Como tornar anônimos os dados dos usuários no Google Analytics 4

Publicado
21 de set de 2022
Também disponível

O Regulamento Geral de Proteção de Dados (GDPR) tornou necessária a proteção da privacidade do usuário. De acordo com o GDPR, você deve eliminar qualquer informação pessoalmente identificável antes de transferir dados do usuário para qualquer ferramenta de propriedade dos EUA. Esta medida se tornou necessária devido à invalidação do Privacy Shield.

Neste artigo, descreverei como eliminar automaticamente os dados do usuário usando o stape Anonimyzer power-up e redigir manualmente os dados do usuário via web e servidor GTM. Esta é uma extensão do artigo publicado em nosso blog, que cobre por que você precisa usar um servidor proxy para usar o Google Analytics de uma maneira compatível com o GDPR.

Por que você deve remover o PII do Google Analytics 4Copiar link para esta secção

Houve alguns incidentes em países da UE (Itália, França, Áustria e Dinamarca) quando as pessoas contataram as autoridades locais de proteção de dados para verificar se o uso do Google Analytics no site cai sob a GDPR. A resposta em todos os casos foi - o uso do Google Analytics não está de acordo com a GDPR. 

A principal razão é que as empresas americanas (incluindo o Google) não fornecem medidas de segurança suficientes para proteger os dados pessoais dos usuários da UE. É por isso que compartilhar PII com empresas americanas cai contra a GDPR. Você pode encontrar mais informações sobre isso em nosso post anterior no blog

A boa notícia é que existe uma solução para usar o Google Analytics e ainda estar em conformidade com a GDPR. A CNIL (autoridade francesa de proteção de dados) disse que para usar a GA de forma compatível com a GDPR, você deve implementar duas coisas principais: EU proxy-server e pseudonimização dos dados dos usuários antes da exportação.

O proxy-server garante nenhum contato direto entre o website e a ferramenta de análise dos EUA. A maneira mais fácil de implementar tal servidor proxy é usando o servidor Google Tag Manager container. Os servidores proxy devem atender a uma série de critérios. A área principal: a empresa que lhe fornece um servidor proxy deve estar registrada na UE; os servidores usados para hospedar seu container sGTM devem estar fisicamente localizados na UE. Por estas duas razões, você não pode usar o Google Cloud (GCP) para sGTM. Basicamente, é a mesma razão que o Google Analytics - Google, uma empresa americana, é a sua proprietária. 

Outra boa notícia é que o stape lhe dá cobertura. Temos um produto específico - Stape Europe que atende a todos os requisitos para o servidor proxy da UE. A Stape Europe está registrada na UE (Estônia) e utiliza o servidor de nuvem da UE fornecido pela Scaleway para executar seu contêiner sGTM. 

Neste artigo, quero me concentrar mais na segunda parte da lei, que é a pseudonímia dos dados do usuário. Na Stape, estamos implementando uma lista de recursos que o ajudarão a remover automaticamente os dados dos usuários. É por isso que eu vou dividir o artigo em duas partes:

  • Como você pode remover/pseudonimizar automaticamente os dados do usuário usando o Stape Anonymizer power-up.
  • Como remover manualmente os dados do usuário usando a web e o servidor GTM.

A lista de dados de usuários que devem ser pseudonimizados é bastante vaga. 

  • IP Endereço.
  • Identificadores de usuário. (como o ID de cliente do Google)
  • Indicador externo.
  • Parâmetro URL.
  • Qualquer dado que possa ser usado para a impressão digital.
  • Cross-site identificador.
  • Qualquer dado que possa ser usado para identificação do usuário..

Por enquanto, estamos projetando o Stape Anonymizer power-up somente para GA4. Entretanto, ele será adaptado e disponibilizado com o recurso de anonimização da UA em futuras atualizações.

É essencial entender que a lista de parâmetros que a GA4 envia pode mudar. Manteremos este artigo atualizado, mas asseguramos que você teste a anonimização dos dados do usuário antes de publicá-lo para a produção. 

A melhor ferramenta que eu encontrei que ajuda a rastrear e identificar os parâmetros da GA4 é esta aqui.

Como abordar a anonimização dos dados do usuárioCopiar link para esta secção

O processo de pseudonímia de dados do usuário ocorre dentro das tags GA4 na web e no container GTM do servidor. Se você ainda não configurou o servidor GA4, siga estes passos.

