- Home
- Categorie
- Digital Marketing
- Google Analytics e Web Analytics
- Google Analytics è illegale in EU?
-
@kal ha detto in Google Analytics è illegale in EU?:
@altrasoluzione ma no. Le alternative ci sono. Piwik Pro ha un tier gratuito fino a 500.000 hit/mese. Anche Matomo On Premise è una via percorribile (ce l'ho da mesi sul mio sito personale).
Secondo me è meno dura di quel che sembra.
E i grossi dovranno tirare fuori il soldo... Ma menomale!!
Vero, esistono altre soluzioni ma nessuna è così "integrata" nell'ecosistema Web.
Volenti o nolenti Google ha praticamente un monopolio, a mio parere anche giustificato dalla qualità e dal prezzo (spesso gratuito) dei suoi servizi.
Da quando è cominciata questa storia del GDPR e in particolare dei cookie ho sempre pensato che sarebbe stato molto più corretto istruire gli utenti per un uso più consapevole del Web invece di costringere milioni di publisher a investire tempo e denaro per tentare di adeguarsi a norme scritte da burocrati che non hanno mai acceso un computer in vita loro e che neanche loro sanno come interpretare.
È un po' come se, invece di dare le patenti agli automobilisti che superano degli esami, si costringessero i venditori di automobili a vigilare continuamente sui loro clienti ogni volta che salgono in auto, ricordando loro che se corrono troppo o non frenano o vanno contromano rischiano un incidente e costringendo gli automobilisti a firmare di aver ricevuto l'avvertimento ogni volta che si mettono alla guida.
Ovviamente è una metafora scherzosa ma credo che renda l'idea.
Inoltre, per quanto mi riguarda, se proprio devo vedere della pubblicità sui siti preferisco che riguardi prodotti e servizi che m'interessano invece di vedere una pubblicità di scarpe da donna col tacco 12.
Però questa è solo la mia discutibilissima opinione.
1 Risposta -
@altrasoluzione ha detto in Google Analytics è illegale in EU?:
ma nessuna è così "integrata" nell'ecosistema Web.
https://help.piwik.pro/support/reports/google-search-console-report/
e
https://help.piwik.pro/support/integrations/google-ads-integration/
E sono entrambi disponibili se ho capito bene nel tier gratuito fino a 500K hit/mese.
Ripeto: secondo me le alternative a Google Analytics ci sono. E pian piano che iniziano a girare i soldi (ripeto: MENOMALE!), mi aspetto che il prodotto migliori ancora, che si crei competizione e concorrenza con nuovi prodotti e nuove feature.
Il monopolio di Google ha settato alta l'asticella delle aspettative, ma ha anche congelato il mercato.
È ora che questa cosa si smuova una buona volta.
2 Risposte -
@kal @altrasoluzione ad oggi la reale soluzione è spostare tutto server side.
Il problema Analytics è banale da risolvere se si tratta solo dell'IP di fatto.
2 Risposte -
@juanin ha detto in Google Analytics è illegale in EU?:
se si tratta solo dell'IP di fatto.
In realtà non è "solo l'IP", è sicuramente anche l'User Agent e tutto ciò che può essere utilizzato per fare digital fingerprint, ma in generale serve un assessment su quali dati si esportano all'estero ed una valutazione del rischio che l'importatore possa fare una digital fingerprint efficace.
Non è una cosa fattibile per il 99% delle PMI che manco hanno un consulente, figurarsi poi un ufficio legale. Le piccole aziende al massimo chiedono al consulente marketing, che con tutte le migliori intenzioni non potrà mai essere preparato a fare una consulenza correttamente informata (io che mi sto informando molto, onestamente non sono sicurissimo su cosa raccomandare)
Una soluzione più fattibile allo stato attuale è proprio "non esportare" e cambiare quindi fornitore.
Almeno, è una delle strade che sto valutando. Ancora non ho deciso in concreto.
1 Risposta -
@kal se sposti server side puoi fare override anche dello User Agent.
Se già togli l'ip e fai reduce dello UA la vedo veramente dura fare fingerprinting con tutta la stima che posso avere per i tecnici di Google.
