Numai cine nu a avut acces la internet în ultimul an nu a auzit de GDPR, reglementarea care le dă coșmaruri oamenilor de online și nu numai. Sorin Amzu s-a ocupat în ultimele luni de mai multe implementari de tag-uri conform noilor cerințe și în continuare ne explică ce trebuie să facem în Google Tag Manager, Google Analytics, Google Ads și Hotjar pentru a fi conformi cu noul regulament european.

Articolul nu se dorește a fi unul complet și nu ține loc de consultanță juridică, ci doar explică modul în care pot fi implementate setările existente în prezent pentru protecția datelor în instrumentele menționate. Opiniile menționate îi aparțin autorului.

Intro: Ce înseamnă GDPR, pe scurt

General Data Protection Regulation reprezintă o modificare importantă a legilor de protecție a datelor cu care am fost obișnuiți până acum. GDPR a intrat în vigoare odată cu Regulamentul UE 679/2016. Magnitudinea schimbărilor – atât pentru afaceri mici și medii, cât și pentru corporații – este majoră și nu poate fi subestimată.

În contextul GDPR, a devenit mult mai importantă definiția datelor personale. Ce identifică cu adevărat un individ? Înfățișarea? Numele? Adresa IP? Pe scurt: da. Câteva categorii de date personale cu care trebuie să avem mare grijă la adunare, stocare și procesare:

  • Date geo-/demografice: Data nașterii, localitatea în care trăiește, etc.
  • Date legate de înfățișare: Înălțime, greutate, culoare ochi, etc.
  • Date legate de locul de muncă: Post, salariu, datorii față de stat, etc.
  • Elemente genetice și biometrice: sex, probleme medicale, etc.
  • Date sensibile de altă natură: religie, convingeri politice, etc.

Setări Google Tag Manager

DPA, Anonimizare

Google Tag Manager poate fi utilizat pentru a integra un script de GDPR de tipul Cookiebot, OneTrust sau Insites.

Recomandarea mea este, totuși, să integrezi una dintre soluțiile de mai sus cu ajutorul unui programator. În implementările noastre pentru clienți, am descoperit că anumite astfel de script-uri erau nenecesar de complexe de integrat prin GTM. Așa că de cele mai multe ori, am folosit soluția de integrare direct din cod.

Există două elemente la care ar trebui să fii atent: noul Data Processing Amendment și Google Tag Manager Use Policy & Terms of Service actualizat.

În primul caz, mergi la Admin – Account – Account Settings. Apoi citește informațiile, apasă Accept și nu uita să finalizezi cu Save. Al doilea caz e și mai simplu: dacă continui să utilizezi Google Tag Manager, accepți automat termenii de utilizare. Deci nu trebuie să faci nimic în plus.

Tot în Tag Manager ar trebui activată anonimizarea (respectiv pseudo-anonimizarea IP-urilor). Asta înseamnă că IP-urile stocate nu vor mai fi adunate în totalitate. Un IP de genul 12.214.31.144 va fi stocat doar ca 12.214.31.0. Acest lucru se face foarte simplu și îți voi prezenta în continuare 2 metode, în funcție de modalitatea prin care introduci codul de Analytics.

În funcție de tipul de Trigger pe care-l setezi (All Pages sau doar anumite pagini), vei dori să folosești una din cele 2 variante. Dacă ai un Trigger mai complex decât cel clasic, care include cross-domain tracking (de exemplu), vei folosi prima variantă. Pentru ceva simplu, un Analytics setat pe toate paginile site-ului, recomand varianta a doua:

  • Ca setare adaugată direct – Fields to set
    1. În cadrul tag-ului de Google Analyics, apasă pe More Settings – Fields to Set. La Field name introduci “anonymizeIp”, apoi la Value “true” (fără ghilimele)

  • Direct din cod – Custom HTML

A doua variantă este să folosești un cod modificat de tip Global Site Tag, în cadrul căruia introduci “, { ‘anonymize_ip’: true });” (fără ghilimele) după ID-ul de tracking.

Pentru a lua codul în forma Global Site Tag, mergi în Admin în Google Analytics, apoi în zona de Property Settings apeși pe Tracking Info și Tracking Code.

Codul luat de aici va fi adăugat în Tag Manager, folosind formatul Custom HTML. Următorul pas e să editezi puțin codul, adăugând textul menționat mai sus, pentru a activa anonimizarea.

Cum verifici că anonimizarea funcționează?

Cea mai simplă metodă e să instalezi extensia oficiala Google Analytics Debugger pentru Chrome. După ce instalezi extensia, vizitează site-ul în browser. Apasă pe iconița extensiei pentru a o activa.

Apoi apasă CTRL+J și ajungi în Console din Developer Tools sau F12 și apoi intri în tab-ul Console. Acest lucru funcționează și în Firefox!

