A utilização do Google Analytics está vinculada a determinadas condições com o RGPD (Regulamento Geral de Proteção de Dados). A proteção de dados e o Google Analytics estão num campo de tensão há algum tempo. O mais tardar desde a decisão do TJCE sobre o rastreio, foi concedido um opt-in para o Google Analytics. Neste contexto, a questão do processamento de cookies do Google Analytics é importante. Com a integração legalmente conforme do Google Analytics, encontrará apoio de fornecedores de gestão de consentimento (CMPs). Com soluções de consentimento para cookies, você contribui para a proteção de dados no Google Analytics.
Google Analytics num ápice: Importância da proteção de dados
A maioria dos sites maiores depende de ferramentas de análise para tirar conclusões sobre o comportamento dos visitantes. De longe, a ferramenta de análise de utilizadores mais popular é o Google Analytics. Como se pode ver de várias estatísticas, esta ferramenta é usada em cerca de metade de todos os websites, dependendo da pesquisa. Por um lado, esta popularidade deve-se ao facto de a Google ter acesso a uma quantidade particularmente grande de dados dos utilizadores . Por outro lado, a popularidade decorre do facto de uma grande variedade de funções do Google Analytics ser gratuita para todos os utilizadores .
O Google Analytics utiliza cookies para avaliar os dados dos utilizadores. Estes pequenos ficheiros são armazenados no browser do visitante. Os utilizadores têm inúmeras opções para recolher diferentes dados de acordo com as definições adaptadas. O Google Analytics permite então que os operadores do website preparem e avaliem os dados de acordo com vários parâmetros. Nesta base, figuras-chave valiosas, tais como visualizações de página, comportamento do utilizador ou duração da estadia na página podem ser rastreadas. O Google Analytics também permite acompanhar de perto as ações individuais, incluindo subscrever uma newsletter ou descarregar determinados ficheiros. As opções de rastreio de conversão podem ser usadas para ver em que pontos os visitantes se tornam clientes. Isto revela potencial de otimização e contribui para uma melhoria contínua do desempenho da página.
Do ponto de vista da proteção de dados , as grandes quantidades de dados que o Google Analytics recolhe e avalia devem ser avaliados criticamente. Os protetores de dados queixam-se, em particular, do armazenamento e transmissão de endereços IP completos de visitantes à Google (diretamente para os EUA). Além disso, os defensores da privacidade criticam que a Google não ofereça informações suficientes no âmbito dos seus regulamentos de proteção de dados sobre quais os dados do visitante da página que são recolhidos, armazenados e transmitidos .
Precisamente por causa do acesso a muitos dados dos utilizadores, a proteção de dados no Google Analytics tem sido há muito controversa. Com a entrada em vigor do RGPD (também RGPD: Regulamento Geral de Proteção de Dados) e ainda mais desde que o TJCE decidiu sobre cookies de 2019, a utilização legalmente segura do Google Analytics está vinculada a determinadas condições. Na ausência de coordenação do Google Analytics com o RGPD, os operadores do site estão ameaçados com a consequência de advertências ou multas sensíveis.
Google Analytics: Fundo jurídico (decisão do RGPD e do TJE)
Uma coordenação do Google Analytics com o RGPD tornou-se indispensável o mais tardar desde a entrada em vigor deste último. As autoridades de proteção de dados já ameaçaram os operadores do website com multas por utilizarem esta ferramenta no passado. Antes do RGPD, o Google Analytics também poderia ser usado sem consentimento, desde que apenas alguns requisitos fossem cumpridos (por exemplo, anonimização IP e contrato AV). Associada ao RGPD estava a esperança de que a questão do consentimento apenas encontrasse o seu regulamento com o Regulamento de EPrivacy . Até então, os operadores de websites quiseram confiar no “interesse legítimo” de acordo com o Art. 6 para. Um iluminado. f RGPD.
Uma mudança importante veio com a decisão do TJCE de 2019 no caso Planet49 (Az.: C-673/17). O acórdão é acompanhado de informações claras sobre o consentimento para a utilização de cookies e outros cookies do Google Analytics. O design do consentimento deve ser tal que os visitantes devem, em primeiro lugar, consentir expressamente na utilização dos cookies do Google Analytics. Portanto, o Google Analytics depende do opt-in : Os utilizadores devem primeiro concordar voluntariamente antes mesmo de um operador ser autorizado a recolher e processar cookies do Google Analytics. Existe uma exceção no que diz respeito aos cookies, que são absolutamente necessários para o funcionamento técnico do site.
No seu acórdão, o TJCE salientou que o Regulamento de EPrivacy (art. 5.º, para. 3) já previa o consentimento mesmo em cookies que não são absolutamente necessários. As declarações comparáveis do TJCE já são conhecidas da lei anterior.
Os requisitos legais para a utilização de cookies do Google Analytics foram reavaliados por decisão de 12.05.2020 pelo Comité de Coordenação das Autoridades Alemãs de Supervisão da Proteção de Dados (DSK ). Com esta decisão, existe também um complemento à orientação dos fornecedores de telemédia. Este guia explica várias configurações para a utilização do Google Analytics no sentido de utilização legalmente conforme.
