Google Consent Mode

1. Il quadro giuridico di riferimento

Nel mondo digitale di oggi, chi fa marketing e analisi dati sa che la conoscenza del comportamento dell'utente è il vero vantaggio competitivo. Tuttavia, ignorare l'impatto delle normative privacy non è più possibile.

Regolamento GDPR e Direttiva ePrivacy hanno cambiato radicalmente il modo in cui raccogliamo, analizziamo e utilizziamo i dati online.

Queste regole non sono solo un obbligo legale: rappresentano una nuova opportunità per fare marketing in modo etico, trasparente e sostenibile, costruendo fiducia nel proprio brand.

La buona notizia? Oggi esistono strumenti che consentono di coniugare efficacia del marketing e rispetto della privacy:

Google Consent Mode v2, per adattare dinamicamente i tag Google alle scelte dell'utente;
Consent Management Platform (CMP), per gestire correttamente i consensi e i cookie;
Google Signals, per sfruttare i dati cross-device in modo conforme e intelligente.

1.1 Quadro giuridico Consent Mode v2

L'evoluzione del marketing digitale si inserisce in un contesto normativo complesso che trova i suoi pilastri fondamentali nel Regolamento Generale sulla Protezione dei Dati (GDPR) e nella normativa italiana di recepimento della Direttiva ePrivacy, codificata nell'articolo 122 del Codice della Privacy.

Il principio cardine che governa il trattamento dei dati personali per finalità di marketing è quello del consenso libero, specifico, informato e inequivocabile, sancito dall'articolo 6, paragrafo 1, lettera a) del GDPR. Questo principio assume particolare rilevanza nel contesto digitale, dove la raccolta e l'utilizzo dei dati avvengono spesso in modo automatizzato e pervasivo.

1.2 La disciplina dei cookie e del tracciamento online

L'articolo 122 del Codice della Privacy stabilisce che "l'archiviazione delle informazioni nell'apparecchio terminale di un contraente o di un utente o l'accesso a informazioni già archiviate sono consentiti unicamente a condizione che il contraente o l'utente abbia espresso il proprio consenso dopo essere stato informato con modalità semplificate". Questa disposizione, che recepisce l'articolo 5, paragrafo 3, della Direttiva ePrivacy, impone un consenso preventivo per l'installazione di cookie di profilazione e tracciamento.

La normativa distingue tra cookie tecnici, necessari per il funzionamento del sito e quindi non soggetti a consenso, e cookie di profilazione, che richiedono invece l'acquisizione del consenso preventivo dell'utente. Tale distinzione assume particolare rilevanza nell'implementazione di strumenti come Google Consent Mode, che deve essere configurato per rispettare questa differenziazione normativa.

2. Configurazione corretta e conformità normativa

2.1 Passaggi fondamentali:

Per garantire la conformità alla normativa sulla privacy e la gestione corretta dei dati degli utenti, è necessario seguire una serie di passaggi coordinati. Questi comprendono l’implementazione di strumenti tecnici per il consenso, la configurazione dei servizi di tracciamento solo dopo autorizzazione e l’aggiornamento della documentazione informativa.

Nel dettaglio:

Banner cookie conforme, con scelta granulare e blocco preventivo dei cookie non essenziali (GDPR art.6 par.1 lett.(a), ePrivacy art.5 par. 3, art.122 Codice Privacy italiano);
Attivare Google Signals solo dopo consenso esplicito;
Configurare Consent Mode v2 con parametri corretti (ad_storage, analytics_storage, ad_user_data, ad_personalization);
Aggiornare privacy e cookie policy, descrivendo:
- Tipologie di cookie utilizzati, specificando anche la durata di conservazione dei cookie sul dispositivo dell'utente;
- Base giuridica del trattamento;
- Eventuali trasferimenti di dati verso Paesi extra UE (SCC, art.46 GDPR).

2.2 Il regime sanzionatorio e la giurisprudenza di riferimento

Il mancato rispetto delle disposizioni in materia di protezione dei dati personali espone i titolari del trattamento a significative sanzioni amministrative. L'articolo 166 del Codice della Privacy prevede l'applicazione delle sanzioni di cui all'articolo 83 del GDPR, che possono raggiungere fino a 20 milioni di euro o il 4% del fatturato mondiale annuo.

