I Google Analytics sono anche obbligatorie per l'assenso senza cookie a causa di un accesso al dispositivo

Google e alcune persone del marketing avrebbero voluto che Google Analytics fosse esente da autorizzazione se i cookie sono stati disabilitati tramite configurazione. È vero che Google Analytics accede sempre al dispositivo dell'utente e per questo motivo è obbligatorio l'autorizzazione. Ciò non cambia nemmeno il modo di Google Consent, che non merita il suo nome.

Introduzione

Prima di tutto: la legge non conosce il concetto del cookie. Le norme giuridiche si occupano degli accessi al tuo e al mio Dispositivo elettronico. I cookies sono "soltanto" l'esempio più popolare di questa categoria, ma non l'unico caso rilevante.

Con il Modalità di consenso Google, Google promette che anche Google Analytics può essere utilizzato senza consenso (perché senza cookie) è possibile. Che questo sia sbagliato, lo dimostro con un semplice esempio. Anche senza il modo di consenso, alcune persone utilizzano Google Analytics senza cookie e senza consenso. Ciò non migliora le cose in modo significativo. Forse qualcuno non sa che il modo di consenso di Google contrasta con l'incarico di elaborazione dei dati, perché Google elabora i dati a proprio uso (vgl. Art. 28 DSGVO). L'idiot o la persona responsabile è comunque il gestore del sito web. Volete unirvi agli idioti?

Questo articolo dimostra che Google Analytics effettua accessi al dispositivo dell'utente, i quali richiedono il consenso. La normativa giuridica in merito è molto semplice.

Al di là di questo piccolo problema, che chiamerò qui sotto, si fa riferimento a ulteriori problemi giuridici con Google Analytics.

Trasferimento di dati negli Stati Uniti

Ecco la traduzione: "Qui sono già state dette molte cose. Anche Google ha detto qualcosa sul trasferimento dei dati negli Stati Uniti:

Per maggiori dettagli si veda un articolo precedente su Google Analytics.

Formazione del profilo utente e riferimento alla persona

Google Analytics è considerato estremamente potente. È quasi impensabile che ciò sia possibile senza la formazione di un profilo degli utenti. La Google Client ID, che Analytics trascina con sé, è un valore di dati personalizzati. Nei dettagli in una indagine di Google Analytics.

Autorità europee per la protezione dei dati personali

Attualmente alcune autorità europee per la protezione dei dati considerano Google Analytics in generale illegittimo o consentito solo con il consenso (in teoria, se lo strumento non fosse comunque incompatibile con la GDPR). Ecco di più su questo:

• Danimarca
• Francia
• Austria
• Italiano
• Germania: C'è stata una dichiarazione? Non ne conosco nessuna che sia analoga a quelle sopra.

E adesso al vero oggetto di questo articolo:

Il motivo per cui Google Analytics richiede sempre un consenso.

Il paragrafo del cookie

Nel TTDSG, il codice di protezione dei dati tedesco che è in vigore dal 01.12.2021, non compare una sola volta la parola Cookie. Da maggio si chiama TDDDG, ma è rimasto uguale. Per tutti quelli che vogliono saperne di più, ecco il § 25 TTDSG, anche noto come regola dei cookie (leggermente abbreviato per una migliore comprensione):

(1) La memorizzazione di informazioni nell'apparecchiatura terminale dell'utente finale o l'accesso a informazioni già memorizzate nell'apparecchiatura terminale sono consentiti solo con il consenso dell'utente finale.
(2) Il consenso di cui al paragrafo 1 non è necessario
1. se l'unico scopo della memorizzazione delle informazioni nell'apparecchiatura terminale dell'utente finale o l'unico scopo dell'accesso alle informazioni già memorizzate nell'apparecchiatura terminale dell'utente finale è la trasmissione di una comunicazione su una rete pubblica di telecomunicazioni; oppure
2. quando la memorizzazione di informazioni nell'apparecchiatura terminale dell'utente finale o l'accesso a informazioni già memorizzate nell'apparecchiatura terminale dell'utente finale è strettamente necessario per consentire al fornitore di un servizio telematico di fornire un servizio telematico esplicitamente richiesto dall'utente.

Riepilogo in relazione a siti web e Google Analytics:

I accessi al dispositivo dell'utente sono consentiti solo senza il consenso se l'accesso è tecnologicamente necessario.

Sezione 25 del Regolamento sulla protezione dei dati personali (TTDSG) in relazione a Google Analytics

L'accesso al mio dispositivo non è necessario affinché Google Analytics possa funzionare. Ciò vale già di per sé, perché Google Analytics non è necessario. Vogliamo essere esatti: neanche per la misurazione delle audience un cookie non è richiesto, come posso attestare oggettivamente (perché tecnicamente dimostrabile) sulla mia esperienza personale.

Per chiarimento: è necessaria l'autorizzazione se non è tecnicamente necessario che

• I dati vengono memorizzati nel dispositivo dell'utente o
• Sui dati nel dispositivo dell'utente viene acceduto.

