Stape
Ricerca
Prova gratis

Monitoraggio lato server e RGPD

Aggiornato
17 dic 2024
Pubblicato
14 dic 2021
Disponibile anche in

La regolazione generala della protezione dei dati (RGPD) e California Consumer Privacy Act (CCPA) sono i set della legislazione della privacy online che tutti i proprietari di siti web devono sapere e seguire. Ci imposta le regole specifiche sull’elaborazione dei dati personali, inclusa la raccolta, la memorizzazione e l’eliminazione.  

Il RGPD può gravemente influenzare i dati degli utenti che raccogli sul sito web e come tu gestirli. In questo post del blog, voglio parlare di come il lato server Google Tag Manager può aiutare ad adottare il monitoraggio ai requisiti di RGPD. 

Cos’è RGPD?

RGPD è un set delle regole che limita quale informazione degli utenti dei siti web può essere raccolta, come devono gestirlo, memorizzarlo e elaborarlo. Questo set delle regole è organizzato dai 99 articoli delle leggi RGPD.

RGPD è entrato nella forza al 15 Maggio 2018. I principi fondamentali delle leggi RGPD sono gli stessi per tutti i paesi europei, e ogni paese ha il diritto di modificarli riguarda i suoi bisogni. E perchè devi essere attento agli aspetti RGPD del tuo paese.

È importante capire che le regole RGPD sono anche applicati a te anche se hai un business e il sito web all’estero dell’UE (diciamo negli USA o Asia). Devi compilare con le regole di RGPD se un utente visita il tuo sito del paese europeo. 

Cosa significa RGPD per il monitoraggio del sito web?

Il punto principale è che le regole RGPD dicono dell’utilizzo dei dati personali. Si descrivono come e quando il proprietario del sito web può raccogliere i dati personali, memorizzarli e se lui abbia il permesso di trasferirli alle terze parti.

Ogni paese ha il diritto di cambiare la definizione delle informazioni personali identificabili (IPI), nome dell’utente, indirizzo, email, IP o cookie che possono essere considerati come IPI. E di più, i dati sulla salute dell’utente, religione, preferenze politiche possono anche essere IPI.

RGPD, ePrivacy e CCPA hanno avuto l'obiettivo principale di limitare le grande società pubblicitarie (come Google o Facebook) dalla profilazione di te attraverso i siti web diversi e proteggere la privacy dell’utente, più frequentemente, le aziende più piccole hanno cominciato a ricevere le notifiche o le multe dell’evento per essere non conforme con la policy RGPD.  

.

1. Consenso di cookie

coockie consent stape

Web Google Tag Manager ha recentemente rilasciato una funzione del modo di consenso. Questa funzione è appena in beta versione, significando che possiamo aspettare tanti miglioramenti e cambiamenti nel prossimo futuro. Con il modo di consenso attivato, Google controlla lo stato del consenso degli utenti e reagisce di conseguenza.

Il modo di consenso di Google Tag Manager web dovrebbe funzionare con la piattaforma di gestione del consenso (PGC). Il primo obiettivo di PGC è dare la possibilità agli utenti di scegliere quali cookie loro permettono il sito di utilizzare. I PGC più popolari hanno l’integrazione con il modo di consenso web GTM. Si bloccano automaticamente i cookie e i tracker fino a quando l'utente dà il suo consenso. 

Ci sono alcuni requisiti diversi per i cookie banner e ogni paese ha le sue regolazioni. Ad esempio, il governo tedesco richiede a te di utilizzare un colore per tutti i pulsanti. Non puoi fare il “Allow Cookies” pulsante verde mentre il pulsante di blocco è bianco, facendo più naturalmente di premere il pulsante verde.

Un altro requisito per un cookie banner è che un utente può facilmente navigare il tuo sito web senza premere alcun pulsante su cookie banner. Un altro aggiornamento recente essenziale dice che dovrebbe tenere  i loghi della decisione di consenso dell’utente. 

2. Consenso di email promozionali 

Nella maggior parte dei casi, ci sono due tipi di email: promozionali e strettamente necessari. Non puoi inviare agli utenti email promozionali senza il loro consenso. 

Ad esempio, puoi inviare l’evento al tuo email marketing software quando un utente esistente accetta di ricevere vendite e materiali promozionali. Puoi utilizzare il web Google Tag Manager per identificare gli utenti che hanno accetto di ricevere email promozionali. Dall'altra parte, se un nuovo utente vorrei ricevere un marketing email, web GTM non aiuterà da quando le più piattaforme di software email non permettono di creare utenti nuovi nei loro sistemi dal web. Puoi farlo solo attraverso il backend o server GTM.

