Il pixel di Facebook è probabilmente l'istrumento di remarketing più popolare e al tempo stesso altamente problematico dal punto di vista della protezione dei dati. Il post mostra come utilizzare il pixel di Facebook in modo relativamente legale.
Pixel di Facebook e protezione dei dati
È noto che la società Facebook (Stati Uniti) raccoglie moltissime informazioni sui suoi utenti. La piattaforma è a pagamento, l'utente paga con le sue informazioni. Che in passato era già quasi un problema, per essere gentili, è diventato altamente esplosivo dal 25 maggio 2018 con la Regolamento generale sulla protezione dei dati.
Il nucleo della proposta di soluzione è una possibilità di disimpegno per il pixel Facebook, sviluppata in proprio, che in combinazione con altre misure aiuta a essere il più possibile conforme alla normativa europea sulla protezione dei dati. Tuttavia, nessuno sa esattamente quali dati Facebook o Meta trattano e a quale scopo. Comunque ci sono un giudizio sul plugin Facebook (sentenza della Corte di Giustizia dell'Unione Europea del 29/07/2019 – C-40/17 – "Fashion ID"), secondo cui esiste una responsabilità condivisa. In caso di problemi, quindi, il titolare del sito web che integra il pixel Facebook e Meta sono seduti nello stesso barcone. Tuttavia si dovrebbe presumere che Meta non partecipa attivamente.
Requisiti
Per strumenti di analisi da utilizzare in siti web devono essere soddisfatte una serie di condizioni, al fine che abbiano una possibilità di avere sicurezza giuridica. Tra queste:
- Richiesta di consenso: il pixel può essere caricato solo dopo il consenso dell'utente (=visitatore del sito web). Ciò deriva, tra l'altro, dall'art. 25 TTDSG, dall'art. 49 GDPR, dalla sentenza Schrems II della CGUE (sentenza del 16.07.2020 – C-311/18) e dall'art. 5 par. 1 lett. c GDPR (“minimizzazione dei dati”).
- Testo ordinario per la dichiarazione di trattamento dei dati: menzione della componente, del suo scopo, dell'azienda che la fornisce (indirizzo), del collegamento alla dichiarazione di trattamento dei dati dell'azienda che la fornisce verso la componente, delle informazioni personali raccolte, altri avvisi (come collegamento al profilo Facebook se l'utente è appena entrato)
- Opzione di annullamento dell'acquisizione dei dati personali tramite lo strumento di analisi (Opt-Out)
- Anonimizzazione dell'indirizzo IP (vedi Google Analytics, ad esempio)
- Minimizzazione dei dati da raccogliere a un livello giustificabile (non saprei perché si debba conoscere con precisione l'età degli utenti di una web site, il diritto non spetta ad alcuno in via eccezionale)
- Contratto di elaborazione dei dati per l'azienda che fornisce lo strumento di analisi
- Garanzia che l'editore del tool di analisi si attenga alle norme sulla protezione dei dati vigenti in questo paese
Chi crede che questo sia possibile per il pixel di Facebook può proseguire. Alcuni punti non riguardano necessariamente questo pixel, in quanto non è sempre da considerarsi uno strumento di analisi.
Chiedere il consenso
Passo 1: Non caricare i pixel
In nessun caso non eseguire il codice per il pixel di FB e sperare che uno strumento di consenso lo blocchi efficacemente, fino a quando l'utente non ha dato il suo consenso. Vedi la mia indagine sui tool dei cookie.
Utilizzare invece una delle seguenti due possibilità:
- Caricare il codice per il pixel di Facebook dopo che l'utente ha dato il consenso.
- Eseguire il codice in modo inattivo e attivarlo solo dopo che l'utente ha dato il consenso.
La possibilità numero uno può essere ad esempio realizzata con il mio strumento di consenso gratuito.
Possibilità due utilizza la direttiva data-src (al posto di src) nelle istruzioni script. Il codice per il pixel FB sarà quindi:
<script data-src="/script/to/pixel-code"></script>
La condizione è che il codice per caricare il pixel Facebook sia in un file di script. Chi cerca suggerimenti tecnici, troverà quelli nel post sul tool di consenso a cui si fa riferimento. Forse anche l'esempio di codice seguente sarà utile.
Informazioni sulla protezione dei dati nella richiesta di consenso
Nella mia checklist per le richieste di consenso, troverai le informazioni da inserire nel cosiddetto "popup del cookie" chiamato popup di consenso. Questi sono in particolare:
- Nome del servizio, qui: Pixel di Facebook (o.a., a seconda della tipologia del servizio FB caricato)
- Descrizione breve dell'oggetto
- Fornitori da nominare: Meta con indicazione di paese (l'indirizzo completo o almeno nella dichiarazione dei dati personali)
- Sottolineare che il rischio, secondo Art. 44 GDPR, esiste a causa del trasferimento dei dati negli Stati Uniti d'America
- Tutti i cookie si chiamano. Per ogni cookie
- Name
- Descrizione dell'oggetto
- Durata della vita
Assicurarsi che l'opzione di accettazione sul "Popup dei cookie" non sia visivamente più evidente rispetto all'opzione di rifiuto. Rifiutare dovrebbe essere almeno altrettanto facile da fare come accettare.
