Loading ...

Let's talk
16.12.2022
Articolo

GTM Server Side: tracking dei dati privacy-friendly

7 minuti

L’intero sistema si sta orientando verso un approccio cookieless, un netto cambio di rotta rispetto alle pratiche in uso fino a oggi basate su un massiccio ricorso proprio ai cookie di terze parti per definire le abitudini di navigazione degli utenti.

ADDIO COOKIE, ADDIO PROFILAZIONE?

Le pratiche di profilazione online dei dati degli utenti sono entrate in una fase di profondi cambiamenti, provocati dalle mutazioni normative e di sensibilità del pubblico.

Pensiamo ad esempio che:

  • i browser si stanno orientando per dismettere in futuro i cookie di terze parti (Firefox nel 2019, Safari nel 2020, Chrome nel primo trimestre del 2024), perdendo la capacità di identificare gli utenti cross platform e quindi di mostrare annunci pubblicitari in linea con le preferenze dei singoli utenti
  • il pubblico sta accrescendo la propria attenzione in merito al rispetto della privacy online
  • gli utenti possono servirsi di strumenti come AdBlocker o nativi dei browser per bloccare la profilazione o rifiutare il download dei cookie dai siti web usati per tracciare il loro comportamento

In un contesto simile diviene sempre più arduo comprendere quale strumento abbia inciso sulla conversione dell’utente e stabilire verso quali canali è opportuno investire il budget pubblicitario.

Secondo i dati che abbiamo estrapolato dai siti web dei nostri clienti, mediamente soltanto il 32% degli utenti acconsente al trattamento dei propri dati personali con finalità di marketing da apposita voce del banner della cookie policy.

Roberto Digennaro GTM Server Side

GOOGLE ANALYTICS NON PIÙ A REGOLA CON LA PRIVACY?

Il 23 giugno 2022 il Garante della Privacy Italiano ha giudicato il trasferimento di dati personali verso gli Stati Uniti non conforme a quanto previsto dal Regolamento GDPR europeo. Il Garante ha sottolineato come i siti web che si avvalgono di GA registrano dati degli utenti quali indirizzo IP, sistema operativo, browser, lingua proposta, data e orario della visita. L’indirizzo IP rimane un dato personale anche se troncato, siccome Google resta sempre in grado di arricchirlo con altri dati.

A conti fatti, non è Google Analytics in sé per sé la pietra dello scandalo, quanto la modalità con cui Universal Analytics (la terza versione dello strumento) invia dati sensibili verso gli Stati Uniti. Molti pensavano che la modalità di anonimizzazione nativa fosse sufficiente a tutelare la privacy dell’utente, celando l’indirizzo IP.

Purtroppo, come è stato rilevato, tale mascheramento avviene quando il dato viene già processato negli Stati Uniti e memorizzato nei server di Google. 

Gli USA da questo punto di vista non appaiono conformi ai requisiti del GDPR (art. 45 UE 2016/679), in quanto agenzie governative statunitensi, dopo l’11 settembre, possono accedere ai dati in possesso delle big tech company e, di conseguenza, ai dati personali di milioni di utenti europei.

Google ha dichiarato come tutti dati che vengono raccolti tramite i suoi servizi vengono memorizzati negli Stati Uniti, quindi il problema a monte consiste nelle scarse tutela di riservatezza che offrono giurisdizioni extra-UE, rendendo “potenzialmente” tutti gli strumenti che operano in modo simile illegittimi.

L'Unione Europea ha appena adottato un nuovo accordo sugli scambi di dati con gli Stati Uniti, chiamato "Data privacy framework". Questo dopo che i vecchi accordi sono stati bocciati dalla Corte di Giustizia europea.

Questo nuovo framework diventerà ufficiale dall'11 luglio 2023. Assicura che i dati personali inviati dall'UE agli USA saranno trattati con lo stesso livello di protezione garantito all'interno dell'UE. Quindi, da luglio in poi, i dati potranno fluire liberamente verso le aziende USA che aderiscono all'accordo, senza bisogno di ulteriori garanzie. Ma c'è un "ma". Le aziende che aderiscono a questo framework dovranno impegnarsi a rispettare norme molto rigide sulla privacy. Questo significa cancellare i dati quando non servono più e proteggerli quando vengono condivisi con terze parti.

Il tracciamento dati di Google Analytics non conforme alla privacy è soltanto la punta dell’iceberg.

Presto tale visione delle cose si sposterà agli altri colossi del web e ai relativi strumenti che acquisiscono dati degli utenti (Meta, Linkedin, Hubspot, Magento ecc.). Per fare un esempio, il Garante della Privacy si è recentemente espresso sulle modalità di trasferimento dei dati applicate dalla società Caffeina Media SRL, che ha dichiarato di non avere attivato la funzione di anonimizzazione dell’IP dell’utente tramite mascheramento di una parte dell’indirizzo, ammonendola per violazione delle norme sulla data protection.

Andrea Faggin Google Tag Manager server side

GOOGLE ANALYTICS 4 E SIAMO A POSTO… OPPURE NO?

Il Garante della Privacy italiano, con provvedimento del 9 giugno 2022, ha giudicato illecita una determinata implementazione di Google Universal Analytics (GA3) su un sito web, in quanto il sito in questione trasmetteva dati verso i server Google negli Stati Uniti.

