O Regulamento Geral de Proteção de Dados (GDPR) tornou necessária a proteção da privacidade do usuário. De acordo com o GDPR, você deve eliminar qualquer informação pessoalmente identificável antes de transferir dados do usuário para qualquer ferramenta de propriedade dos EUA. Esta medida se tornou necessária devido à invalidação do Privacy Shield.
Neste artigo, descreverei como eliminar automaticamente os dados do usuário usando o stape Anonimyzer power-up e redigir manualmente os dados do usuário via web e servidor GTM. Esta é uma extensão do artigo publicado em nosso blog, que cobre por que você precisa usar um servidor proxy para usar o Google Analytics de uma maneira compatível com o GDPR.
Houve alguns incidentes em países da UE (Itália, França, Áustria e Dinamarca) quando as pessoas contataram as autoridades locais de proteção de dados para verificar se o uso do Google Analytics no site cai sob a GDPR. A resposta em todos os casos foi - o uso do Google Analytics não está de acordo com a GDPR.
A principal razão é que as empresas americanas (incluindo o Google) não fornecem medidas de segurança suficientes para proteger os dados pessoais dos usuários da UE. É por isso que compartilhar PII com empresas americanas cai contra a GDPR. Você pode encontrar mais informações sobre isso em nosso post anterior no blog.
A boa notícia é que existe uma solução para usar o Google Analytics e ainda estar em conformidade com a GDPR. A CNIL (autoridade francesa de proteção de dados) disse que para usar a GA de forma compatível com a GDPR, você deve implementar duas coisas principais: EU proxy-server e pseudonimização dos dados dos usuários antes da exportação.
O proxy-server garante nenhum contato direto entre o website e a ferramenta de análise dos EUA. A maneira mais fácil de implementar tal servidor proxy é usando o servidor Google Tag Manager container. Os servidores proxy devem atender a uma série de critérios. A área principal: a empresa que lhe fornece um servidor proxy deve estar registrada na UE; os servidores usados para hospedar seu container sGTM devem estar fisicamente localizados na UE. Por estas duas razões, você não pode usar o Google Cloud (GCP) para sGTM. Basicamente, é a mesma razão que o Google Analytics - Google, uma empresa americana, é a sua proprietária.
Outra boa notícia é que o stape lhe dá cobertura. Temos um produto específico - Stape Europe que atende a todos os requisitos para o servidor proxy da UE. A Stape Europe está registrada na UE (Estônia) e utiliza o servidor de nuvem da UE fornecido pela Scaleway para executar seu contêiner sGTM.
Neste artigo, quero me concentrar mais na segunda parte da lei, que é a pseudonímia dos dados do usuário. Na Stape, estamos implementando uma lista de recursos que o ajudarão a remover automaticamente os dados dos usuários. É por isso que eu vou dividir o artigo em duas partes:
A lista de dados de usuários que devem ser pseudonimizados é bastante vaga.
Por enquanto, estamos projetando o Stape Anonymizer power-up somente para GA4. Entretanto, ele será adaptado e disponibilizado com o recurso de anonimização da UA em futuras atualizações.
É essencial entender que a lista de parâmetros que a GA4 envia pode mudar. Manteremos este artigo atualizado, mas asseguramos que você teste a anonimização dos dados do usuário antes de publicá-lo para a produção.
A melhor ferramenta que eu encontrei que ajuda a rastrear e identificar os parâmetros da GA4 é esta aqui.
O processo de pseudonímia de dados do usuário ocorre dentro das tags GA4 na web e no container GTM do servidor. Se você ainda não configurou o servidor GA4, siga estes passos.
Não temos diretrizes rígidas sobre quais dados devem ser removidos. Depende de você como você quer que sua empresa esteja segura. Por exemplo, você pode remover o IP do usuário ou redigir os últimos dígitos. Outra grande questão é sobre parâmetros como país, idioma, navegador, etc. Cada parâmetro individualmente não dá informações suficientes de identificação do usuário, mas um conjunto de parâmetros pode fornecê-lo.
