuttora, che le salvaguardie adottate da Google non sono sufficienti per impedire ai servizi di intelligence statunitensi di accedere ai dati personali dei residenti nell'UE. Secondo le autorità europee per la protezione dei dati, questi trasferimenti di dati all'estero violano il GDPR.

Finora sono state ascoltate due cause giudiziarie. Il primo è stato un caso austriaco (dicembre 2021), seguito da un caso francese meno di due mesi dopo (febbraio 2022). La sintesi di questi casi è che non esiste un'adeguata protezione dei dati personali dei residenti nell'UE insieme al trasferimento illegale dei loro dati personali a servizi con sede negli Stati Uniti. Ad esempio, numeri ID utente univoci, indirizzi IP e parametri del browser non sono sufficientemente protetti dalle clausole di protezione standard offerte da Google.

Casi simili in altri paesi europei potrebbero avere un effetto domino nel sopprimere l'uso di Google Analytics (e servizi simili). Poiché ci sono già risposte e reazioni modellate a questi reclami sulla violazione della privacy dei dati, è possibile che presto più autorità europee seguano l'esempio, con conseguente divieto completo di Google Analytics (e altri strumenti) in Europa.

Quindi, il 25 marzo 2022, dopo oltre un anno di negoziati, gli Stati Uniti e l'UE hanno annunciato un "accordo di principio" su un nuovo quadro giuridico per i trasferimenti di dati personali conformi al GDPR dall'UE agli Stati Uniti. Il Trans-Atlantic Data Privacy Framework risponde alle preoccupazioni sollevate dalla Corte di giustizia dell'Unione europea nella decisione Schrems II del luglio 2020 e garantisce i più elevati standard di privacy e protezione dei dati. Google non vede l'ora di certificare i suoi processi nell'ambito del Trans-Atlantic Data Privacy Framework alla prima occasione. Tuttavia, rimane un "accordo in linea di principio", con dettagli e tempi ancora da confermare.

Nessuno può prevedere il futuro e, poiché il panorama digitale è in rapida evoluzione, le aziende dovrebbero essere preparate a proteggere il flusso di lavoro di elaborazione dei dati.

A causa dei reclami di NOYB, molte autorità per la protezione dei dati dello Spazio economico europeo (SEE) vogliono costringere gli operatori di siti Web del SEE a interrompere del tutto l'utilizzo di Google Analytics. Coloro che subiscono tali decisioni sono le imprese europee che desiderano implementare tecnologie online per aumentare i propri ricavi aziendali e migliorare le proprie prestazioni complessive.

In questo momento queste aziende sono in una posizione debole, poiché stanno aspettando che l'argomento politicamente caldo dei trasferimenti internazionali di dati venga risolto con alcune risoluzioni logiche. Non dimentichiamo che, nonostante i problemi di trasferimento dei dati, a livello globale sono presenti altri pericolosi rischi per la privacy dei dati, come attacchi informatici e ransomware.

Al momento, i problemi che si verificano con l'utilizzo di Google Analytics sono i seguenti:

• I siti Web che non possono essere conformi al GDPR pagheranno pesanti sanzioni se continuano a trasferire i dati sensibili degli utenti ai servizi con sede negli Stati Uniti.
• Senza l'applicazione di Google Analytics, gli esperti di marketing temono di non essere in grado di valutare le proprie prestazioni di marketing.
• Per cambiare la loro soluzione di analisi di marketing, le aziende spenderanno molto per l'apprendimento e l'implementazione di un nuovo prodotto.

Vediamo cosa si può fare per risolvere questi problemi e come le aziende possono evitare problemi ancora più grandi in futuro.

Nota: il progetto NOYB fornisce linee guida per le aziende. Soprattutto per le società dell'UE più piccole che non sono sicure delle leggi di sorveglianza degli Stati Uniti o il cui partner statunitense rientra in queste leggi, ci sono linee guida gratuite e richieste modello sul sito Web noyb.eu.

Naturalmente, questo stato di cose è spiacevole per molte aziende e viola i processi di lavoro consolidati. Tuttavia, non c'è motivo di disperarsi, perché questa non è certo la fine del mondo e ci sono vie d'uscita.

Prima di tutto, dovremmo iniziare ricordando che Google Analytics può essere implementato in due modi. Di conseguenza, il modo in cui viene implementato influenza la sua conformità al GDPR. I due metodi sono:

Di solito, i siti Web applicano la modalità lato client , il che significa utilizzare il codice JavaScript nelle pagine del sito Web, impostare i cookie, generare ID client e trasferire i dati ottenuti a Google Analytics per produrre le statistiche del sito Web.

Vediamo quali passaggi dovrebbero essere eseguiti quando si utilizza Google Analytics in modalità lato client. Ci sono aspetti tecnici e legali da verificare per garantire la conformità al GDPR.

1. Inizia con il consenso dell'utente corretto. Dovresti informare gli utenti che i loro dati (informazioni sul dispositivo, ID di tracciamento, indirizzi IP, ecc.) non verranno solo raccolti ma trasferiti a servizi con sede negli Stati Uniti. Si precisa inoltre che gli utenti possono revocare il proprio consenso in qualsiasi momento.
2. Implementare l'anonimizzazione dell'IP. (Per le proprietà di Google Analytics 4, l'anonimizzazione IP è abilitata per impostazione predefinita.)
3. Verifica che sia l'opzione di condivisione dei dati che l'opzione dei segnali in Google Analytics siano disattivate.
4. Se utilizzi ID utente proprietari, assicurati che non vi sia alcuna autorizzazione per l'identificazione dell'utente.