Opzione di esonero (Opt-Out)
Il pixel di Facebook non offre di per sé la possibilità di disattivazione. Io suggerisco la seguente soluzione:
Inserisci codice JavaScript
Inserite il seguente codice in ogni pagina del vostro sito web, sostituendo l'ID Facebook nel codice con la vostra ID. Il codice può essere inserito nell'area BODY, ad esempio all'inizio:
<!-- Facebook Pixel privacy protection (C) dr-dsgvo.de -->
<script>
var fpProperty = 'mde-service';
var fpdisableStr = 'fp-disable-' + fpProperty;
// Opt-out function
function fpOptout() {
document.cookie = fpdisableStr + '=true; expires=Thu, 31 Dec 2099 23:59:59 UTC; path=/';
window\[fpdisableStr\] = true;
alert("The Facebook Pixel is deactivated and will no longer be loaded. Please refresh the page");
}
function activatePixelMDE() {
document.cookie = fpdisableStr+'=true; Max-Age=-99999999;path=/';
window\[fpdisableStr\] = false;
alert("Facebook Pixel will be activated at next page load");
window.location=window.location;//Reload of page
}
if (document.cookie.indexOf(fpdisableStr + '=true') > -1) {
// FB-Pixel is deactivated by user, do nothing
console.log(atob("RmFjZWJvb2sgUGl4ZWwgaXN0IGRlYWt0aXZpZXJ0LiBEYXRlbnNjaHV0ei1NZWNoYW5pc211cyB2b24gaHR0cDovL3d3dy5tZWluZS1kYXRlbnNjaHV0emVya2xhZXJ1bmcuZGU="));
}else {
!function(f,b,e,v,n,t,s)
{if(f.fbq)return;n=f.fbq=function(){n.callMethod?
n.callMethod.apply(n,arguments):n.queue.push(arguments)};
if(!f.\_fbq)f.\_fbq=n;n.push=n;n.loaded=!0;n.version='2.0';
n.queue=\[\];t=b.createElement(e);t.async=!0;
t.src=v;s=b.getElementsByTagName(e)\[0\];
s.parentNode.insertBefore(t,s)}(window, document,'script',
'https://connect.facebook.net/en\_US/fbevents.js');
fbq('init', '2051522461760028');//Put your ID in here
fbq('track', 'PageView');
console.log(atob("RGF0ZW5zY2h1dHotTWVjaGFuaXNtdXMgdm9uIGh0dHA6Ly93d3cubWVpbmUtZGF0ZW5zY2h1dHplcmtsYWVydW5nLmRl"));
}
</script>
Verificate che il ricarico della pagina dopo l'annullamento sia funzionante.
Passo 2: Aggiornare la vostra dichiarazione di protezione dei dati personali
I loro utenti devono avere la possibilità di disabilitare (Opt-Out) il pixel di Facebook. Ciò può essere realizzato con l'aiuto del codice JavaScript. Copiate il seguente codice lì nella vostra dichiarazione dei diritti dell'utente, dove l'utente dovrebbe avere la possibilità di disabilitare il pixel Facebook.
<script>
if (document.cookie.indexOf(fpdisableStr + '=true') > -1) {
document.write('<div class="text-center" style="margin-top:24px"><a onclick="activatePixelMDE()">Activate FB Pixel</a></div>');
}else {
document.write('<div class="text-center" style="margin-top:24px;margin-bottom:96px"><a onclick="fpOptout()">Deactivate the pixel</a></div>');
}
</script>
Copiate questo codice alla fine del testo sulla protezione dei dati per il pixel di Facebook.
Confronto esteso
Facebook offre la possibilità di effettuare un confronto dei dati esteso. Questa opzione dovrebbe essere disattivata con urgenza per evitare problemi relativi alla protezione dei dati. Se si desidera comunque utilizzare il confronto dei dati esteso, è necessario raccogliere preventivamente l'autorizzazione degli utenti prima dell'implementazione del pixel. Come realizzarlo rimane a loro discrezione – non esistono soluzioni adatte note da me.
Avvertenze legali
Questo articolo non fornisce consulenza legale. Se desiderate assolutamente essere sicuri, è consigliabile seguire questo procedimento, che però non è particolarmente pratico:
- Chiedete il consenso dell'utente per il Facebook Pixel e la raccolta di dati associata
- Caricate il codice del pixel di Facebook solo dopo aver ottenuto l'assenso
- Se il utente revoca la sua autorizzazione – ad esempio attraverso un meccanismo di opt-out come sopra descritto – impedite nuovamente l'aggiunta del codice Facebook
La richiesta di consenso menzionato al punto 1 può essere combinata con un popup dei cookie, in cui si chiede il consenso all'uso dei cookies. Sembra complicato e non utile per l'utente, lo è anche. La normativa europea sulla protezione dei dati si occupa di protezione dei dati e non di utilità o praticità dell'utente. Buona fortuna!
Controllo sulla protezione dei dati per siti web
Un testo di protezione dei dati ampio per il pixel Facebook, nonché supporto per molti strumenti di analisi, script e componenti offre il controllo dei dati. Ciò che nessun essere umano riesce a fare, la mia software lo fa: un'analisi di protezione dei dati della sito web con proposte di soluzione per i problemi trovati.
Messaggi chiave
Per usare il pixel di Facebook in modo legale, è necessario ottenere il consenso dell'utente e adottare diverse misure per proteggere i dati personali.
Per rispettare la privacy degli utenti, caricare il codice del pixel di Facebook solo dopo che l'utente ha dato il consenso.
Per usare il pixel di Facebook in modo legale, devi ottenere il consenso degli utenti e permettere loro di disattivarlo in qualsiasi momento.
Questo software analizza il tuo sito web e ti dice come rispettare le regole europee sulla protezione dei dati.
My name is Klaus Meffert. I have a doctorate in computer science and have been working professionally and practically with information technology for over 30 years. I also work as an expert in IT & data protection. I achieve my results by looking at technology and law. This seems absolutely essential to me when it comes to digital data protection. My company, IT Logic GmbH, also offers consulting and development of optimized and secure AI solutions.
