O guia definitivo para Google Analytics e conformidade com GDPR

Publicados: 2022-05-25

Até agora, todos os negócios on-line de sucesso estão familiarizados com o Google Analytics (GA). O software é uma obrigação para qualquer organização que queira aprender mais sobre seu público. Hoje, administrar um negócio online sem GA equivale a dirigir um carro sem rodas; não é provável que você vá muito longe.

Afinal, o GA nos fornece muitos relatórios e métricas para conhecer nosso público. De que país é um visitante? Qual é a demografia deles? Quais são seus interesses? Todas essas perguntas podem ser respondidas no GA.

Os dados desempenham um papel em quase todos os negócios modernos. Usando a atribuição baseada em dados , por exemplo, ajuda a ajustar a publicidade. Outro exemplo, o mapeamento de calor, pode melhorar o design do site .

Mas com as empresas tendo acesso a todos esses dados, os consumidores estão cada vez mais preocupados com o destino dos dados e como eles estão sendo usados. Por muito tempo, as empresas podiam coletar dados com poucas restrições. Mas, à medida que as preocupações relacionadas a dados se tornaram cada vez mais prevalentes, uma nova legislação entrou em cena.

Digite o Regulamento Geral de Proteção de Dados (GDPR). É justo dizer que essa legislação deixou muitas empresas preocupadas. Mesmo agora, existem organizações que não entendem totalmente o GDPR. Isso não é sem razão; o regulamento é extremamente complicado e causa dor de cabeça.

Então o que você deveria fazer? Felizmente, este guia está aqui para mostrar como você pode continuar a tirar o máximo proveito do GA e permanecer em conformidade com o GDPR!

Em primeiro lugar… O que é o GDPR?  

Infográfico do blog P&DP_1

Fonte da imagem

O GDPR foi introduzido como uma forma de modernizar a legislação relacionada a dados. Antes de 2018, as leis de dados estavam muito desatualizadas, algumas datando de 1990. Não é difícil ver por que essas leis precisavam ser atualizadas.

Nos últimos 20 anos, a Internet explodiu, agora existem 5 bilhões de pessoas online em todo o mundo. As pessoas se inscrevem em contas diferentes, inserem detalhes pessoais e deixam enormes pegadas digitais. A legislação não era mais suficiente para regular esses dados. O GDPR unificou e atualizou diferentes leis sob um único banner.

Isso significou novas regras para as formas como as empresas coletavam e usavam dados relacionados a seus clientes.

Como o GDPR afeta os negócios online

A legislação completa do GDPR é enorme – um documento de 90 páginas que estabelece a lei. Obviamente, não podemos resumir as 90 páginas completas aqui. Em vez disso, aqui estão os fatores mais importantes que você precisa considerar.

Um visitante deve consentir antes de coletar quaisquer dados – não importa quais sejam as informações, se estiverem relacionadas ao visitante, você precisará da permissão dele para coletá-las. Um pop-up de consentimento de cookies ajudará com isso. Se você tiver um formulário de contato, inclua uma caixa de seleção para confirmar que um usuário leu sua política de privacidade.

Seu site deve mostrar como é compatível com GDPR – Não tente escrever sua própria política de privacidade. Você precisará da ajuda de um profissional familiarizado com o GDPR. Ou você pode encontrar modelos online.

Certifique-se de que um cliente 'aceita' o seu marketing – Antes de enviar qualquer materiais de marketing digital para um cliente, eles precisam concordar em recebê-los. Da mesma forma, um cliente deve ser capaz de 'desistir' facilmente a qualquer momento.

Você pode estar entrando em pânico lendo esta informação. A realidade é que esta é apenas uma pequena parte da legislação. Para obter informações mais detalhadas, consulte este resumo do GDPR.

O GDPR se aplica a empresas fora da UE?

Você pode estar lendo o texto acima e pensando 'Ótimo! Eu não estou na UE, então a lei não se aplica a mim'. Bem, infelizmente sem essa sorte. Mesmo que sua organização não esteja sediada na UE, seu site ainda receberá visitantes que estejam. Você precisará do consentimento desses visitantes antes de coletar seus dados.

Quais multas estão associadas à violação do GDPR?  

Antes de entrar nisso, quero estabelecer que existem várias entidades que aplicam o GDPR para diferentes empresas na Europa. Dado que a UE estabeleceu as regras, e não quero listar todos os conselhos de administração, vou apenas me referir à UE como a entidade que aplica essas regras.

Se você ainda não é, você pode querer se sentar para este. A multa máxima por violar o GDPR é de € 20 milhões ou 4% do faturamento anual (o que for maior). Mesmo o Google não conseguiu escapar da ira do GDPR, incorrendo em uma enorme multa de 50 milhões de euros .

