Il costo nascosto dei banner di consenso
I banner di consenso non sono solo un problema di UX. Sono un problema di dati. Nei mercati europei con piattaforme di gestione del consenso attive, tra il 30 e il 50% dei visitatori rifiuta o ignora il banner. Quel traffico scompare completamente dalla tua analisi. I dati su cui basi le decisioni non sono un campione rappresentativo del tuo pubblico reale.
Le pagine ad alto valore hanno spesso i tassi di consenso peggiori. I visitatori da mobile, i visitatori che arrivano per la prima volta e i visitatori di certe regioni tendono a rifiutare più frequentemente. Il segmento del tuo pubblico che conosci meno è spesso quello che hai più bisogno di raggiungere.
Alcuni team accettano questo come il costo della conformità. Non è così. Se hai bisogno di un banner di consenso dipende interamente da cosa fa tecnicamente il tuo strumento di analisi, non dal fatto che tu stia facendo analisi.
Cosa attiva davvero il requisito di consenso
Il requisito legale per i banner di consenso in Europa deriva da due testi separati che vengono spesso confusi:
- La Direttiva ePrivacy (2002/58/CE), Articolo 5(3): Richiede il consenso prima di memorizzare qualsiasi informazione sul dispositivo di un utente o accedervi. Questo copre i cookie, il localStorage e qualsiasi forma di persistenza lato client.
- Il GDPR: Richiede una base legale per il trattamento dei dati personali, di cui il consenso è un'opzione ma non l'unica.
Il banner di consenso per l'analisi è principalmente un requisito della ePrivacy, non del GDPR. Se il tuo strumento di analisi inserisce un cookie nel browser del visitatore, l'Articolo 5(3) si applica e il consenso è richiesto prima che quel cookie venga impostato.
Se il tuo strumento non memorizza nulla sul dispositivo del visitatore, l'Articolo 5(3) non si applica. Il requisito del banner di consenso scompare alla sua radice legale.
Come l'analisi senza cookie evita il requisito
Gli strumenti di analisi senza cookie funzionano in modo diverso a livello tecnico. Invece di inserire un identificatore sul dispositivo del visitatore e leggerlo ad ogni visita successiva, elaborano segnali disponibili lato server: l'indirizzo IP, la stringa dello user agent, l'intestazione del referrer e il percorso della pagina.
Da questi segnali, lo strumento ricava la fonte di traffico, il tipo di dispositivo, il paese e i dati di sessione senza memorizzare nulla nel browser del visitatore. Nessun cookie viene impostato. Nessuna chiave localStorage viene scritta. L'Articolo 5(3) della Direttiva ePrivacy semplicemente non si applica.
Questo non è un vuoto normativo. È la diretta conseguenza di come è scritta la legge. Il requisito di consenso è legato alla memorizzazione sull'apparecchiatura terminale, non all'analisi come categoria.
Il GDPR si applica comunque: ecco perché non è un problema
Anche senza cookie, gli indirizzi IP sono dati personali ai sensi del GDPR. Uno strumento senza cookie elabora ancora dati personali quando riceve una richiesta da un browser. La questione è quale base legale si applica.
Per gli strumenti di analisi che:
- anonimizzano o hashano gli indirizzi IP immediatamente alla ricezione
- non creano profili utente individuali
- non condividono dati con terze parti
- archiviano dati esclusivamente nell'UE
- usano i dati solo per la misurazione aggregata del pubblico
il legittimo interesse (Articolo 6(1)(f) del GDPR) è una base legale valida. Il trattamento è proporzionato, l'impatto sull'individuo è minimo e la finalità è legittima. Il consenso non è richiesto.
Questa è la base legale usata da Plausible Analytics, Fathom, Simple Analytics e Sublim, tra gli altri. Ognuno ha pubblicato documentazione che spiega come il proprio trattamento si qualifica nell'ambito del legittimo interesse.
I criteri della CNIL: la guida più dettagliata dell'UE
La CNIL (l'autorità francese per la protezione dei dati) ha pubblicato criteri specifici per gli strumenti di analisi che possono operare senza consenso. Pur trattandosi di una guida regolatoria francese, riflette l'approccio adottato da diverse autorità europee per la protezione dei dati ed è la guida operativamente più dettagliata disponibile.