Google Analytics 4 è la versione della nota piattaforma di data analysis che fornisce maggiori garanzie riguardo al rispetto della privacy, in quanto:

  • l’indirizzo IP dell’utente non viene più registrato o archiviato (quindi non serve più l’anonimizzazione)
  • i gestori degli account possono personalizzare i tipi di dati che intendono trattare (es. versione browser, città, età, sesso, risoluzione schermo…)

Visto che GA3 non è conforme alla normativa GDPR, possiamo installare GA4 e dormire sonni tranquilli? Ovviamente no! Il succo della questione non è questa o quella versione di Google Analytics implementata, ma il fatto che trasferiamo dati degli utenti al di fuori dell’Europa verso gli Stati Uniti.

GOOGLE TAG MANAGER CLIENT SIDE: UN APPROCCIO SUPERATO

Google Tag Manager fino a oggi è stato utilizzato come strumento client-side, ovvero una modalità che carica sul sito web tutto il container predisposto in GTM. Abbiamo quindi una linea di contatti tra GTM e i rispettivi servizi da esso richiamati.

Ciascun tag deve aggiungere librerie javascript in modo da attuare le chiamate, con conseguente:

  • rallentamento prestazioni
  • cessazione del controllo diretto sui dati raccolti
  • abilitazione dei servizi esterni all’azione diretta sul nostro sito

Tuttavia questo processo, per quanto molto usato, non è ottimale. Il tracciamento client side offre un controllo soltanto parziale sui dati acquisiti degli utenti dai pixel di tracciamento.

Il tracciamento lato server, al contrario, impedisce ai servizi di terze parti di acquisire i dati personali degli utenti, mantenendosi in regola con gli obblighi imposti dal GDPR. Vediamo come funziona quest’ultima modalità e come implementarla.


 

Tracciamento lato server GTM

MONITORAGGIO GTM SERVER SIDE: COME FUNZIONA

Con la nuova modalità server-side avrò sempre un contenitore in GTM lato client, ma si aggiunge un passaggio in più ossia un cloud con un dominio di prima parte, che ospiterà il contenitore lato server GTM.

Il tracciamento dei dati server side prevede la presenza di un tag che invia dati dal client al web server (che svolge il ruolo di proxy), quindi il server inoltra quei dati al server di destinazione. Grazie all’utilizzo di un sottodominio di prima parte è possibile installare cookie proprietari che espandono la durata dei cookies (al contrario di quella molto ristretta concessa dai browser), e l’attribuzione delle vendite ai corretti canali che le hanno generate.

Eliminando i cookie di terze parti si riducono i tempi di caricamento necessari (con conseguente miglioramento dei core web vitals) e si migliora l’esperienza utente.

SERVER SIDE TAGGING CON GTM: I VANTAGGI

GTM server side è un approccio molto conveniente: i file javascript di terza parte vengono sostituiti da uno stream di eventi consolidato, con conseguente miglioramento delle performance. I vantaggi che questa modalità contempla includono:

  • GDPR compliance (maggiore controllo sui dati inviati ai fornitori di terze parti, ripulendo o aggiungendo le informazioni)
  • maggiore facilità di controllo sui dati di identificazione personale e su come evitarne la raccolta
  • maggiore sicurezza (gli script di terze parti non sono più caricati a livello di device e browser)
  • riduzione della perdita di informazioni dovuta ad Adblock o blocco tracciamento browser, in modo legale e rispettoso della volontà degli utenti
  • maggiore velocità nel caricamento della pagina web (e conseguente migliore posizionamento sui motori di ricerca)
  • estensione scadenza cookie su Safari (minori limitazioni sul cookie di utenti IOS attraverso il contenitore in server di prima parte)
  • Aumento del ritorno sull’investimento pubblicitario
  • prevenire visite spam grazie all’occultamento dell’ID di tracciamento GA e del Pixel di Facebook
  • incrementare la sicurezza nella gestione e conservazione dei dati trattati

Ovviamente, se si trattasse di una modalità così facile da implementare, tutti vi farebbero ricorso. Quali sono i principali contro da risolvere per ricorrere al server side tracking con Google Tag Manager?

SERVER SIDE TAGGING CON GTM: GLI SVANTAGGI

  • costi di mantenimento incerti, più o meno imponenti in base al volume di traffico del sito web (Google Cloud Platform è a pagamento, con costi di almeno 80 euro al mese). Questo non vale per we-go, la quale può contare su un server proprietario e che sopporta quindi costi certi per il servizio, con conseguente vantaggio per i clienti.
  • richiesta di know-how specifico per implementare il contenitore lato server in dominio di prima parte
  • difficoltà tecnica elevata: ricorso a personale IT qualificato (costi alti, anche se ammortizzabili nel lungo periodo)

MONITORAGGIO GTM SERVER SIDE: GLI STEP

  • Configurazione degli host lato server
  • Configurazione dei sottodomini di tracciamento
  • Installazione degli ambienti di preview e produzione per Google Tag Manager SST
  • Configurazione certificati HTTPS
  • Attivazione container GTM server
  • Configurazione dei tag e dei client per l'inoltro delle richieste
  • Configurazione del container WEB per GTM
  • Installazione degli script e configurazione di consenso preventivo via Cookiebot per script lato client
  • Verifica e test della configurazione implementata con eventuale debugging degli eventi di test inviati

Se qualcosa di questo processo non ti è chiaro… non è colpa tua, non abbatterti! Si tratta di una configurazione che per essere attuata correttamente richiede capacità tecniche specifiche e disponibilità di mezzi che non tutti possiedono.
Se vuoi approfondire l’argomento oppure richiedere servizi di implementazione del monitoraggio GTM server side contattaci ora, gli esperti di we-go sono a tua disposizione!