Il regolamento sulla protezione dei dati (RGPD) ha messo obbligatorio di proteggere la privacy dell’utente. Riguarda RGPD, devi rimuovere qualsiasi informazione personale identificabile prima di trasferire i dati dell’utente a qualsiasi strumento di proprietà statunitense. Questo passo ha diventato obbligatorio a causa dell’invalidazione di Privacy Shield
In questo articolo descriverò come rimuovere automaticamente i dati dell’utente utilizzando il potenziamento di Anonimyzer di Stape e redigere manualmente i dati dell’utente tramite GTM web e server. Questa è l’estensione dell’articolo pubblicato nel nostro blog, che racconta perché devi utilizzare il proxy server per utilizzare Google Analytics in modo conforme a GDPR.
C’erano qualche incidenti nei paesi dell’UE (Italia, Francia, Austria e Danimarca) quando le persone hanno contattato le autorità locali della protezione dei dati per verificare se l’uso di Google Analytics sui siti web è stato sotto RGPD. La risposta nei tutti casi è stata che l’uso di Google Analytics non è conforme a RGPD.
La causa principale è che le aziende statunitensi (anche Google) non forniscono la sicurezza sufficiente per proteggere i dati personali degli utenti dell’UE. Perciò dividere PII con le aziende statunitensi è contro il RGPD. Puoi trovare più informazioni su questo nel nostro post del blog prima.
La buona notizia è che esiste la soluzione di usare Google Analytics è stare in modo conforme a RGPD. CNIL (l’autorità della protezione dei dati francese) ha detto che per usare GA in modo conforme a RGPD, devi implementare due cose: il proxy server dell’UE e pseudonimizzazione dei dati dell’utente prima di esportare.
Il proxy server garantisce nessun contatto diretto tra il sito web e lo strumento di analitica statunitense. Il modo più semplice per implementare il proxy server è di utilizzare il contenitore del server di Google Tag Manager. I proxy server devono soddisfare una serie di criteri. L’area principale è l’azienda, che ti fornisce con un proxy server, deve essere registrata nell’UE; i server abituati ad ospitare il tuo contenitore sGTM devono essere trovati fisicamente nell’UE. Per queste due ragioni, non puoi utilizzare Google Cloud (GCP) per sGTM. In base, è la stessa ragione come Google Analytics - è la proprietà di Google, l’azienda statunitense.
Un altra cosa buona è che stape ti ha coperto. Abbiamo un prodotto specifico - Stape Europa che rispetta tutti i criteri di proxy server per l’UE. Stape Europa è registrato nell’UE (Estonia) e utilizza il cloud server dell’UE fornito da Scaleway per eseguire il tuo contenitore sGTM.
In questo articolo, voglio concentrarmi sulla seconda parte della legge, che è la pseudonimizzazione dei dati degli utenti. A Stape implementiamo un elenco delle funzione che ti aiuterà a spostare i dati automaticamente. Perciò dividerò l’articolo in due parti:
L’elenco dei dati dell’utente che devono essere pseudonimizzati è abbastanza vago
Per ora, progettiamo solo il potenziamento di Anonimyzer di Stape solo per GA4. Tuttavia, sarà adattato e disponibile con la funzione di anonimizzazione UA per gli aggiornamenti futuri.
È importante capire che l’elenco dei parametri che GA4 invia può cambiare. Teniamo quel articolo aggiornato, ma consigliamo di provare l’anonimizzazione dei dati dell’utente prima di pubblicarlo alla produzione.
Ho trovato lo strumento migliore che aiuta a monitorare e identificare i parametri di GA4 è quello.
Il processo della pseudonimizzazione va all’interno dei tag GA4 nel contenitore web e del server GTM. Se non hai configurato il server GA4, segui questi passi.
Non abbiamo le regole strette su quali dati devono essere spostati. Dipende dal te come vuoi proteggere la tua azienda. Ad esempio, puoi spostare l’IP dell’utente o redigere le ultime poche cifre. Un’altra grande domanda è dei parametri come paese, lingua, browser ecc. Individualmente ogni parametro non dà abbastanza informazione per identificare l’utente, ma una raccolta dei parametri può farci.
Non ci sono le domande se devi spostare i parametri come l’ID del cliente o URL queries. Utilizzando ogni parametro individualmente può portare all’identificazione dell’utente a causa di ID unico in Google.