Vale ressaltar que a maioria das multas não chegará nem perto desse número. Mas a multa ilustra a seriedade da UE em lidar com a questão dos dados.

Além de emitir uma multa, a UE pode fazer o seguinte:

  • Emitir um aviso para uma organização
  • Proibir o processamento de dados (temporária ou permanentemente)
  • Encomende uma empresa para excluir os dados do usuário

Como o Google Analytics é afetado pelo GDPR?  

Ao ativar o Google Analytics em seu site, você também está integrando uma tag de rastreamento. Além de enviar dados para o seu Relatórios do GA , essa tag envia os endereços IP dos usuários do seu site ao Google junto com outras informações.

Parte da legislação do GDPR é que, se você enviar dados do usuário a terceiros, deverá informar os usuários primeiro. Isso significa que você precisará incluir informações em seu site que permitam aos usuários saber como o GA lida com seus dados.

Se ainda não o fez, pode ser uma boa ideia configurar Gerenciador de tags do Google para maior controle sobre a marcação.

O Google Analytics precisa de consentimento?  

Um dos aspectos mais frustrantes do GDPR é que muitas áreas permanecem ambíguas. Já analisamos as multas dolorosas associadas ao GDPR – ilustrando por que é sempre melhor transmitir com cautela.

Então o que você deveria fazer?  

A resposta mais fácil é usar uma ferramenta de gerenciamento de consentimento. Isso busca a permissão de um usuário antes de implantar qualquer código de acompanhamento do GA. Há muitas opções de gerenciamento de consentimento para escolher:

  • TrustArc
  • OneTrust
  • Cookiebot  

Os acima são alguns que eu recomendo. Embora nem todas as opções incluam recursos para impedir o código de acompanhamento do GA. Certifique-se de realizar pesquisas antes de escolher uma opção.

Etapas simples para manter a conformidade com o GDPR  

O grande número de medidas contidas no GDPR é suficiente para mantê-lo acordado à noite. Mas se você seguir as etapas básicas a seguir, poderá ficar longe de problemas.

Inclua as informações corretas em seu banner de cookies  

Lembre-se, o GDPR se concentra na questão do consentimento. Um usuário precisa dar seu consentimento para que você possa coletar e analisar seus dados. Mas primeiro, um usuário precisa entender com o que está consentindo. Para ser compatível com GDPR, seu banner de cookies precisa conter todas as informações que um usuário precisa saber para tomar uma decisão informada.

Isso significa que você deve explicar como está usando o Google Analytics para coletar seus dados. Isso deve incluir o que você está fazendo com as informações de um usuário e por que a coleta de dados é importante para seu site.

Não negligencie a política de cookies  

Uma política de privacidade é extremamente importante para definir a maneira como você usa os dados do cliente. Mas isso não deve significar que você negligencie uma política de cookies. Os cookies podem ser extremamente detalhados em si mesmos; você precisará de uma seção para cada cookie que você usa. Isso deve incluir cookies de terceiros .

Mais uma vez, você pode ficar tentado a cortar custos escrevendo sua apólice por conta própria. Não. Para ser preciso e compatível, sua política precisará ter sido elaborada por um especialista. Ou, novamente, você pode encontrar modelos online.

Esteja pronto para violações de dados

Fonte da imagem

Infelizmente, os ataques cibernéticos são algo com o qual as empresas estão aprendendo a conviver. Entre 2020 e 2021, os ataques relacionados à segurança cibernética aumentaram em 31% . Esse aumento não parece mostrar nenhum sinal de desaceleração. Quando os ataques resultam em violações de dados, você precisa considerar o GDPR.

Após qualquer violação de dados, você precisará notificar os usuários em até 72 horas. É melhor se preparar para isso antes que aconteça, em vez de se debater se ocorrer um ataque. Lembre-se de que as violações de dados também se aplicam à sua conta do GA. O Google enviará um e-mail para notificá-lo se sua conta foi comprometida.

Esteja pronto para compartilhar e excluir dados  

Uma grande parte do GDPR é ser transparente com as maneiras de coletar e analisar dados. Isso significa que, se um cliente solicitar a visualização de seus dados, você será obrigado a mostrá-los. Assim como nos problemas de segurança cibernética, você deve ter um processo para compartilhar os dados do cliente quando solicitado.

Da mesma forma, um usuário pode decidir que deseja que seus dados sejam excluídos. Se você receber uma solicitação de exclusão, deverá cumprir. Ser capaz de usar dados para retargeting é realmente ótimo e deve ser parte integrante de seus esforços de marketing pago. Mas a privacidade das pessoas significa mais.

