Cosa è il Consent Mode?

Il Google Consent Mode è una tecnologia lanciata da Google che permette ai proprietari di siti web di gestire i servizi di Google e le interazioni con i cookie e gli altri dati sul consenso dell'utente. In particolare, è progettato per aiutare i siti web a rispettare le normative sulla privacy come il GDPR (General Data Protection Regulation) nell'Unione Europea e altre leggi simili.

Nell’ambito di maggiore trasparenza e di una corretta conformità dei siti web alle diverse legislazioni in vigore, in particolare USA, UK e UE, Google ha rilasciato a Novembre 2023 la Google Consent Mode v2, la cui adozione è obbligatoria da Marzo 2024.

L’implementazione può essere fatta attraverso l’utilizzo di fornitori di servizio denominati piattaforme CMP.

Le CMP possono essere certificate o meno. L’utilizzo di una CMP certificata non è obbligatorio.

Cosa sono le CMP certificate con Google e l’adesione al IAB TCF?

Il TCF di IAB Europe, è un registro ufficiale dei fornitori di tecnologia pubblicitaria che hanno aderito al framework. Questo registro include gli identificatori univoci per ciascun fornitore e le specifiche categorie di dati che intendono raccogliere e trattare.

Quando un utente esprime le proprie preferenze di consenso attraverso il banner del consenso sul sito web, queste informazioni vengono codificate in una stringa di consenso (Consent String), che segue lo standard definito dal TCF. La stringa di consenso contiene dettagli sulle preferenze dell'utente riguardo al consenso per ciascuna categoria di trattamento dei dati e per ciascun fornitore di tecnologia pubblicitaria elencato nel registro.

In sintesi, con l’adesione alle CMP certificate e aderenti al consorzio IAB, le scelte del consenso degli utenti verrebbero comunicate ai fornitori di tecnologia pubblicitaria attraverso meccanismi standardizzati definiti dal TCF di IAB Europe.

IusPrivacy non è certificata Google e non aderisce allo standard del TCF IAB: la piattaforma per la raccolta e gestione dei consensi all’uso dei cookie di IusPrivacy è un servizio erogato ai proprietari dei siti secondo il ruolo di Resp. del Trattamento ai sensi dell’Art. 28 del GDPR; la trasmissione dei dati al consorzio IAB comporterebbe un trattamento abnorme, superiore alle aspettative nonché alla ragionevole comprensione degli utenti che navigano il sito web; gli effetti della trasmissione dei dati al consorzio IAB dovrebbero essere resi inoltre consapevoli ai Titolari del Trattamento i quali si ritroverebbero un sistema preconfigurato che trasmette i dati personali degli utenti ad una platea mondiale di piattaforme pubblicitarie.

Per maggiori informazioni sul tema "Funzionamento del TCF IAB e CONSENT MODE" abbiamo scritto un articolo che vi invitiamo a leggere qui.

L’uso di un CMP non certificato da Google, e al quale IusPrivacy non è aderente, e allo IAB, compromette la conformità alle norme privacy vigenti?

Google è un società privata che, in partnership con IAB, attesta il corretto funzionamento delle piattaforme per la raccolta del consenso, i cosiddetti CMP, soprattutto in relazione alla trasmissione dei dati personali delle scelte degli utenti al consorzio IAB per la suite TCF.

L’approccio di IusPrivacy è costituito dai principi del GDPR che impongono la necessità di informare gli interessati citando le piattaforme pubblicitarie utilizzate, una per una, e non una forma celata di consenso che comporterebbe la comunicazione dei dati a tutte le piattaforme internazionali per la gestione pubblicitaria quale il TCF di IAB.

IusPrivacy opera nella qualità di Responsabile del Trattamento ai sensi del’art.28 del GDPR, come diretto fornitore del Titolare del Trattamento adottando le migliori scelte di prudenza a tutela degli Interessati e dei proprietari del sito.

La soluzione Cookie Banner di IusPrivacy è conforme alle norme, tempo per tempo vigenti in materia, ed è in possesso delle funzionalità tecniche previste dal google Consent Mode V2 che permettono di personalizzare la gestione delle modalità dei parametri di configurazione previsti da Google.

Quali sono i parametri gestibili con il consent mode v2?