La Cassazione civile, Sezione I, ordinanza n. 27189 del 22 settembre 2023 ha chiarito i criteri di applicazione di tali sanzioni, stabilendo che "il riferimento percentuale al fatturato non ha funzione mitigatoria del limite edittale ordinario, ma costituisce un limite edittale ulteriore e distinto, applicabile solo se superiore al massimo della sanzione ordinaria".

2.3 Diritti degli interessati e tutela giurisdizionale

Il sistema di protezione dei dati personali riconosce agli interessati una serie di diritti fondamentali, tra cui il diritto di accesso previsto dall’articolo 15 del GDPR. Tale diritto consente a ciascuna persona di ottenere conferma dell’esistenza di un trattamento di dati che la riguarda e di conoscerne finalità, modalità e destinatari.

L’esercizio del diritto di accesso non presuppone necessariamente la formulazione di una richiesta risarcitoria: è sufficiente la volontà di verificare la correttezza del trattamento e di accertare l’eventuale presenza di violazioni, al fine di tutelare in modo pieno e trasparente i propri diritti.

2.4 Perché affidarsi a IusPrivacy

Affidarsi a IusPrivacy significa scegliere un partner che unisce competenza tecnica, conoscenza normativa e visione strategica del marketing digitale. Configurare correttamente il banner cookie, la CMP e il Google Consent Mode non è solo una questione di rispetto delle regole: è un modo per valorizzare i dati aziendali e costruire fiducia con i propri utenti.

Il team di IusPrivacy si occupa di creare banner cookie conformi e anche personalizzati, capaci di garantire il blocco preventivo dei cookie non essenziali e un'esperienza utente trasparente. Allo stesso tempo, curiamo la configurazione del Consent Mode v2, assicurando che i tag di Google si adattino dinamicamente alle scelte degli utenti e che la raccolta dei dati avvenga nel pieno rispetto delle normative.

2.5 La necessità di un approccio integrato

L'evoluzione del quadro normativo e giurisprudenziale dimostra come la conformità alla normativa privacy nel marketing digitale richieda un approccio integrato che coniughi competenze tecniche, legali e strategiche. La complessità delle interazioni tra strumenti come Google Consent Mode, CMP e Google Signals, unita alla necessità di rispettare principi giuridici consolidati e orientamenti giurisprudenziali in continua evoluzione, rende indispensabile l'affiancamento di professionisti specializzati.

In questo contesto, la scelta di affidarsi a professionisti specializzati come IusPrivacy rappresenta non solo una garanzia di conformità normativa, ma anche un investimento strategico per costruire un marketing digitale sostenibile, etico e orientato alla creazione di valore a lungo termine attraverso la fiducia degli utenti.

3. Cos'è il Consent Mode?

Il Google Consent Mode è una tecnologia lanciata da Google che permette ai proprietari di siti web di gestire i servizi di Google e le interazioni con i cookie e gli altri dati sul consenso dell'utente. In particolare, è progettato per aiutare i siti web a rispettare le normative sulla privacy come il GDPR (General Data Protection Regulation) nell'Unione Europea e altre leggi simili.

Nell’ambito di maggiore trasparenza e di una corretta conformità dei siti web alle diverse legislazioni in vigore, in particolare USA, UK e UE, Google ha rilasciato a No3 la Google Consent Mode v2, la cui adozione è obbligatoria da Marzo 2024.

L’implementazione può essere fatta attraverso l’utilizzo di fornitori di servizio denominati piattaforme CMP.

Le CMP possono essere certificate o meno. L’utilizzo di una CMP certificata non è obbligatorio.

3.1 Cosa sono le CMP certificate con Google e l’adesione al IAB TCF?

Il TCF di IAB Europe, è un registro ufficiale dei fornitori di tecnologia pubblicitaria che hanno aderito al framework. Questo registro include gli identificatori univoci per ciascun fornitore e le specifiche categorie di dati che intendono raccogliere e trattare.

Quando un utente esprime le proprie preferenze di consenso attraverso il banner del consenso sul sito web, queste informazioni vengono codificate in una stringa di consenso (Consent String), che segue lo standard definito dal TCF. La stringa di consenso contiene dettagli sulle preferenze dell'utente riguardo al consenso per ciascuna categoria di trattamento dei dati e per ciascun fornitore di tecnologia pubblicitaria elencato nel registro.

In sintesi, con l’adesione alle CMP certificate e aderenti al consorzio IAB, le scelte del consenso degli utenti verrebbero comunicate ai fornitori di tecnologia pubblicitaria attraverso meccanismi standardizzati definiti dal TCF di IAB Europe.

