Tracciamento lato server al servizio della conformità

Da allora, come ha reagito il mercato e quali soluzioni sono emerse?

‍

Nonostante il rischio legale che gli utenti di Google Analytics stanno affrontando, il mercato non ha ancora abbandonato completamente lo strumento. Nel breve termine, la priorità è stata quella di:

• Verificare la raccolta dei dati e l'implementazione di tutti i meccanismi di sicurezza esistenti;
• Raccogliere le garanzie aggiuntive che consentirebbero di rispondere alle obiezioni della notifica formale. Ciò implica l'elencazione delle garanzie aggiuntive che proteggono dall'esposizione dei dati personali ai sensi del FISA 702;
• Analizzare gli strumenti di analisi alternativi e documentare i piani di migrazione per poterli attivare rapidamente.

A lungo termine, la soluzione più stabile deve essere una regolamentazione che vada ben oltre Google Analytics, visto che qualsiasi responsabile del trattamento dei dati personali con sede negli Stati Uniti è potenzialmente interessato (basti pensare a Microsoft, Salesforce e Apple...). Il governo statunitense e la Commissione europea hanno annunciato un accordo di principio su un nuovo quadro giuridico. Tuttavia, quest'ultimo non dovrebbe essere finalizzato, nella migliore delle ipotesi, prima della fine del 2022, e le autorità hanno chiarito che non ci sarà una moratoria fino ad allora. È essenziale monitorare attentamente le soluzioni che riducono al minimo o proteggono i dati personali. Con GA4, Google ha annunciato alcuni passi avanti, come la cancellazione degli indirizzi IP e la riduzione di altre informazioni raccolte. La CNIL non ha ancora commentato questi annunci e non si può dire se saranno ritenuti sufficienti.Come azienda con una presenza online, è indispensabile poter garantire pienamente la privacy. Ciò implica il mantenimento del controllo sui dati inviati a tutte le piattaforme, qualunque esse siano. Questo controllo è descritto dalla CNIL che cita il principio della "prossemica" nel suo articolo in cui spiega perché la versione Universal Analytics di Google Analytics non fornisce una protezione sufficiente. Questo sistema mira a sradicare il legame tra i dati raccolti e il browser, il che ha inevitabilmente un impatto sui casi di utilizzo della pubblicità. Tuttavia, i casi d'uso puramente analitici (conteggio degli utenti o delle sessioni, analisi dei viaggi) rimangono ampiamente fattibili, poiché gli identificatori criptati (che non possono essere decifrati dal fornitore della soluzione) rimangono praticamente stabili per ogni utente. È quindi necessario analizzare il livello adeguato di sicurezza che si adatta al vostro particolare contesto. In quest'ottica, fifty-five sta sviluppando dal febbraio 2022 una proposta tecnica basata sul lato server. Agendo come un server "cuscinetto" tra i browser degli utenti e gli strumenti di misurazione finali, il Tracking lato server fornisce ai gestori dei siti web il controllo sui dati raccolti, per esempio:

• Per poter nascondere l'IP dell'utente;
• Per crittografare, con chiavi sconosciute all'editor della soluzione, gli identificativi dei cookie e altri identificativi specifici del sito web (identificativi delle transazioni, numero di conto CRM...);
• Ridurre al minimo i dati che, una volta incrociati con questi identificatori, permetterebbero di isolare una persona, come ad esempio il numero di versione del browser.

La scelta del cloud provider che ospita questo server "buffer" dipende da diversi fattori:

• Familiarità dei team tecnici con le tecnologie sottostanti;
• Livello di copertura fornito dai redattori per quanto riguarda la FISA;
• Misure tecniche che consentono il controllo totale ed esclusivo delle chiavi di crittografia.

Abbiamo realizzato implementazioni di riferimento che possono essere facilmente attivate dai principali provider (GCP, AWS, Azure e OVH). Questi ultimi hanno tutti sede negli Stati Uniti, ma la localizzazione dell'elaborazione dei dati è garantita contrattualmente. Specificheremo l'approccio tecnico e le caratteristiche di ciascun cloud per questo tipo di progetto in uno dei prossimi articoli di Tea House . Focus: lato server e crittografia per garantire la conformità

Per quanto riguarda il caso specifico di Google Analytics 4, il miglior approccio a breve termine rimane l'attivazione delle funzioni di privacy native di Google Analytics (vedi qui). A nostro avviso, tuttavia, l'aggiunta di un'infrastruttura lato server è fondamentale per il pieno controllo del trasferimento dei dati personali nel lungo periodo. Inoltre, tale infrastruttura è vantaggiosa in termini di sicurezza e di esperienza dell'utente (si veda il nostro webinar sull'argomento con CommandersAct). Sebbene le recenti decisioni della CNIL interferiscano fortemente con il tracciamento dei dati analitici di prima parte attraverso gli strumenti americani, riteniamo che vi siano modi per renderlo fattibile. Non fraintendetemi: l'aspetto più esposto del marketing è quello dei dati di terze parti, visto che questi tracker universali e indebitamente sensibili sono destinati a essere abbandonati e a lasciare il posto a coorti o "argomenti" combinati con la modellazione. Se da un lato consente all'industria pubblicitaria di prepararsi meglio, dall'altro il fatto che la fine dei cookie di terze parti su Chrome sia stata posticipata al 2024 ha lo svantaggio di prolungare questi scambi transatlantici di pubblicità personale, oltre al rischio legale che ne deriva. La situazione attuale non è altro che una transizione verso un tipo di marketing digitale più attento alla privacy dei dati.