- Home
- Categorie
- Digital Marketing
- Google Analytics e Web Analytics
- Google Analytics è illegale in EU?
-
Le preferenze per legge vanno registrate perché devono essere dimostrato in caso di esposto.
Quindi seppure una cosa assurda è teoricamente necessaria. Almeno per gli ultimi chiarimenti.
Poi per alcuni siti dove è necessario anche adeguarsi al TCF2 non si scappa se non passando per CMP certificate oppure te la fai in casa, ma non è una buona idea fare una cosa che non è il tuo mestiere visto che le regole cambiano ogni 10 giorni.A ognuno il suo lavoro. Che sia poi un terzo a fare da garante secondo me è una cosa sensata.
1 Risposta
-
@juanin ha detto in Google Analytics è illegale in EU?:
Le preferenze per legge vanno registrate perché devono essere dimostrato in caso di esposto.
Discutibile. In caso di esposto io ti dimostro che il meccanismo è basato sul dispositivo dell'utente e che se l'utente ha il cookie corretto il mio sistema lo recepisce come previsto.
Tenere un registro serve per gabbare l'utente finale che si lamenta "eh ma tu ci hai rilasciato il consenso in data tal dei tali, vedi? Risulta dal registro.".
Poi chissà se è vero.
-
Segnalo velocemente un post su LinkedIn di Kolja Siegmund (Lead Web Analyst a Just Eat), che riassume per me abbastanza bene i termini della questione:
I 1 Risposta -
@kal ciao
Io credo che si debba cercare la domanda prima della risposta.
A chi interessa il dato del singolo e i dati quando diventano vecchi?
Io penso che il controllo dei dati del singolo interessi ai governi che per la prima volta hanno un accesso "legale"a cosa fa e pensa il cittadino. Quando la politica usa quei dati gli effetti li abbiamo visti con la Cambridge analitica.
-
@infermieri-attivi ha detto in Google Analytics è illegale in EU?:
Io penso che il controllo dei dati del singolo interessi ai governi
Assolutamente sì ed infatti è proprio questo il punto contestato: il Governo USA si arroga il diritto di accedere legalmente ai dati dei cittadini. E non solo ai suoi cittadini... ma anche quelli di uno stato estero.
La sentenza Schrems II dice chiaramente che questa cosa è illegittima e strumenti di raccolta identificativi personali basati su cloud USA non possono operare liberamente in EU.
Vedremo che succede ora, perché come detto questa secondo me è solo la prima scossa di un vero terremoto...
-
@kal e chi esclude che io a random non faccia un meccanismo che cambia logica in quel caso?
E' proprio per questo che serve una terza parte per registrarlo altrimenti tu puoi manipolare qualsiasi cosa.
-
@juanin è chi installa lo script che decide.
Se io configuro lo script in modo che "qualunque cosa faccia l'utente, tu registra comunque il consenso", la terza parte riceve il consenso e lo mantiene.
Poi da lì hai voglia a dimostrare la gestione fraudolenta.
Oppure per farla ancora peggio, usi le API della CMP per validare il consenso in un momento successivo e totalmente lato server, in totale ignoranza dell'utente finale.
Il punto è: inserire una terza parte a gestire il registro dei consensi...
- non è affatto una cosa a miglior tutela della privacy (anzi, è contrario al principio generale di "privacy by design") e
- non valida alcunché (perché può essere comunque liberamente manipolata dalla prima parte)
Che sia utile utilizzarla in determinati contesti (grosso editore con molto programmatic da sfangare) lo capisco, ma non è affatto una cosa obbligatoria. Altre soluzioni sono permesse e restano comunque valide.
-
@kal eh no spe.
Durante la fase di registro viene memorizzata l'azione espressa come e dove con tanto di screenshot e registrazione per ogni azione.
Non puoi manipolarla affatto altrimenti saremmo tutti dei babbuini.
Non soffermarti al sito dove è agevole modificare le cose anche al volo, ma anche ad app native o simile dove se esci con una cosa manipolata e illegale devi fare nuovi rilasci e fai presto ad essere sgamato.
Insomma il fatto che ci sia una terza parte non è contrario a nessun principio. Basta farle per bene le cose. Una terza parte che consente la manipolazione andando contro proprio allo scopo che si prefigge farebbe di fatto decadere ogni minima credibilità su di essa. Sarebbe come dire ok autodistruzione.
