Server proxy di proprietà dell'UE per sGTM o come utilizzare Google Analytics in modo conforme al GDPR

Negli ultimi mesi, UE ha iniziato a limitare l’uso dei servizi di Google per i paesi europei. Ci sono alcuni incidenti nei paesi diversi, ma l’incidenza più diffusa è stata legata alle normative in Italia, Francia e Austria, dove le autorità di regolamentazione della protezione dei dati hanno affermato che l'uso di Google Analytics non è conforme al GDPR.   

In questo articolo, voglio parlare delle normative che vietano il trasferimento dei dati degli utenti europei alle aziende statunitensi. Inoltre coprirò come puoi utilizzare Stape Europe per configurare il server di proxy dell’UE per il server GTM che aiuterà a fare l’uso di Google Analytics in modo conforme al GDPR.

Qual’è la retroscenaCopia il link a questa sessione

La storia legale dello scambio dei dati tra le aziende dell'UE e degli Stati Uniti ha cominciato nel 2016 quando la Commissione Europea ha approvato il Privacy Shield (un quadro giuridico che regola il trasferimento dei dati per gli scopi commerciali tra le aziende degli Stati Uniti e dell’UE).

Nel 2020, la Corte di Giustizia Europea ha dichiarato che il Privacy Shield ha una disabilità. È successo poiché la legge statunitense non offre una protezione dei dati personali sufficienti per i residenti europei. 

L'ampia discussione in questa sentenza riguardava i servizi di Google (come Google Analytics o Google Fonts) che non possono garantire la sicurezza dei dati degli utenti dell'UE.

Hanno dichiarato che richiedere il consenso dell'utente (o clausole contrattuali standard) sul sito e attivare un monitoraggio intelligente con sede negli Stati Uniti basato sul consenso dell'utente non renderà completo questo strumento di monitoraggio GDPR.

Quali sono le regole sulla privacyCopia il link a questa sessione

I due incidenti più famosi relativi al trasferimento dei dati degli utenti dell’UE agli Stati Uniti sono avvenuti in Italia e Francia. Cominciamo con la Francia. 

L’autorità francese di protezione dei dati (CNIL) ha ricevuto i reclami dagli utenti francesi che hanno chiesto se l’uso di Google Analytics (uno strumento di intelligence che appartiene all'azienda statunitense) è conforme alle regole del GDPR.

CNIL ha affermato che l’uso di Google Analytics dai siti web è risultato in trasferimento dei dati degli utenti europei alle aziende statunitensi. Questo viola le regole del GDPR da quando le aziende statunitensi non forniscono prove sufficienti che i dati personali degli utenti dell'UE siano al sicuro. Inoltre, CNIL ha confermato che l’implementazione di SCCs da Google non è sufficiente per soddisfare i requisiti del GDPR.

La situazione in Italia è simile. Il regolatore SA italiano ha ricevuto le domande dai diversi utenti sul fatto che l'utilizzo di Google Analytics da parte di un determinato sito italiano rientri nel GDPR. Dopo l’investigazione lunga, il regolatore italiano ha avvisato l’azienda italiana che deve smettere l’uso di Google Analytics o configurare GA in modo conforme al GDPR entro 90 giorni.   

Inoltre, il regolatore italiano ha rilasciato una notizia pubblica che hanno ricevuto i multipli reclami sul trasferimento dei dati alle aziende statunitensi. Tutti i proprietari dei siti web italiani devono considerare questo nell'implementazione degli strumenti di monitoraggio intelligente statunitense.  

Quindi, per riassumere, il trasferimento dei dati degli utenti dell’UE alle aziende degli Stati Uniti non è conforme al GDPR. La domanda più grande si riferisce all’uso di Google Analytics poiché è lo strumento di analisi più diffuso.  

Quali metodi NON rendono Google Analytics conforme al GDPRCopia il link a questa sessione

La crittografia dei dati

Il regolatore italiano dice che il trasferimento dei dati crittografati non è un modo accettabile e non puoi garantire la protezione dei dati dell’utente. La causa è che la tecnologia di crittografia prevede le chiavi di crittografia sul sito di Google che possono essere utilizzate per visualizzare ed elaborare dati dell’utente grezzi. Finché la chiave di crittografia è disponibile per l'importatore di dati (in questo caso Google), questo metodo non può essere considerato conforme al GDPR.  

Le funzioni integrate di Google Analytics che spostano le PII

Google ha cercato di adattarsi alle norme sulla privacy dell'UE implementando le funzioni progettate per rendere anonimi i dati degli utenti. I regolatori dell'UE hanno affermato che, in pratica, la cancellazione dell'IP dell’utente potrebbe avere un effetto quasi nullo sulla prevenzione dell'identificazione dell’utente. Principalmente a causa della costante elaborazione degli IP da parte di Google.

Il consenso dell’utente

Google Analytics non è ancora GDPR se un utente acconsente ai cookie di analisi. Hanno affermato che il trasferimento dei dati alle società statunitensi e il consenso sono diversi. Il consenso dell'utente non aiuta a risolvere questo problema. 

Qual'è la soluzioneCopia il link a questa sessione

Riguarda entrambi i regolatori, la soluzione possibile è di usare un server proxy dell’UE. Questo server proxy tende di rovinare l'interazione degli strumenti del monitoraggio intelligenti statunitensi con i browser dell’utente. Uno dei modi, è forse più semplice, di implementare in tale server proxy è l’uso di Google Tag Manager.

I server proxy devono soddisfare un numero di criteri. I due più importanti sono: 

• Una azienda che possede un server proxy deve essere registrata nell’UE
• Il server proxy deve trovarsi fisicamente nell’UE

Sebbene il punto sulle società registrate nell'UE sia chiaro, puoi controllare rapidamente dove è registrata una società sul loro sito web o controllando gli elenchi dei registri pubblici. Il secondo punto potrebbe essere complicato.

