Google Signals e GDPR: come funziona, quali dati tratta e come attivarlo in modo conforme alla normativa privacy

Oggi, chi si occupa di digital marketing e analisi dei dati sa quanto sia importante avere una visione completa del comportamento dell’utente. Ma sa anche che non si può più ignorare l’impatto della normativa privacy.

Uno degli strumenti più potenti in questo senso è Google Signals, una funzione avanzata di Google Analytics 4. Tuttavia, proprio per la sua natura “avanzata”, richiede una certa attenzione quando si parla di conformità al GDPR.

In questo articolo facciamo chiarezza: vedremo cosa fa esattamente Google Signals, quali dati utilizza, quando può essere attivato lecitamente e soprattutto come configurarlo correttamente con il Consent Mode senza rischi per il titolare del trattamento.

Cos’è Google Signals?

Immagina di voler sapere come si comportano gli utenti sul tuo sito quando passano da un dispositivo all’altro (cross-device): iniziano la visita da smartphone e poi concludono da desktop. E magari vuoi anche sapere se hanno più o meno di 35 anni, se sono interessati alla tecnologia e se tornano a trovarti dopo aver visto una tua pubblicità, ad esempio, su una piattaforma digitale.

Tutto questo è possibile con Google Signals. Ma serve il consenso dell’utente, altrimenti rischi di violare la normativa sulla privacy.

Google Signals è una funzione di Google Analytics 4 (GA4) e serve per:

Unire i dati delle persone che usano più dispositivi (cross-device);
Fare remarketing su Google Ads (cioè far vedere di nuovo un annuncio a chi ha visitato il sito);
Vedere dati demografici e interessi;
Collegare meglio Google Analytics con Google Ads

Google Signals funziona solo se l’utente è loggato con un account Google e ha attivato la personalizzazione degli annunci.

Infatti, pur essendo dati aggregati e non direttamente identificabili per chi gestisce il sito, Google Signals si basa sull’associazione dei dati raccolti tramite GA4 con informazioni dell’account Google.

Rientrano in questa categoria:

ID pubblicitari (es. IDFA, Android Ad ID)
Cookie e identificatori (gcl, IDE, etc.)
Informazioni di navigazione (pagine visitate, provenienza, dispositivo)
Dati demografici e interessi dedotti dal profilo Google

Tali funzionalità, basandosi su dati derivati dall’account Google dell’utente sono soggette al consenso preventivo e informato da parte dell’interessato, in linea con l’articolo 6, paragrafo 1, lettera a) del Regolamento (UE) 2016/679 (GDPR).

Inoltre, in base alla direttiva ePrivacy (2002/58/CE), recepita in Italia dal D.lgs. 196/2003 come modificato dal D.lgs. 101/2018, l’uso di cookie non tecnici e identificatori online per scopi di marketing richiede il consenso preventivo e inequivocabile dell’utente (art. 5, par. 3 e art. 122 Codice Privacy italiano).

Google Signals usa cookie di profilazione?

Google Signals usa cookie di profilazione quindi utilizza cookie di marketing e tracciamento pubblicitario (Cookie pubblicitari di Google Ads come ad es. _gcl_au, IDE, NID), rientrando, quindi, nella categoria dei cookie di profilazione, che secondo la legge:

Devono essere bloccati in automatico appena l’utente entra nel sito;

Possono essere attivati solo se l’utente dà il consenso esplicito (cliccando “accetta”).

In più, Google Signals trasferisce dati verso gli Stati Uniti, perché è gestito da Google LLC.

Google Signals può essere usato solo se in seguito al rilascio del consenso dell’utente per:

ad_storage: autorizzazione ai cookie pubblicitari;
ad_personalization: autorizzazione alla pubblicità personalizzata;
ad_user_data: invio di dati a Google per finalità pubblicitarie;
analytics_storage: autorizzazione alla raccolta dei dati per fini statistici.

Tutto questo si gestisce con il Consent Mode di Google. Ecco come funziona.

Cos’è il Consent Mode (e perché è importante).

Il Consent Mode si basa sulla gestione dei quattro parametri principali precedentemente elencati:

– ad_storage

Consenso all’uso dei cookie per finalità pubblicitarie

– analytics_storage

Consenso alla raccolta di dati per finalità statistiche

– ad_user_data

Consenso all’invio a Google dei dati utente per advertising

– ad_personalization

Consenso alla personalizzazione degli annunci pubblicitari

Il Consent Mode è un sistema che collega il cookie banner al comportamento dei tag di Google (Analytics, Ads, ecc.). In pratica:

se l’utente accetta, i tag funzionano come sempre;
se l’utente rifiuta, i tag si “adattano” e non leggono/scrivono cookie vietati.