Acessando e excluindo dados no Google Analytics

Felizmente, é possível encontrar os dados de um usuário individual no GA. Infelizmente, fazer isso é um pouco trabalhoso. Em primeiro lugar, o usuário que solicitar uma alteração precisará compartilhar seu ID de cliente do GA. Este é um cookie colocado pelo GA para rastrear usuários individuais.

Os dados coletados de IDs podem nos ajudar de várias maneiras. Por exemplo, aprendendo sobre o comportamento do usuário, podemos melhorar microfunis e aumentar a probabilidade de vendas.

Para acessar isso, eles precisarão acessar os cookies armazenados em seu navegador. A partir daqui, eles precisarão localizar o cookie GA e procurar o identificador _ga . Abaixo está um exemplo de um cookie GA.

GA1.2.456731348.6436758325

Nessa situação, os números ' 456731348.6436758325' seriam o ID do cliente do usuário. Depois que um ID for enviado a você, você poderá identificá-lo em seus registros do GA e excluí-lo. Você também deve instruir um usuário a excluir quaisquer cookies do GA de seu navegador. Para obter mais informações sobre como excluir dados no GA, o Google criou um guia detalhado.

Se você se familiarizar com esse processo agora, terá muito mais facilidade para lidar com consultas relacionadas a dados.

Anonimizar endereços IP  

Como já mencionado, o GA coleta os endereços IP de todos os usuários. Vale a pena notar que isso é inteiramente para fins geográficos e os endereços IP não são incluídos nos relatórios. Apesar disso, os endereços IP ainda são classificados como uma forma de identificação e se enquadram na jurisdição do GDPR.

Felizmente, o Google oferece uma solução útil no GA para evitar esse problema. Você pode usar um recurso chamado Anonimização de IP, que mascara o endereço IP dos usuários durante a coleta.

Esteja ciente do que você está enviando para o Google  

Conforme mencionado acima, alguns dados coletados no GA também são compartilhados com o Google. Existem algumas etapas que você precisa seguir para garantir que esses dados não estejam violando o GDPR. Abaixo estão alguns passos importantes para garantir que você esteja do lado certo da lei.

Aceite os termos de processamento de dados – o Google criou um documento detalhado sobre como eles processam e compartilham dados do GA. Você precisará assinar este documento para evitar a violação do GDPR. Para fazer isso, vá para Admin, selecione Configurações da conta e role para baixo até Termos de processamento de dados.  

Certifique-se de que os dados compartilhados sejam anônimos – Ao compartilhar dados com o Google, é importante que eles não incluam informações identificáveis ​​sobre um usuário. Isso significa que dados como endereços de e-mail não devem ser incluídos. Como mencionado, anonimizar endereços IP é uma parte importante disso.

Desativar o compartilhamento de dados – Por padrão, o Google compartilha dados do GA com outros serviços. Isso pode ser desativado acessando Configurações da conta e escolhendo Compartilhamento de dados.  

Não retenha dados por um período prolongado  

O GDPR não estipula por quanto tempo uma organização deve manter os dados, apenas que as informações não devem ser mantidas por mais tempo do que o necessário. No GA, você escolhe a quantidade de tempo que armazena dados. A configuração padrão é 24 meses, mas isso pode ser reduzido para 14 meses. Para fazer isso, vá para Admin, escolha Tracking Info and Data Retention.  

Não se esqueça da importância do GDPR  

Goste ou não, o GDPR veio para ficar. A legislação gigantesca pode ser difícil de entender; conforme ilustrado aqui, o GDPR abrange muitas áreas e requer novas medidas. Mas não desista da análise de dados - o fato é que os dados são essenciais no mundo moderno.

Mas o GDPR não significa que sua operação de dados deva ser menos eficaz. GA continua a se tornar cada vez mais poderoso; a última versão chamada google analytics 4 , adiciona toda uma nova gama de recursos.

Reserve um tempo para se familiarizar com o GDPR. Com as medidas certas em vigor, a legislação não precisa ser uma preocupação. O GA ainda vem com ferramentas para facilitar a conformidade. Com as preocupações do GDPR fora do caminho, você pode voltar a aproveitar ao máximo seus dados e levar seus negócios para o próximo nível.

Bio: Phil Pearce é especialista em análise, autor e analista da web. Ele também é o diretor de análise e fundador do Google Analytics, Google Tag Manager, Google Ads e agência CRO , MeasureMinds Group. Nos últimos 20 anos, Phil ajudou os clientes a melhorar suas análises e marketing de mecanismos de pesquisa por meio da introdução de novas ferramentas e técnicas disruptivas. Ele escreveu para sites como Hubspot e BambooHR .

Encontrar Phil no LinkedIn

Encontre Phil no Twitter