Krönika

Är ”Behavioral modeling for consent mode” i GA4 laglig?

Har ni som laglydiga annonsörer infört cookiebanners och Googles ”Consent mode 2” på era webbplatser och därmed tappat massa statistik i Google Analytics på grund av att besökare inte samtycker till spårning?

Har ni därför aktiverat Googles ”samtyckesfria” tjänst Behavioral modeling for Consent mode? I så fall kan ni leva lite farligt rent dataskyddsmässigt.

Jag får ofta frågor från mina kunder och er medlemmar i Sveriges Annonsörer om kakor och digital spårning, och många tycker det här området är svårt att förstå. Och jag håller med. Det är svårt att förstå. Det är också extra svårt att förstå när det ligger i någons intresse att förklara på ett sätt så att du inte ska förstå.

En bra grundregel kan därför vara att när Google, Meta eller någon annan dominerande aktör hävdar att en typ av spårning inte kräver samtycke, att någon behandling av uppgifter inte utgör personuppgiftsbehandling så därför gäller inte GDPR eller bara är allmänt grumliga i sin information avseende hur dessa tjänster fungerar och ska konfigureras finns det anledning att vara lite skeptisk. 

Frågan om ifall Googles tjänst ”Behavioral modeling for Consent mode” med hjälp av ”Cookieless pings” verkligen inte kräver samtycke dök upp på min radar häromdagen. Därför blev jag tvungen att sätta mig in ordentligt i den. Den här artikeln är en sammanfattning av min förståelse och mina råd till er som använder den. Spolier alert – här finns stora risker!

Vad innebär tjänsten ”Behavioral modeling for Consent mode”?

Syftet med tjänsten är att ni fortsatt ska kunna få full statistik på aggregerad nivå i Google Analytics 4 om exempelvis hur många besökare, visningar och konverteringar ni har på er webbplats. 

Detta åstadkommer Google genom att låta en AI träna på det data ni samlar in från besökare som har samtyckt till spårning och utifrån detta data skapa olika ”segment” av användarbeteenden. Denna del kallas ”observed data”. För att AI-modellen ska kunna byggas behöver ni ha en viss trafikvolym under en viss period.

När en besökare som inte samtyckt till kakor sedan besöker webbplatsen så ”förutsäger” AI-modellen besökarens sannolika beteende och kategoriserar in den i ett segment och lägger till data i statistiken baserat på detta sannolika beteende. Detta data benämns ”modeled data” och kräver enligt Google inte samtycke.

På så sätt får ni komplett statistik i GA4 avseende trafik och beteende på er webbplats.

Varför låter detta för bra för att vara sant?

Eftersom jag har jobbat med data, analys och segmentering av kunder i hela mitt arbetsliv inser jag att det är tekniskt omöjligt för Googles AI att placera in en besökare i ett segment om den inte har någon som helst data om den besökaren vilket den inte borde ha ifall ingen spårning sker.

Enda chansen att få ”fullständig” statistik utan någon spårning är enligt mig att extrapolera de insamlade uppgifter från de som lämnat samtycke med den andel som nekar samtycke och anta att de som samtycker och de som inte gör det har ungefär samma beteende på ”gruppnivå”. Kort sagt, om du vet att 30% nekar samtycke får du räkna upp alla mätetal med motsvarande för att få en hyfsat bra bild över den totala trafiken och beteendet.

Så funkar dock inte Googles modelleringstjänst.

Efter lite utredning framgår det mycket riktigt att Google Analytics 4 faktiskt fortsatt spårar även de besökare som inte samtycker till det med så kallade ”Cookieless pings”. Enligt Google samlas följande ”signaler” in från dessa besökare:

  • Händelser som visning, nerladdning och lagt i varukorg
  • Trafikkälla – alltså varifrån en besökare kom in på er webbplats
  • Tiden för händelserna
  • IP-adress för att bestämma land, region och stad
  • Enhet – om det är en mobil, dator eller surfplatta, enhetsmodell samt webbläsare.

De stora skillnaderna från spårning med samtycke verkar alltså vara:

  1. Inga unikt identifierande kakor sätts i webbläsaren så att alla aktiviteter enkelt kan knytas till samma besökare (och i förlängningen till en identifierad person).
  2. Besökaren kan inte avgöra om den blir spårad eller inte genom att titta i sin webbläsare.
  3. Man undviker att samla in direkt identifierande uppgifter som besökaren exempelvis lämnar i formulär eller i samband med inloggning

Så den stora uppgiften för er GA4 AI-modell blir därför att bedöma hur många unika besökare som gömmer sig bakom allt insamlat data. Kan inte vara supersvårt om den redan har uppgift om geografi, tidpunkt, enhet och webbläsare i varje observation, tänker jag i mitt stilla sinne.

Dina risker som webbplatsägare

Enligt min bedömning finns det en  hel rad bekymmer med denna tjänst:

  • Behandlingen innebär spårning utan samtycke för ändamål som inte är strikt nödvändiga vilket bryter mot ”Cookielagen”.
  • Det finns en missuppfattning att kravet på samtycke i Cookielagen enbart gäller för uppgifter som kan anses utgöra personuppgifter vilket inte stämmer.
  • I princip alla spårningstekniker kräver samtycke enligt EDPB – inte bara kakor. Cookieless pings innebär definitivt spårning även om den inte använder kakor.
  • Behandlingen innebär profilering (eftersom den försöker urskilja enskilda besökare och placera in dem i ett segment) och profileringen görs dessutom med hjälp av en AI-modell. Båda dessa faktum kräver mycket hög nivå av transparens gentemot besökaren.
  • Det är ni som webbplatsägare som står risken vid ett klagomål och eventuell påföljande tillsyn eftersom Google enligt deras villkor enbart är ett biträde för Google Analytics.

Mitt bästa tips

Gör en utvärdering av hur viktigt det är för er att få in all statistik i GA4. Om det inte är jätteviktigt – slå av denna tjänst, eftersom den kanske enbart utgör en onödig regelefterlevnadsrisk.

Om ni ändå vill fortsätta bör ni som minimum informera era besökare om att denna spårning sker trots deras nekande för att ni bedömer den som nödvändig och därför inte kräver samtycke. Nackdelen med denna välmenade transparens är dock att ni utsätter er för risk för klagomål till tillsynsmyndighet och/eller att någon journalist får korn på det och hänger ut er. Min gissning är att ingen vill vara först avseende detta.

Om ni å andra sidan fortsätter att utföra denna spårning utan transparens gentemot era webbplatsbesökare bryter ni medvetet mot både Cookielagen och GDPR och risken för sanktioner ökar.

Slutligen tre argument som tyvärr inte funkar när tillsynsmyndigheten knackar på dörren:

  • ”Men alla andra använder ju också den här tjänsten!”
  • ”Google sa att det inte behövs samtycke.”
  • ”Vi visste inte om att tjänsten fungerade på det sättet. Det är vår webb-/mediabyrå som sköter det här.”

Vill du förstå mer om digital spårning och ditt ansvar som marknadschef?

Kika på detta webinar från förra året så får du i alla fall en grundförståelse. Vill du veta mer är det bara att höra av sig.

Cecilia Arneving Juhlin
Sveriges Annonsörers externa rådgivare Data Privacy

Läs mer om Cecilias rådgivning här

Relaterade artiklar

CMOs: Dags att vakna

Krönika
En krönika av Anne Gro Gulla. Marknadsföring har tappat fotfästet i många organisationer – reducerats till reklam och operativ produktion. Men den sanna kraften ligger fortfarande där, redo att återtas: i strategin, i människan och i insikten som driver affären framåt.
Läs mer