E oltre a questo voglio poi capire quale garante sarà in grado di identificare uno spostamento lato server del tracking senza poterlo identificare in modo apparente con controlli sul campo.
Comunque se quei consulenti non hanno idea di come fare basta che chiedono qui su connect
F 1 Risposta -
@juanin devi capire che per @kal il fingerprinting è arte magica anche se togli l’ip e fai l’overid dello useragent lui uscirà con gli studi del fingerprinting con le schede video come ha già fatto.
A volte secondo me è una crociata contro google secondo me
Si scherza @kal
-
Ma sì ragazzi, lo so che tutto si può fare... ma come ripeto fin dall'inizio e non mi stancherò mai di ripetere: il problema è legale.
È enormemente più importante il principio di accountability che non l'effettiva soluzione tecnica.
Per dirla breve: in informativa privacy devi scrivere cosa hai fatto per risolvere il problema dell'esportazione dei dati verso gli USA.
Scrivere "ho anonimizzato l'IP lato client" non basta, non è sufficiente. Lo abbiamo visto e i Garanti si stanno muovendo tutti in questo senso.
Bisogna scrivere qualcosa del tipo "abbiamo analizzato la possibilità che l'importatore dei dati in USA effettui una digital fingerprint e sulla base della nostra personale valutazione del rischio abbiamo deciso di non inviare in USA i seguenti dati: 1, 2, 3. Questo minimizza il rischio di esportazione dei dati personali permettendo al tempo stesso di mantenere il legittimo interesse dell'analisi dei dati aggregati ai fini di miglioramento del servizio etc. etc.".
Davanti ad una cosa del genere nessun Garante ti potrà multare, al massimo ti daranno raccomandazioni su come rivedere i criteri di decisione e mitigazione.
Già il fatto che tu te ne sia preoccupato è garanzia di compliance (effettiva o potenziale).
Per fare sta cosa qua però serve fare un assessment tecnico-legale di quello che raccogli e che mandi e serve un legale che scriva l'informativa privacy.
OPPURE
Serve un fornitore che non esporti i dati in USA e sia apparentemente solido e convincente sul piano legale.
1 Risposta -
@kal beh ok chiaro...ma se hai un'attività online oggi un legale ti serve.
Se non hai un legale significa che la tua attività è minimale e quindi anche il rischio di prendere una multa per analytics rientra nel range dei 0-100 euro quindi parliamo di niente.
In sostanza uno aprirebbe un calvario e spenderebbe più soldi di quanto rischierebbe di spenderne in una multa.
Di che parliamo?
1 Risposta -
@juanin ha detto in Google Analytics è illegale in EU?:
@kal beh ok chiaro...ma se hai un'attività online oggi un legale ti serve.
Se non hai un legale significa che la tua attività è minimale e quindi anche il rischio di prendere una multa per analytics rientra nel range dei 0-100 euro quindi parliamo di niente.
In sostanza uno aprirebbe un calvario e spenderebbe più soldi di quanto rischierebbe di spenderne in una multa.
Di che parliamo?
Mah, io ho clienti anche con buoni fatturati e decine di dipendenti che non hanno un legale e che copiano-incollano le informative privacy prese dai concorrenti o da siti a caso.
Dal canto mio la domanda "avete un ufficio legale o almeno un consulente?" la faccio sempre quando si affronta il tema, ma le risposte sono SEMPRE disarmanti. La più comune è: stanno in silenzio con gli occhi da triglia, come se gli avessi appena chiesto se hanno una rampa di lancio di missili balistici in cortile.
Io sinceramente non so come facciano, ma siamo in Italia, la terra del pressapochismo, quindi...
@homeworker ha detto in Google Analytics è illegale in EU?:
Ma con la cookie bar posso far scegliere o meno al visitatore se attivare o no i vari servizi di tracciamento, tag, social, etc. Se non viene attivato analytics (o gli altri tag) non può raccogliere nessun dato o sbaglio?
Si è a rischio anche in questo caso?Il tema del consenso non si pone in questo caso... perché l'esportazione del dato personale verso gli USA è SEMPRE illegale, consenso o meno.
1 Risposta -
@kal allora in quel caso Google Analytics è l'ultimo dei loro problemi.
