Bullshit Basics: Il Google Tag Manager non è una domanda cookie-free: un esempio

In molte dichiarazioni sulla protezione dei dati viene affermato che il gestore di tag Google sia una domanda senza cookie. Altre suggeriscono che per l'uso del manager non è richiesta alcuna autorizzazione. Entrambe le cose sono insostenibili. Anche Google fornisce argomenti contro la menzionata affermazione.

Il Google Tag Manager è uno strumento con cui si può gestire l'attivazione di altri strumenti. Al posto dell'attivazione, si potrebbe parlare anche del ricollegamento di altri strumenti. Spesso viene utilizzata la sigla GTM per il Google Tag Manager.

Il Tag Manager di Google viene inserito tramite un Scrittura e una variante per sistemi con il JavaScript disabilitato. Spesso si trova un codice del genere:

<script>
(function(w, d, s, l, i) {
w\[l\] = w\[l\] || \[\];
w\[l\].push({ 'gtm.start': new Date().getTime(), event: 'gtm.js' });
var f = d.getElementsByTagName(s)\[0\],j = d.createElement(s),
dl = l != 'dataLayer' ? '&l=' + l : '';
j.async = true;
j.src = 'https://www.googletagmanager.com/gtm.js?id=' + i + dl;
f.parentNode.insertBefore(j, f);
})(window, document, 'script', 'dataLayer', 'GTM-XXXXXXXX');
<iframe src="https://www.googletagmanager.com/ns.html?id=GTM-XXXXXXX" height="0" width="0" style="display: none; visibility: hidden;"></iframe>

Il componente script è la logica per caricare lo script di Tag Manager denominato gtm.js. In esso vengono impostati alcuni parametri. Sotto segue in un tag IFRAME una logica per attivare il Tag Manager, se JavaScript nel browser dell'utente è disabilitato.

Prima di chiarire le malintesi, ecco la prima malintesa. Molti credono che Google non riceva mai dati personalizzati tramite il GTM, ma questo è falso. In realtà: Per Google, l'indirizzo IP tuo e mio potrebbe essere sempre considerato personale. Il GTM riceve sempre l'indirizzo IP tuo e mio quando visitiamo siti che utilizzano il GTM. Purtroppo le spiegazioni di Google sono formulate in modo tale da ammettere implicitamente che i dati raccolti vengono utilizzati per scopi propri, quindi il GTM sarebbe già obbligatorio solo per questo motivo.

Frequenti malintesi sul Tag Manager

Come si può vedere, il Tag Manager viene caricato dalla domanda googletagmanager.com. Una domanda può essere teorizzata senza cookie. Un tool come domanda da indicare è in sé sbagliato.

Una domanda come Cookieless è una affermazione molto audace. Questa affermazione può essere vera solo se si intende benevolmente. Una domanda in sé non è un gestore di cookie. Al contrario, tutte le pagine web presenti su questa domanda e i file esterni caricati da siti terzi possono essere gestori di cookie. Chi si assume il diritto di conoscere tutte queste pagine web e file deve avere una conoscenza molto approfondita.

Una dominio non può gestire i cookie da sola. Ciò che possono fare sono le file che si trovano all'interno di questo dominio. Se si escludono le configurazioni del server web, solo le file che eseguono la logica del programma possono gestire i cookie. Con "gestione" intendiamo qui l'elaborazione, lettura, modifica e cancellazione dei cookie.

Il Google Tag Manager non è una domana senza cookie. Per dirlo meglio:

Dalla domanda googletagmanager.com vengono caricati i cookie!

Indagine sul Google Tag Manager nei siti web che lo utilizzano (fonte: dr-dsgvo.de) nonché dichiarazione di Google (luglio 2021).

Il gestore di tag Google carica direttamente i cookie

Sì, avete letto bene. Non credere a quello che dicono gli altri! Questa sezione mostra perché i cookie vengono caricati quando il Google Tag Manager viene inserito in una pagina web.

I cookie esistono ciascuno all'interno di una dominio (a seconda della configurazione anche nelle sottodominio). In modo che quando si richiama il Google Tag Manager i cookie vengano trasmessi, deve quindi essere presente un cookie nella dominio googletagmanager.com o essere stato generato nuovamente dal Google Tag Manager.