Inoltre un conto è manipolare una cosa di prima parte.
Un conto è manipolare una cosa di terza parte dove in caso di contenzioso probabilmente rientrerebbe in audit e dunque poi se viene fuori che tu hai agito con dolo in manipolazione la questione si aggrava.
In generale avere un terzo certificatore o comunque che fa degli audit di corretta instrumentazione è prassi ed è normale per avere ulteriori garanzie di correttezza. Ti posso dire con certezza che su cose di cui non posso parlare dove è intervenuta agcom senza un auditor esterno delle realtà anche importanti avrebbero chiuso baracca e burattini non potendo essere considerata attendibile una autocertificazione di corretta implementazione.
-
@kal in effetti è come per tick rock. Però conoscere i gusti commerciali e usarli per fini politici quello dovrebbe essere illecito.
La domanda, qual è il confine di un uso lecito?
Poi la sentenza su GA si applica anche ai social che come vediamo sono usati anche a scopo politico? E i social hanno dati personali non solo su click di pagine viste, ma di opinioni personali e intime?
-
@juanin ha detto in Google Analytics è illegale in EU?:
Insomma il fatto che ci sia una terza parte non è contrario a nessun principio. Basta farle per bene le cose.
Per farle bene, aumenta il grado di complessità.
Ed in generale, in linea di principio, fornire dati personali a terze parti è in contraddizione con il principio di "privacy by design" in quanto lo stesso principio dice "se puoi, non condividerli". Vedi qua, in particolare il dettaglio:
In particular, such measures shall ensure that by default personal data are not made accessible without the individual's intervention to an indefinite number of natural persons.
E direi che i listoni di gestione del consenso affidati ad una terza parte non ricadono molto in questa casistica.
Poi che possa essere comodo e/o necessario lo capisco. Concordo anche al 100% con le osservazioni che fai sull'auditing e sul valore della presenza di un certificatore terzo (certificatore che dovrebbe essere indipendente e senza conflitti di interesse... ma qua divaghiamo troppo).
Ma, detto questo, non significa che il registro dei consensi sia per forza di cose obbligatorio (come i venditori del servizio vorrebbero far credere).
Senza contare poi che la sentenza del Garante austriaco di cui si parla in topic non impatta la questione del consenso... perché il trasferimento di dati EU -> USA rimane illegittimo a meno che non sia fatto in deroga secondo quanto espresso nell'articolo 49 della GDPR "Derogations for specific situations".
Questo articolo nomina sì la raccolta del consenso... ma per gestire delle eccezioni strettamente necessarie (es. un tour operator che fornisce i dati di prenotazione del suo cliente ad un hotel negli USA). Il tracciamento indiscriminato degli utenti verso cloud USA resterebbe illegittimo, consenso o meno.
@infermieri-attivi ha detto in Google Analytics è illegale in EU?:
Poi la sentenza su GA si applica anche ai social
La sentenza si applica a GA in quanto tecnologia di tracciamento, non riguarda i social... ma possiamo sicuramente generalizzare a qualunque tecnologia di tracciamento con le stesse caratteristiche (ovvero basata su cloud USA).
-
@kal ma infatti qui il consenso non centra però è stato tirato fuori quindi era giusto e doveroso evitare fraintendimenti.
A casa mia cmq una cosa è fintanto che non ti ritrovi nella cacca non è necessaria né obbligatoria. Poi quando ti ci ritrovi poi scopri che ti sarebbe servita. Perché per quanto il garante cerchi la buona fede, se la buona fede è dimostrata poi da fatti e certificatori è meglio.
Sul resto invece è ovviamente una situazione paradossale. Di fatto si dovrebbe davvero chiudere tutto e ciao lato servizi di terze parti. Volendo oltre agli approcci server side esistono pure approcci edge side per evitare totalmente la presenza di questi all'interno del sito e spostando la logica server side in edge.
Insomma fatta la legge trovato l'inganno.
Per me è solo politica per ora.
-
@juanin ha detto in Google Analytics è illegale in EU?:
Per me è solo politica per ora.
Sì, sicuramente c'è una dose largamente prevalente di politica.