IusPrivacy non è certificata Google e non aderisce allo standard del TCF IAB: la piattaforma per la raccolta e gestione dei consensi all’uso dei cookie di IusPrivacy è un servizio erogato ai proprietari dei siti secondo il ruolo di Resp. del Trattamento ai sensi dell’Art. 28 del GDPR; la trasmissione dei dati al consorzio IAB comporterebbe un trattamento abnorme, superiore alle aspettative nonché alla ragionevole comprensione degli utenti che navigano il sito web; gli effetti della trasmissione dei dati al consorzio IAB dovrebbero essere resi inoltre consapevoli ai Titolari del Trattamento i quali si ritroverebbero un sistema preconfigurato che trasmette i dati personali degli utenti ad una platea mondiale di piattaforme pubblicitarie.

Per maggiori informazioni sul tema "Funzionamento del TCF IAB e CONSENT MODE" abbiamo scritto un articolo che vi invitiamo a leggere qui.

3.2 L'uso di un CMP non certificato da Google, e al quale IusPrivacy non è aderente, e allo IAB, compromette la conformità alle norme privacy vigenti?

Google è un società privata che, in partnership con IAB, attesta il corretto funzionamento delle piattaforme per la raccolta del consenso, i cosiddetti CMP, soprattutto in relazione alla trasmissione dei dati personali delle scelte degli utenti al consorzio IAB per la suite TCF.

L’approccio di IusPrivacy è costituito dai principi del GDPR che impongono la necessità di informare gli interessati citando le piattaforme pubblicitarie utilizzate, una per una, e non una forma celata di consenso che comporterebbe la comunicazione dei dati a tutte le piattaforme internazionali per la gestione pubblicitaria quale il TCF di IAB.

IusPrivacy opera nella qualità di Responsabile del Trattamento ai sensi del’art.28 del GDPR, come diretto fornitore del Titolare del Trattamento adottando le migliori scelte di prudenza a tutela degli Interessati e dei proprietari del sito.

La soluzione Cookie Banner di IusPrivacy è conforme alle norme, tempo per tempo vigenti in materia, ed è in possesso delle funzionalità tecniche previste dal google Consent Mode V2 che permettono di personalizzare la gestione delle modalità dei parametri di configurazione previsti da Google.

3.3 Quali sono i parametri gestibili con il consent mode v2?

Tipo di consenso	Descrizione
ad_storage	Consente l'archiviazione di informazioni relative alla pubblicità, ad esempio cookie (web) o identificatori di dispositivi (app).
ad_user_data	Imposta il consenso per l'invio dei dati utente a Google per scopi pubblicitari online.
ad_personalization	Imposta il consenso per la pubblicità personalizzata.
analytics_storage	Consente l'archiviazione di informazioni, ad esempio cookie (web) o identificatori di dispositivi (app), correlati all'analisi statistica, ad esempio la durata della visita.
functionality_storage	Consente l'archiviazione di informazioni che supportano la funzionalità del sito web o dell'app, ad esempio le impostazioni relative alla lingua.
personalization_storage	Consente l'archiviazione di informazioni correlate alla personalizzazione, ad esempio i suggerimenti sui video.
security_storage	Consente l'archiviazione di informazioni relative alla sicurezza, ad esempio la funzionalità di autenticazione, la prevenzione delle frodi e altre protezioni per gli utenti.

3.4 Quali novità ci sono rispetto alla versione precedente?

Il Google Consent Mode v2 introduce due nuove impostazioni globali di configurazione, `ad_storage` e `analytics_storage`, che possono essere usate per controllare l'accesso allo storage per scopi pubblicitari e analitici in base al consenso dell'utente o termini di utilizzo dei cookie tecnici . Questo significa che i gestori dei siti web possono integrare il loro meccanismo di gestione del consenso con i servizi Google, come Google Analytics e Google Ads, per assicurarsi che la raccolta di dati e l'uso dei cookie siano in linea con le preferenze di consenso dell'utente.

Quando un utente non esprime il consenso per i cookie di tracciamento, il Google Consent Mode v2 permette comunque ai servizi Google di funzionare in una modalità che non utilizza cookie per la raccolta di dati personali, consentendo così ai siti web di raccogliere statistiche aggregate e utili informazioni non personali sull'uso del sito.