Não temos diretrizes rígidas sobre quais dados devem ser removidos. Depende de você como você quer que sua empresa esteja segura. Por exemplo, você pode remover o IP do usuário ou redigir os últimos dígitos. Outra grande questão é sobre parâmetros como país, idioma, navegador, etc. Cada parâmetro individualmente não dá informações suficientes de identificação do usuário, mas um conjunto de parâmetros pode fornecê-lo. 

Não há dúvidas sobre se você deve remover parâmetros como id do cliente ou consultas de URL.  O uso de cada parâmetro individualmente pode levar à identificação do usuário devido à identificação única no Google. 

Digamos que pode ser essencial para você analisar o tráfego móvel vs. desktop ou conversões em diferentes navegadores. Você deve remover todos os dados que podem ser usados para a impressão digital e identificação do usuário ou remover apenas alguns? Você pode deixar o navegador e o dispositivo se você remover todos os outros parâmetros? 

Certifique-se de discutir estas questões com seus advogados ou DPO para ter uma boa proteção se o regulador vier até você. Acredito que remover todos os identificadores de usuário que podem ser usados para impressão digital e reidentificação é melhor para manter sua empresa segura. 

Este artigo não pretende ser uma instrução. É apenas compartilhar experiências sobre a remoção ou pseudoanonimização de dados e como a stape faz isso automaticamente. Você pode selecionar não usar nosso power-up de anonimização ou anonimizar manualmente cada parâmetro. 

Remover dados de usuários GA4 com a ajuda do AnonimyzerCopiar link para esta secção

Lançamos recentemente uma versão beta do power-up do Anonimizador. Está disponível para todos os usuários do Stape Europe. O principal objetivo do anonimizador é remover ou tornar anônimos os dados dos usuários no Google Analytics 4. 

Para ativar o anonimizador, abra o container sGTM em https://app.eu.stape.io/, clique em power-up e abra o anonimizador. 

Anonymizer power-up in stape

A ativação do anonimizador ainda está em beta, já que estamos adicionando novas características e testes para casos de uso incomuns. 

Você terá que selecionar quais parâmetros deseja deixar como está, remover ou tornar anônimo. Uma vez configurados os parâmetros, você deve atualizar a URL do servidor de tagging para o Google Analytics 4. Se você já usou anteriormente a URL do servidor de tagging https://sgtm.example.com quando o anonimizador estiver ativado, a URL atualizada do servidor de tagging será parecida com https://sgtm.example.com/anonymize. Nós aproximamos suas petições para sGTM através de /anonymize caminho e removemos os dados especificados.

Quando as petições GA4 passam pela URL do servidor de etiquetagem que inclui /anonymize, removemos automaticamente ou anonimizamos os parâmetros selecionados. 

Após habilitar e configurar o Anonimizador, certifique-se de ter alterado a URL de transporte da GA4 na tag de configuração da Web GTM para aquela que termina /anonymize. 

Parâmetros que o Anonymizer processa:Copiar link para esta secção

Você terá duas opções para a maioria dos parâmetros: deixar como está ou remover. Para dois parâmetros (IP e ID do Cliente), você verá opções para Anonimizar e Anonimizar Estritamente. 

IP

Anonymize - remove o último octeto.

Anonymize Strictly - remove os dois últimos octetos.

Client IDFunciona somente se você usar JavaScript Managed client identification.

Anonymize - usa um hash de IP+UserAgent e adiciona ano+mês.

Anonymize Strictly - usa um hash de IP+UserAgent e adiciona um timestamp, crc32_hash(IP+UA).timestamp

Nome do parâmetroDescriçãoGA4 ParâmetroAnonymize
IPUser IPIP AddressAnonymize - remove o último octeto. Anonymize Strictly - remove os dois últimos octetos.
Client IDGoogle Analytics Client ID, _ga, _ga_*, FPLC, FPID cookiescid, _ga, _ga_*, FPLC, FPID Anonymize - usa um hash de IP+UserAgent e adiciona ano+mês. Anonymize Strictly - usa um hash de IP+UserAgent e adiciona um timestamp, crc32_hash(IP+UA).timestamp
User IDUser ID, Google Developer ID, Firebase IDuid, gdid, _fid-
Session IDSession ID, New Session IDsid, _nsi-
Query parametersRemove query paramaters from Document Locationdl-
RefererDocument Referrer Header, Document Referrer Parameterreferer header, dr-