Tipo di consenso	Descrizione
ad_storage	Consente l'archiviazione di informazioni relative alla pubblicità, ad esempio cookie (web) o identificatori di dispositivi (app).
ad_user_data	Imposta il consenso per l'invio dei dati utente a Google per scopi pubblicitari online.
ad_personalization	Imposta il consenso per la pubblicità personalizzata.
analytics_storage	Consente l'archiviazione di informazioni, ad esempio cookie (web) o identificatori di dispositivi (app), correlati all'analisi statistica, ad esempio la durata della visita.
functionality_storage	Consente l'archiviazione di informazioni che supportano la funzionalità del sito web o dell'app, ad esempio le impostazioni relative alla lingua.
personalization_storage	Consente l'archiviazione di informazioni correlate alla personalizzazione, ad esempio i suggerimenti sui video.
security_storage	Consente l'archiviazione di informazioni relative alla sicurezza, ad esempio la funzionalità di autenticazione, la prevenzione delle frodi e altre protezioni per gli utenti.

Quali novità ci sono rispetto alla versione precedente?

Il Google Consent Mode v2 introduce due nuove impostazioni globali di configurazione, `ad_storage` e `analytics_storage`, che possono essere usate per controllare l'accesso allo storage per scopi pubblicitari e analitici in base al consenso dell'utente o termini di utilizzo dei cookie tecnici . Questo significa che i gestori dei siti web possono integrare il loro meccanismo di gestione del consenso con i servizi Google, come Google Analytics e Google Ads, per assicurarsi che la raccolta di dati e l'uso dei cookie siano in linea con le preferenze di consenso dell'utente.

Quando un utente non esprime il consenso per i cookie di tracciamento, il Google Consent Mode v2 permette comunque ai servizi Google di funzionare in una modalità che non utilizza cookie per la raccolta di dati personali, consentendo così ai siti web di raccogliere statistiche aggregate e utili informazioni non personali sull'uso del sito.

In sintesi, il Google Consent Mode v2 offre agli editori di siti web uno strumento per rispettare le normative sulla privacy, mantenendo al contempo la capacità di raccogliere dati importanti per l'analisi del sito e la pubblicità, in modo conforme al consenso espresso dagli utenti.

La più grande differenza rispetto alla versione precedente è che mentre la prima versione si focalizzava sul tracciare i dati (che hanno ricevuto il consenso), la nuova è stata aggiornata per controllare l’utilizzo di quei dati.

A tal scopo Google ha introdotto due parametri aggiuntivi della modalità di consenso nell'apposita API per supportare il consenso specifico degli utenti e per i dati inviati a Google:

• ad_user_data: imposta il consenso per l'invio dei dati utente a Google per scopi pubblicitari;
• ad_personalization: imposta il consenso per la pubblicità personalizzata.

Per continuare a utilizzare le funzionalità di personalizzazione e dei segmenti di pubblico basati su tag in Google Ads, Google Analytics 4 o Google Marketing Platform, è necessario implementare i nuovi parametri della modalità di consenso direttamente nella configurazione del tag Google.

Quale consenso è necessario per l’attivazione di questi nuovi parametri?

Per l’attivazione di questi nuovi parametri è necessario il consenso al targeting o pubblicitario (profilazione).

Cosa cambia per i clienti IusPrivacy?

In questi mesi Google ha preannunciato, a tutti gli utenti Google Ads, i cambiamenti al Consent Mode che avverranno a Marzo 2024 e che riguardano i nuovi parametri di gestione del consenso.

Di conseguenza, a partire da marzo 2024, per i clienti IusPrivacy che hanno implementato la modalità di consenso, seguendo le linee guida di Google, il parametro ad_storage verrà mappato automaticamente al nuovo parametro ad_user_data.

Ciò significa che quando viene concesso o negato il consenso per ad_storage, i parametri ad_user_data e ad_personalization seguiranno la stessa impostazione, garantendo che le funzionalità di misurazione del rendimento dell'implementazione originale continuino a funzionare come previsto.

La soluzione proposta da IusPrivacy, sebbene sia possibile in ogni caso separare il consenso per ciascuna opzione, prevede l’assimilazione dei parametri ad_user_data e 'ad_personalization a ad_storage in quanto sono tutte modalità di elaborazione che comportano un trattamento di monitoraggio e profilazione, ai sensi privacy, con la necessità di raccolta di uno specifico consenso per l’utilizzo.

Quali vantaggi si ottengono?