Digressione: Qual è la differenza nell'accesso al Viewport rispetto all'accesso al Referrer, alla URL attuale o all' indirizzo IP? Il Referrer, l'URL attuale e l'indirizzo IP vengono inviati con ogni richiesta HTTP nei dati del capo HTTP direttamente. Un accesso esplicito a dispositivo non è necessario per questi dati. Al contrario, il Viewport: questo deve essere esplicitamente richiesto dalla pagina web visitata (ovvero dal servizio Google Analytics incorporato in essa). Quindi si verifica un accesso al dispositivo che deve essere legittimato secondo § 25 TTDSG.
In ogni caso la trattazione dei dati, che vengono letti direttamente (Viewport) o indirettamente (Referrer ecc.) dal dispositivo dell'utente, deve essere legittimata in base all'art. 6 comma 1 DSGVO.
La verifica giuridica deve quindi svolgersi così:
1. È previsto un accesso ai dati in base all'art. 25 del TTDSG? Se sì: è esente da autorizzazione. Non ha alcuna rilevanza se i dati sono personali o meno. Perché tutti capiscano, il giudice dell'Unione europea ha letto nuovamente il testo della legge e lo ha esplicitamente stabilito.
2. Dopo (!) che il passaggio di verifica precedente è stato superato con successo, deve essere verificata, in base all'art. 6 comma 1 del GDPR, se la trattazione dei dati è ammissibile. Questa normativa si applica solo ai dati personali. I cookie sono sempre personali, perché sono sempre collegati all'indirizzo IP potenzialmente personale dell'utente o (inoltre), perché contengono identificatori che consentono un riferimento a persona. Ciò si verifica in particolare con gli strumenti di Google, che utilizzano il cookie denominato IDE per assegnare direttamente l'utente a un account Google.

Una autorizzazione è quindi necessaria anche quando non viene salvato nulla, ma si accede a dati sul dispositivo finale che erano già stati salvati lì!

Il cattivo Google lo fa comunque

Ecco un tipico evento di tracciamento di Google Analytics. Questo evento di tracciamento è destinato a inviare i dati raccolti sul visitatore di una pagina web al pool dei dati di Google Analytics.

GET https://www.google-analytics.com/collect?v=1&_v=j98&aip=1&a=829475794&t=pageview&_s=1&dl=https://www.asctechnologies.com/&ul=de&de=UTF-8&dt=BDX – We are the experts for something&sd=24-bit&sr=1696x954&Resolution 1491x331&je=0&_u=YCgAiAABBAAAAAAAIk~&cid=1201829514.1665683574&tid=UA-476697-1&_gid=553010699.1665683574&gtm=2wgaa0NF2377V&gcs=G100&z=1872566096

Stampato in evidenza le parti rilevanti:

• URL: Mostra il servizio di Google Analytics
• Viewport: Dimensione della finestra del browser

La rilevanza del parametro denominato vp viene descritta ufficialmente da Google nella documentazione sul protocollo di misurazione di Google Analytics: „Specifica l'area visibile della finestra del browser / dispositivo“

La dimensione della finestra del browser viene memorizzata nel dispositivo dell'utente. Facciamo il test: riduci la finestra del browser a meno di piena schermata, chiudi il browser, riapri il browser. Se ora la finestra è così grande come prima della chiusura, allora il tuo browser conserva evidentemente le dimensioni della finestra sul tuo computer. Se spegni il computer e lo riaccendi domani, il tuo browser compare nuovamente nella grandezza precedentemente impostata.

Quindi è previsto un accesso al dispositivo finale. L'articolo 25 del TTDSG si applica a tutti i tipi di dati, anche a quelli non personali. Non esiste nemmeno un interesse legittimo in questa normativa giuridica.

Viewport è un valore di dati che può assumere diversi valori. Ma non importa, in quanto nulla al riguardo è previsto dalla legge. Per una piccola analogia si possono citare le indirizzi IP dinamici. In particolare per i collegamenti DSL cambiano continuamente. Il giudice europeo ha stabilito che gli indirizzi IP dinamici sono dati personali. Per chiarire e distinguere dagli indirizzi IP, ancora una volta: per il § 25 TTDSG non importa quali dati vengano accessibili! L'analogia con gli indirizzi IP si riferiva solo a illustrare che anche valori che cambiano possono essere critici o sono sempre secondo § 25 TTDSG.

Riassunto: Google Analytics accede al dispositivo dell'utente, il che comporta sempre un obbligo di consenso.

Inoltre, l'accesso al dispositivo finale è stato anche discusso dalla signora Prof.ssa Weiden alla IDACON 2022 a Monaco di Baviera. La conferenza si tenne il 17 e 18 ottobre 2022. Insieme all'uomo Breyer ho tenuto un intervento sul tema Cloud Computing e la protezione dei dati. Questa mia pubblicazione era stata scritta prima della IDACON, ma non era ancora stata pubblicata, poiché altri contributi erano già in coda.

