Il regolamento sulla protezione dei dati (RGPD) ha messo obbligatorio di proteggere la privacy dell’utente. Riguarda RGPD, devi rimuovere qualsiasi informazione personale identificabile prima di trasferire i dati dell’utente a qualsiasi strumento di proprietà statunitense. Questo passo ha diventato obbligatorio a causa dell’invalidazione di Privacy Shield
In questo articolo descriverò come rimuovere automaticamente i dati dell’utente utilizzando il potenziamento di Anonimyzer di Stape e redigere manualmente i dati dell’utente tramite GTM web e server. Questa è l’estensione dell’articolo pubblicato nel nostro blog, che racconta perché devi utilizzare il proxy server per utilizzare Google Analytics in modo conforme a GDPR.
C’erano qualche incidenti nei paesi dell’UE (Italia, Francia, Austria e Danimarca) quando le persone hanno contattato le autorità locali della protezione dei dati per verificare se l’uso di Google Analytics sui siti web è stato sotto RGPD. La risposta nei tutti casi è stata che l’uso di Google Analytics non è conforme a RGPD.
La causa principale è che le aziende statunitensi (anche Google) non forniscono la sicurezza sufficiente per proteggere i dati personali degli utenti dell’UE. Perciò dividere PII con le aziende statunitensi è contro il RGPD. Puoi trovare più informazioni su questo nel nostro post del blog prima.
La buona notizia è che esiste la soluzione di usare Google Analytics è stare in modo conforme a RGPD. CNIL (l’autorità della protezione dei dati francese) ha detto che per usare GA in modo conforme a RGPD, devi implementare due cose: il proxy server dell’UE e pseudonimizzazione dei dati dell’utente prima di esportare.
Il proxy server garantisce nessun contatto diretto tra il sito web e lo strumento di analitica statunitense. Il modo più semplice per implementare il proxy server è di utilizzare il contenitore del server di Google Tag Manager. I proxy server devono soddisfare una serie di criteri. L’area principale è l’azienda, che ti fornisce con un proxy server, deve essere registrata nell’UE; i server abituati ad ospitare il tuo contenitore sGTM devono essere trovati fisicamente nell’UE. Per queste due ragioni, non puoi utilizzare Google Cloud (GCP) per sGTM. In base, è la stessa ragione come Google Analytics - è la proprietà di Google, l’azienda statunitense.
Un altra cosa buona è che stape ti ha coperto. Abbiamo un prodotto specifico - Stape Europa che rispetta tutti i criteri di proxy server per l’UE. Stape Europa è registrato nell’UE (Estonia) e utilizza il cloud server dell’UE fornito da Scaleway per eseguire il tuo contenitore sGTM.
In questo articolo, voglio concentrarmi sulla seconda parte della legge, che è la pseudonimizzazione dei dati degli utenti. A Stape implementiamo un elenco delle funzione che ti aiuterà a spostare i dati automaticamente. Perciò dividerò l’articolo in due parti:
L’elenco dei dati dell’utente che devono essere pseudonimizzati è abbastanza vago
Per ora, progettiamo solo il potenziamento di Anonimyzer di Stape solo per GA4. Tuttavia, sarà adattato e disponibile con la funzione di anonimizzazione UA per gli aggiornamenti futuri.
È importante capire che l’elenco dei parametri che GA4 invia può cambiare. Teniamo quel articolo aggiornato, ma consigliamo di provare l’anonimizzazione dei dati dell’utente prima di pubblicarlo alla produzione.
Ho trovato lo strumento migliore che aiuta a monitorare e identificare i parametri di GA4 è quello.
Il processo della pseudonimizzazione va all’interno dei tag GA4 nel contenitore web e del server GTM. Se non hai configurato il server GA4, segui questi passi.
Non abbiamo le regole strette su quali dati devono essere spostati. Dipende dal te come vuoi proteggere la tua azienda. Ad esempio, puoi spostare l’IP dell’utente o redigere le ultime poche cifre. Un’altra grande domanda è dei parametri come paese, lingua, browser ecc. Individualmente ogni parametro non dà abbastanza informazione per identificare l’utente, ma una raccolta dei parametri può farci.
Non ci sono le domande se devi spostare i parametri come l’ID del cliente o URL queries. Utilizzando ogni parametro individualmente può portare all’identificazione dell’utente a causa di ID unico in Google.
Diciamo che per te può essere essenziale di analizzare il traffico mobile vs desktop nei browser diversi. Devi spostare tutti i dati che possono essere usati per i pronti digitali e l’identificazione dell'utente o spostare solo alcuni? Puoi lasciare il browser e il dispositivo se sposti tutti i parametri?
Devi discutere queste domande con il tuo avvocato o RPD per avere la protezione buona se il regolatore arriva a te. Credo che spostando tutti gli identificatori dell’utente che possono essere utilizzati per le impronte digitali e reidentificando sarà meglio per tenere la tua azienda protetta.
Questo articolo non pretende di essere un’istruzione. È solo la condivisione dell’esperienza di spostamento o pseudonimizzazione dei dati e come stape lo esegue automaticamente. Puoi selezionare di non usare il nostro potenziamento di anonimizzazione o manualmente anonimizzare ogni parametro.
Commenti