Google stima attualmente che oltre il 70% dei click su Google ADS, una volta atterrato sul sito, neghi il consenso alla raccolta e utilizzo dei dati per fini di marketing.

Grazie alla Google Consent Mode V2 si potranno recuperare in forma aggregata le informazioni di navigazione, per rendere maggiormente corrispondenti alla realtà i dati trasmessi a Google ADS e GA4.

Gli utenti hanno un controllo più preciso su come i loro dati vengono utilizzati da Google. Possono scegliere di acconsentire all'utilizzo dei loro dati per scopi pubblicitari, ma negare il consenso alla personalizzazione degli annunci.

Come Funziona il Consent Mode v2?

La relazione tra la registrazione delle conversioni delle campagne Ads di Google e il Consent Mode di Google è fondamentale per capire come le preferenze di consenso degli utenti influenzano la capacità di tracciare e misurare efficacemente le conversioni. Il parametro `ad_storage` in Google Consent Mode gioca un ruolo chiave in questo contesto, determinando come Google gestisce i dati per la pubblicità e la registrazione delle conversioni basata sui consensi forniti.

Se viene concesso il consenso per `ad_storage`

Quando un utente concede il consenso per `ad_storage`, ciò permette a Google di utilizzare cookie o tecnologie simili per tracciare le interazioni dell'utente con il sito web e registrare le conversioni. Questo significa che le azioni quali acquisti, iscrizioni o completamenti di form possono essere direttamente attribuite alle campagne pubblicitarie, consentendo agli inserzionisti di ottenere dati accurati sull'efficacia delle loro campagne Ads.

Con il consenso per `ad_storage`, gli inserzionisti possono utilizzare pienamente le funzionalità di targeting e remarketing di Google Ads, personalizzando le loro campagne pubblicitarie in base al comportamento degli utenti e ottimizzando il ROI pubblicitario basandosi su dati di conversione dettagliati.

Se non viene concesso il consenso per `ad_storage`

Se un utente non concede il consenso per `ad_storage`, Google Consent Mode limita l'uso di cookie e tecnologie simili che tracciano le conversioni. Questo significa che alcune conversioni potrebbero non essere registrate o attribuite correttamente alle campagne Ads, poiché la capacità di tracciare l'utente attraverso varie fasi del funnel di conversione è ridotta.

In assenza del consenso per `ad_storage`, Google può ricorrere a tecniche di modellazione per stimare le conversioni. Questo approccio utilizza dati aggregati e analisi per fornire agli inserzionisti una visione dell'efficacia delle loro campagne anche senza tracciamento diretto, sebbene con meno precisione rispetto alla misurazione basata su consenso completo.

La mancanza di consenso per `ad_storage` influisce anche sulla capacità degli inserzionisti di eseguire campagne di remarketing efficaci e di personalizzare gli annunci basati sul comportamento passato degli utenti, limitando le strategie pubblicitarie a tecniche meno dirette e potenzialmente meno efficaci.

Cosa è l’advanced Consent Mode?

Il Consent Mode v2 offre due modalità di funzionamento, Basic e Advanced. L’implementazione Basic è quella che tutti conosciamo ovvero nessun tag verrà attivato e nessuna informazione verrà tracciata fino a quando l'utente non avrà espresso il suo consenso. La modalità Avanzata, introdotta adesso, è la nuova modalità di funzionamento.

La caratteristica principale di questa modalità è quella di avviare i Tag prima che l’utente abbia interagito col banner. Ovvero i Tag vengono eseguiti anche in assenza di consenso. In questo caso però i vari Tag modificheranno il loro comportamento in accordo con la scelta di consenso dell’utente e in caso di diniego del consenso ad esempio non scriveranno cookie o non abiliteranno personalizzazioni.

Si deduce che questa modalità, in caso di diniego del consenso, permette al tracciamento di continuare a funzionare in una modalità senza cookie (cookieless). Google utilizzerà altre informazioni come ad esempio Device Type, Conversion Type, Country, Time of Day, and Browser Type come indicatori per fare in modo che la modellazione del dato sia il più accurata possibile.