1 Risposta -
Ah, per tacere delle agenzie.
Le agenzie mie clienti chiedono A ME la consulenza legale sulla gestione dei consensi sui tracciamenti perché "qualcosa al cliente gli dobbiamo pur dire, loro lo chiedono a noi". Per capire come stiamo messi.
La mia percezione come freelance è che ci sia davvero un pressapochismo dilagante. Lo scenario generale è quello di un magazzino pieno di scaffali mezzi crollati tra scatoloni e merce abbandonata, con un cassonetto in fiamme subito fuori dalla porta... "eh ma è solo un cassonetto che vuoi che sia" solo che nessuno lo spegne.
Anche perché è una questione di "temperatura": tempo che anche il Garante italiano inizia a pubblicare i provvedimenti, le voci girano incontrollate e diventa un casino da gestire.
Io personalmente mi sto preparando per questo scenario.
-
@kal ha detto in Google Analytics è illegale in EU?:
@altrasoluzione ha detto in Google Analytics è illegale in EU?:
ma nessuna è così "integrata" nell'ecosistema Web.
https://help.piwik.pro/support/reports/google-search-console-report/
e
https://help.piwik.pro/support/integrations/google-ads-integration/
E sono entrambi disponibili se ho capito bene nel tier gratuito fino a 500K hit/mese.
Ripeto: secondo me le alternative a Google Analytics ci sono. E pian piano che iniziano a girare i soldi (ripeto: MENOMALE!), mi aspetto che il prodotto migliori ancora, che si crei competizione e concorrenza con nuovi prodotti e nuove feature.
Il monopolio di Google ha settato alta l'asticella delle aspettative, ma ha anche congelato il mercato.
È ora che questa cosa si smuova una buona volta.
Ammesso che dal punto di vista tecnico si trovi un'alternativa che sostituisca completamente i servizi Google e che il publisher (tramite il consulente tecnico) sia disposto e abbia la possibilità d'investire denaro (non poco per un piccolo imprenditore) nella migrazione, chi può essere sicuro che il Garante non si svegli una mattina col piede sbagliato e decida che anche quella soluzione non gli va bene perché una volta un malintenzionato ha rubato un byte d'informazioni sull'alluce valgo di un utente (o sui gusti sessuali di un potente) e per questo tutti devono cambiare di nuovo, investendo altri soldi?
Stiamo sempre lì: chi dice che una soluzione non va bene non può limitarsi a questa affermazione ma dovrebbe anche dire quali soluzioni vanno bene (risolvendo il problema del publisher, non solo quello dell'utente) e che, se adottate, non romperà mai più i santissimi.
Altrimenti noi (publisher e/o tecnici) passiamo la vita a cercare soluzioni alternative e a implementarle a nostre spese e il Garante a dire che non vanno bene DOPO che le abbiamo implementate.Per non parlare del fatto che nella cosiddetta "Europa Unita" ognuno se la canta e se la suona come gli pare. Sarebbe già complicato senza che ogni stato decidesse per conto suo cosa è lecito e cosa non lo è!
A me piaceva il mio lavoro e lo consideravo uno dei più belli. Da quando hanno cominciato a esagerare (sempre secondo il mio modesto parere) con la privacy io devo perdere molto più tempo a studiare cavilli legali (che tra l'altro, molto sinceramente, non comprendo a fondo perché non ho le competenze, perché non sono scritti in una lingua parlata dagli umani e perché sono sempre aperti a interpretazioni) che a studiare nuove soluzioni tecnico-sistemistiche da proporre ai miei Clienti per soddisfare le loro esigenze.
In pratica ho dovuto iniziare a fare l'avvocato incapace invece del perennemente aspirante bravo tecnico.
1 Risposta -
@altrasoluzione ha detto in Google Analytics è illegale in EU?:
In pratica ho dovuto iniziare a fare l'avvocato incapace
Hai dovuto fare l'avvocato incapace perché i tuoi (così come anche i miei) clienti non hanno un consulente legale.
Come dicevo sopra: è un malcostume diffuso, praticamente la prassi. A dispetto della sorpresa di @juanin che secondo me lavora in un mondo più bello del nostro (beato lui!).