Quindi basta che una sola pagina web esista a livello mondiale nella domanda o in una sottodominio, e che si imponga un cookie. Stiamo parlando solo di cookies persistenti, quindi di cookies duraturi. I cookies di sessione sono più irrilevanti (ma possono comunque causare problemi sotto determinate condizioni).

Ecco il prova che al momento dell'integrazione del gestore di tag Google vengono caricati i cookie:

Il video mostra come il "Nudo" Tag Manager viene caricato, quindi senza che altri strumenti vengano caricati dal Tag Manager (che altrimenti potrebbero essere responsabili delle elaborazioni dei dati successivi). Tuttavia, quando si richiama il Tag Manager, un cookie viene trasferito. Poiché il cookie viene inviato già con la carica del GTM, è in effetti irrilevante se il GTM carichi ulteriori strumenti o meno, poiché il cookie era già presente al momento della richiesta del GTM!

Nota bene, tutto ciò che è stato mostrato nel video è avvenuto senza il consenso. Non c'è nemmeno una richiesta di consenso sul sito web mostrato. Il sito web mostrato è stato scelto casualmente. Ci sono molte altre pagine web che utilizzano Tag Manager e che presentano lo stesso comportamento.

Per la reproduzione del comportamento mostrato nel video, si deve fare il seguente in Mozilla Firefox:

1. Visita un sito web che si trova sulla domanda googletagmanager.com o una sottodomana di essa e crea un cookie
2. Per seguire il traffico di rete nel browser premere la tastiera F12 per aprire la console dello sviluppatore. Lì cliccare sul sottocartellino Netzwerkanalyse.
3. Visita un sito web che utilizza il Google Tag Manager.
4. Cliccare su una richiesta di rete che carica il Google Tag Manager, quindi cercare gli elementi con googletagmanager.com.
5. Cliccare a destra sulla console sul raccoglitore di carte Cookies. I cookie mostrati in quel punto sono stati trasmessi al caricamento del Tag Manager.

Il gestore di tag Google utilizza cookie diretti

Mi riferisco a una dichiarazione ufficiale di Google del fine luglio 2021. Google dice addirittura che, tramite il Preview and Debug Mode del Tag Manager, vengono impostati i cookie.

Un amministratore utilizza ora il Modo di schiuma anticipata, quindi, secondo Google, tre cookie di Tag Manager vengono trasferiti sul dispositivo e sono associati a googletagmanager.com. Più tardi, quando l'amministratore visita qualsiasi sito web che integra il Tag Manager, i cookie del Vorschaumodus verranno inviati a Google.

Questo non si applica a tutti gli utenti di un sito web, ma solo agli Amministratori del Tag Manager che utilizzano il modulo di anteprima e debug. Tuttavia, ciò che peggio è che con i cookie in questione è possibile fare una conclusione precisa e specifica sulla persona. Infatti, i cookie in questione contengono informazioni che consentono di risalire a un account Google, il quale a sua volta consente di fare delle conclusioni precise su una singola persona.

I gestori di tag dei Google possono impostare cookie

Se lo si considera con attenzione, e questo fanno volentieri gli avvocati che criticano le informazioni sulla protezione dei dati, allora è anche rilevante per la domanda se il Google Tag Manager sia una domain senza cookie.

Con un Custom Html Tag, cioè un tag creato da sé stesso, il Tag Manager può essere messo nella condizione di impostare i cookie. Ecco un esempio:

Nella fonte indicata si trovano ulteriori descrizioni in merito. Il Tag Manager può quindi impostare da solo i cookie.

Si tenga presente che con il codice mostrato viene creato un cookie sulla domanda della pagina web attualmente visitata. Tuttavia, ciò può essere dimostrato da solo per dimostrare che il Tag Manager non è una domanda senza cookie, poiché il Tag Manager è un servizio e questo non è senza cookie, come mostrato più volte in precedenza.

Errori comuni al gestore di tag

Sulla numerose pagine web viene utilizzato il Google Tag Manager, ma nella Dichiarazione di protezione dei dati non viene neanche menzionato una parola. Spesso viene nominato in un finestra di conferma, anche se si afferma che non utilizzi i cookie. Questa menzione sarebbe di per sé nulla di male, ma anzi da accogliere con favore. Tuttavia, le cosiddette piattaforme di gestione del consenso si concentrano sui cookie, il che è in sé sbagliato.