Ma secondo me, tempo che le autorità garanti di varie nazioni EU iniziano a far fioccare sentenze simili, le cose potrebbero precipitare molto in fretta. E le sentenze arriveranno, perché come detto la sentenza Schrems II su cui quest'ultima del Garante austriaco si basa è veramente limpida nella sua sintesi.
A noi ci sembra tutto "business as usual" perché le piattaforme lo hanno preso in quel modo, ritoccando le privacy policy e facendo orecchie da mercante, sperando che assicurazioni commissionate ad astuti azzeccagarbugli bastassero allo scopo. Ma più leggo in giro e più mi convinco che sia un giochino dalle gambe corte.
Di fatto si dovrebbe davvero chiudere tutto e ciao lato servizi di terze parti.
Solo se questi stanno in USA, perché il problema è tutto lì.
Poi, certo, praticamente tutti i maggiori servizi di tracking e advertising stanno in USA... e noi ci siamo abituati bene perché "è gratis" (e del resto lo sappiamo che "quando qualcosa è gratis, il prodotto sei tu").
Ma che non fosse una situazione tanto sana era evidente secondo me.
Comunque sì, secondo me bisogna prepararsi a fornire delle alternative. Non saranno gratis, certo. Nemmeno il nostro tempo come professionisti è gratis. Ma chi si prepara prima, si troverà meglio poi.
-
@kal assolutamente tutto condivisibile.
Il problema grosso però secondo me è che alla fine gira che ti rigira penso che il 75% di internet poi tra amazon, google, microsoft etc etc etc poi in qualche modo ritorni sempre in US a livello di metallo
Insomma diventa un po' una cosa impressionante anche a livello di controllo.
L'alternativa che è poi quello verso cui stanno andando tutti è che abbiano un punto da "vera azienda" in loco e rimandando tutte queste cose sotto la giurisdizione dell'azienda del luogo in modo da non dover sottostare alle regole USA.
-
@juanin ha detto in Google Analytics è illegale in EU?:
L'alternativa che è poi quello verso cui stanno andando tutti è che abbiano un punto da "vera azienda" in loco e rimandando tutte queste cose sotto la giurisdizione dell'azienda del luogo in modo da non dover sottostare alle regole USA.
Uno spezzatino antitrust de-facto. Sì, probabilmente è questa la direzione.
@juanin ha detto in Google Analytics è illegale in EU?:
Il problema grosso però secondo me è che alla fine gira che ti rigira penso che il 75% di internet poi tra amazon, google, microsoft etc etc etc poi in qualche modo ritorni sempre in US a livello di metallo
Io è da mò che lo dico: la GDPR è il modo che l'europa ha trovato per recuperare il tempo perso a livello di investimenti IT rispetto agli USA.
Con il protezionismo spinto sui dati personali si sta di fatto creando un grosso spazio di mercato per nuovi fornitori interni all'EU... vediamo se verrà riempito e come.
1 Risposta
-
@kal Che sia più politica che altro mi sembra evidente.
Per carità va anche bene eh se è in grado di creare competizione e maggiori possibilità in un modo che continuerà la sua espansione.
E' pure vero che a queste azioni vanno poi legati anche investimenti seri e azioni che siano in grado poi di tutelare seriamente certi aspetti. Altrimenti come sta succedendo per la storia della privacy/cookie/profilazione che doveva servire come attacco ai BIG alla fine si è rivelato un coltello piantato tra capo e collo di piccole e medie imprese.
-
@robertosantoli ha detto in Google Analytics è illegale in EU?:
Il registro dei consensi è una invenzione di Iubenda che non trova nessun riscontro nei regolamenti gdpr aggiornati.
Il GDPR dice questo e lo dice da sempre quindi non capisco perché voi dite che non sta da nessuna parte.
Where processing is based on consent, the controller shall be able to demonstrate that the data subject has consented to processing of his or her personal data.
Quindi questo ha tutta l'aria di essere quello che Iubenda chiama registro dei consensi. I chiarimenti del garante italiano hanno poi confermato questa cosa a livello abbastanza definitivo ed è stato pure reinvigorito nelle ultime linee guida che delineano con chiarezza che il consenso debba essere "adeguatamente registrato" per dimostrarne la validità.
