Analisi web: protezione dati nella creazione di profili utente
L’analisi web è diventata uno strumento centrale dell’online marketing. Numerosi gestori di siti web usano tool per il tracking come Google Analytics, Matomo (ex Piwik) o etracker che permettono di comprendere il comportamento degli utenti su un sito web. Sulla base di questi dati si può capire come creare siti web user-friendly e come rendere i processi più efficienti. Ma mentre i venditori online non possono nemmeno immaginarsi un mondo senza analisi web, chi si occupa della tutela della privacy lancia un allarme: per i clienti spesso non è comprensibile quali dati vengono registrati dai gestori dei siti web e per quale scopo.
Il potenziale conflitto sorge soprattutto in relazione ai dati personali, con i quali si crea il profilo dell’utente e così possono essere tratte delle conclusioni sui singoli clienti. Ma un’analisi web conforme alla protezione della privacy è possibile anche con le soluzioni stabilite e conosciute, a patto che si sia certi di aver adempiuto ad alcuni requisiti, che esigono talvolta interventi nel codice di programmazione del tool usato per il tracking.
Grazie a un credito iniziale, puoi provare gratuitamente il Server Cloud di IONOS per 1 mese (o fino all’esaurimento del credito) e beneficiare del giusto mix di prestazioni e sicurezza!
Disposizioni generali relative alla protezione dei dati
Fondamentalmente la raccolta dei dati e delle informazioni sull’attività di un utente su di un sito web è consentita, se viene fatta conformemente alle direttive sulla privacy. La base giuridica per questo in Europa è rappresentata dal Codice in materia di protezione dei dati personali. Come risultato di questo codice, la creazione di profili utente è permessa solo se avviene in maniera anonima, ad esempio usando degli pseudonimi.
I dati personali con i quali i singoli visitatori del sito web potrebbero essere inequivocabilmente identificati non possono essere raccolti e salvati senza un consenso esplicito degli interessati. I garanti della privacy considerano tra i riferimenti personali di questo tipo anche gli indirizzi IP dinamici. Già nel 2009 una controversia sorta in Germania aveva portato alla conclusione che l’analisi del comportamento dell’utente che utilizza gli indirizzi IP completi (inclusa la geolocalizzazione) è consentita soltanto con un consenso consapevole e dichiarato, a causa della natura personale di questi dati.
Tuttavia queste direttive sulla protezione dei dati pongono un problema ai gestori di siti web, che vorrebbero valutare le metriche degli utenti utilizzando soluzioni standard del settore, nelle quali quasi tutti i tool di tracciamento rilevano non solo gli indirizzi IP dinamici di ogni utente, ma anche i cookie per registrare il comportamento degli utenti sul sito web. Un uso del sito conforme alla normativa sulla privacy sarebbe quindi possibile solo con un consenso esplicito dell’utente.
Il GDPR attribuisce grande importanza al consenso informato. Per i responsabili dei siti web, ciò significa che devono rendere ben chiaro ai propri visitatori quali dati saranno archiviati e per quale scopo. Pertanto le condizioni di consenso generali e onnicomprensive non sono ammesse. Se sono necessari dati diversi a seconda degli scopi, occorre chiedere all’utente il consenso più volte, cioè separatamente per ognuno degli scopi. Inoltre non è consentito, come fino a poco tempo fa accadeva spesso, assumere il principio del tacito consenso”. Se gli utenti non si pronunciano sul fatto che i loro dati possano essere archiviati, ai sensi del GDPR questo vale come un rifiuto, e lo stesso vale per i cookie.
Analisi web e protezione dei dati conformi al GDPR
Secondo il GDPR, ai gestori di siti web vengono offerti fondamentalmente due modi per inserire ed elaborare i dati dell’utente in conformità alla legge:
- tramite un’analisi web esplicitamente approvata
- tramite un’analisi web anonima
Per quanto riguarda la tutela dei dati personali, per stare sul sicuro i gestori di siti web devono ottenere l’approvazione preventiva da parte dei loro visitatori per la creazione di profili utente basati sui dati personali. Una tale autorizzazione dovrebbe tuttavia apparire al visitatore del sito in modo evidente nel momento in cui accede al sito. Non è assolutamente sufficiente includere la dichiarazione di consenso come sottosezione nei termini e nelle condizioni generali. Invece si può far comparire ad esempio una finestra pop-up alla prima visita dell’utente sul sito. Se viene fornito il consenso è compito del gestore del sito web protocollarlo e conservarlo, di modo che risulti accessibile all’utente in ogni momento.