Informação do SistemaCopiar link para esta secção

Agente do usuárioDocument User-Agent header, Sec-Ch-Ua header, Sec-Sh-Ua-Platform header, Sec-Ch-Ua-Mobile header, User-Agent Parameteruser-agent header, sec-ch-ua header, sec-ch-ua-platform header, sec-ch-ua-mobile header, ua-
País do usuárioID geográfico, País atual para o usuáriogeoid, _uc-
Browser pluginsJava Enabled, Flash Versionje, fl-
Informação da telaResolução da tela do navegador, tamanho do Viewportsr, vp-
Cores da telaEspecifica a profundidade de cor da telasd-
Idioma do usuárioNavegador local ativoul-

User Agent ParsedCopiar link para esta secção

User Agent Architectureuaa-
User Agent Bitnessuab-
User Agent Full Version Listuafvl-
User Agent Mobileuamb-
User Agent Modeluam-
User Agent Platformuap-
User Agent Platform Versionuapv-
User Agent WOW64uaw-

Ads Campaign Attribution (Atribuição da Campanha de Anúncios)Copiar link para esta secção

Campaign Mediumcm-
Campaign Sourcecs-
Campaign Namecn-
Campaign Contentcc-
Campaign IDci-
Campaign Termck-
Campaign Creative Formatccf-
Campaign Marketing Tacticcmt-
Google Ads IDgclid-
Google Display Ads IDdclid-

Os parâmetros que o Google Analytics 4 coleta mudam de tempos em tempos. Portanto, você precisa verificar suas petições do GA4 para garantir que todos os dados do usuário sejam removidos. 

Depois de ter configurado parâmetros no Anonimizador e alterado o URL de transporte GA4 para o URL que os contentores /anonymize no final, removeremos ou anonimizaremos os parâmetros especificados.

Após habilitar o Anonymizer e atualizar a URL de transporte do GA4, use depuradores web/sGTM, console e depurador do GA4 para testar se todos os parâmetros necessários foram removidos. 

Remoção manual de PII da GA4 usando GTMCopiar link para esta secção

1. IP EndereçoCopiar link para esta secção

Este é relativamente fácil de implementar, mas tem alguma controvérsia. O Google tem um recurso incorporado para remover o último byte do endereço IP. Ao cortar o byte anterior, a chance de o google poder identificar os usuários é de 1 a 256. Em combinação com outros parâmetros, o IP pode identificar rapidamente uma pessoa específica.

Algumas pessoas acham que cortar o último octeto é suficiente. Outros acreditam que você precisa remover o IP do usuário por completo. Minha opinião é que é melhor anular completamente o IP do usuário. Você nunca sabe se/como o Google reutiliza o IP.

“Deve-se notar que identificadores on-line, tais como endereços IP ou informações armazenadas em cookies podem ser comumente usados para identificar um usuário, particularmente quando combinados com outros tipos similares de informações. Isto é ilustrado pelo Considerando 30 GDPR, segundo o qual a atribuição de identificadores online, tais como endereços IP e identificadores de cookies a pessoas físicas ou seus dispositivos pode "deixar traços que, em particular quando combinados com identificadores únicos e outras informações recebidas pelos servidores, podem ser usados para criar perfis das pessoas físicas e identificá-las.”

Isto é o que diz a CNIL (regulador francês) sobre o IP

Para remover o IP do usuário, usei a tag GA4 do servidor e configurei um ip_overrride para um IP aleatório. 

remove user IP

2. Identificadores do usuárioCopiar link para esta secção

O Google atribui um ID de cliente único ao par de dispositivos do navegador e o utiliza para identificar quando o mesmo usuário revisita seu site. Este parâmetro deve ser removido ou pseydoanonimizar antes de enviar para a GA4. 

“Para garantir uma pseudonímia eficaz, o algoritmo que realiza a substituição deve garantir um nível suficiente de colisão (ou seja, uma probabilidade suficiente de que dois identificadores diferentes darão um resultado idêntico após um hash) e incluir um componente variável no tempo (adicionando um valor aos dados do hash que evolve com o tempo para que o resultado do hash não seja sempre o mesmo para o mesmo identificador).”

Isto é o que diz a CNIL sobre a identificação do cliente.

Há inúmeras abordagens para tornar anônimos os IDs de clientes, tudo isso até a sua imaginação e um conjunto de ferramentas que você utiliza. Mas certifique-se de que a identificação do cliente é única e que você acrescentou um componente variável no tempo. 