Fonte: https://medium.com/@w.anatolii/google-consent-mode-v2-prepare-your-marketing-for-2024-e209746f95db

Registrazione della conversione in assenza del consenso

Quando i visitatori negano il consenso, Google Consent Mode non memorizza i cookie. Invece, i tag comunicano lo stato del consenso e l'attività dell'utente inviando i seguenti tipi di ping, o segnali, al server di Google:

• Ping dello stato di consenso per i tag Google Ads e Floodlight: Comunicano lo stato di consenso predefinito che avete configurato e lo stato aggiornato quando il visitatore concede o nega il consenso per ogni tipo di consenso, come ad_storage e analytics_storage. I ping sullo stato del consenso vengono inviati da ogni pagina visitata dall'utente in cui è abilitata la modalità di consenso e vengono attivati anche per alcuni tag se lo stato del consenso passa da negato a concesso. Ad esempio, se un visitatore sceglie di accedere da una finestra di dialogo per il consenso.
• Ping di conversione: indicano che si è verificata una conversione.
• Ping di Google Analytics: inviati da ogni pagina di un sito web in cui è implementato Google Analytics al momento del caricamento e quando vengono registrati eventi.

In tutti i casi, i ping possono includere informazioni funzionali (come le intestazioni aggiunte passivamente dal browser): Timestamp, Agente utente (solo web), pagina in precedenza visitata.

Fonte: https://support.google.com/google-ads/answer/10000067?hl=en

Tecnicamente, in che modo cambia il tracciamento?

Tipo di consenso (variabile)	dentied or granted	Comportamento
ad_storage e analytics_storage	granted granted	i cookie e gli identificatori dei dispositivi possono esser eletti e scritti; gli indirizzi IP sono tracciati; l’intera URL della pagina, incluse le “ad-click information” sono raccolte (es GCLID / DCLID); i cookie di terze parti che erano settata sul dominio google.com e doublecliock.net, e cookie di prime parti di conversione (_gcl_*) sono accessibili.
ad_personalizzation	denied	La personalizzazione delle pubblicità è disattivato, e le seguenti funzioni non riceveranno dati: il Remarketing in Google Ads, Display & Video 360, Search Ads 360; pubblicità personalizzate attraverso prodotti di pubblicità di Google.
ad_user_data	denied	La raccolta dei dati personali per la pubblicità online è disabilitata, includendo: user_id; Enhanced conversions: Hashed first party data.
ad_storage	denied	nessun nuovo cookie o identificativo di dispositivo che fanno riferimento alle pubblicità vengono scritti; nessun cookie o identificativo già esistente possono essere letti; le richieste sono inviate a domini differenti per evitare che cookie di terze parti settati in precedenza possano essere inviati dentro gli header delle richieste; Google Analytics non leggerà o scriverà più i cookie di Google Ads, e la funzionalità “Google signals” non accumulerà più dati su questo traffico; su prodotti Ads l’indirizzo IP verrà sempre troncato al momento del rilevamento; l’intera URL della pagina, incluse le “ad-click information” sono raccolte (es GCLID / DCLID).
analytics_storage	denied	non verranno letti i cookie analitici di prima parte o identificativi di app; ping (senza cookie) saranno inviati a Google Analytics per fare misurazioni e modellazioni di base.
ad_storage and ads_data_redaction	denied e ‘true’	nessun nuovo cookie o identificativo che riguardano una pubblicità verranno scritti; nessun cookie o identificativo pubblicitario saranno letti; le richieste sono inviate a domini differenti per evitare che cookie di terze parti settati in precedenza possano essere inviati dentro gli header delle richieste; Google Analytics non leggerà o scriverà più i cookie di Google Ads o gli identificativi, e la funzionalità “Google signals” non accumulerà più dati su questo traffico; gli identificatori “ad-click” (GCLID / DCLID) provenienti da consenso o conversioni inviati come ping sono oscurati; su prodotti Ads l’indirizzo IP verrà sempre troncato al momento del rilevamento; le URL delle pagine con gli identificatori “ad-click” sono oscurati.

Fonte: https://developers.google.com/tag-platform/security/concepts/consent-mode

In caso di diniego del consenso (denied) da parte dell’utente, il Consent Mode V2 permette di inviare a Google dei dati relativi all’utente e presenti nella URL di atterraggio dello stesso, quindi:

• ID dell’annuncio
• ID Cliente
• ID sessione

Questo avviene tramite il passaggio dei parametri nella URL, durante la navigazione dell’utente tra le pagine. Per farlo quindi bisognerà settare il parametro url_passthrough a true.