Diciamo che per te può essere essenziale di analizzare il traffico mobile vs desktop nei browser diversi. Devi spostare tutti i dati che possono essere usati per i pronti digitali e l’identificazione dell'utente o spostare solo alcuni? Puoi lasciare il browser e il dispositivo se sposti tutti i parametri?
Devi discutere queste domande con il tuo avvocato o RPD per avere la protezione buona se il regolatore arriva a te. Credo che spostando tutti gli identificatori dell’utente che possono essere utilizzati per le impronte digitali e reidentificando sarà meglio per tenere la tua azienda protetta.
Questo articolo non pretende di essere un’istruzione. È solo la condivisione dell’esperienza di spostamento o pseudonimizzazione dei dati e come stape lo esegue automaticamente. Puoi selezionare di non usare il nostro potenziamento di anonimizzazione o manualmente anonimizzare ogni parametro.
Abbiamo recentemente rilasciato una versione beta di potenziamento Anonymizer. È disponibile per tutti gli utenti di Stape. Lo scopo principale di anonymizer è di spostare e di anonimizzare i dati dell’utente di Google Analytics 4.
Per attivare il anonymizer, apri il contenitore sGTM in stape, clicchi su potenziamento e apri il anonymizer.
Questo prodotto include i dati di GeoLite2 creati da MaxMind, disponibili su https://www.maxmind.com
Devi scegliere quali parametri vuoi lasciare, spostare o anonimizzare. Una volta i parametri sono configurati, devi aggiornare l’URL di tagging server per Google Analytics 4. Se hai prima utilizzato l’URL di tagging server https://sgtm.example.com quando anonymizer è attivato, l’URL di tagging server aggiornato assomiglierà a https://sgtm.example.com/anonymize. Deleghiamo le tue richieste a sGTM tramite il passo /anonymize e spostare i dati specificati.
Quando le richieste GA4 vengono tra l’URL di tagging server che include /anonymize, automaticamente spostiamo o anonimizziamo i parametri selezionati.
Dopo hai attivato e configurato Anonymizer, devi essere sicuro che hai cambiato l’URL di trasporto GA4 nel tag config web GTM a quello che finisce con /anonymize
Di seguito è riportato un elenco di tutti i parametri che Anonymizer può rimuovere e rendere anonimi. Quando abbiamo creato Anonymizer, il nostro obiettivo era quello di dare ai nostri clienti la possibilità di rimuovere tutti i parametri che in qualche modo possono essere considerati dati personali dell'utente. È possibile selezionare i parametri che si desidera rimuovere. Parlate con il vostro DPO o con i vostri avvocati per specificare quali parametri devono essere rimossi.
Per la maggior parte dei parametri sono disponibili due opzioni: lasciare così com'è o rimuovere. Per due parametri (IP e ID cliente), sono disponibili le opzioni Anonimizza e Anonimizza strettamente.
IP
Anonymize - rimuove l'ultimo ottetto.
Anonymize Strictly - rimuove gli ultimi due ottetti.
Client ID. Funziona solo se si usa l'identificazione client gestita da JavaScript.
Anonymize - utilizzare un hash di IP+UserAgent e aggiungere anno+mese.
Anonymize Strictly - utilizzare un hash di IP+UserAgent e aggiungere un timestamp, crc32_hash(IP+UA).timestamp.
