In queste ultime settimane ho sperimentato parecchie soluzioni giocando un pochino con il codice di Google Analytics e sentito parecchi pareri legali, oltre ad aver avuto anche qualche scambio via Twitter con il responsabile stampa del Garante Privacy.
Oltre a questo ho anche avuto l’occasione di fare un intervento (insieme ad Enea Scerba, Andrea Cardinale e Stefano Rigazio) sulle soluzioni tecniche per implementare correttamente l’opt-in richiesto dal Garante (tra cui Italy Cookie Choices), ed un Q&A durante l’ultima plenaria del Festival dove abbiamo avuto occasione di discutere con il presidente di AICEL – Andrea Spedale -, una esperta di Privacy – Patrizia Meo – e un avvocato esperto di web – Simone Bonavita.
Durante tutte le sessioni sono emersi i tanti dubbi che la normativa e i successivi chiarimenti hanno generato, tra terze parti e profilazione.
Di sicuro uno dei temi più importanti è quello legato a Google Analytics, che una grande fetta dell’utenza mondiale utilizza. Come potete vedere dalla seguente tabella ottenuta utilizzando Google BigQuery sull’archivio dati dei primi 1.000.000 di siti Alexa otteniamo il seguente risultato:
| Riga | Strumento di Analytics | Occorrenze |
| 1 | ga | 345066 |
| 2 | piwik | 7081 |
| 3 | s_code | 5986 |
| 4 | webtrends | 2318 |
| 5 | shinystat | 478 |
| 6 | ntpagetag | 393 |
| 7 | webtrekk | 39 |
Va da se che serve trovare una soluzione per evitare di infestare il web di “Banner informativi” per l’utilizzo di un “semplice” sistema di Analytics senza il rischio di perdere traffico mettendo blocchi preventivi inutili.
Sebbene vada ancora chiarita la situazione Google Analytics + Remarketing (profilazione di terze parti ovviamente), che viene trasformata dal garante in una responsabilità dell’utilizzatore nonostante veda solo dati aggregati e usi lo strumento terzo per ogni operazione, allo stato attuale esiste la possibilità direttamente modificando il codice di Google Analytics di evitare il passaggio dati con qualsiasi altro strumento di remarketing e con qualsiasi tipo di demografica.
Il codice utilizzabile per ottenere tale configurazione è il seguente:
<script>
(function(i,s,o,g,r,a,m){i['GoogleAnalyticsObject']=r;i[r]=i[r]||function(){
(i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o),
m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m)
})(window,document,'script','//www.google-analytics.com/analytics.js','ga');
ga('create', 'UA-XXXXXXX-X', {'siteSpeedSampleRate': 100, 'anonymizeIp': true, 'storage': 'none', 'clientId': window.localStorage.getItem('ga_clientId')});
ga(function(tracker) {
window.localStorage.setItem('ga_clientId', tracker.get('clientId'));
});
ga('send', 'pageview');
</script>
In questo modo continua a funzionare tutto tranne le demografiche e ogni funzionalità di remarketing.
Viene anche abilitata l’anonimizzazione degli IP così come richiesto dal Garante e di conseguenza il sopracitato codice rende a tutti gli effetti Google Analytics un Cookie tecnico e dunque senza alcun bisogno di mostrare il banner di informativa breve.
Vi invito a sperimentare il codice, ma dai nostri esperimenti non passa nulla di nulla e tutto continua a funzionare a dovere.
PS: Altra cosa interessante venuta fuori dalla discussione in plenaria è che ad esempio il collegamento di GA con Search Console può essere fatto senza problemi perché tratta soltanto dati aggregati.
Una domanda…
Questo codice modificato può creare dei problemi per il fatto che NON è quello “ufficiale” rilasciato da Google?
Ciao Daniele,
il codice usa tutte direttive della documentazione ufficiale di Google quindi tutte cose che si possono usare.
OK, Grazie 🙂
Buono a sapersi! Secondo te, Andrea, non è quindi sufficiente anonimizzare gli IP (tramite plugin) e modificare le impostazioni di condivisione dei dati così da minimizzare il rischio che Google possa incrociare i dati (da pannello di controllo di Analytics)?
Sì va bene lo stesso. Questo è solo un modo per farlo via codice ed essere sicuri che nessuno possa cambiarne il comportamento neanche dal pannello.
Non capisco una cosa: per evitare il remarketing e le demografiche non basta disattivare queste funzioni nel
pannello “Impostazioni proprietà” nella sezione “Amministrazione” di Google Analytics?
Sotto “Funzioni pubblicitarie” c’è un pulsante attiva/disattiva. Lasciandolo disattivato non credo occorra poi metter mano al codice (tranne per la parte di anonimizzare gli IP), no?
Certo che puoi fare così. Questo esempio mostra come farlo direttamente da codice. Secondo me più pratico e controllabile.
Perfetto! Grazie mille per la risposta veloce!
Buona sera, io avrei 2 quesiti da sottodomini.
1) il mio account analytics e collegato al account adwords. Oltre al banner e alla pagina Cookie policy sono tenuto anche alla notifica al garante della privacy?
2) E collegata, se devo presentare la notifica come faccio io che ho un network di sottodomini es: milano.miosito.it roma.miosito.it palermo.miosito.it insomma o un sottodomini per tutte le città d’Italia. Mi basta notificare il principale “miosito.it”? Spero solo di essere stato chiaro. Grazie mille.
Ciao Mario,
su queste questioni di notifica credo sia meglio sentire un legale.
Ciao Andrea,
per quanto riguarda il blocco preventivo dei pulsanti social per la condivisione degli articoli ne sai niente?
Cosa ti serve sapere?
Ciao Andrea, vorrei sapere se lasciano o meno cookie di profilazione e nel caso, se ne esistono alcuni che non profilano e per tanto non richiedono il blocco preventivo fino al consenso dell’utente
Purtroppo questo bisognerebbe chiederlo a chi fa quei plugin, ma temo proprio che i cookie usati siano di profilazione.
Ciao Andrea e complimenti come sempre per l’ottimo lavoro.
Per chi utilizza google tag manager come è possibile implementare il codice!?
Per l’anonimizzazione c’è una opzione apposita.
Per lo storage dovresti controllare se ci sono opzioni simili. In teoria dovrebbero essere tutte elencate.
Buongiorno,
alla luce della scadenza del 25/05 con l’attuazione del gdpr…. sarebbe possibile chiedere una piccola spiegazione riguardante il mio ecommerce realizzato con prestashop, grazie
Roberto
Ciao Roberto. Per il GDPR ti consiglio ti chiedere ad un avvocato. Non è una cosa che si smarca solo con aspetti tecnici.
Ciao Andrea, questo sistema è ancora valido dopo il 25 maggio con il nuovo GDPR
Grazie
A livello di cookie direi di sì.
Ciao Andrea,
un paio di domande:
1) per bloccare le funzioni pubblicitarie non è sufficiente l’istruzione ga(‘set’, ‘allowAdFeatures’, false);?
2) se Analytics e Google Ads sono collegati solo per l’importazione delle conversioni, e quindi senza la creazione di elenchi di remarketing, è necessario comunque l’opt-in oppure vale quanto detto per il collegamento con Search Console?
Ciao Alberto. Questo post è molto vecchio e nel frattempo sono successe molte cose. Anche Analytics si è dotato di sistemi diversi.
Ok, grazie per la risposta…e per quanto riguarda il collegamento a Ads senza remarketing sai dirmi qualcosa?
Secondo me va disattivato anche da pannello e non solo da codice perché c’è la parte di sharing e varie ed eventuali.