@altrasoluzione ha detto in Google Analytics è illegale in EU?:
Stiamo sempre lì: chi dice che una soluzione non va bene non può limitarsi a questa affermazione ma devovrebbe anche dire quali soluzioni vanno bene
Beh, ma guarda che lo hanno detto cosa va bene:
- strumenti che inviano dati in USA, se anonimizzati alla fonte
- strumenti che non inviano dati in USA e li tengono nel perimetro della giurisdizione EU
Google Analytics non rispetta né il punto 1, né il punto 2.
Altre alternative sì e le abbiamo dette, ripetiamole:
- anonimizzazione lato server prima dell'invio della hit
- servizio di analitica selfhosted (es. Matomo On Premise)
- altri servizi cloud EU o assimilabili (Piwik Pro, Matomo Cloud, Plausible, Fathom)
@altrasoluzione ha detto in Google Analytics è illegale in EU?:
Da quando hanno cominciato a esagerare (sempre secondo il mio modesto parere) con la privacy io devo perdere molto più tempo a studiare cavilli legali (che tra l'altro, molto sinceramente, non comprendo a fondo perché non ho le competenze, perché non sono scritti in una lingua parlata dagli umani e perché sono sempre aperti a interpretazioni)
Questa è una gran scocciatura, concordo.
Ma come vado ripetendo da mò, lo spirito della legge in realtà è abbastanza semplice da capire e da seguire.
- privacy by design: significa che non gestisci e raccogli dati personali se non è esplicitamente necessario. In sintesi: evitare profilazioni a tappeto, ma solo raccolta dati contestuale al servizio.
- raccolta del consenso: la persona che ti fornisce i dati deve darti l'autorizzazione a gestirli e deve farlo essendo correttamente e pienamente informata sull'uso che ne farai
- accountability: questi principi valgono anche nella scelta dei fornitori, che te li devono garantire. Se hai dei fornitori che per qualunque motivo falliscono in uno dei due punti di cui sopra, anche tu sei considerato responsabile.
È davvero tutto qui. Il resto è sovrastruttura.
Ad esempio, nel caso specifico Google Analytics viola il punto 1 (perché è uno strumento di raccolta indiscriminata di dati personali senza alcuna garanzia) e il punto 3 (perché è un'azienda soggetta a Diritto USA, dove è legale per lo Stato violare la privacy dei cittadini residenti ed esteri).
E il punto 2 GA lo delega al 100% all'utente finale, lavandosene le mani.
Capisci anche tu che in questo scenario la situazione è disastrosa... chi usa GA lo fa scegliendo di correre un rischio.
F 2 Risposte -
@kal ha detto in Google Analytics è illegale in EU?:
@altrasoluzione ha detto in Google Analytics è illegale in EU?:
In pratica ho dovuto iniziare a fare l'avvocato incapace
Hai dovuto fare l'avvocato incapace perché i tuoi (così come anche i miei) clienti non hanno un consulente legale.
È vero. Ma come fa un piccolo artigiano che riesce appena a guadagnare ciò che gli serve per vivere a pagarsi anche un avvocato?
Già deve pagare lo sviluppatore che gli faccia il sito, almeno un minimo di SEO/SEM (altrimenti il sito è inutile) e la manutenzione, pagare l'hosting, eventuali licenze software, il commercialista. Da quando c'è 'sta faccenda dei cookie deve pure pagare Iubenda (o equivalenti) e il tecnico che lo installa e che stia dietro ai malumori del Garante che richiedono modifiche, senza contare che, almeno fino a che non sarà sciolto ufficialmente il dubbio sulla registrazione dei consensi, Iubenda è arrivato a costare 163€/anno.Questi sono tutti costi (inutili, sempre a mio parere) che quando quell'artigiano ha aperto la sua attività non erano in budget e si sono aggiunti tutti insieme per colpa delle fobie sulla privacy sviluppate negli ultimi anni in persone che magari prima negano il consenso ai cookie e poi vanno a pubblicare le loro foto seminude o i risultati delle loro rettoscopie su Facebook o che installano sui loro cellulari quell'app bellissima che ti fa i capelli viola, le orecchie da coniglietto... e manda le tue credenziali bancarie in Cina!