Não há dúvidas sobre se você deve remover parâmetros como id do cliente ou consultas de URL. O uso de cada parâmetro individualmente pode levar à identificação do usuário devido à identificação única no Google.
Digamos que pode ser essencial para você analisar o tráfego móvel vs. desktop ou conversões em diferentes navegadores. Você deve remover todos os dados que podem ser usados para a impressão digital e identificação do usuário ou remover apenas alguns? Você pode deixar o navegador e o dispositivo se você remover todos os outros parâmetros?
Certifique-se de discutir estas questões com seus advogados ou DPO para ter uma boa proteção se o regulador vier até você. Acredito que remover todos os identificadores de usuário que podem ser usados para impressão digital e reidentificação é melhor para manter sua empresa segura.
Este artigo não pretende ser uma instrução. É apenas compartilhar experiências sobre a remoção ou pseudoanonimização de dados e como a stape faz isso automaticamente. Você pode selecionar não usar nosso power-up de anonimização ou anonimizar manualmente cada parâmetro.
Lançamos recentemente uma versão beta do power-up do Anonimizador. Está disponível para todos os usuários do Stape. O principal objetivo do anonimizador é remover ou tornar anônimos os dados dos usuários no Google Analytics 4.
Para ativar o anonimizador, abra o container sGTM em stape clique em power-up e abra o anonimizador.
Este produto inclui dados GeoLite2 criados pela MaxMind, disponíveis em https://www.maxmind.com
Você terá que selecionar quais parâmetros deseja deixar como está, remover ou tornar anônimo. Uma vez configurados os parâmetros, você deve atualizar a URL do servidor de tagging para o Google Analytics 4. Se você já usou anteriormente a URL do servidor de tagging https://sgtm.example.com quando o anonimizador estiver ativado, a URL atualizada do servidor de tagging será parecida com https://sgtm.example.com/anonymize. Nós aproximamos suas petições para sGTM através de /anonymize caminho e removemos os dados especificados.
Quando as petições GA4 passam pela URL do servidor de etiquetagem que inclui /anonymize, removemos automaticamente ou anonimizamos os parâmetros selecionados.
Após habilitar e configurar o Anonimizador, certifique-se de ter alterado a URL de transporte da GA4 na tag de configuração da Web GTM para aquela que termina /anonymize.
Você terá duas opções para a maioria dos parâmetros: deixar como está ou remover. Para dois parâmetros (IP e ID do Cliente), você verá opções para Anonimizar e Anonimizar Estritamente.
IP
Anonymize - remove o último octeto.
Anonymize Strictly - remove os dois últimos octetos.
Client ID. Funciona somente se você usar JavaScript Managed client identification.
Anonymize - usa um hash de IP+UserAgent e adiciona ano+mês.
Anonymize Strictly - usa um hash de IP+UserAgent e adiciona um timestamp, crc32_hash(IP+UA).timestamp
| Nome do parâmetro | Descrição | GA4 Parâmetro | Anonymize |
| IP | User IP | IP Address | Anonymize - remove o último octeto. Anonymize Strictly - remove os dois últimos octetos. |
| Client ID | Google Analytics Client ID, _ga, _ga_*, FPLC, FPID cookies | cid, _ga, _ga_*, FPLC, FPID | Anonymize - usa um hash de IP+UserAgent e adiciona ano+mês. Anonymize Strictly - usa um hash de IP+UserAgent e adiciona um timestamp, crc32_hash(IP+UA).timestamp |
| User ID | User ID, Google Developer ID, Firebase ID | uid, gdid, _fid | - |
| Session ID | Session ID, New Session ID | sid, _nsi | - |
| Query parameters | Remove query paramaters from Document Location | dl | - |
| Referer | Document Referrer Header, Document Referrer Parameter | referer header, dr | - |
| Agente do usuário | Document User-Agent header, Sec-Ch-Ua header, Sec-Sh-Ua-Platform header, Sec-Ch-Ua-Mobile header, User-Agent Parameter | user-agent header, sec-ch-ua header, sec-ch-ua-platform header, sec-ch-ua-mobile header, ua | - |
