• Contributor

    Google Analytics è illegale in EU?

    Apro una nuova discussione perché leggendo in giro mi pare ci sia stata una bella accelerazione su questo argomento.

    Prendiamo le mosse da quanto segnalato ieri, ovvero:

    In bad news for US cloud services, Austrian website’s use of Google Analytics found to breach GDPR
    A decision by Austria’s data protection watchdog upholding a complaint against a website related to its use of Google Analytics does not bode well for use of US cloud services in Europe.
    The decision raises a big red flag over routine use of tools that require transferring Europeans’ personal data to the US for processing
    https://techcrunch.com/2022/01/12/austrian-dpa-schrems-ii/

    In sintesi: se applichiamo alla lettera la sentenza Schrems II, qualunque tool di analytics basato su cloud USA è di fatto illegale in EU.

    E dopo il Garante austriaco, anche quello olandese si accoda:

    Dutch Data Protection Authority (AP) warns: “Use of Google Analytics will soon likely not be allowed”.
    https://twitter.com/PrivaSense/status/1481693907947773958

    Ovviamente concorrenti minori come Fathom ci mettono del loro drammatizzando un poco: https://twitter.com/usefathom/status/1481622895616950273

    Ma c'è poco da drammatizzare, la questione è veramente seria. La sentenza Schrems II è abbastanza chiara in merito: le leggi USA non consentono una adeguata tutela dei dati personali dei cittadini EU. Tutela che normalmente è derogabile ad accordi specifici... accordi che però sono illegali per l'impianto normativo USA che impone alle aziende di sottostare all'azione di analisi invasiva del governo.

    Questo il quadro generale della questione: https://noyb.eu/en/project/eu-us-transfers

    Siamo davanti ad un vero e proprio stallo, non c'è una vera soluzione di breve periodo.

    Segnalo questa iniziativa interessante di AGID basata su Matomo per un servizio di analytics Pubblico (nel senso di: fornito e mantenuto da un Ente Pubblico) pensato per le Pubbliche Amministrazioni:

    https://designers.italia.it/progetti/web-analytics-italia/

    Se anche il Garante Italiano si pronuncia sulla questione e di fatto vieta Google Analytics... i siti degli enti pubblici dovranno migrare per forza.

    Ed i privati dovranno adattarsi a ciò che offre il mercato.

    In qualche caso già si stanno muovendo, mi torna in mente questa discussione, da qui in poi: https://connect.gt/post/1291498

    Cosa possiamo aspettarci?

    Presto per dirlo.

    Io intanto è da un po' di tempo che sul mio sito personale ho installato Matomo On Premise, ed in un caso almeno l'ho utilizzato per un progetto di un cliente. Funziona bene, ha i segmenti ed il supporto per il tracciamento delle campagne con parametri. Il minimo necessario per un'analisi efficace in un contesto operativo.

    Secondo me è veramente arrivato il momento di pensare seriamente a delle alternative.

    Qualche tempo fa @juanin aveva aperto questa discussione:

    https://connect.gt/topic/243648/alternative-a-google-analytics-esistono-realmente

    Che ne pensate? È arrivata davvero la fine per Google Analytics in EU? Che succederà ora?

    Ah, giusto come bonus: se è illegale GA... allora in EU è illegale QUALUNQUE tracker che invii e salvi dati su cloud USA.

    Sì, anche il monitoraggio delle conversioni di Google Ads (che è basato sulla stessa tecnologia di GA) ed il Pixel di Facebook.

    Qualcosa mi dice che siamo alle prime avvisaglie di un terremoto di proporzioni gigantesche...


    sermatica robot 2 Risposte
  • Contributor

    Aggiornamento, come segnalato da @filtro su Linkedin... Google pubblica un lungo articolo dal sapore difensivo:

    https://blog.google/around-the-globe/google-europe/google-analytics-facts/

    La parte rilevante è (non sorprendentemente) seppellita in fondo:

    Fact: An organization’s Google Analytics data can only be transferred when specific and rigorous privacy conditions are met.