| Nome del parametro | Descrizione | GA4 Parameter | Anonymize |
| IP | User IP | IP Address | Anonymize - removes the last octet. Anonymize Strictly - removes the last two octets |
| Client ID | Google Analytics Client ID, _ga, _ga_*, FPLC, FPID cookies | cid, _ga, _ga_*, FPLC, FPID | Anonymize - use a hash of IP+UserAgent and add year+month. Anonymize Strictly - use a hash of IP+UserAgent and add a timestamp, crc32_hash(IP+UA).timestamp |
| User ID | User ID, Google Developer ID, Firebase ID | uid, gdid, _fid | - |
| Session ID | Session ID, New Session ID | sid, _nsi | - |
| Query parameters | Remove query paramaters from Document Location | dl | - |
| Referer | Document Referrer Header, Document Referrer Parameter | referer header, dr | - |
| User Agent | Document User-Agent header, Sec-Ch-Ua header, Sec-Sh-Ua-Platform header, Sec-Ch-Ua-Mobile header, User-Agent Parameter | user-agent header, sec-ch-ua header, sec-ch-ua-platform header, sec-ch-ua-mobile header, ua | - |
| User Country | Geographical ID, Current country for the user | geoid, _uc | - |
| Browser plugins | Java Enabled, Flash Version | je, fl | - |
| Informazione di schermo | Browser screen resolution, Viewport size | sr, vp | - |
| Colori di schermo | Specifica la profondità di colore dello schermo | sd | - |
| Lingua dell’utente | Browser active locale | ul | - |
| User Agent Architecture | uaa | - | |
| User Agent Bitness | uab | - | |
| User Agent Full Version List | uafvl | - | |
| User Agent Mobile | uamb | - | |
| User Agent Model | uam | - | |
| User Agent Platform | uap | - | |
| User Agent Platform Version | uapv | - | |
| User Agent WOW64 | uaw | - |
| Campaign Medium | cm | - | |
| Campaign Source | cs | - | |
| Campaign Name | cn | - | |
| Campaign Content | cc | - | |
| Campaign ID | ci | - | |
| Campaign Term | ck | - | |
| Campaign Creative Format | ccf | - | |
| Campaign Marketing Tactic | cmt | - | |
| Google Ads ID | gclid | - | |
| Google Display Ads ID | dclid | - |
I parametri, che Google Analytics 4 raccoglie, stanno per cambiare di tanto in tanto. Così hai bisogno di controllare le richieste di GA4 per essere sicuro che tutti i dati sono spostati.
Dopo aver configurato i parametri in Anonimiser e modificato l'URL di trasporto di GA4 in quello che contiene /anonymize alla fine, rimuoveremo o renderemo anonimi i parametri specificati.
Dopo l’attivazione di Anonymizer e l’aggiornamento di URL di trasporto GA4, utilizzi i debugger, la console e debugger GA4 per provare se tutti i parametri richiesti sono stati spostati.
Questo è semplice da implementare ma ha alcune controversie. Google ha una funzione integrata di spostare l’ultimo byte dell'indirizzo IP. Tagliando il byte precedente, la possibilità che Google possa identificare l’utente è 1 a 256. In combinazione con gli altri parametri, IP può identificare velocemente una certa persona.
Alcune persone pensano che tagliare l’ultimo ottetto sia sufficiente. Altri sperano che hai bisogno di spostare l’IP dell’utente complessivamente. La mia opinione è che meglio sostituire l’IP dell’utente completamente. Non sà mai se/come Google utilizzerà di nuovo l’IP.
“Dovrebbe essere notato che gli identificatori online, come l’indirizzo IP o l’informazione memorizzata nei cookie possono essere utilizzati per identificare un utente, soprattutto quando sta cambiando con i tipi simili di informazione. È stato illustrato da Recital 30 RGPD, secondo cui l'assegnazione di identificatori online quali indirizzi IP e identificatori di cookie a persone fisiche o ai loro dispositivi può "lasciare tracce che, in particolare se combinate con identificatori univoci e altre informazioni ricevute dai server, possono essere utilizzate per creare profili di persone fisiche e identificarle.”
Per spostare l’IP dell’utente, ho utilizzato i tag del server GA4 e ho configurato un ip_overrride per un IP casuale.
Google assegna un ID unico del cliente per la coppia del dispositivo e del browser e lo utilizzi per identificare quando lo stesso utente visita di nuovo il tuo sito. Questo parametro deve essere spostato o pseudonimizzato prima di inviare a GA4.
"Per garantire una pseudonimizzazione efficace, l'algoritmo che esegue la sostituzione dovrebbe garantire un livello di collisione sufficiente (cioè una probabilità sufficiente che due identificatori diversi diano un risultato identico dopo un hash) e includere una componente variabile nel tempo (aggiungendo un valore al dati hash che si evolvono nel tempo in modo che il risultato dell'hash non sia sempre lo stesso per lo stesso identificatore)”
Questi sono gli approcci numerosi per anonimizzare gli ID di clienti, tutto dipende dalla tua immaginazione e dallo set degli strumenti utilizzati. Ma essere sicuro che l’ID di cliente è unico e che aggiungi un componente di tempo varia.