Utilização legalmente conforme do Google Analytics: Medidas para operadores de websites
Quem continuar a contar com o Google Analytics como operador de websites, por exemplo no sector dos media ou no e-commerce , é bem aconselhado a implementar determinadas medidas que garantam a segurança jurídica da ferramenta de rastreio.
Garantir a transparência nos regulamentos de proteção de dados
Os operadores do website devem fornecer informações completas sobre a utilização e tratamento de dados pessoais nas regras de proteção de dados . Esta transparência deve ser assegurada em conformidade com o RGPD do artigo 13º para que o Google Analytics possa ser coordenado com o RGPD.
No que diz respeito aos requisitos específicos da obrigação de fornecer informações, os peritos em matéria de proteção de dados referem-se à orientação relativa à transparência do Conselho Europeu de Proteção de Dados. Ao adaptar a declaração de proteção de dados, tendo em conta os requisitos do DSK nos termos dos pontos 12 e 13 do RGPD, deve ser especificado, pelo menos, o seguinte conteúdo de informação: O âmbito da recolha de dados deve ser claramente comunicado. Além disso, a declaração de proteção de dados deve fornecer informações sobre a base jurídica em que a recolha de dados ocorre. Da mesma forma, deve ser explicado na política de privacidade, a fim de
que período de armazenamento dos dados são. Neste contexto, o
São divulgados critérios para determinar o período de armazenamento . Do mesmo modo, a declaração de proteção de dados deve indicar o direito de retirada e a sua aplicação.
Encurtar o endereço IP
Como mais uma medida para coordenar o Google Analytics com o RGPD, os operadores de um website devem usar esta ferramenta de rastreio para encurtar o endereço IP. Isto pode ser feito adicionando o comando “_anonymizeIp_anonymizeIp)” ao código de rastreio. Isto refere-se a qualquer website que tenha uma integração no Google Analytics. Os detalhes técnicos sobre este tipo de encurtamento de endereço IP podem ser encontrados diretamente num manual na página de Desenvolvedores da Google.
O encurtamento do endereço IP é uma medida importante para proteger os utilizadores de acordo com o art. 25 para. 1 RGPD. No entanto, o simples encurtamento do endereço IP não é suficiente para garantir o tratamento anónimo de dados. Além do endereço IP puro, a aplicação do Google Analytics está associada à recolha de inúmeros outros dados de utilização. Isto inclui dados pessoais, como os utilizados como funcionalidades de identificação dos utilizadores (por exemplo, no sentido de se ligarem a uma conta google existente).
Portanto, mesmo depois de o endereço IP ter sido encurtado, devem ser observados outros requisitos para coordenar o Google Analytics com o RGPD. Do mesmo modo, na referida declaração de proteção de dados, deve ser dada uma nota sobre se foi iniciada uma redução do endereço IP.
Determinação do período de retenção dos dados
No sentido da coordenação do Google Analytics com o RGPD, ainda é necessário especificar exatamente qual o período de retenção fornecido para os dados. O Google Analytics inclui certos controlos para armazenar os dados. A definição por defeito é concebida de forma a que os dados dos utilizadores e os dados do evento sejam automaticamente armazenados durante 26 meses. Frequentemente, o botão “Reset on new activity” é desativado nas definições predefinidas. Para coordenar o Google Analytics com o RGPD (ver Art. 25: Proteção de dados através do design da tecnologia), este botão deve ser desativado. O período de retenção dos dados deve ser limitado a 14 meses.
Para alterar o período de retenção dos dados, o imóvel a editar deve ser selecionado no separador “Administração”. Na coluna correspondente “Propriedade” em “Tracking Information – Data Retention” pode es fazer definições durante a duração do armazenamento. Depois de ter sido escolhido um cenário diferente aqui, vale a pena lembrar-se de adaptar a política de privacidade a estas modificações.
Consentimento explícito para a utilização de cookies
Um dos pré-requisitos mais importantes para o design legalmente conforme do uso do Google Analytics é a garantia de um consentimento de cookies bem pensado. O consentimento dos visitantes para a utilização do Google Analytics e cookies deve conter certas informações: em primeiro lugar, a manchete deve ser formulada de forma clara e inequívoca. Deve demonstrar que o utilizador consente no tratamento de dados pela Google após o seu consentimento. Além disso, os utilizadores devem ser informados de que os dados pessoais, bem como os dados sobre o comportamento de utilização no site, são transmitidos à Google como parte do processamento de dados. Da mesma forma, o pedido de consentimento deve conter informações precisas sobre os tipos de dados envolvidos.
Além disso, a informação é relevante para que o tratamento dos dados recolhidos seja realizado principalmente pela Google . Sublinhe-se que o operador do website não tem qualquer influência no tratamento de dados a este respeito. O Google processa os dados para os seus próprios fins (por exemplo, perfis).