    • Google Analytics operates data centers globally, including in the United States, to maximize service speed and reliability. Before data is transferred to any servers in the United States, it is collected in local servers, where users’ IP addresses are anonymized (when the feature is enabled by customers).
    • The GDPR and European Court of Justice say that data can be transferred outside of the European Union for just this sort of reason, provided conditions are met.
    • In order to meet those conditions, we apply numerous measures, including:
      • Using data transfer agreements like EU Standard Contractual Clauses, which have been affirmed as a valid mechanism for transferring data to the United States

    Da quanto ho capito, sono proprio queste "clausole" ad essere contestate dal Garante austriaco.


    juanin F mgastaldi 3 Risposte
  • Admin

    @kal tutto molto bello, ma vedrai che Google troverà una soluzione se obbligato.

    Lo fanno già in Google Workspace pagando un tantino di più dello standard e ti permettono di fare in modo che i tuoi dati stiano solo in server dislocati in europa.

    Non mi sembra un problema insormontabile per Google e anzi questo gli permetterà pure di monetizzare un prodotto sino ad oggi gratutito.


    kal 1 Risposta
  • Moderatore

    @kal In realtà è un po' più complicato, diciamo che l'articolo di noyb è molto sensazionalistico
    https://noyb.eu/en/austrian-dsb-eu-us-data-transfers-google-analytics-illegal

    ma poi leggendolo in realtà il risultato è molto meno forte

    Google LLC does not fall under Transfer Rules? The DSB has rejected claims against Google LLC as a data recipient, holding that the rules on data transfers only apply to EU entities and not the US recipients. However, the DSB said that it will investigate Google LLC further in relation to potential violations of Article 5, 28 and 29 GDPR, as it seems questionable if Google was allowed to provide personal data to the US government without an explicit order by the EU data exporter. The DSB will issue a separate decision on this matter.

    il punto è cosa sono personal data, google dichiara di non avere personal data, che l'ip lo puoi mascherare, che i dati prima transito da server vicini all'utente (quindi in eu) e poi sono trasferiti in US perché sono in un cloud quindi il backup e misto.

    Il problema è cos'é dato personale


  • Contributor

    @juanin ha detto in Google Analytics è illegale in EU?:

    @kal tutto molto bello, ma vedrai che Google troverà una soluzione se obbligato.
    Lo fanno già in Google Workspace pagando un tantino di più dello standard e ti permettono di fare in modo che i tuoi dati stiano solo in server dislocati in europa.
    Non mi sembra un problema insormontabile per Google e anzi questo gli permetterà pure di monetizzare un prodotto sino ad oggi gratutito.

    Io sono sorpreso che non l'abbiano già fatto francamente.

    Il problema è che Google sul tracking di massa ci ha costruito un impero. Se di punto in bianco GA in EU diventa a pagamento, anche se per pochi euri al mese... di fatto va a perdere il 95% della base dati. Se non addirittura il 99%.

    Per quanti progetti si può riuscire a giustificare il costo? Dopo più di un decennio di un mercato abituato ad un prodotto gratuito?

    Non credo sia una scelta semplice, altrimenti appunto l'avrebbero già fatto.

    Su questa evidente indecisione si stanno muovendo molto alla svelta i vari piccoli e medi (Fathom, Plausible, Matomo...) per occupare lo spazio di mercato prima che il gigante costretto ad arrendersi si decida e mangi tutto.

    @filtro ha detto in Google Analytics è illegale in EU?:

    Il problema è cos'é dato personale

    Sì, sicuramente è questo il cuore della questione!!

    Non a caso si pronunciano le Autorità Garanti Privacy.

    È anche vero che "cos'è dato personale" non lo può decidere Google.


  • Admin

    @kal beh ma ovviamente loro non lo mettono a pagamento per tutti.

    Ti dicono:
    Google: "Vuoi i dati in europa per rispettare la legge?"
    Tu: "Sì"
    Google: "Va bene. Paghi."
    Google: "Però se non ti interessa della legge puoi non pagare ma sono fatti tuoi."


    kal 1 Risposta
  • Contributor

    @juanin ha detto in Google Analytics è illegale in EU?:

    Google: "Però se non ti interessa della legge puoi non pagare ma sono fatti tuoi."