Esempi di dati in cui non si accede esplicitamente al dispositivo del utente:

• URL attuale: Questa viene inviata con i dati del capo della richiesta HTTP. Il responsabile (ovvero l'amministratore del sito visitato) non accede quindi direttamente al dispositivo.
• L'indirizzo IP del visitatore del sito web: Dito, quindi implicitamente parte dei dati della richiesta HTTP e non un accesso esplicito al dispositivo da parte dell'amministratore
• Risoluzione dello schermo (controversa): Io dico che non è memorizzata nel dispositivo finale, ma da nessuna parte e se lo fosse, solo per comodità nel sistema operativo. Una spiegazione: tenere il cellulare in orizzontale e spegnerlo, tenendo in verticale e accendendo. Ora la risoluzione è ovviamente diversa da quella del spegnamento (se il cellulare ruota automaticamente lo schermo).

Il Modo di Consenso di Google

Un finale con un excursus nel modo di consenso di Google.

Il modo di consenso di Google non è nemmeno utile per i dipendenti del marketing.

_Dimenticate il fing Google Consent Mode. Cosa è il Consenso di Google? Riassunto: se la vostra pagina web utilizza il Google Consent Mode e integra Google Analytics, succede quanto segue:

1. Se l'utente non ha dato il consenso, Google Analytics viene comunque caricato e speriamo che non utilizzi cookie. I dati vengono inviati inizialmente solo a Google. Con grande generosità, i dati aggregati, cioè statistici e quindi falsificati, vengono anche introdotti nel tuo account di Google Analytics.
2. Se l'utente ha espresso il consenso, Google Analytics viene caricato anche in questo caso, ma a seconda della configurazione può essere caricato anche con i cookie. Il tuo account di analisi verrà riempito con dati di alta qualità, proprio come nel classico caso (senza utilizzo del modo di consenso).

La mia opinione al riguardo:

Il guru di analisi web M. Baersch mi ha condiviso la sua valutazione per questo articolo sul modo di consenso Google:

Anche come "persona del marketing" si dovrebbe esaminare criticamente il modo di consenso. Infatti, nonostante il nome innocuo, un'azienda che utilizza Google Analytics o Google Ads Tagging senza l'autorizzazione nel modo di consenso non ha nulla a che fare con il rispetto delle richieste della protezione dei dati o del consenso stesso. I dati raccolti nel modo di consenso si differenziano da quelli raccolti con il consenso solo per un aspetto: l'ID client, con cui i visitatori possono essere riconosciuti tra due accessi alla pagina non è più lo stesso perché non vengono utilizzati cookie per memorizzare questo ID. Quindi è una sorta di "modalità TTDSG" (legge tedesca sulla protezione dei dati) ma non la "modalità di consenso". Senza l'autorizzazione si aspetta che il tracciamento non avvenga – con tutte le sue implicazioni – a ogni accesso alla pagina. Senza che questi dati compaiano direttamente nella superficie di analisi (eccetto in BigQuery), ma solo per modellare le conversioni e colmare la lacuna del tracciamento. Ecco, ad esempio, non è necessaria molta intelligenza artificiale per una Single Page Application (SPA) perché l'ID client rimane sempre lo stesso a causa della mancanza di un nuovo caricamento. Anche un linker delle conversioni che porta con sé le ID dei click dalla pagina d'ingresso alla URL delle conversioni consente una diretta attribuzione delle conversioni alla loro fonte senza bisogno di intelligenza artificiale: tutti i dati necessari sono infatti presenti nei hits che Google chiama "conversion pings" innocui.

In realtà, quindi, al 100% delle chiamate di pagina per il 100% degli utenti che hanno rifiutato l'autorizzazione al tracking, viene ignorata la loro decisione eppure avviene comunque il tracking. Ciò non è un metodo adeguato. Devono essere trovati altri modi per generare feedback per le conversioni se queste sono realmente avvenute senza ignorare le richieste degli utenti dei siti web e affrontando le esigenze di protezione della privacy con metodi inappropriati come il modo di consenso.

Citazione di M. Baersch.

Da sotto l'aspetto del marketing il modo di consenso di Google è quindi il massimo dell'idiozia. Diluisce dati buoni con dati cattivi. Ci sono solo vincitori, e si chiama Google. Forse lasciate perdere il modo di consenso di Google. Forse la vostra sezione marketing capisce cosa sopra è stato scritto.

Come disse un lettore in un commento al mio post:

Il Google Consent Mode è un concetto altrettanto fuorviante come le operazioni speciali militari.

Conclusione

Numerosi motivi giuridici e tecnici dimostrano che Google Analytics è o è illegale in toto o può essere caricato solo dopo l'autorizzazione.

Un esempio semplice mostra che Google Analytics è già obbligatoria per la richiesta del Viewports. Questo accesso non è tecnologicamente necessario e quindi non è esente da autorizzazione.

Se hai l'intenzione di tracciare serveralmente con Google Analytics, ti consiglio di non farlo. O questo approccio è obbligatorio per la raccolta del consenso, o i dati sono così scadenti che altri strumenti come Matomo forniscono risultati molto migliori, senza il bisogno di un consenso e senza problemi legali. Solo grandi aziende potrebbero trarre vantaggio dal server side tracking, ma si farebbero anche più vulnerabili (probabilmente), come dimostra la mia esperienza. Chi fa molto offre molta superficie d'attacco.

La foto del contributo è stata creata automaticamente da un programma informatico.