-
@kal questa
Ga è uno strumento di raccolta indiscriminata di dati personali senza alcuna garanziaQuesta te la stai inventando e lo strumento più documenterò di google probabilmente con tanto di una licenza a pagamento con garanzie l’unico punto che non rispetta è l’esportazione dei dati in US.
Ma se disabiliti la parte di advertising la tua affermazione non ha senso e sono tuoi preconcetti essendo ga 360 certificato i n mila modi e l’infrastruttura è la stessa di free.Comunque io continuo a ripeterti che non è un problema di GA.
Google ads e illegale
Google AdManager è illegale
Microsoft Ads è illegale
Facebook Ads è illegale
Svegli una SSP o DSP qualunque tranne quelle europee ( ne esiste una sola degna di nota ed è criteo) sono illegaliFacciamo i professionisti e smettiamola di dire che il problema è GA e google perché hotjar è messo uguale, Microsoft idem, ecc ecc.
se non ripristinano il privacy shield puoi anche installare piwik ma poco cambia
1 Risposta -
@filtro io ne faccio un discorso molto pragmatico di approccio basato sul rischio.
Oggi come oggi la probabilità di essere multati perché si usa GA è aumentata tantissimo. Metti solo che un concorrente capisca che può segnalarti al Garante e sono cazzi garantiti... già un cliente mi ha chiesto sta roba e non ho potuto far altro che rispondere "sì, il rischio esiste. Non lo so valutare, ma esiste."
E sono seguiti buoni 30 secondi di improperi.
Come detto per me è più una questione di "temperatura"...
Anche gli altri strumenti sono illegali? Certo. Ma non sono sotto i riflettori, il rischio è più basso.
Ripristinare il privacy shield sarebbe desiderabile, ma onestamente non è una cosa che vedo all'orizzonte. Anzi se possibile ora le cose sono messe anche peggio sul piano dei trattati internazionali, le diplomazie sono in tutt'altre faccende affaccendate e non credo serva la palla di cristallo per prevedere che lo saranno ancora per un bel pò'.
Ma i Garanti intanto si muovono eh.
E questa parte qua:
@filtro ha detto in Google Analytics è illegale in EU?:
Ga è uno strumento di raccolta indiscriminata di dati personali senza alcuna garanzia
Questa te la stai inventando e lo strumento più documenterò di google probabilmente con tanto di una licenza a pagamento con garanzie l’unico punto che non rispetta è l’esportazione dei dati in US.
Ma se disabiliti la parte di advertising la tua affermazione non ha senso e sono tuoi preconcetti essendo ga 360 certificato i n mila modi e l’infrastruttura è la stessa di free.È falsa, perché entrambi i provvedimenti usciti finora lo hanno stabilito e concordano sul fatto che GA raccolga in modo indiscriminato dati passibili di digital fingerprint.
Possiamo mettere la testa sotto la sabbia, ma non cambia la realtà dei fatti.
F 1 Risposta -
Ciao Martino,
non trovo corretto fare la guerra a Google Analytics e tralasciare aspetti più gravi già citati e ricitati in questa discussione. Se il problema va affrontato allora va affrontato come si deve e non focalizzarsi su un solo aspetto. Avrei una lista di esempi che potrei scriverci un libro ma io, @juanin e altri ne abbiamo citati diversi...@juanin ha detto in Google Analytics è illegale in EU?:
Il problema Analytics è banale da risolvere se si tratta solo dell'IP di fatto.
Infatti, la richiesta non andava rimbalzata alle aziende ma risolta a monte sui server di Google. Non ditemi che non è possibile perchè non ci credo. La soluzione, visto che Google non ha problemi di €€€, si trova, e se non si trova la si crea.
1 Risposta -
@kal indiscriminato continui ad aggiungerlo tu.
Raccoglie dati e da nessuna parte c’è scritto in modo indiscriminato, e la critica è sempre sul ip che quindi può essere usato per incrociare i dati di advertising.
Il resto è terrorismo.Dire che il problema è GA è nascondere l’evidenza e non fare educazione.
Ga è il primo poi arriverà il resto: la tua affermazione qua sopra va contro quanto dici prima in cui bisogna a essere lungimiranti privacy by design ecc ecc.