    LOL beh, in questo scenario sai che delirio? Si crea un'onda di fuggi fuggi generale incontrollato... con clienti spaventati che cancellano tutto dal giorno alla notte...

    alt text


  • Moderatore

    @kal ha detto in Google Analytics è illegale in EU?:

    In sintesi: se applichiamo alla lettera la sentenza Schrems II, qualunque tool di analytics basato su cloud USA è di fatto illegale in EU.

    Ciao,
    se fosse questo il problema è sufficiente spostare i server in Europa ed hanno risolto. Devo rispolverare Cpanel Awstats?


    kal 1 Risposta
  • Contributor

    @sermatica ha detto in Google Analytics è illegale in EU?:

    se fosse questo il problema è sufficiente spostare i server in Europa ed hanno risolto.

    NI.

    Perché restano obbligati dalla legge USA a fornire l'accesso alle autorità USA qualora glielo imponessero. A quanto ho capito è esattamente questo il cuore del problema.

    Dovrebbero rivolgersi ad un intermediario terzo soggetto a legge europea o equivalente che faccia da "proxy" per la raccolta dei dati ed il successivo invio in USA dovutamente anonimizzati (sostanzialmente senza indirizzi IP e User Agent).


  • User Attivo

    Tutti i servizi non EU stanno diventando illegali secondo il GDPR applicato dal 9 gennaio. Ho letto di sentenze di società europee che usavano MailChimp ma anche Cookiebot.


    kal 1 Risposta
  • Contributor

    @robertosantoli ha detto in Google Analytics è illegale in EU?:

    Tutti i servizi non EU stanno diventando illegali secondo il GDPR applicato dal 9 gennaio. Ho letto di sentenze di società europee che usavano MailChimp ma anche Cookiebot.

    È così, di fatto. La sentenza Schrems II ha fatto da spartiacque... ma in realtà era cosa nota. Hanno fatto tutti (come si dice) orecchie da mercante...


  • User

    una domanda da newbie totale. come si fa a dire se il mio sito è italiano? l'hosting è su bluehost, americano; nome ed indirizzo del proprietario (io) sono schermati... io opero in italia, perchè vivo qui, ok. ma il sito? il sito no. o si?


  • User

    Per me è tutto un gran casino, non essendo del settore ogni giorno ne trovo me ne viene fuori una su cui non so proprio come sbattere la testa e dove.

    Questo maledetto GDPR è un cancro, cambiano in continuazione... L'ultima sulla raccolta dei consensi per i Cookie non l'ho proprio capita, sono passato dal pagare iubenda 19€/anno e basta, a 19€/anno + 13€/mese. Una cosa assurda secondo me.

    Da ignorante mi viene da dire che a questo punto tutti i servizi che usiamo non sono a norma. Uno è GAnalytics, poi c'è da considerare tutti gli altri servizi per la gestione degli utenti, come ActiveCampaign o Infusionsoft e compagnia cantante... Anche quelli sono a rischio?

    Il mio sito è rivolto a utenti italiani, che però vivono anche all'estero, tipo Brasile, Thailandia, Russia, ecc... Invece il server del mio hosting è a Londra (in teoria), che a questo punto come va considerato?

    MAH!


    kal robertosantoli 2 Risposte
  • Contributor

    @marco-m ha detto in Google Analytics è illegale in EU?:

    Per me è tutto un gran casino, non essendo del settore ogni giorno ne trovo me ne viene fuori una su cui non so proprio come sbattere la testa e dove.

    Questo maledetto GDPR è un cancro, cambiano in continuazione... L'ultima sulla raccolta dei consensi per i Cookie non l'ho proprio capita, sono passato dal pagare iubenda 19€/anno e basta, a 19€/anno + 13€/mese. Una cosa assurda secondo me.

    Questo perché ti sei un po' fatto fregare secondo me 🙂

    Iubenda fa parte di quella caratteristica di servizi che ti creano il problema e ti vendono la soluzione.

    Ma è un'opinione personale.

    Da ignorante mi viene da dire che a questo punto tutti i servizi che usiamo non sono a norma. Uno è GAnalytics, poi c'è da considerare tutti gli altri servizi per la gestione degli utenti, come ActiveCampaign o Infusionsoft e compagnia cantante... Anche quelli sono a rischio?

    Sì.

