Google Enhanced Conversions e data protection: un equilibrio complesso

L’introduzione delle Google Enhanced Conversions ha segnato un significativo passo in avanti per le aziende che utilizzano Google Ads e Google Analytics, permettendo loro di ottenere misurazioni sempre più accurate delle conversioni pubblicitarie. Tuttavia, in un panorama sempre più regolamentato dalle leggi in materia di data protection, l’implementazione di tecnologie come le Enhanced Conversions solleva importanti interrogativi in materia di privacy e sicurezza dei dati personali.

(Lo Studio Princivalle Apruzzi Danielli aveva di recente analizzato tematiche analoghe in un altro interessante contributo relativo invece alla implementazione della versione 2 del Google Consent Mode).

Le Google Enhanced Conversions (GEC)

Le Google Enhanced Conversions (GEC) sono una funzione di tracciamento offerta da Google Ads che consente di migliorare la misurazione delle conversioni. In altre parole, si tratta delle azioni compiute dagli utenti dopo aver interagito con un annuncio, come un acquisto o la compilazione di un modulo.

Questa funzionalità viene utilizzata per migliorare la precisione dei dati di conversione, quando i cookie non sono sufficienti per tracciare l’attività degli utenti a causa di restrizioni relative alle preferenze della privacy o del blocco dei cookie di terze parti.

La raccolta dei dati da parte delle aziende e la misurazione della loro conversione da parte di Google avviene nel rispetto dei seguenti passaggi:

  • Le GEC consentono alle aziende di inviare dati di prima parte, come e-mail o numero di telefono degli utenti, raccolti durante il processo di conversione (ad es. un acquisto o una registrazione);
  • i dati personali dell’utente vengono convertiti in formato hash mediante algoritmi sicuri come SHA-256 prima di essere inviati a Google. Il sistema di hashing garantisce che i dati siano criptati e anonimizzati e che non possano essere riconvertiti facilmente al loro formato originale;
  • Google utilizza i dati cosiddetti dati “hashati” ricevuti e li abbina ai profili Google già esistenti, migliorando così l’attribuzione delle conversioni anche in assenza di cookie di terze parti.

Questo sistema risponde all’esigenza di ottenere un tracciamento più accurato delle conversioni in un contesto in cui le restrizioni sui cookie di terze parti stanno aumentando. Grazie all’uso di dati di prima parte hashati, le aziende  possono infatti migliorare la misurazione delle prestazioni delle campagne pubblicitarie senza compromettere la privacy degli utenti.

Le GEC e la protezione dei dati personali

Le Enhanced Convertions rappresentano una sfida delicata quando si parla di data protection degli utenti.

Con riferimento al sistema di hashing, si tratta di quel processo che garantisce di criptare le informazioni personali prima di essere trasmettesse. Questo è un passo importante per garantire che i dati non siano facilmente accessibili da terzi. Anche se il processo di hashing è una misura di sicurezza fondamentale, resta il dubbio se Google, in qualità di responsabile del trattamento, possa utilizzare queste informazioni per altri scopi.

Un altro tema rilevante è rappresentato dal ruolo di titolare o responsabile del trattamento che riveste Google nell’ambito delle GEC. In linea generale, poiché Google agisce su istruzioni delle aziende tratta i dati esclusivamente per loro conto ai sensi dell’art. 28 GDPR. In questo caso vengono trattati solo i dati strettamente necessari per il tracciamento delle conversioni, riducendo al minimo le informazioni personali (nel rispetto del principio di minimizzazione dei dati ex art. 5 GDPR).

Tuttavia, se utilizza i dati degli utenti per personalizzare gli annunci pubblicitari o per migliorare i propri servizi, Google potrebbe assumere anche il ruolo di titolare autonomo del trattamento, con ciò determinando non poche conseguenze lato privacy user.

Come sappiamo, il GDPR impone standard rigorosi sulla raccolta e l’elaborazione dei dati personali, inclusa la necessità di ottenere il consenso informato da parte degli utenti.

Le aziende devono quindi garantire che i dati raccolti siano trattati in conformità alla legge. In questo modo gli utenti saranno adeguatamente informati sull’uso dei loro dati personali  e potranno dare il proprio consenso in modo esplicito. Le aziende dovrebbero spiegare, nelle proprie privacy policy, come vengono raccolti, elaborati e condivisi i dati con le terze parti garantendo così la massima trasparenza.