Lato server di Google Tag Manager e RGPD

Il lato server GTM ti dà il controllo migliore sul flusso dei dati ogni venditore riceve. Lo scenario ideale di come il server GTM dovrebbe funzionare: hai flusso di dati in web GTM che fornisce i dati al server GTM. Ad esempio, puoi utilizzare Google Analytics 4 per inviare i dati al contenitore del server. Il server GTM esegue le richieste GA4 e mappa loro negli eventi dei dati all’interno di sGTM. Dopo puoi utilizzare questi dati dell’evento e le richieste HTTP per inviare le informazioni ulteriore agli strumenti di terze parti.

stape server gtm

Hai il server GTM un modo di consenso?

Il server GTM non ha il modo di consenso simile al web GTM. Dovresti configurare una piattaforma di gestione del consenso e integrarlo con il web Google Tag Manager. Il modo di consenso web GTM controllerà quali informazioni GA4 raccoglie e invia dipende dal consenso dell’utente. Se l’utente non accetta di utilizzare i cookie, Google Analytics 4 funzionerà in un modo limitato e non non pronto per leggere o scrivere i cookie marketing.

Quando un utente non accetta di configurare i cookie marketing, Google Analytics ancora invierà le richieste al contenitore del server, significando che i tuoi dati saranno forniti e eseguiti nel server GTM. In questo caso, la differenza è che GA sarà limitato a scrivere, memorizzare e leggere i cookie.

Questo tipo di richiesta di cookie avrà il nuovo parametro gcs che contiene lo stato di consenso. Puoi utilizzare questo parametro nel server GTM per registrare lo stato di consenso. 

Requisiti RGPD per il server GTM

Le regole RGPD richiedono tutti i paesi europei di memorizzare le loro visite su server situati in Europa. Quando configuri un server di Google Tag Manager per il sito web dovè il tuo business principale si trova in Europa, sei sicuro che hai scelto la regione di hosting europeo.

Come il server GTM aiuta a compilare con le regole RGPD?

1. Controlla che dati le terzi parti collegano

Quando inserisce gli script del monitoraggio web di terze parti, non puoi controllare rigorosamente quale informazione questi script collegano. Possono grattera qualsiasi dati sensitivi o gli identificatori personali senza farti sapere.

Il server di Google Tag Manager risolve questo problema. Diciamo che vuoi configurare il monitoraggio lato server per Facebook senza utilizzare il web per limitare FB dal collegamento dei dati non desiderati dal tuo sito web. In questo caso, utilizzando il server di Google Tag Manager, puoi inviare solo i siti web e i dati dell’utente che hai configurato in Facebook tags in sGTM.

Puoi utilizzare le richieste HTTP in uscita per vedere le informazioni inviare al Facebook. Questo prevenisce FB dal collegamento qualsiasi dati dal tuo sito web che non hanno permesso di collegare.

2. Eliminare i dati sensibili e IPI

Riguarda la policy di Google o di Facebook, non puoi inviare le informazioni personali identificabili (IPI) a queste piattaforme. Il nome dell’utente, email, il numero di telefono possono essere considerati come IPI. Ma da quando l’identificazione di IPI può variare per ogni paese, è meglio consultarsi con un avvocato.

Ci sono due modi come sGTM puoi aiutarti con IPI. Puoi spostarli prima di inviarli alle piattaforme di terze parti o puoi fare l’hash prima di inviarli. 

Se hai configurato Facebook CAPI, così sai che alcuni parametri sono stati requisiti di essere hash prima di inviarli a Facebook server. Lo stesso si applica a GA. Ad esempio, puoi dare hash a email dell’utente prima di inviarlo a GA4, che sarà conforme con la politica della privacy GA. 

Così se l’invio dei dati dell’utente è contro la politica della privacy GA4 e il lato server GA4 è uno dei modi più popolari per inviare i dati da web al server GTM, come devi affrontarlo senza violare la politica della privacy riguarda IPI.

     Abbiamo qualche soluzioni:

     1. Hash i dati dell’utente prima di inviarli.

Ogni piattaforma ha i suoi standard di user data hasging. Google Analytics dice che dovresti usare SHA256 +  l'utilizzo di un sale di almeno otto caratteri. Facebook anche richiede SHA256, mentre MailChimp richiede MD5. 

Com’è già detto, puoi usare hash user data in web GTM prima di inviarli a qualsiasi venditore. I modelli personalizzati sono disponibili in galleria web GTM per hash user data che semplifica hashing.

     2. Utilizzare Fake Google Analytics 4 ID

Alcune persone utilizzano Google Analytics 4 ID reale per tracciare gli eventi, mentre GA4 ID falso è solo utilizzato per fornire i dati al contenitore del server. Questo protegge la proprietà principale di GA4 da essere bloccato per non essere conforme alla GA policy.

     3. Utilizzare Data Tag/Data Client

Puoi utilizzare Data Tag/Data Client per inviare le informazioni a GTM server. E dopo, all’interno del server, GTM hash ha bisogno di dati prima di inviarlo al venditore.