In sintesi, il Google Consent Mode v2 offre agli editori di siti web uno strumento per rispettare le normative sulla privacy, mantenendo al contempo la capacità di raccogliere dati importanti per l'analisi del sito e la pubblicità, in modo conforme al consenso espresso dagli utenti.

La più grande differenza rispetto alla versione precedente è che mentre la prima versione si focalizzava sul tracciare i dati (che hanno ricevuto il consenso), la nuova è stata aggiornata per controllare l’utilizzo di quei dati.

A tal scopo Google ha introdotto due parametri aggiuntivi della modalità di consenso nell'apposita API per supportare il consenso specifico degli utenti e per i dati inviati a Google:

ad_user_data: imposta il consenso per l'invio dei dati utente a Google per scopi pubblicitari;
ad_personalization: imposta il consenso per la pubblicità personalizzata.

Per continuare a utilizzare le funzionalità di personalizzazione e dei segmenti di pubblico basati su tag in Google Ads, Google Analytics 4 o Google Marketing Platform, è necessario implementare i nuovi parametri della modalità di consenso direttamente nella configurazione del tag Google.

3.5 Quale consenso è necessario per l’attivazione di questi nuovi parametri?

Per l’attivazione di questi nuovi parametri è necessario il consenso al targeting o pubblicitario (profilazione).

4 Cosa cambia per i clienti IusPrivacy?

In questi mesi Google ha preannunciato, a tutti gli utenti Google Ads, i cambiamenti al Consent Mode che avverranno a Marzo 2024 e che riguardano i nuovi parametri di gestione del consenso.

Di conseguenza, a partire da marzo 2024, per i clienti IusPrivacy che hanno implementato la modalità di consenso, seguendo le linee guida di Google, il parametro ad_storage verrà mappato automaticamente al nuovo parametro ad_user_data.

Ciò significa che quando viene concesso o negato il consenso per ad_storage, i parametri ad_user_data e ad_personalization seguiranno la stessa impostazione, garantendo che le funzionalità di misurazione del rendimento dell'implementazione originale continuino a funzionare come previsto.

La soluzione proposta da IusPrivacy, sebbene sia possibile in ogni caso separare il consenso per ciascuna opzione, prevede l’assimilazione dei parametri ad_user_data e 'ad_personalization a ad_storage in quanto sono tutte modalità di elaborazione che comportano un trattamento di monitoraggio e profilazione, ai sensi privacy, con la necessità di raccolta di uno specifico consenso per l’utilizzo.

4.1 Quali vantaggi si ottengono?

Google stima attualmente che oltre il 70% dei click su Google ADS, una volta atterrato sul sito, neghi il consenso alla raccolta e utilizzo dei dati per fini di marketing.

Grazie alla Google Consent Mode V2 si potranno recuperare in forma aggregata le informazioni di navigazione, per rendere maggiormente corrispondenti alla realtà i dati trasmessi a Google ADS e GA4.

Gli utenti hanno un controllo più preciso su come i loro dati vengono utilizzati da Google. Possono scegliere di acconsentire all'utilizzo dei loro dati per scopi pubblicitari, ma negare il consenso alla personalizzazione degli annunci.

5 Cosa è l’advanced Consent Mode?

Il Consent Mode v2 offre due modalità di funzionamento, Basic e Advanced. L’implementazione Basic è quella che tutti conosciamo ovvero nessun tag verrà attivato e nessuna informazione verrà tracciata fino a quando l'utente non avrà espresso il suo consenso. La modalità Avanzata, introdotta adesso, è la nuova modalità di funzionamento.

La caratteristica principale di questa modalità è quella di avviare i Tag prima che l’utente abbia interagito col banner. Ovvero i Tag vengono eseguiti anche in assenza di consenso. In questo caso però i vari Tag modificheranno il loro comportamento in accordo con la scelta di consenso dell’utente e in caso di diniego del consenso ad esempio non scriveranno cookie o non abiliteranno personalizzazioni.

Si deduce che questa modalità, in caso di diniego del consenso, permette al tracciamento di continuare a funzionare in una modalità senza cookie (cookieless). Google utilizzerà altre informazioni come ad esempio Device Type, Conversion Type, Country, Time of Day, and Browser Type come indicatori per fare in modo che la modellazione del dato sia il più accurata possibile.