Quando arriverà il privacy shield nuovo cosa dirai?
Perché come concordano in molti esperti di privacy non è se ma quando, comprese persone che lavorano per il garante della
Privacy italiana
-
@sermatica ha detto in Google Analytics è illegale in EU?:
non trovo corretto fare la guerra a Google Analytics
Io non sto facendo la guerra... mi sto limitando a restare in topic, un vecchio vizio da forumista incallito della prima ora
@sermatica ha detto in Google Analytics è illegale in EU?:
Infatti, la richiesta non andava rimbalzata alle aziende ma risolta a monte sui server di Google.
Con che giurisdizione? Come possono, legalmente, le autorità EU accedere e operare sulle infrastrutture di aziende con sede in USA?
Dai, siamo seri.
Questo è esattamente il cuore del problema!
@filtro ha detto in Google Analytics è illegale in EU?:
Quando arriverà il privacy shield nuovo cosa dirai?
Perché come concordano in molti esperti di privacy non è se ma quando, comprese persone che lavorano per il garante della
Privacy italianaFonte? Il video di Scorza citato sopra?
Io al momento vedo solo molto wishful thinking e NESSUNA informazione concreta.
Faranno, decideranno, vedranno.
E intanto a rischio multa ci sono le aziende. Possiamo permetterci di continuare con l'approccio di sottovalutazione del rischio tenuto finora? Forse sì, ma io non sono per nulla convinto.
Lo ripeto, è una questione di temperatura. Le multe fioccheranno. La temperatura salirà.
Se firmeranno un nuovo Privacy Shield sarò certamente contento ma tutto lascia pensare che questo non succederà. Non a breve. Potrebbero volerci anni.
Anche perché è un anno e mezzo che è stato invalidato (quasi due anni oramai) e NULLA è stato messo sul tavolo. Si è navigato a vista con gli occhi bendati.
E comunque:
@filtro ha detto in Google Analytics è illegale in EU?:
da nessuna parte c’è scritto in modo indiscriminato
Pagine 21-22 e 29 del provvedimento:
Evaluation of evidence re C.10. : In his statement of April 9, 2021, the second respondent submitted
to question 9 that he would only receive such information if certain conditions were met, such as the
activation of specific settings in the Google account. In the opinion of the data protection authority,
this argument is not convincing. If the request of a Google account user for "personalization" of the
advertising information received can be met on the basis of a declaration of intent in the account,
there is, from a purely technical point of view, the possibility of receiving the information via the
visited website of the Google account user. In this context, express reference is made to the data
protection law
Accountability to be indicated, which will be further elaborated in the context of the legal
assessment. For the establishment of the facts, this accountability under data protection law means
that the respondent (or at least the first respondent as the person responsible) - and not the
complainant or the data protection authority - must provide sufficient evidence. Such sufficient
evidence - that is, that from a technical point of view, there is no possibility of data receipt for the
second respondent - was not provided in this context, especially since it is an essential part of the
concept of Google Analytics to be implemented on as many websites as possible in order to contain
data to be able to collect.
Finally, the data protection authority points out that it is an essential part of the Concept of Google
Analytics (at least in the free version) is to be implemented on as many websites as possible in order
to collect information about website visitors. Accordingly, it would be with the basic right to data
protection according to Art. 8 EU-GRC or § 1 DSG incompatible to exclude the applicability of the
GDPR to data processing related to the Google Analytics tool - in which individual website visitors are
individualized using the Google Analytics identification number.
Come vedi, fanno esplicito riferimento al fatto che GA è installato sul più ampio numero di siti possibile. La raccolta del dato è indiscriminata (ogni hit di fatto contiene dati personali, durante una sessione utente non c'è un solo trasferimento di dati, ce ne sono decine, in alcuni casi centinaia) e la digital fingerprint è proprio il mezzo che può essere usato per tracciare l'utente cross-site. Riguardo al fatto che i Google Signals non siano attivati lato admin, il Garante dice che non ci sono sufficienti garanzie. Google può tecnicamente farlo sempre, anche senza l'autorizzazione dell'utente (cosa che come sai vado dicendo da sempre).
F 2 Risposte