GDPR compliance e Performance Marketing
Come continuare a fare Data Driven Digital Marketing, con una completa GDPR Compliance
GDPR sta per General Data Protection Regulation (Regolamento Generale sulla Protezione dei Dati), ovvero il Regolamento Europeo 2016/679. In estrema sintesi, il GDPR chiarisce (assieme a molte altre leggi in materia e vigenti in Europa, come Schrems, ePrivacy e altre ancora) come i dati personali debbano essere trattati, incluse le modalità di raccolta, utilizzo, protezione e condivisione.
Differenza tra la Cookie Law ed il GDPR
Prima del 25 Maggio 2018, era sufficiente aderire correttamente alla Cookie Law (la maggior parte dei siti web che analizziamo giornalmente, si è impegnato per aderire a questa semplice normativa, ma non è in linea con i requisiti GDPR), ovvero, in sintesi, mostrare ai propri utenti non appena entrati nella proprietà web, un banner o una notifica che informino genericamente l’utente che il sito web utilizza i cookie, e che procedendo alla navigazione si considerano accettate le informazioni contenute nella Cookie Policy e nella Privacy Policy.
Questo tipo di consenso, che può essere espresso con un semplice “ok” per non mostrare più il banner, al click su un qualsiasi elemento del sito web, oppure allo scorrimento della pagina, non è più sufficiente per rispettare le direzioni del Garante della Privacy, e sopratutto per essere conformi alle direttive Europee del caso. Cosa cambia con il GDPR?
Cambiano molte cose, ma quelle che ci interessano di più in questo momento sono le seguenti:
il consenso dovrà essere espresso mediante un atto positivo con cui l’interessato esprime la propria intenzione libera, specifica, informata ed inequivocabile di accettare il trattamento dei dati personali che lo riguardano
Questo significa che non è più sufficiente una qualsiasi azione dell’utente da categorizzare arbitrariamente come “positiva”; è necessario un consenso informato, libero e attivo, andando a fornire all’utente la possibilità di selezionare quali categorie di Cookies egli accetti. Queste categorie devono descrivere la finalità d’utilizzo dei cookie, ad inoltre tutti gli script di tracking, i cookie stessi e qualsiasi altra tecnologia che interagisca con i dati dell’utente, deve essere disabilitata in modo asincrono.
In parole povere:
- L’utente carica il sito web
- tutti gli script inerenti al tracciamento rimangono congelati, tranne quello che presenta il banner del consenso esplicito
- Tutte le opzioni dei cookie, tranne quelli necessari al funzionamento del sito web, devono essere disabilitati di default.
- L’utente interagisce con il banner e seleziona le sue preferenze
- A quel punto l’impostazione viene salvata e la pagina si ricarica, abilitando i cookies per i quali si è ricevuto il consenso.
Come aderire correttamente al GDPR per quanto riguarda i cookie?
Questa tabella fornisce le più recenti linee guida dell’Autorità Nazionale in materia di protezione dei dati personali. Tieni presente che questo articolo è stato postato il 20/10/2020, e che potrebbero esserci aggiornamenti di normativa in qualsiasi momento.
*Nota: Le linee guida del Garante italiano sono state pubblicate prima dell’entrata in vigore del GDPR in questa tabella, per cui ci siamo permessi di aggiornarla con i termini validi per il GDPR, e nella sezione di coda dell’articolo potrete visitare i link ufficiali del governo, che però alla data di stesura di questo post sono fermi al 2014.
Domande
|
🇮🇹Italia
|
---|---|
Il consenso allo scorrimento è considerato valido? | SÌ |
Il consenso tramite proseguimento della navigazione è considerato valido? | SÌ |
È richiesta la presenza dei pulsanti “Accetta” e “Rifiuta” sul cookie banner? | SI |
È obbligatorio bloccare preventivamente i cookie che richiedono il consenso? | SÌ |
Sono ammessi i cookie wall? | no |
I cookie vanno elencati singolarmente? | si |
Il consenso ai cookie dev’essere granulare (espresso cioè per categorie)? | SI |
È richiesta una prova del consenso in maniera analoga al GDPR? | Si |
Revocare il consenso dovrebbe essere semplice tanto quanto prestarlo? | Si |
È consigliato l’uso di un cookie banner? | SÌ |
Ci sono altre basi giuridiche applicabili all’uso dei cookie (e degli altri tracciatori) oltre al consenso? | SÌ |
Le terze parti vanno elencate e identificate? | Si |
È specificato per quanto tempo deve durare il consenso a un cookie? | Si |
Sono ammesse le checkbox pre-selezionate? | NO |
Qual è l’ambito territoriale delle normative nazionali sui cookie? | Non specificato |
Il metodo più veloce e semplice per rendersi conformi alla raccolta del consenso per il GDPR
A seconda della tipologia di sito web (un E-Commerce è diverso da un Display-site, che è diverso da un blog, e tutti questi siti web sono diversi da un media site che ospita pubblicità di terze parti, e così via..) sono necessarie diverse strategie di implementazione per essere correttamente adempienti alle regolamentazioni sulla privacy relative all’utilizzo dei cookies.
La scelta migliore è sempre quella di affidarsi ad un’agenzia qualificata. Fuel LAB è Partner certificato di Iubenda e aiuta molte aziende a portarsi a regime attraverso l’implementazione manuale delle cookie e privacy policy.
Ma se hai poco tempo e vuoi risparmiare, puoi anche farlo da solo! Visita il sito web di Iubenda e scopri come è semplice metterti in regola in pochi click, e se hai bisogno di aiuto nell’implementazione, possiamo darti una mano noi.
Risorse ufficiali del Garante per la Protezione dei Dati Personali
Chiarimenti in merito all’attuazione della normativa in materia di cookie
E se utilizzo Google Analytics 4, e ho bisogno di continuare ad usare Google Ads, Facebook Pixel e tutte le altre tecnologie con Server extra Europei?
A questo punto la situazione si complica; uno degli aspetti fondamentali della GDPR compliance, è che i dati potenzialmente personali ed i PII degli utenti, non possono uscire dal “territorio” europeo; in altre parole, usare i cookie di terze parti, i pixel javascript inseriti direttamente nel sito web, non è più una strata percorribile; ecco perché è nata così tanta disinformazione, tanto ad arrivare a definire “Google Analytics illegale“.
Invece non c’è nulla di illegale nell’utilizzo di Google Analytics (GA4), tuttavia per rendere il suo utilizzo lecito, è necessario adottare misure extra per proteggere determinati parti del dataset, prima di inoltrarli al di fuori dell’Europa. Questa tecnica si chiama Server Side Tracking con anonimizzazione dei PII, e Fuel LAB è il primo distributore in Italia di questo serviceso.
E’ quindi possibile, ed è l’unico modo per avere una corretta GDPR compliance, mantenendo al tempo stesso un MarTech Stack di alto livello, realizzare una pulizia dei dati il cui trasferimento è illecito, e continuare ad utilizzare i nostri strumenti di business, rispettando il GDPR.