Aici dai un Search după “anon” și ar trebui să găsești minim 2 referințe la anonimizare, ca în imaginile de mai jos:

Alternativ, poți folosi tab-ul Network. Faci o filtrare printre URL-uri și cauti “collect”, ca parte din script-ul Google Analytics:

Aici trebuie să te uiți după atributul “aip=1” (fără ghilimele). Dacă îl vezi sub această formă, ai activat cu succes anonimizarea. Felicitări!

ATENTIE! Odată activată anonimizarea, vei pierde acuratețea la nivel de oraș în Google Analytics. Dar vei avea în continuare date corecte la nivel de țară și continent.

Setări Google Analytics

Data Processing Amendment, Data Protection Officer, Data Retention Control

În Analytics ai câteva setări pe care trebuie să le faci și câteva câmpuri pe care trebuie să le completezi pentru a te apropia și mai mult de GDPR Compliance. În contul tău de Analytics mergi la Admin – Account Settings. Aici vei găsi informarea despre documentul actualizat Data Processing Amendment. Dacă ai acceptat deja prima variantă a DPA, trebuie doar să dai click pe Updated Amendment, să citești și să fii de acord cu actualizările. Apoi să apeși Save pentru a salva modificările. Este recomandat să mergi un pas mai departe – MANAGE DPA DETAILS. Vei fi dus spre un nou ecran, pentru a defini o organizație în acest scop.

La hover pe zona Legal entities vei putea completa informațiile despre organizație. Iar în partea de jos la Contacts vei desemna persoanele în direcția de DPO (Data Protection Officer). Mai multe informații despre Data Processing de la Google găsești aici.

Mai departe, iți vei îndrepta atenția spre Data Retention Controls. Această noua secțiune îți oferă abilitatea de a seta cât de des se păstrează (respectiv se șterg) datele legate de useri și evenimente. Datele clasice – legate de vizualizări de pagină sau timp per sesiune – nu sunt afectate de aceste setări. Anumite date, aplicând segmente sau creând rapoarte complexe, au de suferit. Ca să evităm și acest lucru, putem păstra datele, astfel încât să nu expire. Tot la Admin, dar de data asta în zona Property Settings, dai click pe Tracking Info și apoi Data Retention.

Mai multe informații despre Data Retention în Analytics găsești aici.

Alte setări

Remarketing în Google Ads

Situația este puțin mai complicată în funcție de locul de unde activezi remarketingul. Poți face asta direct din Google Analytics, ca în imaginea de mai jos:

În Analytics, partea de Remarketing se activează din AdminProperty SettingsTracking InfoData Collection. Click pe ON în dreptul Remarketing și apoi Save.

Daca vrei să faci același lucru din Google Tag Manager, în cadrul tag-ul de Google Analytics, mergi la More Settings, apoi Advertising și setezi ca “True” la Enable Display Advertising Features.

În cadrul GDPR ar trebui să ceri acordul înainte să folosești Remarketing pentru a afișa reclame personalizate. Asta înseamnă că vei crea un tag nou cu codul de Remarketing din Analytics sau AdWords pe care-l vei introduce în Tag Manager. Apoi, va trebui să activezi Tag Manager-ul (cu tot cu tag-ul de Remarketing) doar dacă utilizatorul își dă acordul prin plugin-ul de GDPR implementat în site.

Hotjar

Un instrument foarte popular în zona de Analytics este Hotjar, care oferă Heatmaps, Visitor Recordings, Funnels, etc. S-au pregătit mai bine decât orice companie similară pentru GDPR. Textele și ghidurile sunt foarte prietenoase și e foarte clar ce trebuie să faci.

Hotjar numește anonimizarea pe care o vei activa: Suppresion. Astfel, dacă mergi în setări, apoi Sites & Organizations settings, selectezi opțiunile din cadrul site-ului. Ai 2 elemente în zona de Supression:

Bifează cele 2 opțiuni și aceste date nu vor ajunge pe serverele Hotjar și nu vei avea acces la ele. Apasă apoi Save. Din acel moment, pentru acel site, datele vor fi suprimate în acest mod în toate sistemele care utilizează aceste tipuri de date.

Outro: Considerente și recomandări pentru viitor

GDPR nu a fost primul și nici ultimul regulament strict care a afectat toate tipurile de afaceri din întreaga lume. Se pregătește ePrivacy, un nou regulament focusat pe datele non-personale. Deși pare că nu va intra în vigoare mai devreme de finalul lui 2019, este important să fim vigilenți, să urmărim sursele valide de informații și să pregătim sistemele, pentru a fi și ePrivacy-compliant.

 

Articol scris de Sorin Amzu, Online Performance Manager la Evonomix

Tags: , , , , ,