    Vedi ad esempio: https://edpb.europa.eu/news/national-news/2021/bavarian-dpa-baylda-calls-german-company-cease-use-mailchimp-tool_en

    Stesso problema associato a GA:

    Mailchimp may in principle be subject to data access by US intelligence services on the basis of the US legal provision FISA702

    Il mio sito è rivolto a utenti italiani, che però vivono anche all'estero, tipo Brasile, Thailandia, Russia, ecc... Invece il server del mio hosting è a Londra (in teoria), che a questo punto come va considerato?

    MAH!

    È complicato, ma per fare una sintesi bisogna domandarsi: chi è il proprietario dei dati personali?

    Il titolare del servizio hosting può accedere liberamente ai tuoi dati da contratto?

    Se li hai salvati su un database a cui hai accesso e sei libero di copiarli, cancellarli etc... Allora sei a posto. Ovviamente sei responsabile di quello che succede ai dati raccolti, davanti a chi quei dati te li ha forniti.


    juanin marco.m 2 Risposte
  • Admin

    @kal nessuno ha fregato nessuno.

    La nuova normativa prevede il registro dei consensi. Una cosa assurda che da gestire costa. E pure tanto purtroppo.

    Il garante non ha idea dell'impatto che tutte queste cose hanno in termini economici. A lui giustamente non interessa, ma è oggetti un problema anche perché vorrei capire quando e se mai farà dei controlli sensati e oggettivi visto che alla fine altrimenti vinceranno i furbetti e gli altri avranno solo buttato via soldi.

    Poi tutti si preoccupano di sito, banner etc, ma quanti veramente segmentano tutto anche a livello di newsletter o mail dove ad esempio le statistiche di letture e click sono ad personam?

    Insomma un qualcosa dove un controllo difficilmente potrà scovare i mille meandri delle azioni possibili per violare la profilazione.

    Quanti collegano CMP con CRM e piattaforme varie?


    juanin kal eleclipse 3 Risposte
  • Admin

    E con le CDN come la mettiamo invece?

    A me sembra che stiano alzando tanta polvere per motivi più politici che altro.


    F 1 Risposta
  • Moderatore

    @juanin in questo momento è solo politica non c’é nulla di reale per difendere i dati degli utenti.
    Ma senza scomodare le cdn: quanti dati ci sono nei diversi log dei server?


  • User Attivo

    @marco-m ha detto in Google Analytics è illegale in EU?:

    Per me è tutto un gran casino, non essendo del settore ogni giorno ne trovo me ne viene fuori una su cui non so proprio come sbattere la testa e dove.

    Questo maledetto GDPR è un cancro, cambiano in continuazione... L'ultima sulla raccolta dei consensi per i Cookie non l'ho proprio capita, sono passato dal pagare iubenda 19€/anno e basta, a 19€/anno + 13€/mese. Una cosa assurda secondo me.

    Da ignorante mi viene da dire che a questo punto tutti i servizi che usiamo non sono a norma. Uno è GAnalytics, poi c'è da considerare tutti gli altri servizi per la gestione degli utenti, come ActiveCampaign o Infusionsoft e compagnia cantante... Anche quelli sono a rischio?

    Il mio sito è rivolto a utenti italiani, che però vivono anche all'estero, tipo Brasile, Thailandia, Russia, ecc... Invece il server del mio hosting è a Londra (in teoria), che a questo punto come va considerato?

    MAH!

    Il registro dei consensi è una invenzione di Iubenda che non trova nessun riscontro nei regolamenti gdpr aggiornati.


    juanin 1 Risposta
  • User

    Sul registro dei consensi ho letto tutto e il contrario di tutto su internet... 😓


  • Contributor

    @juanin ha detto in Google Analytics è illegale in EU?:

    La nuova normativa prevede il registro dei consensi.

    Nah, come dice @robertosantoli che sia indispensabile è una roba che si sono inventati quelli di Iubenda. In alcuni casi può essere necessario, ma non è strettamente obbligatorio.

    Roba da avvocati :rollo:

    (anche perché, detto tra noi, se devo mettere su un registro dei consensi e per farlo devo per forza rivolgermi a una terza parte... Non mi sembra il massimo a livello di privacy by design. È molto più rispettoso della privacy salvare il consenso sul client sotto forma di cookie, in pieno controllo dell'utente finale che se vuole lo può anche cancellare)