Puoi utilizzare un hash di user agent, IP, GTM variabile numero casuale, ecc. Al contrario di IP dell’utente, non abbiamo trovato un passaggio per redigere l’ID di cliente sul lato server, quindi l'abbiamo fatto sul client.
Una volta hai anonimizzato Google Analytics Client ID, puoi volere sovrascrivere i cookie GA4 con i valori nuovi per essere sicuro che GA4 non fissa nessuno identificatore dell’utente. Per farlo, ho utilizzato il modello di Cookie Monster tag per il contenitore del server GTM. Tutto ciò che serve è di aggiungere i nomi dei cookie ei valori. Una volta fatto, non dimenticare di utilizzare la console e controllare i cookie impostati da GA.
Dopo aver redatto l'ID client, avrà un impatto significativo sui rapporti GA4. Poiché l'ID cliente sarà univoco, GA non sarà in grado di determinare i visitatori nuovi e quelli di ritorno. Oltre all'attribuzione multicanale e agli eventi come l'inizio delle sessioni, la prima visita, ecc.
Un external referrer è disegnato per determinare come un utente è arrivato al tuo sito web. È stato un traffico organico, a pagamento o forse social.
Per spostare, devi riscrivere page_referrer.
Lo scopo primario dei parametri nell’URL è di determinare la sorgente delle campagne pubblicitarie. I parametri URL possono essere utm_souce, utm_medium, different click ID types, ecc. Inoltre, alcune piattaforme automaticamente inseriscono i dati dell’utente nell’URL.
Per spostare i parametri URL, devi riscrivere l’URL della pagina. Diversi variabili nella galleria dei modelli GTM web possono aiutarti con questo. Ho utilizzato Trim Query. Devi solo specificare una blocklist o una lista consentita di parametri di query, che farà tutta la magia per te.
Tale informazione può essere user agent, dispositivo, browser, risoluzione dello schermo, lingua, sistema operativo, ecc. Assicurati di aver cancellato tutte le informazioni che possono essere utilizzate per il rilevamento delle impronte digitali.
Assicurarti di non aver utilizzato gli identificatori cross-site come un utente o CRM ID.
Questa parte è difficile da capire, ma consiglio di controllare la richiesta che il tuo contenitore sGTM invia a GA e essere sicuro che non ci sia nessun parametro che può essere utilizzato per re-identificazione dell’utente.
Ci sono alcuni modi per testare se tutti i dati necessari sono stati spostati o pseudonimizzati. Prima vai al debugger del server GTM e vedi le richieste inviate da GA4. Assicurarti di testare gli scenari diversi quando ci sono i parametri dell’utente vs. nessun parametro dell’utente, i parametri dell’URL, gli eventi diversi, i referrer, ecc.
Un altro modo è di utilizzare il debugger di Google Analytics 4 e vedere quali dati GA4 processa.
Non è solo Google che raccoglie i dati dell’utente dell’UE e trasferisce agli Stati Uniti, che viola il RGPD. Molte aziende hanno raccolto i dati personali di europei per anni, e ora sembra che le loro pratiche saranno limitate su tutta la linea in risposta alla disattivazione di Privacy Shield e alla decisione che il trasferimento di dati degli utenti dell'UE negli Stati Uniti è illegale ai sensi del RGPD.
Se sei un proprietario di sito web nell’Unione Europea, ora devi cambiare i dati che condividi con le aziende degli Stati Uniti, o sei al rischio di essere penalizzato dai regolatori.
1. Come posso usare il server proxy per GA quando è implementato tramite gtag.js?
Se si usa gtag.js sul proprio sito web per inviare eventi al contenitore del server, si può aggiungere il parametro transport_url al tag esistente:
gtag('config', 'TARGET-ID', {
'transport_url': 'https://analytics.example.com',
'first_party_collection': true,
});
È possibile utilizzare un URL di anonimizzazione per anonimizzare i dati degli utenti in GA, se implementato tramite gtag.js. Supponiamo di utilizzare stape anonymizer e che l'URL dell'anonymizer sia https://sgtm.site.com/anonymize. È sufficiente aggiungere https://sgtm.site.com/anonymize come URL di trasporto alla configurazione di gtag.
