Il tuo banner cookie Shopify è conforme al GDPR?
Ecco cosa devi sapere e come verificare la conformità del tuo e-commerce
Le normative sulla privacy, in particolare la Direttiva ePrivacy dell’Unione Europea del 2009 insieme al GDPR del 2018 hanno trasformato radicalmente le relazioni online delle aziende che trattano dati personali di clienti europei.
In questo articolo ci soffermeremo su un particolare trattamento di dati personali che viene effettuato da un sito web, ovvero l’installazione di cookies sul pc dell’utente e la condivisione di informazioni con aziende terze.
Ho un sito Shopify, sono obbligato ad avere un cookie banner?
In che modo il GDPR regolamenta l’utilizzo dei cookie?
In che modo il consenso ai cookie GDPR influisce sul monitoraggio di Google Analytics?
Come deve funzionare il banner di consenso ai cookie?
Cosa sono le Customer Privacy API di Shopify?
Cos’altro deve fare il tuo negozio per conformarsi al GDPR?
Come posso verificare se i cookie del mio negozio Shopify sono conformi al GDPR?
Ho un sito Shopify, sono obbligato ad avere un cookie banner?
Se la tua azienda ha un sito e-commerce, ospitato da Shopify o da un altro fornitore, consapevolmente oppure no stai utilizzando i cookies per tracciare alcune informazioni dei visitatori del tuo sito.
Devi quindi assicurarti che l’utilizzo di questa tecnologia sia conforme alla normativa in vigore nella Nazione dei tuoi clienti. Per i cittadini europei la legislazione di riferimento è il GDPR, in vigore dal 2018, ma deve essere considerata anche la Direttiva ePrivacy del 2009.
Le sanzioni per l’errata conformità al GDPR sono enormi: per le violazioni più gravi possono arrivare fino a 20 milioni di euro o al 4% del fatturato annuo della tua azienda.
Certamente non sarà un caso applicabile alla tua attività, ma essere soggetti a una segnalazione al Garante della privacy o ricevere una lettera da un legale che accusa la tua attività di un trattamento dati illecito o ancora una richiesta di chiarimenti da un visitatore è comunque una seccatura che deve e può essere evitata.
Entriamo quindi nei dettagli cercando di capire come verificare che il tuo negozio sia conforme al GDPR.
In che modo il GDPR regolamenta l’utilizzo dei cookie?
La Direttiva ePrivacy dell’Unione Europea e il GDPR, rendono obbligatorio chiedere agli utenti Internet il consenso, libero e informato, prima di utilizzare i cookie per memorizzare informazioni che rientrano nella sfera dei dati personali.
All’atto pratico, un utente deve acconsentire facendo clic su un banner o un popup dei cookie prima che un sito web possa tracciare la propria attività con gli strumenti di analisi.
Ciò conferisce all’utente anche il diritto di negare il consenso all’utilizzo dei cookie o di interrompere qualsiasi tracciamento (revocando in parte o in toto il consenso precedentemente rilasciato).
In che modo il consenso ai cookie GDPR influisce sul monitoraggio di Google Analytics?
Ogni volta che un utente attiva lo script di Google Analytics da caricare sul tuo sito web, aggiunge un cookie (il cookie _ga) con un identificatore per tracciare l’utente su più pagine e sessioni. Successivamente, ad ogni visualizzazione di pagina ed evento, invia quell’identificatore di cookie ai server di Google.
Perché il sito web sia conforme al GDPR, devi impedire a Google Analytics di aggiungere quel cookie prima che l’utente l’abbia esplicitamente consentito. Nella realtà, molti negozi online tracciano gli utenti mediante Google Analytics prima che questi acconsentano all’utilizzo dei cookie, per non perdere una preziosa attribuzione di marketing non tracciando l’utente.
Lo svantaggio della conformità ai cookie GDPR per le attribuzioni di marketing
Il rispetto del GDPR ha necessariamente una ricaduta negativa riguardo all’attribuzione del marketing.