Modalità di funzionamento

Prima del consenso: i parametri devono essere impostati su denied per garantire che nessun cookie venga installato.

gtag(‘consent’, ‘default’, {

‘ad_storage’: ‘denied’,

‘analytics_storage’: ‘denied’,

‘ad_user_data’: ‘denied’,

‘ad_personalization’: ‘denied’

});

Dopo il consenso esplicito: i parametri vengono aggiornati a granted.

gtag(‘consent’, ‘update’, {

‘ad_storage’: ‘granted’,

‘analytics_storage’: ‘granted’,

‘ad_user_data’: ‘granted’,

‘ad_personalization’: ‘granted’

});

Senza uno o più di questi consensi, Google Signals non raccoglie dati o lo fa in modalità limitata, senza profilazione, nel dettaglio:

Parametro negato: ad_storage
→ I cookie pubblicitari non vengono usati, Signals non funziona.

Parametro negato: analytics_storage
→ I dati vengono raccolti in forma anonima, senza cookie.

Parametro negato: ad_user_data
→ Non puoi usare i dati utente per conversioni o remarketing.

Parametro negato: ad_personalization
→ Niente pubblicità personalizzata, remarketing disattivato.

Come usare Google Signals in modo conforme al GDPR

Per attivare e utilizzare Google Signals in modo pienamente lecito e conforme al Regolamento Generale sulla Protezione dei Dati (GDPR) e alla normativa ePrivacy, è fondamentale seguire una serie di accorgimenti tecnici e giuridici. Di seguito, una sintesi delle principali azioni da intraprendere:

1) Mostrare un cookie banner conforme, con scelta chiara e blocco preventivo

Prima di qualsiasi trattamento di dati personali non strettamente necessari (come quelli legati alla profilazione e alla pubblicità), è obbligatorio mostrare un cookie banner che consenta all’utente una scelta libera, granulare e facilmente revocabile, in linea con le Linee Guida del Garante Privacy (Provvedimento n. 231/2021). Inoltre, i cookie di profilazione – compresi quelli attivati da Google Signals – devono essere bloccati preventivamente fino al consenso.

2) Attivare Google Signals solo dopo aver ottenuto il consenso

Google Signals abilita funzionalità di remarketing e tracciamento cross-device, che comportano il trattamento di dati personali a fini di profilazione e pubblicità personalizzata. Questo tipo di trattamento è lecito solo se preceduto dal consenso esplicito dell’utente, ai sensi dell’art. 6, par. 1, lett. a) del GDPR. Non è sufficiente il semplice consenso all’analisi statistica.

3) Utilizzare la modalità di consenso (Consent Mode) con i parametri corretti

Per gestire correttamente il comportamento dei tag di Google in base al consenso, è necessario configurare il Consent Mode. I parametri da abilitare solo dopo il consenso dell’utente sono:

ad_storage (pubblicità)
analytics_storage (analisi)
ad_user_data (invio dati utente a Google)
ad_personalization (personalizzazione degli annunci)

4) Aggiornare la privacy policy e la cookie policy

È essenziale che il sito web o l’app contenga una privacy policy e una cookie policy dettagliata e aggiornata, che includa:

la descrizione del funzionamento di Google Signals;
la base giuridica del trattamento (consenso, art.6, paragrafo 1, lettera a);
l’eventuale trasferimento di dati verso Paesi terzi, in particolare verso gli Stati Uniti. Tali trasferimenti sono leciti solo se accompagnati da garanzie adeguate, come le Clausole Contrattuali Standard (SCC) approvate dalla Commissione Europea (art. 46 GDPR).

Tale trasparenza è richiesta dall’art. 13 GDPR e deve essere garantita prima del trattamento dei dati.

Google Signals è un ottimo strumento per chi vuole migliorare l’analisi del traffico e fare pubblicità mirata. Ma per usarlo in modo corretto devi sempre partire dalla privacy.

Con una buona implementazione tecnica e una gestione trasparente del consenso, puoi ottenere dati di qualità senza rischi legali.

Fonte: IusPrivacy

Condividi:

Mi piace:

Condividi sui Social

Post correlati

Smart working e geolocalizzazione dei dipendenti. Limiti, obblighi e sanzioni secondo il Garante Privacy

Novità in arrivo su Codice01: integrazione con l’intelligenza artificiale di Jack01!

NIS2 – Importanti novità in merito alla sicurezza informatica

01 Informatica Srl: Impegno per la Trasparenza, la Sostenibilità e il Controllo Aziendale

Il nesso tra DPIA e Nomina del DPO nel GDPR – Un Approfondimento Giuridico

Formazione privacy, un obbligo di legge previsto dal GDPR

Gestisci le preferenze dei cookies