Inoltre gli utenti devono avere la possibilità di revocare il proprio consenso in qualsiasi momento. Questa revoca deve avvenire con la stessa semplicità con la quale è stato concesso il consenso. Non appena l’utente cambia parere e lo rende noto al gestore del sito, quest’ultimo non può più processare i dati dell’utente. I dati che però nel frattempo sono già stati raccolti ed elaborati non devono essere cancellati, a meno che l’utente non lo richieda espressamente.
Il GDPR richiede ai responsabili del sito web di richiedere il consenso ogni sei mesi. Pertanto le approvazioni degli utenti devono presentare una marca temporale, in cui sono registrate data e ora. Solo in questo modo il sistema di analisi web può acquisire tutto correttamente e in conformità alla legge.
Il GDPR offre inoltre agli utenti anche il diritto all’informazione: essi hanno infatti il diritto di sapere quali dei loro dati siano stati archiviati fino a quel momento. Perciò è importante che i gestori dei siti possano accedere in qualsiasi momento a queste informazioni. Il regolamento prevede 30 giorni per elaborare la richiesta. Inoltre bisogna tenere conto che i fornitori di analisi web e altri fornitori di servizi che non appartengono all’azienda non sono normalmente autorizzati a valutare questi dati, perché solitamente gli utenti non hanno dato il loro consenso, concesso soltanto al responsabile del sito web.
Ciò comporta naturalmente per i gestori dei siti un notevole sforzo nell’ottenere un consenso da ogni singolo utente, senza contare che costituisce anche un ostacolo aggiuntivo tra il contenuto del sito e l’utente, che potrebbe decidere di abbandonare la pagina. Per questa ragione, spesso il consenso richiesto dalla legge della protezione sui dati personali non è richiesto. Un’alternativa è l’analisi anonima: l’insieme delle informazioni che vengono raccolte durante la visita del sito devono essere elaborate e salvate separatamente dai dati personali (come l’indirizzo IP, il nome o i dati relativi all’account). Senza un’esplicita autorizzazione l’unione dei dati separati non è consentita nemmeno successivamente.
Se non siete sicuri se i dati che raccogliete siano personali o anonimi, vi consigliamo di supporre che si tratti di quelli personali, dato che per la legge si può parlare di dati anonimi soltanto se anche successivamente non è possibile attribuire questi dati ad una singola persona.
Al fine di rispettare il regolamento sulla protezione dei dati, è anche possibile utilizzare il cosiddetto mascheramento dell’indirizzo IP, che consiste nel rendere irriconoscibili le ultime cifre dell’indirizzo. Dal momento che i tool di analisi comuni registrano di regola gli IP degli utenti automaticamente ed in maniera completa (ad esempio utilizzano la geolocalizzazione), un’analisi web anonima sulla base di questi programmi richiede un’ulteriore configurazione del software. Una descrizione dettagliata per gli strumenti di tracking di Google Analytics, Matomo e etracker segue alla fine di questo articolo.
In particolare, nell’esercitare l’analisi dei dati web, dovete prestare attenzione ai seguenti punti:
Opt-in
Il consenso all’elaborazione dei dati personali deve avvenire nella modalità opt-in (il che significa con consenso espresso). Non si può perciò né presumere un tacito consenso né utilizzare una procedura di opt-out (che consiste nella possibilità di revoca a posteriori da parte dell’utente): fino a quando l’utente non dà esplicitamente la propria approvazione, non potete salvare alcun dato personale e ciò comporta che non si possono memorizzare questi dati già a partire dal momento in cui il visitatore accede al sito: soltanto dopo il consenso è permessa l’archiviazione dei dati.
Poiché il GDPR è entrato in vigore solo di recente e non tutti i dettagli del testo legale sono stati formulati in modo chiaro, permangono alcune ambiguità. Ad esempio al momento non è sicuro se la procedura opt-in sia necessaria anche per la semplice analisi web. Solo le future azioni legali probabilmente chiariranno come interpretarlo nel dettaglio.