Poi per carità. Ognuno è libero di interpretare questa cosa a modo suo, ma non vi auguro di avere un contenzioso se non avete un minimo straccio di traccia dei consensi raccolti.
Diciamo che è un po' la stessa logica con cui uno fa una assicurazione contro le grandinate o sulla vita. E' un costo finché non ti capita niente. Siamo allo stesso livello.
-
@juanin ha detto in Google Analytics è illegale in EU?:
@robertosantoli ha detto in Google Analytics è illegale in EU?:
Il registro dei consensi è una invenzione di Iubenda che non trova nessun riscontro nei regolamenti gdpr aggiornati.
Il GDPR dice questo e lo dice da sempre quindi non capisco perché voi dite che non sta da nessuna parte.
Where processing is based on consent, the controller shall be able to demonstrate that the data subject has consented to processing of his or her personal data.
Quindi questo ha tutta l'aria di essere quello che Iubenda chiama registro dei consensi. I chiarimenti del garante italiano hanno poi confermato questa cosa a livello abbastanza definitivo ed è stato pure reinvigorito nelle ultime linee guida che delineano con chiarezza che il consenso debba essere "adeguatamente registrato" per dimostrarne la validità.
Poi per carità. Ognuno è libero di interpretare questa cosa a modo suo, ma non vi auguro di avere un contenzioso se non avete un minimo straccio di traccia dei consensi raccolti.
Diciamo che è un po' la stessa logica con cui uno fa una assicurazione contro le grandinate o sulla vita. E' un costo finché non ti capita niente. Siamo allo stesso livello.
Certo. Sui miei siti l'ho attivato avendolo nell'abbonamento lifetime ma covo ancora dei dubbi se sia effettivamente una soluzione valida.
-
@robertosantoli che sia valida o meno è un altro discorso però.
Non discuto la validità dell'implementazione, ma discuto il fatto che si neghi su tutta la linea la necessità che il consenso vada registrato. Un po' forte come affermazione se andiamo a leggere le scartoffie reali.
Poi uno può farselo tranquillamente in casa. Ma te lo devi fare e te lo devi gestire
Quindi bisogna valutare se conviene pagare qualche spicciolo o svilupparselo.
Anche perché dal GDPR è chiaramente scritto che perché un consenso sia valido è conditio sine qua non la sua dimostrabilità. Poi io non sono un legale, ma almeno da quello che leggo non mi pare un punto discutibile. C'è scritto.
-
@juanin ha detto in Google Analytics è illegale in EU?:
Where processing is based on consent, the controller shall be able to demonstrate that the data subject has consented to processing of his or her personal data.
Quindi questo ha tutta l'aria di essere quello che Iubenda chiama registro dei consensi.
A me sembra scritto in modo talmente generico, che qualunque soluzione tecnica che ti permetta di dimostrarlo va bene.
Anche perché, detto tra noi... le CMP comunque per salvare la preferenza in corrispondenza del client si basano su cookie. Quindi alla fine sempre lì torniamo: ad un cookie salvato sul browser dell'utente.
E se il client cancella i cookie, tu sulla tua CMP hai un bel record che non corrisponde più a nulla... e tanti saluti alla dimostrazione di alcunché.
Ah, visto che siamo a tema, bonus: https://www.technologylawdispatch.com/2021/12/privacy-data-protection/german-court-prohibits-u-s-data-transfers-in-cookiebot-decision-why-this-decision-is-special-and-should-alert-but-not-upset-your-organization/
-
@kal eh no mio caro non sono d'accordo
Mi dispiace. Se uno ti fa un esposto perché ritiene che il consenso verso di lui non sia stato rispettato nei casi in cui non ci sia registrazione utente allora è in capo a lui portare le prove e dunque il suo cookie dove lui in tale data ha rifiutato, ma io lo profilo lo stesso. E per farlo dovrà mostrare il suo cookie id, con i data purpose che lui ha accettato/rifiutato e quindi devi portare evidenza di quello specifico cookie che io nel mentre ho registrato con tutte le annesse e connesse.
Generico. Vero. Ma dire che il tuo meccanismo funziona correttamente non è una prova perché nella data in cui la persona dimostra che non è così se tu non hai un registro archiviato non puoi assolutamente confutare l'accusa.