| País do usuário | ID geográfico, País atual para o usuário | geoid, _uc | - |
| Browser plugins | Java Enabled, Flash Version | je, fl | - |
| Informação da tela | Resolução da tela do navegador, tamanho do Viewport | sr, vp | - |
| Cores da tela | Especifica a profundidade de cor da tela | sd | - |
| Idioma do usuário | Navegador local ativo | ul | - |
| User Agent Architecture | uaa | - | |
| User Agent Bitness | uab | - | |
| User Agent Full Version List | uafvl | - | |
| User Agent Mobile | uamb | - | |
| User Agent Model | uam | - | |
| User Agent Platform | uap | - | |
| User Agent Platform Version | uapv | - | |
| User Agent WOW64 | uaw | - |
| Campaign Medium | cm | - | |
| Campaign Source | cs | - | |
| Campaign Name | cn | - | |
| Campaign Content | cc | - | |
| Campaign ID | ci | - | |
| Campaign Term | ck | - | |
| Campaign Creative Format | ccf | - | |
| Campaign Marketing Tactic | cmt | - | |
| Google Ads ID | gclid | - | |
| Google Display Ads ID | dclid | - |
Os parâmetros que o Google Analytics 4 coleta mudam de tempos em tempos. Portanto, você precisa verificar suas petições do GA4 para garantir que todos os dados do usuário sejam removidos.
Depois de ter configurado parâmetros no Anonimizador e alterado o URL de transporte GA4 para o URL que os contentores /anonymize no final, removeremos ou anonimizaremos os parâmetros especificados.
Após habilitar o Anonymizer e atualizar a URL de transporte do GA4, use depuradores web/sGTM, console e depurador do GA4 para testar se todos os parâmetros necessários foram removidos.
Este é relativamente fácil de implementar, mas tem alguma controvérsia. O Google tem um recurso incorporado para remover o último byte do endereço IP. Ao cortar o byte anterior, a chance de o google poder identificar os usuários é de 1 a 256. Em combinação com outros parâmetros, o IP pode identificar rapidamente uma pessoa específica.
Algumas pessoas acham que cortar o último octeto é suficiente. Outros acreditam que você precisa remover o IP do usuário por completo. Minha opinião é que é melhor anular completamente o IP do usuário. Você nunca sabe se/como o Google reutiliza o IP.
“Deve-se notar que identificadores on-line, tais como endereços IP ou informações armazenadas em cookies podem ser comumente usados para identificar um usuário, particularmente quando combinados com outros tipos similares de informações. Isto é ilustrado pelo Considerando 30 GDPR, segundo o qual a atribuição de identificadores online, tais como endereços IP e identificadores de cookies a pessoas físicas ou seus dispositivos pode "deixar traços que, em particular quando combinados com identificadores únicos e outras informações recebidas pelos servidores, podem ser usados para criar perfis das pessoas físicas e identificá-las.”
Para remover o IP do usuário, usei a tag GA4 do servidor e configurei um ip_overrride para um IP aleatório.
O Google atribui um ID de cliente único ao par de dispositivos do navegador e o utiliza para identificar quando o mesmo usuário revisita seu site. Este parâmetro deve ser removido ou pseydoanonimizar antes de enviar para a GA4.
“Para garantir uma pseudonímia eficaz, o algoritmo que realiza a substituição deve garantir um nível suficiente de colisão (ou seja, uma probabilidade suficiente de que dois identificadores diferentes darão um resultado idêntico após um hash) e incluir um componente variável no tempo (adicionando um valor aos dados do hash que evolve com o tempo para que o resultado do hash não seja sempre o mesmo para o mesmo identificador).”
Há inúmeras abordagens para tornar anônimos os IDs de clientes, tudo isso até a sua imaginação e um conjunto de ferramentas que você utiliza. Mas certifique-se de que a identificação do cliente é única e que você acrescentou um componente variável no tempo.