Per qualificarsi, uno strumento di analisi deve:
Uno strumento che soddisfa tutti e cinque i criteri può operare sulla base del legittimo interesse in Francia senza un banner di consenso. La domanda chiave da porre a qualsiasi fornitore di analisi è: soddisfate questi criteri e potete documentarlo?
Perché Google Analytics non soddisfa questi criteri
GA4 non si qualifica in base a questi criteri per diversi motivi:
- Cookie: GA4 imposta cookie first-party persistenti tra le sessioni:
_ga(identificatore univoco del browser, conservato per 2 anni),_gid(identificatore di sessione, 24 ore) e una variante con l'ID di misurazione per ogni proprietà GA4 (anch'essa 2 anni). Questo attiva immediatamente il requisito di consenso dell'Articolo 5(3). - Uso proprio dei dati da parte di Google: I termini di servizio di Google consentono a Google di usare i dati di analisi per il miglioramento dei propri prodotti. I dati vengono condivisi con una terza parte che ha propri scopi di trattamento indipendenti — il che esclude lo strumento dai criteri di esenzione della CNIL indipendentemente da dove è ospitato.
La decisione della CNIL non ha detto "l'analisi richiede il consenso". Ha detto "Google Analytics richiede il consenso a causa di come funziona Google Analytics". Il requisito è specifico allo strumento, non esteso all'intera categoria.
GA4 introduce anche problemi separati di accuratezza dei dati che si sommano al problema del consenso: i report Esplora sono campionati oltre i 10 milioni di eventi, i piccoli segmenti vengono silenziosamente rimossi dalla sogliatura e la modellazione ML colma le lacune senza alcun indicatore visibile.
| Google Analytics 4 Vedi confronto → |
Sublim Analytics Prova gratis → |
|
|---|---|---|
| Banner di consenso richiesto | Sì | No |
| Completezza dei dati | ~60% | 100% |
| Dati ospitati nell'UE | No | Sì |
| Condivisione dati con terze parti | Nessuna |
Implicazioni pratiche per la tua configurazione di analisi
Passare a uno strumento di analisi senza cookie ospitato nell'UE ha due conseguenze dirette:
Vedi il 100% del tuo traffico. Non c'è nessun funnel di consenso attraverso cui perdere visitatori. Il visitatore che arriva, legge una pagina e se ne va viene contato. Il visitatore da mobile che abbandona una modale di consenso viene contato. I tuoi dati corrispondono al tuo pubblico reale.
Il tuo sito non ha un banner di consenso per l'analisi. Potresti averne ancora bisogno per altri scopi (cookie pubblicitari, pixel di marketing, embed di terze parti). Ma se l'analisi è il motivo principale per cui mostri un banner, quel motivo scompare.
Per i team che gestiscono A/B test o ottimizzazione delle conversioni, questo è significativo. Stai confrontando varianti usando dati completi, non un sottoinsieme auto-selezionato di visitatori che hanno acconsentito.
Per un confronto degli strumenti che si qualificano, consulta il nostro confronto degli strumenti di web analytics.
Come verificare se il tuo strumento attuale si qualifica
Poni queste cinque domande a qualsiasi strumento di analisi che stai valutando:
Se una risposta è sì, hai bisogno di un banner di consenso. Se tutte le risposte sono no, probabilmente no. Verifica la tua giurisdizione specifica e le linee guida della tua autorità nazionale per la protezione dei dati, poiché le implementazioni nazionali della Direttiva ePrivacy variano.
Strumenti come Sublim, Plausible, Fathom e Simple Analytics sono progettati per rispondere no a tutte e cinque. La loro architettura tecnica rende i banner di consenso non necessari per impostazione predefinita.
Una cosa da fare bene nella tua informativa sulla privacy
Operare senza banner di consenso non significa operare senza trasparenza. Anche sulla base del legittimo interesse, il GDPR richiede di informare gli utenti sul trattamento dei dati. La tua informativa sulla privacy deve descrivere:
- Quali dati vengono raccolti (percorso della pagina, referrer, paese, tipo di dispositivo)
- La base legale (legittimo interesse per la misurazione del pubblico)
- Il periodo di conservazione
- Come gli utenti possono rinunciare
La maggior parte dei fornitori di analisi senza cookie pubblica una documentazione sul trattamento dei dati a cui puoi fare riferimento direttamente. La superficie di conformità è reale, ma si tratta di un aggiornamento della privacy policy, non di una piattaforma di gestione del consenso.