Fonte: https://medium.com/@w.anatolii/google-consent-mode-v2-prepare-your-marketing-for-2024-e209746f95db

5.1 Registrazione della conversione in assenza del consenso

Quando i visitatori negano il consenso, Google Consent Mode non memorizza i cookie. Invece, i tag comunicano lo stato del consenso e l'attività dell'utente inviando i seguenti tipi di ping, o segnali, al server di Google:

Ping dello stato di consenso per i tag Google Ads e Floodlight: Comunicano lo stato di consenso predefinito che avete configurato e lo stato aggiornato quando il visitatore concede o nega il consenso per ogni tipo di consenso, come ad_storage e analytics_storage. I ping sullo stato del consenso vengono inviati da ogni pagina visitata dall'utente in cui è abilitata la modalità di consenso e vengono attivati anche per alcuni tag se lo stato del consenso passa da negato a concesso. Ad esempio, se un visitatore sceglie di accedere da una finestra di dialogo per il consenso.
Ping di conversione: indicano che si è verificata una conversione.
Ping di Google Analytics: inviati da ogni pagina di un sito web in cui è implementato Google Analytics al momento del caricamento e quando vengono registrati eventi.

In tutti i casi, i ping possono includere informazioni funzionali (come le intestazioni aggiunte passivamente dal browser): Timestamp, Agente utente (solo web), pagina in precedenza visitata.

Fonte: https://support.google.com/google-ads/answer/10000067?hl=en

5.2 Tecnicamente, in che modo cambia il tracciamento?

Tipo di consenso (variabile)	dentied or granted	Comportamento
ad_storage e analytics_storage	granted granted	i cookie e gli identificatori dei dispositivi possono esser eletti e scritti; gli indirizzi IP sono tracciati; l’intera URL della pagina, incluse le “ad-click information” sono raccolte (es GCLID / DCLID); i cookie di terze parti che erano settata sul dominio google.com e doublecliock.net, e cookie di prime parti di conversione (_gcl_*) sono accessibili.
ad_personalizzation	denied	La personalizzazione delle pubblicità è disattivato, e le seguenti funzioni non riceveranno dati: il Remarketing in Google Ads, Display & Video 360, Search Ads 360; pubblicità personalizzate attraverso prodotti di pubblicità di Google.
ad_user_data	denied	La raccolta dei dati personali per la pubblicità online è disabilitata, includendo: user_id; Enhanced conversions: Hashed first party data.
ad_storage	denied	nessun nuovo cookie o identificativo di dispositivo che fanno riferimento alle pubblicità vengono scritti; nessun cookie o identificativo già esistente possono essere letti; le richieste sono inviate a domini differenti per evitare che cookie di terze parti settati in precedenza possano essere inviati dentro gli header delle richieste; Google Analytics non leggerà o scriverà più i cookie di Google Ads, e la funzionalità “Google signals” non accumulerà più dati su questo traffico; su prodotti Ads l’indirizzo IP verrà sempre troncato al momento del rilevamento; l’intera URL della pagina, incluse le “ad-click information” sono raccolte (es GCLID / DCLID).
analytics_storage	denied	non verranno letti i cookie analitici di prima parte o identificativi di app; ping (senza cookie) saranno inviati a Google Analytics per fare misurazioni e modellazioni di base.
ad_storage and ads_data_redaction	denied e ‘true’	nessun nuovo cookie o identificativo che riguardano una pubblicità verranno scritti; nessun cookie o identificativo pubblicitario saranno letti; le richieste sono inviate a domini differenti per evitare che cookie di terze parti settati in precedenza possano essere inviati dentro gli header delle richieste; Google Analytics non leggerà o scriverà più i cookie di Google Ads o gli identificativi, e la funzionalità “Google signals” non accumulerà più dati su questo traffico; gli identificatori “ad-click” (GCLID / DCLID) provenienti da consenso o conversioni inviati come ping sono oscurati; su prodotti Ads l’indirizzo IP verrà sempre troncato al momento del rilevamento; le URL delle pagine con gli identificatori “ad-click” sono oscurati.

Fonte: https://developers.google.com/tag-platform/security/concepts/consent-mode

In caso di diniego del consenso (denied) da parte dell’utente, il Consent Mode V2 permette di inviare a Google dei dati relativi all’utente e presenti nella URL di atterraggio dello stesso, quindi:

ID dell’annuncio
ID Cliente
ID sessione

Questo avviene tramite il passaggio dei parametri nella URL, durante la navigazione dell’utente tra le pagine. Per farlo quindi bisognerà settare il parametro url_passthrough a true.