Você pode usar um hash de agente de usuário, IP, variável de número aleatório GTM, etc. Ao contrário do IP do usuário, não encontramos uma maneira de redimensionar o id do cliente no lado do servidor, então o fizemos no lado do cliente.
Uma vez que você tenha anonimizado o Google Analytics Client ID, você pode querer substituir os cookies GA4 pelos novos valores para garantir que o GA4 não define nenhum identificador de usuário. Para isso, usei o template de tag Cookie Monster para o container GTM do servidor. Tudo que você precisa fazer é adicionar nomes e valores de cookies. Uma vez feito, não se esqueça de usar o console e verificar os conjuntos de cookies GA.
Depois de redigir a identificação do cliente, isso terá um impacto significativo no relatório GA4. Uma vez que a identificação do cliente será única, a GA não será capaz de determinar visitantes novos vs. visitantes que retornam. Assim como a atribuição de múltiplos canais e eventos como início de sessões, primeira visita, etc.
Uma referência externa é projetada para determinar como um usuário chegou em seu site. Era orgânico, pago, ou talvez tráfego social.
Para remover, você deve reescrever page_referrer.
O objetivo principal dos parâmetros no URL é determinar a origem das campanhas publicitárias. Os parâmetros da URL podem ser utm_souce, utm_medium, diferentes tipos de identificação por clique, etc. Além disso, algumas plataformas inserem automaticamente os dados do usuário na URL.
Para remover parâmetros de URL, você deve reescrever a URL da página. Várias variáveis na galeria de templates da web GTM podem ajudá-lo com isto. Eu usei o Trim Query. Você só precisa especificar uma lista de blocos ou uma lista de permissão de parâmetros de consulta, o que fará toda a magia por você.
Tais informações podem ser agentes do usuário, dispositivo, navegador, resolução de tela, idioma, sistema operacional, etc. Certifique-se de ter redigido todas as informações que podem ser usadas para a impressão digital.
Certifique-se de não utilizar identificadores cross-site como um usuário ou CRM ID.
Esta parte é um pouco difícil de entender, mas sugiro verificar o pedido que seu recipiente sGTM envia à GA e garantir que não haja parâmetros que possam ser utilizados para a reidentificação do usuário.
Há várias maneiras de verificar se todos os dados necessários foram removidos ou pseudonimizados. Primeiro você quer ir ao depurador GTM do servidor e ver os pedidos de saída da GA4. Certifique-se de testar diferentes cenários quando houver parâmetros de usuário vs. nenhum parâmetro de usuário, parâmetros de URL, vários eventos, referenciadores, etc.
A segunda maneira é usar o depurador do Google Analytics 4 e ver quais dados a GA4 processa.
Não é apenas o Google que coleta dados de usuários da UE e os transfere para os EUA, o que viola a GDPR. Várias empresas têm coletado dados pessoais de europeus durante anos, e agora parece que suas práticas serão restritas em resposta à desativação do Privacy Shield e à decisão de que a transferência de dados de usuários da UE para os EUA é ilegal sob a GDPR.
Se você é proprietário de um website na União Européia, é hora de começar a mudar os dados que você compartilha com empresas americanas, ou você pode estar correndo o risco de ser multado pela aplicação da regulamentação.
1. Como posso usar o proxy-server para GA quando implementado através do gtag.js?
Se utilizar o gtag.js no seu sítio web para enviar eventos para o seu contentor servidor, pode adicionar o parâmetro transport_url à sua etiqueta existente:
gtag('config', 'TARGET-ID', {
'transport_url': 'https://analytics.example.com',
'first_party_collection': true,
});
Pode usar um URL anonimizador para anonimizar os dados do utilizador na AG quando implementado através do gtag.js. Digamos que utiliza um anonimizador de estacas e o seu URL de anonimizador é https://sgtm.site.com/anonymize. Só precisa de adicionar https://sgtm.site.com/anonymize como URL de transporte à configuração gtag.