Importante! Non dimenticare di controllare lo stato legale delle cose. Controlla tutti i contratti che firmi, poiché tutti i contratti firmati da società nella regione EMEA devono essere conclusi con Google Ireland Limited e non con Google LLC. Quindi, controlla il TIA che copre il trasferimento di dati tra Google Ireland Limited e Google LLC.

La seconda variante sta implementando una modalità lato server . È più discreto, poiché questa modalità ti consente di spostare i tag fuori dal sito Web (sia pubblicitari che di misurazione) e trasferirli in un contenitore di server sicuro. Inoltre, applicando il monitoraggio lato server, gli indirizzi IP degli utenti vengono automaticamente resi anonimi prima che le informazioni vengano condivise con gli strumenti di segnalazione di Google. In breve, significa che non c'è comunicazione diretta tra l'utente e Google. Le informazioni vengono raccolte dal server dell'editore e quindi inoltrate a Google per l'analisi.

Sebbene molte aziende possano avere l'impressione che nessuna analisi di Google significhi nessuna analisi, non è vero. Esistono altri modi per implementare analisi di marketing avanzate e il team OWOX BI fornisce soluzioni sicure sia per la raccolta che per l'archiviazione dei dati.

Cos'è OWOX BI?

OWOX BI è una soluzione di analisi di marketing che automatizza la consegna dei dati da fonti in silos alla destinazione dell'analisi, assicurando che i dati siano sempre accurati e aggiornati.

Tra i principali vantaggi di lavorare con i dati utilizzando OWOX BI ci sono i seguenti:

• Tutti i dati vengono archiviati in Google BigQuery con piena conformità al GDPR. Il monitoraggio lato server di OWOX BI fornisce una raccolta sicura di dati proprietari sul tuo dominio personale. Il processo di tracciamento è conforme a Schrems II e al GDPR.
• Schema dei dati di Google Analytics familiare. Ottieni il noto schema di dati universale di Google Analytics per gli hit e la trasformazione delle sessioni. Bastano pochi minuti per impostare facilmente il monitoraggio utilizzando le attuali impostazioni di Google Analytics.
• Raccolta dati di alta qualità. Rimani inalterato dagli ad blocker e ottieni dati grezzi completi con una qualità spiegabile. Raccogli ogni hit nel tuo spazio di archiviazione Google BigQuery EU quasi in tempo reale e senza campionamento.
• Marketing efficace e analisi dei dati. Nel 2023 una parte significativa delle informazioni sull'efficacia dei canali pubblicitari non sarà più disponibile a causa della scomparsa dei cookie di terze parti e della riduzione della durata dei cookie. Puoi ridurre al minimo le perdite con il monitoraggio lato server di OWOX BI, raccogliere dati proprietari e unirli con i dati di marketing nel tuo spazio di archiviazione.

Quali sono i passaggi che puoi intraprendere con OWOX BI per salvare le tue analisi di marketing?

Poiché la maggior parte delle aziende preferisce garantire che sia la raccolta che l'archiviazione dei dati avvengano nella regione dell'UE, OWOX BI evita di utilizzare Google Analytics. Nel dettaglio, il flusso di dati di OWOX BI si presenta così:

1. Raccogli i dati dal sito nel classico formato di Google Analytics. Poiché questo formato di dati è familiare, è possibile riutilizzare migliaia di query SQL esistenti.
2. Raccogli dati grezzi nello spazio di archiviazione di Google BigQuery in tempo reale. I dati ottenuti appartengono a te e sono archiviati nella zona UE che hai selezionato.

Per riassumere, OWOX BI consente a ogni marketer e analista di continuare il proprio lavoro e applicare soluzioni di analisi che soddisfino l'ufficio legale dell'azienda:

• Garantire la conformità al GDPR mentre si lavora con dati sensibili.
• Evita di perdere tempo e risorse nella rielaborazione dei dati o nell'apprendimento e nell'adozione di un nuovo stack tecnologico.
• Mantieni il markup esistente del tuo sito Web, poiché i tempi di implementazione insieme ai periodi di time to value sono davvero brevi.

La situazione con il divieto di Google Analytics e l'imminente quadro per la privacy dei dati transatlantici deve ancora essere chiarita. Tuttavia, indipendentemente dai risultati, è meglio proteggere la tua attività ora senza aspettare un momento migliore in futuro. Ci sono passaggi ovvi che puoi intraprendere per ridurre al minimo i rischi, che vanno dall'effettuare preparativi legali e garantire il consenso dell'utente all'allontanamento dai fornitori di servizi di proprietà degli Stati Uniti.

Il monitoraggio lato server di OWOX BI fornisce una raccolta di dati proprietari sicura conforme a Schrems II e GDPR. E la ciliegina sulla torta è la capacità di ridurre al minimo le perdite derivanti dalla scomparsa dei cookie di terze parti e dalla riduzione della durata dei cookie.