6 Come funziona il Consent Mode v2

Il Consent Mode regola i tag di Google (Analytics, Ads, Tag Manager) in base al consenso dell’utente, garantendo:

piena funzionalità se l’utente accetta;
raccolta dati limitata o anonima se rifiuta.
I parametri principali della Consent Mode v2 sono:

6.1 Configurazione tecnica

Il Consent Mode è lo strumento che assicura la conformità tecnica al GDPR, alla direttiva ePrivacy, adattando automaticamente i tag di Google alle scelte degli utenti. Per garantirne la conformità è necessario che sia configurato in maniera corretta. Prima che venga rilasciato il consenso dall’utente, i parametri devono essere impostati su denied,ad eccezione di analytics_storage impostato su granted quanto riferito ad analitycs di GA4 in quanto assimilato a cooki tecnico, per garantire che nessun cookie venga installato:

									
gtag('consent', 'default', {
	ad_storage: 'denied',
	analytics_storage: 'granted',
	ad_user_data: 'denied',
	ad_personalization: 'denied',
	functionality_storage: 'denied',
	personalization_storage: 'denied',
	security_storage: 'denied'
});

Dopo consenso esplicito, i parametri vengono aggiornati a granted:

									
gtag('consent', 'update', {
	ad_storage: 'granted',
	analytics_storage: 'granted',
	ad_user_data: 'granted',
	ad_personalization: 'granted',
	functionality_storage: 'granted',
	personalization_storage: 'granted',
	security_storage: 'granted'
});

Se l’utente non presta il consenso, i parametri vengono aggiornati a denied:

									
gtag('consent', 'update', {
	ad_storage: 'denied',
	analytics_storage: 'granted',
	ad_user_data: 'denied',
	ad_personalization: 'denied',
	functionality_storage: 'denied',
	personalization_storage: 'denied',
	security_storage: 'denied'
});

6.2 Aspetti giuridici della configurazione tecnica

La configurazione tecnica del Consent Mode deve rispettare i principi fondamentali del GDPR, in particolare quello della "privacy by design" sancito dall'articolo 25 del Regolamento. L'impostazione predefinita su "denied" rappresenta l'implementazione tecnica del principio secondo cui il consenso deve essere una scelta attiva e consapevole dell'utente, non una conseguenza dell'inerzia.

7 Che cos'è una CMP e perché è indispensabile

7.1 Cosa è il CMP

La Consent Management Platform (CMP) è il sistema che mostra il banner cookie, raccoglie le preferenze dell’utente e le comunica al Consent Mode.
È la chiave per:

rispettare il GDPR e la normativa ePrivacy;
bloccare i cookie di profilazione fino al consenso;
mantenere un registro delle preferenze, utile anche in caso di verifica.

La corretta interazione tra CMP e Consent Mode garantisce che i tag di Google si attivino solo quando è realmente consentito.
Risultato? Massima conformità legale, dati affidabili e marketing più mirato.

7.2 Fondamenti giuridici di una CMP

Le Consent Management Platform trovano il loro fondamento giuridico negli obblighi informativi previsti dagli articoli 13 e 14 del GDPR, che impongono al titolare del trattamento di fornire all'interessato informazioni chiare e comprensibili sulle modalità e finalità del trattamento dei dati personali.La necessità di documentare il consenso deriva dall'articolo 7 del GDPR, che stabilisce l'obbligo per il titolare del trattamento di essere in grado di dimostrare che l'interessato ha prestato il consenso al trattamento dei propri dati personali.

8 Come interagiscono CMP e Consent Mode

L’interazione tra CMP (Consent Management Platform) e Consent Mode è fondamentale per assicurare che i dati degli utenti vengano trattati in modo lecito e ottimale. Vediamo il flusso tipico passo dopo passo e cosa succede “dietro le quinte”.

8.1 Visualizzazione del banner CMP

Quando un utente visita il sito, la CMP mostra un banner o un popup che spiega chiaramente quali tipi di cookie e dati vengono raccolti (ad esempio: cookie tecnici, analitici, marketing). L’utente può scegliere di accettare o rifiutare le varie categorie, oppure modificare le preferenze in un secondo momento. In tal modo si raggiungono 2 obiettivi:

Obiettivo legale: rispettare il GDPR art.6, par 1, lett. a) e la direttiva ePrivacy art.5 par. 3;
Obiettivo tecnico: bloccare preventivamente i cookie di profilazione fino al consenso.