Você pode usar um hash de agente de usuário, IP, variável de número aleatório GTM, etc. Ao contrário do IP do usuário, não encontramos uma maneira de redimensionar o id do cliente no lado do servidor, então o fizemos no lado do cliente. 

hash client ID
rewrite client ID

Uma vez que você tenha anonimizado o Google Analytics Client ID, você pode querer substituir os cookies GA4 pelos novos valores para garantir que o GA4 não define nenhum identificador de usuário. Para isso, usei o template de tag Cookie Monster para o container GTM do servidor. Tudo que você precisa fazer é adicionar nomes e valores de cookies. Uma vez feito, não se esqueça de usar o console e verificar os conjuntos de cookies GA. 

override google analytics cookies

Depois de redigir a identificação do cliente, isso terá um impacto significativo no relatório GA4. Uma vez que a identificação do cliente será única, a GA não será capaz de determinar visitantes novos vs. visitantes que retornam. Assim como a atribuição de múltiplos canais e eventos como início de sessões, primeira visita, etc. 

3. Indicador externoCopiar link para esta secção

Uma referência externa é projetada para determinar como um usuário chegou em seu site. Era orgânico, pago, ou talvez tráfego social. 

Para remover, você deve reescrever page_referrer. 

remove external referrer

4. Parâmetros contidos nos URLs coletadosCopiar link para esta secção

O objetivo principal dos parâmetros no URL é determinar a origem das campanhas publicitárias. Os parâmetros da URL podem ser utm_souce, utm_medium, diferentes tipos de identificação por clique, etc. Além disso, algumas plataformas inserem automaticamente os dados do usuário na URL.  

Para remover parâmetros de URL, você deve reescrever a URL da página. Várias variáveis na galeria de templates da web GTM podem ajudá-lo com isto. Eu usei o Trim Query. Você só precisa especificar uma lista de blocos ou uma lista de permissão de parâmetros de consulta, o que fará toda a magia por você.  

remove URL parameters GA4

5. Informações que podem ser usadas para gerar uma impressão digitalCopiar link para esta secção

Tais informações podem ser agentes do usuário, dispositivo, navegador, resolução de tela, idioma, sistema operacional, etc. Certifique-se de ter redigido todas as informações que podem ser usadas para a impressão digital. 

remove data that can be used to generate fingerprint

6. Qualquer identificador duradouro ou cross-siteCopiar link para esta secção

Certifique-se de não utilizar identificadores cross-site como um usuário ou CRM ID. 

7. Quaisquer outros dados que possam levar à reidentificaçãoCopiar link para esta secção

Esta parte é um pouco difícil de entender, mas sugiro verificar o pedido que seu recipiente sGTM envia à GA e garantir que não haja parâmetros que possam ser utilizados para a reidentificação do usuário.

Como testar a anonimizaçãoCopiar link para esta secção

Há várias maneiras de verificar se todos os dados necessários foram removidos ou pseudonimizados. Primeiro você quer ir ao depurador GTM do servidor e ver os pedidos de saída da GA4. Certifique-se de testar diferentes cenários quando houver parâmetros de usuário vs. nenhum parâmetro de usuário, parâmetros de URL, vários eventos, referenciadores, etc. 

test GA4 user data anonimisation

A segunda maneira é usar o depurador do Google Analytics 4 e ver quais dados a GA4 processa. 

test GA4 user data anonymisation GA4 debugger

Conclusão:Copiar link para esta secção

Não é apenas o Google que coleta dados de usuários da UE e os transfere para os EUA, o que viola a GDPR. Várias empresas têm coletado dados pessoais de europeus durante anos, e agora parece que suas práticas serão restritas em resposta à desativação do Privacy Shield e à decisão de que a transferência de dados de usuários da UE para os EUA é ilegal sob a GDPR. 

Se você é proprietário de um website na União Européia, é hora de começar a mudar os dados que você compartilha com empresas americanas, ou você pode estar correndo o risco de ser multado pela aplicação da regulamentação.

Perguntas mais frequentesCopiar link para esta secção

1. Como posso usar o proxy-server para GA quando implementado através do gtag.js?

Se utilizar o gtag.js no seu sítio web para enviar eventos para o seu contentor servidor, pode adicionar o parâmetro transport_url à sua etiqueta existente:

gtag('config', 'TARGET-ID', {

'transport_url': 'https://analytics.example.com',

'first_party_collection': true,

});

Pode usar um URL anonimizador para anonimizar os dados do utilizador na AG quando implementado através do gtag.js. Digamos que utiliza um anonimizador de estacas e o seu URL de anonimizador é https://sgtm.site.com/anonymize. Só precisa de adicionar https://sgtm.site.com/anonymize como URL de transporte à configuração gtag.

Tagged with:sGTM tag

Aloje o seu servidor GTM no Stapeagora mesmo!