Além disso, é importante saber se os dados recolhidos também podem estar ligados a informações de outras fontes. É igualmente necessário fornecer informações sobre se os dados são armazenados nos EUA e se as autoridades estatais podem ter acesso a estes dados.
Requisitos técnicos de consentimento e revogação
Além disso, a opção de consentimento não deve constituir um consentimento abrangente para a utilização de cookies. Um importante pré-requisito técnico para o consentimento é o envolvimento ativo do utilizador. O utilizador deve ter a oportunidade de consentir ativamente a utilização dos dados. Isto exclui caixas pré-assinaladas ou caixas de verificação!
Associado a isto está o pré-requisito para que a ferramenta de rastreio e os cookies correspondentes do Google Analytics só possam tornar-se ativos depois de os utilizadores terem consentido ativamente. Os cookies do Google Analytics podem não ser definidos previamente.
Os dados só podem ser recolhidos depois de os utilizadores terem assinalado ativamente a sua caixa . Além disso, este consentimento deve ser voluntário. Isto também inclui a possibilidade de os utilizadores recusarem o consentimento a qualquer momento.
Além disso, deve ser tecnicamente assegurado que os utilizadores não sofram quaisquer desvantagens em caso de não consentimento. Para garantir e implementar o consentimento, os utilizadores devem ser fornecidos com soluções técnicas claras e fáceis de utilizar. As ferramentas de consentimento oferecem uma maneira de fazer isto. Mesmo depois de o consentimento já ter sido dado, eles devem oferecer a possibilidade de revogar este consentimento a qualquer momento. Em todas as apps ou soluções de consentimento para cookies, também deve haver uma opção facilmente acessível para uma revogação eficaz nas configurações.
Basicamente, o Google oferece um addon de navegador, que consegue a desativação do Google Analytics. Há que ter em conta que não basta encaminhar os utilizadores para este complemento. Isto não oferece aos utilizadores uma possibilidade suficiente de revogação. De acordo com o Art. 7 para. 3 p.4 RGPD, a revogação do consentimento deve ser tão simples como o consentimento. O addon da Google não satisfaz estes requisitos, uma vez que requer que o utilizador descarregue um programa sob a forma do addon.
Importância do processo de opt-in
O consentimento ativo e explícito para a utilização de cookies do Google Analytics também é conhecido como um procedimento de opt-in. O desenho do consentimento para a utilização deve ser concebido como um verdadeiro opt-in do Google Analytics o mais tardar desde a decisão do TJCE sobre os cookies. Em princípio, desde as diretrizes da UE em matéria de proteção de dados de 2009, foi previsto que os utilizadores do website sejam solicitados o seu consentimento. No entanto, até agora, muitos operadores interpretaram este consentimento como um opt-out. Na prática, isto significa que os cookies são recolhidos sem a intervenção do utilizador. Os visitantes têm apenas a opção de impedir a recolha de cookies. De acordo com o acórdão do TJCE sobre cookies, um website pode deixar de definir cookies antes do consentimento expresso e ativo do visitante . Isto significa que os cookies do Google Analytics só podem ser definidos depois de o visitante optar por eles (opt-in).
CMP: Soluções de Gestão de Consentimento para Websites e Seus Benefícios
É importante que os operadores de websites e empresas criem acordos oportunos para um consentimento eficaz para a utilização do Google Analytics. Por um lado, os banners de gestão de consentimento informam os utilizadores de forma abrangente sobre a utilização dos dados e, ao mesmo tempo, pedem-lhes consentimento.
A implementação técnica de uma gestão de cookies legalmente conforme beneficia do chamado consentimento
As soluções. Um bom gestor de consentimento tem em conta tanto os requisitos do RGPD como o acórdão do TJCE, bem como uma experiência positiva do utilizador. Entre os aspetos mais importantes de uma experiência positiva do utilizador estão uma elevada duração de estadia e uma elevada taxa de aceitação. Por conseguinte, a taxa de resalta ou a taxa de resaltam devem ser mantidas o mais baixo possível. Boas soluções de gestão de consentimento ajudam a aumentar a taxa de aceitação e, ao mesmo tempo, minimizam a taxa de resalto. Desta forma, asseguram um bom desempenho do website e fazem a sua contribuição para a aquisição de clientes e fidelização do cliente.
Uma solução de gestão de consentimento bem pensada fornece uma visão geral em tempo real das taxas de aceitação e de ressalto. Isto permite extrair conclusões valiosas sobre o desempenho atual do website e o potencial correspondente de melhoria.
As soluções de consentimento são orientadas internacionalmente . O banner apresentado aparece automaticamente na respetiva língua do país na área do RGPD a partir da qual o website é acedido. No total, o provedor de gestão de consentimento exibe a informação em 29 idiomas. Da mesma forma, um design responsivo e adaptação numa solução de consentimento moderna é evidente. A solução de consentimento tem em conta o dispositivo final, o sistema operativo e o tamanho do ecrã e reproduz o banner de consentimento otimizado em conformidade.