8.2 Registrazione del consenso da parte della CMP

Una volta che l’utente seleziona le proprie preferenze, la CMP registra il consenso per ciascuna categoria (ad esempio marketing, analytics, personalizzazione annunci).
Questo passaggio crea un record del consenso, utile sia per il rispetto della normativa sia per eventuali audit.
La CMP associa ogni scelta a specifici parametri che saranno comunicati al Consent Mode.

8.3 Trasmissione dei consensi al Consent Mode

La CMP comunica le scelte dell’utente al Consent Mode di Google tramite API o script.Ad esempio, se l’utente accetta solo cookie tecnici e analytics, il Consent Mode riceverà istruzioni per attivare solo analytics_storage e lasciare ad_storage, ad_user_data e ad_personalization in modalità negata.
Questa comunicazione avviene in tempo reale, così che i tag Google sappiano subito come comportarsi.

8.4 Aggiornamento dei tag Google tramite Consent Mode

Il Consent Mode aggiorna automaticamente lo stato di tutti i tag collegati (Analytics, Ads, Tag Manager, Floodlight, Conversion Linker).
Quindi:

i tag si attivano solo se il consenso è granted;
se un parametro è negato, il tag non scrive cookie o invia dati di profilazione;
in questo modo, anche funzionalità avanzate come Google Signals o remarketing funzionano solo quando è consentito, evitando violazioni della privacy.

8.5 Perché questa interazione è cruciale

Una corretta configurazione e interazione garantisce conformità legale e riduce il rischio di sanzioni; permette di raccogliere dati di qualità, anche se parzialmente anonimizzati, per misurare correttamente le conversioni, assicura che il marketing digitale sia mirato e ottimizzato senza compromettere la privacy degli utenti e consente di rispettare le scelte dell’utente anche se cambiano nel tempo, grazie all’aggiornamento dinamico dei tag.

8.6 Profili di responsabilità nella gestione dei consensi

L’interazione tra piattaforme di gestione del consenso (CMP) e sistemi come il Consent Mode pone importanti questioni in merito alla qualificazione giuridica dei soggetti coinvolti nel trattamento dei dati personali. In particolare, quando si ricorre a servizi di terze parti per la gestione del consenso o per l’implementazione di tali strumenti, è necessario definire con chiarezza i rispettivi ruoli nel trattamento dei dati.

In questi casi, la designazione dei soggetti che agiscono per conto del titolare deve essere formalizzata attraverso un contratto o altro atto equivalente conforme all’articolo 28 del GDPR, non potendo essere considerata implicita o desumibile dal semplice rapporto di fornitura del servizio. Tale formalizzazione garantisce trasparenza, ripartizione chiara delle responsabilità e adeguata tutela dei diritti degli interessati.

9 Cos'è Google Signals e perché è importante

9.1 Google Signal

Google Signals, funzione avanzata di GA4, consente di:

unire i dati degli utenti che usano più dispositivi (cross-device tracking);
attivare funzionalità di remarketing su Google Ads;
visualizzare dati demografici e interessi;
migliorare l’integrazione tra Analytics e Ads.

Google Signals si basa su dati derivati dall’account Google (ID pubblicitari, cookie, informazioni di navigazione, dati demografici) e può essere attivato solo dopo consenso preventivo e informato, come richiesto dal GDPR e dalla normativa ePrivacy.

9.2 Il ruolo del consenso: ponte tra Google Signals e Consent Mode

Poiché Google Signals utilizza cookie di profilazione (es. _gcl_au, IDE, NID), è necessario:

bloccarli automaticamente all’ingresso dell’utente;
attivarli solo dopo consenso esplicito e inequivocabile.

9.3 Aspetti giuridici del cross-device tracking

Google Signals rappresenta una delle modalità più avanzate di profilazione digitale, che pone rilevanti questioni in materia di trattamento dei dati personali per finalità di marketing comportamentale. La caratteristica cross-device del servizio consente infatti la costruzione di profili utente molto dettagliati attraverso la combinazione di informazioni provenienti da più dispositivi utilizzati dalla stessa persona. Nell’attuale economia digitale, i dati personali e le informazioni di navigazione online assumono un valore economico significativo e sono oggetto di sfruttamento a fini commerciali. Ciò rende necessario prestare particolare attenzione alla gestione del consenso, che deve essere espresso in maniera libera, informata e specifica, soprattutto quando si utilizzano strumenti avanzati come Google Signals.