Le GEC e la loro implementazione in azienda

Le aziende devono seguire una serie di passaggi per configurare correttamente il tracciamento avanzato delle conversioni sui loro siti web. Questo processo coinvolge sia l’impostazione tecnica che la gestione dei dati, per garantire che le Enhanced Conversions funzionino correttamente. Inoltre, affinché l’attivazione delle Enhanced Conversions sia conforme alla normativa in materia di data protection, le aziende devono adottare una serie di accorgimenti:

  • ottenere il consenso esplicito degli utenti per il trattamento dei dati personali
  • configurare l’hashing dei dati di prima parte in modo corretto e sicuro
  • implementare meccanismi di opt-out chiari per consentire agli utenti di esercitare i loro diritti
  • garantire la trasparenza nelle politiche sulla privacy. Le aziende devono spiegare in modo chiaro agli utenti come vengono utilizzati i loro dati e come funzionano le GEC.

Considerazioni finali

Le Google Enhanced Conversions rappresentano un’opportunità significativa per le aziende che desiderano migliorare l’efficacia delle loro campagne pubblicitarie. E’ fondamentale che queste tecnologie vengano utilizzate in modo responsabile e conforme alle normative sulla protezione dei dati personali. Le aziende devono assicurarsi di adottare misure adeguate per proteggere i dati personali degli utenti. L’obbiettivo deve essere quello di garantire che i processi di tracciamento delle conversioni rispettino gli standard legali e le aspettative degli utenti lato privacy. Queste misure consentono di bilanciare la necessità di ottenere insight commerciali con la responsabilità di proteggere i diritti degli utenti.

Cyber Security 2023: Analisi degli Attacchi e Tendenze Emergenti nel Rapporto Clusit 2024

Nel corso del periodo compreso tra gennaio 2019 e dicembre 2023, si è assistito a un aumento significativo degli attacchi informatici a livello globale. Secondo il recente rapporto pubblicato dall’Associazione Italiana per la Sicurezza Informatica (CLUSIT), si sono verificati complessivamente 10.858 cyber attacchi in tutto il mondo. Nel solo anno 2023, si è registrato un numero senza precedenti di 2.779 incidenti, evidenziando un’accelerazione preoccupante della minaccia cyber. La lettura del rapporto CLUSIT 2024 è sempre di grande stimolo per gli operatori della cybersecurity e della protezione dei dati, perché è importante capire il fenomeno a livello globale e imparare dalle minacce per poter gestire in modo più efficace la sicurezza delle informazioni.

Crescita quantitativa e qualitativa degli attacchi nel Rapporto CLUSIT 2024

L’analisi del Rapporto CLUSIT 2024, che anche quest’anno aspettavamo di leggere,  rivela una tendenza all’aumento sia in termini quantitativi che qualitativi degli attacchi informatici. Nel 2023, il numero di attacchi è aumentato dell’11% a livello globale, con un impressionante incremento del 65% in Italia. Questo fenomeno non solo dimostra un aumento della frequenza degli attacchi, ma anche un’escalation della loro gravità. Oltre l’81% degli attacchi rilevati nel 2023 sono stati classificati come “critici” o “gravi”, con un aumento significativo rispetto al 2019.

Integrazione tra criminalità online e offline

Gli analisti individuano una crescente commistione tra la criminalità “off-line” e “on-line”, con i proventi delle attività criminali reinvestiti nel business della cyber criminalità. Questa sinergia tra i due mondi criminali fornisce risorse aggiuntive ai perpetratori degli attacchi, alimentando ulteriormente la minaccia cyber. Il rapporto evidenzia la necessità di affrontare questo fenomeno in modo globale e coordinato.

Prevalenza del malware e del ransomware

Nel 2023, il malware ha continuato a essere la tecnica preferita dai cyber criminali, utilizzato nel 36% dei casi. Tra le varie tipologie di codici malevoli, il ransomware emerge come la principale minaccia e la più diffusa. Questo tipo di malware criptografico è stato responsabile di numerosi attacchi a livello globale, causando danni significativi a individui, aziende e istituzioni.

Conclusioni e risorse aggiuntive

Il rapporto completo, contenente analisi dettagliate, tendenze emergenti e consigli per la sicurezza informatica, è disponibile per il download al seguente link: Rapporto CLUSIT 2024. È essenziale che aziende, istituzioni e individui adottino misure proattive per proteggere le proprie reti e dati da minacce cyber sempre più sofisticate. Investimenti in tecnologie di sicurezza avanzate, formazione del personale e collaborazione internazionale sono fondamentali per contrastare efficacemente la minaccia cyber e proteggere l’infrastruttura critica e la privacy dei cittadini.

In conclusione, il rapporto CLUSIT del 2024 sottolinea l’urgenza di affrontare la crescente minaccia cyber in modo deciso e strategico. Solo attraverso un impegno collettivo e una consapevolezza diffusa delle sfide della sicurezza informatica possiamo sperare di mitigare gli effetti devastanti degli attacchi informatici e garantire un cyberspazio sicuro e affidabile per tutti.