Se un tool viene utilizzato, deve essere spiegato secondo articolo 13 GDPR. Ciò deve avvenire almeno nella dichiarazione di protezione dei dati. Se si verifica una richiesta di cookie che dovrebbe chiamarsi richiesta di consenso, la spiegazione del tool dovrebbe anche essere presente in quel caso, comunque almeno in forma sufficiente. La spiegazione complessiva può poi avvenire nei suggerimenti per la protezione dei dati.

Un tool non spiegabile è in sé sbagliato, a meno che si tratti di un servizio tecnico necessario per cui non ci sono ulteriori norme da rispettare (cosa da verificare nel singolo caso). È anche sbagliato utilizzare il termine "Google" come fornitore di un tool. Cosa significa infatti "Google"? Qual è l'indirizzo completo di "Google" e quale è la forma giuridica di "Google"?

Non di rado le pagine web chiedono il consenso per certi strumenti. Tuttavia, già prima che venga concesso il consenso, si verifica un processo di caricamento durante il quale è coinvolto Google Tag Manager.

Poiché il Manager dei Tag carica altri strumenti, molti strumenti di consenso si confondono tra loro. Ecco ancora un motivo in più per non utilizzarli! Ad esempio, se il Manager dei Tag carica il servizio Google Analytics, vengono impostati cookie da parte di Google Analytics attraverso il canale dati aperto dal Manager dei Tag.

Ecco un esempio di una richiesta di consenso in pratica da un sito web di un noto' azienda tedesca:

In questo piccolo disegno esistono più evidenti difetti:

1. I cookie _ga e _gat sono associati al Tag Manager, nonostante appartengano a Google Analytics. La dichiarazione di protezione dei dati contraddice questa affermazione: „Il servizio Google Tag Manager stesso (che implementa le etichette) è una domain senza cookie e non raccoglie alcun dato personale.“ Come si può vedere, ci sono almeno due false affermazioni.
2. Come fornitore viene chiamato "Google Tag Manager". Chiunque conosca le norme del Codice dei servizi di comunicazione elettronici per la dichiarazione dei fornitori ammetterà che qui non c'è una dichiarazione conforme al diritto (anche al di fuori del CSEC).
3. Il termine "svolgimento" suona più come un lavandino. Non è di facile comprensione per tutti.
4. La denominazione "Tipo: cookie HTTP" non è comprensibile a tutti.
5. La descrizione del cookie _gat è assolutamente inutile e generalmente non comprensibile.

Se si esplorasse ulteriormente il popup di consenso, il sito web e la dichiarazione dei dati personali, probabilmente si troverebbero almeno il doppio di errori. Perché lo affermo, si può leggere nella mia indagine Cookiegeddon – l'insuccesso di tutti (?) strumenti di consenso.

Mancanza di interesse legittimo

Certo, dico che non c'è un giusto interesse a caricare il Google Tag Manager senza consenso. Motivi:

1. Quando viene caricato il GTM, per caricare ulteriori strumenti obbligatori di consenso, è necessario comunque un consenso. Con ciò si può caricare il GTM dopo che il consenso è stato dato dall'utente.
2. Caricare solo GTM senza che questo carichi altri servizi non ha alcun utilizzo funzionale.
3. Naturalmente ogni strumento può essere caricato anche senza il GTM. Ciò richiede solo una logica JavaScript che non deve essere più complessa di quella inserita nel GTM.

Chi pensa che sia meno faticoso gestire un caricamento con il GTM per altri servizi rispetto a farlo senza, potrebbe avere ragione. Se però si cerca un parcheggio decente come automobilisti, è più sforzo lasciare male parcheggiare piuttosto che fare così. Tuttavia, nessuno deve parcheggiare male ad hoc, anche se è meno faticoso.

Sostengo, e posso dimostrare anche tramite programmazione, che l'impiego del Google Tag Manager è spesso più impegnativo rispetto alla semplice programmazione del comportamento desiderato attraverso istruzioni JavaScript dirette. Anzi (o proprio per questo), gestire uno strumento di consenso insieme al Google Tag Manager è possibile senza il Tag Manager. Basta pensare alla data-src Direttiva.