3. Modificare IPI prima di inviarlo

Non solo i dati dell’utente (come email o numero di telefono) possono essere considerati come IPI. Abbiamo un cliente che eseguisce le pubblicità dell'attrezzatura medica su Facebook. Hanno i nomi di dispositivi medici e a volte delle malattie negli URL. Facebook comincia a lamentare che loro inviano agli utenti le informazioni riguardo la salute (considerato IPI) a Facebook, che è contro la policy FB. FB anche ha notificato che il loro account potrebbe essere limitato dalla pubblicità se loro non spostano i dati di salute di URL.

Utilizzando il server GTM, puoi modificare un URL di sito web prima di inviarlo al venditore. Puoi tagliare i parametri da URL o spostare qualsiasi parole chiave in URL con una parole-chiave requisito. 

Come di consentire lo stato nel server GTM

    1. Prima di tutto, scegli e configuri una piattaforma di gestione del consenso. Per stape.io, usiamo cookiebot da quando ha tutte le caratteristiche requisiti da RGPD, il prezzo ragionevole, l’integrazione con il modo di consenso in web GTM. Userò il cookiebot in questa guida. Alcuni passi di integrazione possono essere diversi se utilizzi un altro PGC, ma la logica è la stessa.

    4. Configuri un PGC tag in web GTM. Molto probabile, che puoi trovare il tuo PGC tag in galleria delle modelle web GTM. Nel mio caso, ho aggiunto un cookiebot tag dalla galleria -> ho creato un nuovo tag -> ho aggiunto ID e ho definito lo stato del consenso default. Questo tag deve attivarsi in Consent Initialization trigger.

set up CMP tag

    5. In Web GTM, ci sono i tag integrati in consenso checks (principalmente i prodotti di Google, come Google Ads, Google Analytics, and Floodlight). Il vantaggio principale è che questi tag automaticamente reagiscono al comportamento del consenso e modificano le loro azioni. Le configurazioni aggiuntive non servono. 

Stai attento che avrai il bisogno di configurare le configurazioni aggiuntive per quelli tag che non supportano i check di consenso integrati. Molto probabile che avrai la necessità di usare gli eventi personalizzati in GTM per questo. Pure configuri le configurazioni del consenso.

    6. Il prossimo passo sarebbe la configurazione o modificazione della tag configurazione GA4 nel contenitore web GTM. Per farlo, vai a the Advanced Settings -> Consent Setting -> attivare No additional consent required. Modificare questo tag a trigger on the Consent Initialization tag.  

modify GA4 tag with web GTM consent mode

    7. Apri i preview GTM web e del server e provi GA4 come un utente che non ha scelto niento su cookie banner o ha cancellato i cookie. Nel server GTM, dovresti vedere gcs=G100 nelle richieste GA. Il parametro Gcs indica lo stato del consenso e gcs=G100 significa che l’utente non ha dato nessun consenso. 

check server GA4 consent status gcs=G100

    8. Testare GA4 come se si fosse un utente che consente i cookie. In questo caso, nelle richieste del server GA4 si dovrebbe vedere gcs=G111.  

server Google Analytics 4 consent status gcs=G111

    9. Diciamo che vuoi configurare un tag nel contenitore sGTM che non accende quando l'utente cancella la memorizzazione dei cookie. Dopo puoi creare un trigger che limita il tag da accensione quando gcs=G100, significa che l’utente ha rinunciato il consenso.

server-side GTM consent mode

Conclusione:

Con l’aiuto del web Google Tag Manager, puoi adattarsi più semplice alle regole di RGPD. Devi scegliere dai sistemi di gestione del consenso diversi o utilizzare una soluzione personalizzato e dopo integrarlo con il tuo web GTM, per i diritti della privacy online degli utenti saranno protetti in modo proprio mentre permettono le società di usare i cookie necessari per portare l’esperienza perfetta. 

Da ora, il server GTM non ha il modo di consenso integrato, ma puoi ancora utilizzare le richieste GA per leggere lo stato di consenso da web GTM. GTM nega la configurazione e lettura dei cookie con il modo del consenso attivo, mentre le richieste GA verranno elaborate. 

Il server GTM attiva il tuo controllo di data che i tuoi venditori hanno raccolto rigorosamente. Non come il monitoraggio del browser, dove non può essere sicuro al 100% su quale informazione gli script contengono, con il lato server, solo i dati configurati saranno forniti al venditore di terze parti. Non solo aiuta a proteggere il tuo sito da script indesiderati, ma lo accelera anche perché non verrà eseguito alcun lavoro nel browser dell'utente poiché tutte le mani si troveranno sul lato server.

Se stai cercando un modo per ottimizzare le prestazioni del tuo sito web e rendere sicuri i dati degli utenti, il monitoraggio lato server è qualcosa che dovrebbe essere preso seriamente in considerazione. Possiamo aiutarti a configurare il monitoraggio lato server per qualsiasi sito web!

Prova Stape per tutto ciò che riguarda il lato serverproprio ora!