Obbligo di preavviso
Nel caso in cui si utilizzino tecniche di tracciamento su un sito web, i gestori sono obbligati per legge ad avvisare il visitatore del fatto che il suo comportamento verrà analizzato sotto forma di profili utente, indicando in quale misura questo avvenga e quale scopo abbia. L’informativa sulla privacy dovrebbe inoltre essere accessibile al visitatore in qualsiasi momento e da qualsiasi pagina del sito. Si consiglia quindi di linkarla nella barra di navigazione o nel footer di un sito web.
Diritto di revoca del consenso
Un ulteriore requisito per un’analisi web conforme alla tutela dei dati personali è la possibilità da parte dell’utente di revocare il proprio consenso in qualsiasi momento. Il gestore del sito deve inoltre garantire che il processo di revoca del consenso avvenga con la stessa semplicità di quello per accordarlo. Una volta ricevuta la revoca la raccolta dei dati personali deve cessare.
Raccolta ed elaborazione dei dati
Se i gestori di un sito web ricorrono a tool di tracking che salvano i dati personali degli utenti su server esterni, il GDPR prevede un consenso per la raccolta, l’elaborazione e l’uso dei dati personali da parte di un fornitore di servizi esterni sotto forma di accordo elettronico. In tale accordo, entrambe le parti del contratto stabiliscono quali servizi includono l’elaborazione dei dati e quali diritti e doveri ne derivano per entrambe le parti.
Tutela della privacy sui tool di analisi web Google Analytics e etracker
A seguito dell’introduzione del GDPR, gli sviluppatori dei più noti strumenti di tracking si sono adoperati per rendere il più possibile conformi le proprie offerte ai requisiti richiesti per legge. In linea di principio, tuttavia, è responsabilità del gestore del sito web preoccuparsi che i requisiti legali dell’analisi web vengano rispettati.
Vi illustriamo come si può configurare il software a livello pratico riportando gli esempi di Google Analytics, Matomo ed etracker.
Google Analytics
Anche Google ha adattato il proprio servizio di analisi web alle nuove leggi europee. Tuttavia, per rendere l’analisi dei dati web coerente con la protezione dei dati, dovete apportare le seguenti modifiche:
- Contratto di elaborazione dei dati: secondo le autorità sulla tutela dei dati, Google in qualità di fornitore di Google Analytics assume la posizione di contraente. I gestori del sito web sono quindi obbligati a stipulare un contratto di elaborazione dei dati del contratto prima di utilizzare il software, cosa che può avvenire anche online. Dalle impostazioni dell’account potete completare l’integrazione sull’elaborazione dei dati.
- Conservazione dei dati: nelle impostazioni Google vi consente di eliminare automaticamente i dati memorizzati dopo un certo periodo di tempo: scegliete il periodo più breve, cioè 14 mesi.
- Indirizzo IP anonimo: con Google Analytics gli indirizzi IP degli utenti possono essere resi anonimi attraverso l’estensione del codice “anonymizelp”, che deve essere inserita manualmente dal gestore del sito nel codice di programma del software di tracking. Nella sezione Assistenza di Google potete trovare informazioni più tecniche su come Analytics rende anonimi gli indirizzi IP. Al momento il software di tracking è utilizzato in due varianti: a seconda che sul vostro sito operi il classico Analytics o Universal Analytics, aggiungete le seguenti porzioni di codice al programma. Nel classico Analytics l’estensione si aggiunge attraverso la funzione _anonymizelp della libreria JavaScript ga.js:
var _gaq = _gaq || [];
_gaq.push (['_setAccount', 'UA-XXXXXXX-YY']);
_gaq.push (['_gat._anonymizeIp']);
_gaq.push (['_trackPageview'])
In Universal Analytics invece si usa la funzione ga(‘set’, ‘anonymizeIp’, true) nella libreria di JavaScript analytics.js:
ga('create', 'UA-XXXXXXX-X', 'beispiel.de');
ga('set', 'anonymizeIp', true);
ga('send', 'pageview');
In entrambe le varianti si imposta l’ultimo ottetto di un indirizzo IPv4 sul valore zero. Negli indirizzi IPv6 l’IP mascherato salva gli ultimi 80 bit nella memoria.