Il malinteso principale riguarda l’uso di Google Cloud per sGTM. Non PUOI usare Google Cloud come un proxy server per il tuo sGTM. Durante la configurazione di un proxy server (quale può essere un server di Google Tag Manager), non solo la zona di server deve essere in Europa, ma anche il server fisico deve trovarsi in Europa ed essere la proprietà di una azienda europea.

La cattiva notizia è che utilizzando il server proxy dell’UE al 100% per il tuo server di Google Tag Manager è insufficiente. Devi rimuovere qualsiasi dati dell’utente usati per le impronte digitali o identificare gli utenti dalla piattaforma di analisi. Anche devi rendere anonimi i dati dell’utente prima di inviare lo strumento di monitoraggio statunitense.  

Qui sono qualchi esempi dei dati che devono essere eliminati prima di inviarli:Copia il link a questa sessione

1. IP Indirizzo.

Devi eliminare l’indirizzo IP dalla richiesta per essere sicuro che non può essere usato per identificare gli utenti. Il semplice taglio dell'IP non funzionerà in quanto può ancora essere utilizzato per identificare le aree in cui si trova l'utente.

2. Gli identificativi dell'utente.

Quando un utente visita il tuo sito, Google genera l’ID del cliente unico che identifica la coppia browser-dispositivo dell’utente e memorizza i cookie. L’ID del cliente generato da Google deve essere eliminato, ma puoi ancora usare un ID del cliente generato casualmente.  

3. Il referente esterno.

Devi rimuovere qualsiasi data dei siti web che l’utente ha visitato prima di atterrare sul tuo sito. Di solito, questi dati contengono le informazioni sul fatto che i visitatori siano atterrati sul tuo sito cliccando su un collegamento nel post del blog di qualcuno, ricerca organica, ecc. 

4. Il parametro di URL.

Spesso, i parametri di URL contengono le informazioni sulla fonte, sul strumento, sulla campagna o clicchi su id. Inoltre, alcuni siti web inseriscono i dati dell’utente (come email, nome, telefono) nell’URL. Indipendentemente dai parametri URL trasportati dal tuo sito, deve essere rimosso.

5. Qualsiasi dati che possono essere usati come l’impronta digitale.

Un mazzo dei dati possono essere usati come l'impronta digitale; per ora, non ci sono informazioni chiari su quali dati i regolatori considerano come quelli che possono essere usati come l’impronta digitale. Si include il browser, il dispositivo, il modello, le impostazioni della lingua, la risoluzione dello schermo, ecc.

6. L’identificatore cross-site.

In pratica, qualsiasi ID può identificare lo stesso utente su i siti web diversi. Ci può essere l’ID utente, l’ID utente in CRM, l’email utente, ecc.

7. Qualsiasi dati che possono essere usati come l’identificatore dell’utente.

Qualsiasi informazione dell’utente.

Per ora, non c’è il modo di automatizzare lo spostamento di tutti i parametri descritti sopra. Tutto questo deve essere spostato manualmente utilizzando l’interfaccia del server di Google Tag Manager. 

Come stape ti può aiutareCopia il link a questa sessione

Per risolvere questi problemi, creiamo un nuovo prodotto - Stape Europe. Stape Europe è l’azienda europea (registrata in Estonia) che usa Scaleway, il provider di server cloud al 100% europeo, per ospitare i contenitori del server GTM.

Copriamo tutte le domande relative al server proxy di proprietà dell’UE. Quando configuri il contenitore sGTM utilizzando Stape Europe, non trasferisci qualsiasi dati alle aziende degli Stati Uniti poiché Stape Europe stessa è una società registrata nell'UE e utilizziamo server che si trovano fisicamente in Europa.

Purtroppo, da ora, non abbiamo una soluzione per lo spostamento dei dati dell’utente automatizzato. Ma il nostro team lavora duramente per implementare le funzioni che aiuteranno a rimuovere automaticamente PII o almeno ti semplifichiamo la vita rimuovendo alcune delle PII automaticamente.  

La conclusione:Copia il link a questa sessione

Si deve fare molto lavoro per fare l’uso di Google Analytics conforme al GDPR. Potrebbe essere un vero dolore se hai sconosciuto con il tagging lato server.

La cosa buona è che con stape non hai bisogno di essere preoccupato di server proxy dell’UE e puoi immergerti direttamente nelle limitazioni dei dati impostate nell'interfaccia del server di Google Tag Manager. 

Come verrebbero trattati i dati di Google Analytics dopo aver rimosso tutte le informazioni richieste? Sarà sufficiente analizzare il comportamento degli utenti, le prestazioni del sito, ecc.? Bene, vedremo meno dati di quelli a cui siamo abituati. Ma sembra che questa sia una nuova realtà a cui dobbiamo abituarci.

O decidi di rimanere conforme al GDPR e di ricevere meno dati sui visitatori del sito web. Oppure trascuri queste regole e rischi di ricevere avvisi o multe per il trasferimento dei dati degli utenti negli Stati Uniti.

Sebbene ci siano stati casi relativi al trasferimento di dati in Italia, Francia e Austria, alcuni altri paesi europei hanno già iniziato a parlare di normative simili. Quindi, se implementi il monitoraggio lato server, ti suggerisco di rimuovere immediatamente la parte con il trasferimento dei dati negli Stati Uniti. Non aspettare che gli stessi casi accadano nel tuo paese; devi rifare la configurazione.

In ogni caso, se hai domande, non esitare a contattarci. Il team di Stape può anche aiutarti a configurare un server proxy dell’UE per te!