Ad esempio, se la tua pagina di destinazione contiene parametri UTM nel link per tracciare una campagna e l’utente non acconsente al tracciamento, la fonte della visita dell’utente non viene registrata.
Se l’utente completa il checkout e l’acquisto, il monitoraggio lato server registrerà la vendita senza alcun collegamento alla campagna di marketing che lo ha portato. In Google Analytics, questi utenti “non consenzienti” appariranno nel canale di marketing “diretto”.
In realtà, la maggior parte degli utenti acconsente che i siti mantengano un tracciamento, quindi questa funzione limiterà ma non rimuoverà del tutto le attribuzioni di marketing in Google Analytics o altri strumenti.
Come deve funzionare il banner di consenso ai cookie?
La modalità più utilizzata per ottenere il consenso informato dagli utenti è mostrare loro un cookie banner o un popup che spieghi che il tuo negozio Shopify utilizza i cookie, quindi consentire loro di accettare o rifiutare di essere tracciati.
L’app store di Shopify elenca molte app per generare cookie banner, ma in genere queste si limitano a segnalare che esiste un’attività di tracciamento, con un pulsante di accettazione che si limita a chiudere e non riproporre il banner per le successive visualizzazioni. Per la normativa europea questo è certamente non è sufficiente. All’utente non è permesso di rifiutare in parte o in toto i cookie e questo contraddice esplicitamente quanto richiesto dagli articoli 6 e 7 del GDPR.
Quando un visitatore arriva per la prima volta sul tuo sito Shopify, deve essergli mostrato un banner per l’accettazione volontaria dei cookie e qualsiasi tracciamento o impostazione dei cookie deve attendere.
Se non vogliamo perdere l’attribuzione Analitycs dell’evento, è possibile ricaricare la pagina una volta ricevuto il consenso o meglio ancora attivare il tracciamento in modalità asincrona.
Cosa sono le Customer Privacy API di Shopify?
Per venire incontro alle necessità di tracciamento e gestione del consenso, gli sviluppatori di Shopify hanno creato un’API per la privacy dei clienti con cui le app possono condividere se e quando l’utente ha acconsentito a essere tracciato.
In questo modo è possibile far dialogare le app di monitoraggio con quelle per il consenso ai cookie. Infatti, quando l’utente fa clic per acconsentire o meno, la sua scelta viene condivisa prima con Shopify, quindi con lo script dell’app di monitoraggio.
Cos’altro deve fare il tuo negozio per conformarsi al GDPR?
Molti dei cookie banner installati sui siti Shopify non danno la possibilità all’utente di revocare il consenso o modificare le proprie preferenze dopo la prima pagina.
È necessario invece offrire agli utenti un controllo più preciso su quali cookie vogliono consentire e quando.
La normativa americana CCPA richiede lo stesso trattamento dei cookie?
Il California Consumer Protection Act (CCPA) non richiede il preventivo consenso al tracciamento tramite cookie.
Il CCPA richiede ai negozi di dichiarare quali dati raccolgono tramite i cookie e cosa ne fanno di quei dati (ad esempio tramite una Cookie Policy) in modo che gli utenti possano opporsi alla vendita dei loro dati. Poiché non è possibile vendere dati personali raccolti da Google Analytics, se questo è l’unico metodo di tracciamento il CCPA non si applica.
Come posso verificare se i cookie del mio negozio Shopify sono conformi al GDPR?
Per verificare se il tuo sito ecommerce tratta i cookie conformemente al GDPR è necessario avere familiarità con gli strumenti per sviluppatori di Google Chrome.
Ecco come procedere:
- Apri la home page del tuo negozio in una finestra di navigazione in incognito (per assicurarti che nessun cookie sia stato precedentemente memorizzato).
- Lascia il banner o il popup dei cookie aperto e controlla che non ci siano cookie “_ga”
- Controlla anche che non vi sia alcuna richiesta di rete a Google Analytics cercando l’URL “collect” utilizzato da Google
Questo tipo di controllo può essere utilizzato anche per altri tipi di tracciamento, ad esempio il Pixel di Facebook, ovviamente utilizzando gli specifici parametri che cambiano da metodo a metodo.