Chi calcola effettivamente il lavoro aggiuntivo per includere la creazione di una corretta dichiarazione dei dati e la scoperta dell'azienda che fornisce il servizio e di cosa fa con i dati ricevuti? Inoltre, si aggiunge l'impegno per rispondere alle richieste degli interessati, come me, perché credono che molti non prendano sul serio la protezione dei dati. Una dichiarazione dei dati al Tag Manager abbastanza inattaccabile è rara. Anche considerare le numerose condizioni legali per il GTM porta a un aumento di lavoro difficile da gestire. Un futuro contributo mio esplora questo aspetto.

Conclusione

Questo articolo è stato scritto da me per smentire più volte l'affermazione che il GTM sia una domanda senza cookie. Come dimostrato, possono essere trasferiti cookie al caricamento del Tag Manager. Se questo processo avviene, il Tag Manager è soggetto a un obbligo di consenso, prima di poter essere caricato. Ciò deriva da §15 comma 3 TMG e Art. 5 comma della direttiva ePrivacy. Una derivazione più dettagliata si trova sul mio sito web in diversi altri articoli.

Il legittimo interesse può essere escluso perché l'impiego del Tag Manager senza il ricollegamento di strumenti appare inutile e gli strumenti che non richiedono la preventiva autorizzazione possono essere caricati anche senza il Tag Manager. Il GTM richiede invece un notevole aumento di lavoro, se si vogliono rispettare le condizioni legali di Google e da altre normative sulla protezione dei dati.

Inoltre, un obbligo di consenso può essere derivato dal fatto che gli indirizzi IP vengono trasferiti a "Google" come dati personali. "Google" è un termine che descrive un gruppo multinazionale operante in tutto il mondo, con sede apparentemente negli Stati Uniti. Gli Stati Uniti sono un paese terzo non sicuro (vedere sentenza Privacy Shield). Le dichiarazioni della società Google su Google Analytics suggeriscono che l'uso del Google Tag Manager comporta probabilmente la raccolta di dati negli Stati Uniti.

Aggiornamento: Al momento dell'utilizzo del Google Tag Manager l'azienda Google LLC si occupa della gestione dei dati. Ciò risulta dalle "condizioni di trattamento dei dati per i prodotti pubblicitari Google" (vedi https://privacy.google.com/businesses/processorterms/), che valgono anche per il Google Tag Manager (vedi le condizioni d'uso del Google Tag Manager in https://marketingplatform.google.com/about/analytics/tag-manager/use-policy/, da accettare al momento della creazione di un account di GTM), quindi esiste una possibilità legale di accesso dagli Stati Uniti.

Il requisito di consenso per il gestore dei tag di Google può essere dedotto da diverse ragioni. Nel relativo articolo, affronto anche la trasmissione dei dati attraverso Google LLC e la trasmissione dei dati negli Stati Uniti a causa delle condizioni d'uso di Google.

Un contratto di servizi di valore aggiunto (DPA) legittimo con Google non può essere completato, secondo la mia valutazione , anche perché Google si avvale di centinaia di fornitori di servizi da decine di paesi in tutto il mondo con un livello di protezione dei dati dubbia (vedi https://privacy.google.com/businesses/subprocessors/). Questo indirizzo URL è collegato alle condizioni del contratto DPA precedentemente menzionate. Inoltre, la dichiarazione sulla protezione dei dati valida per il GTM afferma che Google utilizza i dati raccolti per scopi propri (tecnicamente non necessari), il che va contro un DPA. ([1])

Articoli successivi:

• Basi fondamentali di menzogne: I cookie sono nessun tipo di file testuale
• Basici di Bullshit: Cookiegeddon – l'insuccesso di tutti (?) gli strumenti di consenso
• Cookies: Fondamenti e rilevanza della GDPR
• Gestore dei tag: Alternativa rispettosa della privacy al gestore dei tag
• Raccolta dei dati sul lato server

Ulteriori informazioni e una discussione sul Google Tag Manager nel podcast privacy Deluxe: