• Moderatore

    @robot il titolare del sito. Google è importatore in questo caso


    C 1 Risposta
  • User Newbie

    @filtro ha detto in Google Analytics è illegale in EU?:

    @robot il titolare del sito. Google è importatore in questo caso

    Scusate, mio intrometto da semplice "marketer" (che brutta parola) che utilizza i servizi Google.
    Mi sembra che il nodo della questione (e forse errore del GDPR) sia questo: come può una qualunque PMI italiana (o europea) essere legalmente considerata esportatore di dati, visto che non ha alcun controllo sull'infrastruttura di raccolta dati di Google?
    Se i servizi sono erogati da Google Ireland Limited, in questo caso l'esportatore dovrebbe essere questo soggetto.

    Per fare un esempio concreto: sto facendo consulenza per un progetto di startup non ancora costituita, che dovrebbe fare una campagna Google Ads di raccolta metriche di validazione. Ciò comporta chiaramente l'integrazione di Google Ads e Analytics e l'utilizzo di un servizio di blocco preventivo dei consensi (paradossalmente non si potrebbe neanche usare Cookiebot), ma pur con tutto in regola e con una privacy policy a prova di bomba elaborata da un legale, si porrebbe sempre il problema dell'esportazione dei dati. Se qualcuno (competitor?) facesse un esposto al garante, questa startup verrebbe condannata prima ancora di essere costituita.
    Solo io trovo folle tutto ciò?


    F kal 2 Risposte
  • Moderatore

    @claudius il problema è politico per la maggior parte.
    Al momento non ho una risposta o una soluzione. Si aspetta


    robot 1 Risposta
  • Contributor

    @claudius ha detto in Google Analytics è illegale in EU?:

    in questo caso l'esportatore dovrebbe essere questo soggetto.

    L'esportatore è l'entità da cui il soggetto proprietario dei Dati Personali ha ricevuto ed eventualmente validato l'Informativa Privacy.

    Com'è logico che sia: è il sito che raccoglie i dati... tramite uno script terzo (posizionato sul codice dall'amministratore del sito) che installa un cookie di prima parte e successivamente invia questi dati ad una terza parte.

    Non serve essere dei legali per vedere un trattamento di dati in questa cosa.

    @claudius ha detto in Google Analytics è illegale in EU?:

    Se qualcuno (competitor?) facesse un esposto al garante, questa startup verrebbe condannata prima ancora di essere costituita.

    Sì, esatto.

    Solo io trovo folle tutto ciò?

    Mah, folle o no... questa è la situazione. Io credo che sia abbastanza seria e per quanto il problema sia politico, personalmente non vedo una soluzione politica all'orizzonte.

    In giro ho letto solo indiscrezioni e date possibili per un presunto nuovo accordo sparate senza alcuna fonte.

    Sappiamo solo che degli accordi ci sono GIÀ stati e sono stati tutti invalidati. Ed è quasi due anni che viaggiamo nell'illegalità de facto più totale.

    Se un accordo non è stato raggiunto in 2 anni, davvero pensiamo che possa essere raggiunto ora? Solo perché i Garanti hanno iniziato a multare le aziende?

    Giusto stamani ho letto questo a proposito di Adobe Analytics, che si trova in una situazione simile:

    https://cunderwood.dev/2022/02/16/adobe-analytics-and-gdpr/

    E soprattutto questo passaggio:

    When Google reported to the Austrian DPA that the Google Analytics data processing occurred in the United States it prompted an evaluation of lawful processing where the United States data-adequacy was considered. Google was subject to more strict requirements as a result.

    In contrast to this, Adobe has several different Data Processing Centers around the world. For the EU specifically, this means that data can be configured to be processed in a leased data center in London per their documentation. Once the data is processed there, it becomes available to the Adobe Experience Cloud.

    This is significant, because the data does not leave the EU

    Che non è vero, UK è fuori dall'EU... e infatti un commentatore su Linkedin lo fa notare:

    https://www.linkedin.com/feed/update/urn:li:activity:6899892218363031553?commentUrn=urn%3Ali%3Acomment%3A(activity%3A6899892218363031553%2C6899979502001143808)

    C'è una moratoria di 4 anni (di cui 1 è di fatto già andato)... che è lunga abbastanza per "tirare a campare", ma non per fare scelte di progetto destinate a durare.

    E infatti anche le eccezioni che trova l'autore dell'articolo sull'accettabilità della piattaforma a determinate condizioni vengono criticate da un altro commentatore qua: https://www.linkedin.com/feed/update/urn:li:activity:6899892218363031553?commentUrn=urn%3Ali%3Acomment%3A(activity%3A6899892218363031553%2C6900415144162160640)

    Per me la questione è seria e non credo convenga stare ad aspettare la politica (che detto tra noi mi sembra decisamente in altre faccende affaccendata).

    SOPRATTUTTO in un'ottica di PMI dove non ci sono schiere di avvocati dell'ufficio legale pagati per dare battaglia.


  • User Attivo

    @filtro ha detto in Google Analytics è illegale in EU?:

    @claudius il problema è politico per la maggior parte.
    Al momento non ho una risposta o una soluzione. Si aspetta

    La "politica" si sta muovendo Stato per Stato: dopo l'Austria... la Francia!

    La vicenda in oggetto [sito web francese]

    La vicenda origina dalla circostanza che Google ha introdotto misure ulteriori per la gestione dei trasferimenti di dati con il servizio di Google Analytics, queste dice il CNIL, garante privacy francese, nella sua valutazione “non sono sufficienti per escludere l’accessibilità di questi dati per i servizi segreti americani” ancora dichiara che esiste “un rischio per gli utenti francesi di siti web che utilizzano questo servizio e i cui dati vengono esportati”.

    La decisione del CNIL è molto chiara, sono stati ritenuti illegittimi i trasferimenti dei dati su Google Analytics e ha così ordinato al titolare di un sito web francese di armonizzarsi al GDPR, regolamento sulla privacy europeo, laddove fosse necessario evitare di utilizzare il servizio nelle condizioni attuali.

    La decisione del CNIL francese

    Pertanto la decisione del CNIL è stata conseguenza di tutte le segnalazioni che venivano portate in essere dall’associazione NOYB, la quale aveva già portato già un po’ di tempo fa ad una presa di coscienza e posizione l’autorità austriaca. