- Home
- Categorie
- Digital Marketing
- Google Analytics e Web Analytics
- Google Analytics è illegale in EU?
-
Aggiungo: resta invece a mio parere valido l'approccio di spostare il tracciamento lato server/proxy e levare lì i dati passibili di digital fingerprint, perché effettivamente questa cosa si qualifica pienamente come queste famose "supplementary measures" che Google ha mancato completamente di fornire.
Anche perché, lo ripetiamo, le "supplementary measures" è comunque l'esportatore del dato che deve metterle in atto... non l'importatore.
C 2 Risposte
-
@kal ha detto in Google Analytics è illegale in EU?:
resta invece a mio parere valido l'approccio di spostare il tracciamento lato server/proxy e levare lì i dati passibili di digital fingerprint
Giusto perché vi citerò tutti in FastLetter. Con questo approccio tu ritieni che in EU si possa continuare a usare Google Analytics?
2 Risposte
-
@giorgiotave ha detto in Google Analytics è illegale in EU?:
Con questo approccio tu ritieni che in EU si possa continuare a usare Google Analytics?
Sì, perché metti in campo delle misure aggiuntive, oggettive e attive dirette all'impedire o comunque fortemente limitare la capacità dell'ispettore USA di fare digital fingerprint e seguire l'utente cross-site usando l'account Google come stampella.
Va detto che le pressioni "politiche" della comunità legale/privacy vanno tutte nella direzione di spingere ad abbandonare GA, che secondo me è una cavolata in generale. È un'opzione sul tavolo, ma non è detto che sia l'unica.
I punti chiave del provvedimento sono:
- GA coi dati che raccoglie (IP ed User Agent sopra a tutti) permette di fare digital fingerprint
- l'account Google loggato permette ad un eventuale ispettore di tracciare cross-site grazie alla digital fingerprint che fa da "ponte"
- la digital fingerprint è un dato personale
- esportare dati personali in USA non si può, salvo ristrettissime ed ineludibili eccezioni
Ne consegue che qualunque azione che impedisca a Google di raccogliere dati per fare digital fingerprint è la soluzione legale VERA e SOSTANZIALE per continuare ad utilizzare GA in europa.
Tutte le altre per me sono aria fritta.
-
@giorgiotave è la soluzione. Punto. Perché di fatto puoi offuscare a monte ogni dato non necessario, ma potenzialmente usato per identificare, anche se nella realtà servono comunque a poco in termini di fingerprinting.
Pura fuffa legale, ma facilmente risolvibile.
-
Nella pratica, impedire a GA di fare fingerprinting vuol dire manipolare il parametro cid o uid prima di inviarlo ai server Analytics?
2 Risposte
-
@matteo-boscolo il cid o uid in realtà sono un problema relativo secondo me.
Infatti nel caso server side sono valori che generi tu e indipendenti da ogni altro collegamento che Google può fare.
Il punto qui è il mix di altri dati quali IP/UA etc.
-
@matteo-boscolo come ha detto @juanin.
Ad essere problematici sono i dati della connessione (IP sopra a tutti) e del dispositivo (User Agent sopra a tutti) visto che vengono passati ad ogni hit.
Qua una lista di vari dati che può aiutare a chiarirti le idee... https://understandingdata.com/what-is-a-digital-fingerprint/#:~:text=fingerprint tracker collect%3F-,How is a Digital Fingerprint Created%3F,-A digital fingerprint
(e praticamente tutti questi vengono risolti inviando le hit lato server)
-
Grazie @juanin e @kal per la risposta.
Non mi è ancora chiara la necessità di dover passare per un server per gestire questa cosa.
Non basta usare un customTask sul GTM client side e manipolare l'hit prevenendo l'invio di questi parametri in chiaro?
-
@matteo-boscolo l'indirizzo IP viene comunque passato dal client al server! E anche l'User Agent.
Fanno parte integrante del protocollo HTTP, non li puoi levare!
Serve per forza un attore tecnico intermedio.
-
Un thread interessante su Twitter per capire meglio in quale direzione si sta muovendo il legislatore americano e l'attività di lobbismo effettuata dalle Big Tech:
https://twitter.com/JustinBrookman/status/1501954731924762628
Anche per questo motivo non vedo davvero possibile un nuovo Privacy Shield, USA ed EU hanno oramai imboccato strade diametralmente opposte...
F 1 Risposta -
@kal ha detto in Google Analytics è illegale in EU?:
Aggiungo: resta invece a mio parere valido l'approccio di spostare il tracciamento lato server/proxy e levare lì i dati passibili di digital fingerprint, perché effettivamente questa cosa si qualifica pienamente come queste famose "supplementary measures" che Google ha mancato completamente di fornire.
Premesso che non ho nessuna competenza in merito, avete da consigliare delle letture di approfondimento su come implementare questo bypass?
Grazie
-
@kal sinceramente sono discorsi separati la legge sulla provacy a livello statale non è strettamente legata al privacy shield visto che copre elementi diversi.
Per farti un esempio con il mio DPO dopo l’articolo di Vischer stiamo investigando se alcuni leggi italiane per la sicurezza vanno contro la GDPR abbiamo due o tre analisi da fare ma siamo allo stato preliminare e non so dove porterà.
È un argomento veramente spinoso e pensare che una legge escluda ed includa altro è difficile.
La CCPA per esempio ha una filosofia completamente opposta rispetto alla GDPR. Mentre la GDPR è costruita pensando che il dato sia un diritto della persona e che quindi l’utente deve dare in consenso prima della raccolta dei dati, la CCPA prevede che il dato possa essere raccolte e che l’utente abbia la possibilità di richiedere che venga cancellato.
Le due leggi arrivano a conclusioni simili , ma da punti vista opposti e quindi al gestione è diversa, ma alla base c’è sempre la protezione del dato.
No so dirti quale sia la migliore sono punti di vista. Sicuramente la GDPR sta diventando estrema nella sua interpetazione.
E come ha già evidenziato @juanin la possibilità di interpretazione è un male.
Inoltre per lavoro sto approfondendo molti provider tecnologici di dati e purtroppo la realtà dei fatti è che con contratti e tecnologie costruire bene si posso fare accrocchi che rispettano perfettamente la filosofia della GDPR e che per smontarli serviranno nuovi indicazioni da parte del legislatore se e quando se ne accorgerà.Alla fine tutta la questione di GA e portata dal fatto che esporta i dati negli Stati Uniti se ci pensate. Ma se tenesse i dati in Europa tutte il tracciamento che fa sarebbe completamente legale e senza problemi.
Quindi se per assurdo google spostare il suo Hq in Europa ed importasse tutti i dati degli utenti americani un’Europa (nessuna legge lo vieta) potrebbe continuare ad operare senza problemi.
Per me è tutto un bel castello ma che complica la vita a noi, non alle big tech
-
@claudius ci sono vari modi per farlo.
1 - analitica di prima parte (opzionale) + invii via Measurement Protocol
2 - proxy pass + subfiltering via webserver
3 - tag manager server side1. Measurement Protocol
Uno è che ti fai un tuo script che del tipo mia-analitica.js che poi chiama un tuo sistema server side tipo hit.go o hit.php o hit.asp e li dentro poi mandi i dati a #Google tramite measurement protocol https://developers.google.com/analytics/devguides/collection/protocol/v1/parameters
Alla fine è anche molto semplice. Sono giusto una ventina di parametri da mappare e tutti ottenibili con le interfacce javascript di accesso al dom, document, window etc.
Se qualcuno è interessato potremmo pensare un incontro formativo @giorgiotave o comunque una live o un webinar o una sette formazione pratica o un workshop.
2 - Proxy pass + Subfiltering
Poi qui sopra ho già linkato degli esempi per fare invece proxy pass con sub filtering per il replace dinamico degli endpoint.
3 - Tag Manager Server Side
La terza possibilità invece è mettersi su un google tag manager server side. Ci sono dei comodi Docker anche se la documentazione è imbarazzante.
-
@filtro ha detto in Google Analytics è illegale in EU?:
Alla fine tutta la questione di GA e portata dal fatto che esporta i dati negli Stati Uniti se ci pensate. Ma se tenesse i dati in Europa tutte il tracciamento che fa sarebbe completamente legale e senza problemi.
Questo solo se al legislatore americano venisse impedito l'accesso. Ad esempio se fosse tutto criptato e Google non possedesse le chiavi (ma il propietario dei dati sì).
E in quel caso il Governo USA emanerebbe una legge per imporre alle aziende di avere sempre le chiavi... E non è un'invenzione, la stanno già discutendo:
Quando dico che in USA vanno nella strada opposta, intendo sul serio. Sono visioni radicalmente inconciliabili...
-
@claudius dimenticavo. Ovviamente fai in modo che le macchine dove tieni queste cose server side siano di aziende europee altrimenti sei punto e a capo
C 1 Risposta -
@juanin ha detto in Google Analytics è illegale in EU?:
@claudius dimenticavo. Ovviamente fai in modo che le macchine dove tieni queste cose server side siano di aziende europee altrimenti sei punto e a capo
Non me ne volere ma della tua risposta questa è finora l'unica parte che mi è chiara
Ti ringrazio e provo a studiarmi il materiale che hai linkato, intanto se preparate una live/webinar/workshop/segnali di fumo con @giorgiotave per me (e credo molti altri) è molto gradito.
-
Consiglio vivamente a chi è interessato di registrarsi a questo evento di Google (non mi sembra di averlo visto citato) dove Google, immagino, espliciterà finalmente la sua soluzione per quanto riguarda GA.
https://marketingplatformacademy.withgoogle.com/events/data-control-in-google-analytics
-
@matteo-zambon Immagino che ci farai una sintesi di cosa diranno poi.
Ma siamo sicuri che non saranno cose solo per i 360?
-
Io quell'evento l'ho visto, ma è vaghissimo e sinceramente non m'aspetto nulla. Leggerò volentieri i commenti della stampa
F 1 Risposta -
@kal è un evento nuovo programmato per il 23 Marzo, non quello che hanno già fatto.