- Informativa sulla privacy e diritto di recesso: secondo i termini di utilizzo di Google Analytics, i gestori dei siti web sono obbligati ad avvisare sull’uso del software nell’informativa sulla privacy e a rendere pubblica la raccolta dei dati acquisiti. Tale obbligo deriva anche dal Regolamento generale sulla protezione dei dati. La dichiarazione deve inoltre informare i visitatori del sito web circa il diritto di recesso. Si consiglia di inserire un link messo a disposizione da Google per installare un componente aggiuntivo per il browser che permette di disattivare Google Analytics.
- Eliminazione dei dati obsoleti: tali dati personali dell’utente raccolti in modo non conforme al GDPR devono essere cancellati senza eccezioni. In questi casi si consiglia di impostare un account nuovo di Analytics per il sito web interessato.
Matomo (Piwik)
Similmente a Google Analytics, anche con Piwik o per meglio dire Matomo, il nome attuale, si deve adattare la tutela della privacy in modo tale che il tool che si occupa di tracking venga utilizzato in maniera conforme alle direttive legali. A differenza di Analytics, il software open source Matomo si utilizza su un server proprio. Quindi, almeno con Matomo, è eliminato il contratto per l’elaborazione dei dati. Poiché tuttavia è molto probabile che stiate memorizzando le vostre informazioni personali su un server noleggiato, è necessario completare il suddetto contratto con il provider di hosting.
- Indirizzi IP anonimi: nelle impostazioni standard, Matomo dovrebbe già rendere anonimi gli indirizzi IP. Per assicurarsi che l’impostazione sia di fatto corretta, potete controllarla nelle impostazioni nell’area di amministrazione. Qui potete anche stabilire quanti byte (tra uno e tre) devono essere resi anonimi.
- Conservazione dei dati: Matomo consente di cancellare periodicamente i dati raccolti, ad esempio dopo sei mesi. Tramite la voce del menu nell’area di amministrazione potete eliminare i vecchi dati nel caso in cui non siano stati registrati in modo conforme al GDPR. Potete trovare maggiori informazioni in merito nelle FAQ ufficiali.
- Informativa sulla privacy e diritto di recesso: la possibilità di recesso nell’ambito della dichiarazione obbligatoria sulla protezione dei dati avviene tramite un iFrame di opt-out, come si può vedere nella sezione di servizio del sito web ufficiale del progetto:
<iframe frameborder="no" width="600" height="200" src="http://beispiel.tld/index.php?module=CoreAdminHome&action=optOut&lang=de"></iframe>
Inoltre Matomo rispetta la richiesta “Do not track”, che molti browser aggiungono già per impostazione predefinita ad ogni richiesta web, a meno che questa funzione non sia disattivata.
etracker
Con etracker si possono eseguire tutte le impostazioni riguardanti la protezione dei dati senza dover accedere al codice del programma. Essendo una società tedesca, etracker promuove in particolar modo il rispetto della normativa europea sulla protezione dei dati.
- Contratto di elaborazione dei dati: i gestori del sito web che utilizzano etracker per la valutazione dei dati degli utenti hanno anche la possibilità di utilizzare un modello già pronto. Con pochi clic potete chiudere il contratto per l’elaborazione dei dati.
- Indirizzi IP anonimi: su etracker gli indirizzi IP sono resi anonimi per impostazione predefinita, per cui non è necessaria un’estensione manuale del codice.
- Informativa sulla privacy e diritto di recesso: per quanto riguarda l’informativa sulla tutela dei dati personali, etracker rende molto semplice l’adeguamento agli standard di legge. Su etracker è anche presente un testo di esempio conforme alle direttive europee, incluso un link per la revoca del consenso, che potete trovare nell’account etracker alla voce del menu riguardante l’informativa sulla privacy e le opzioni di revoca per il vostro sito web. Infine con etracker si può impostare una soluzione opt-in.
- Eliminazione dei dati obsoleti: se i dati personali degli utenti sono stati raccolti in una configurazione diversa prima dell’adeguamento al GDPR, è necessario eliminarli anche da etracker senza eccezioni.
Vi preghiamo di osservare la nota legale relativa a questo articolo.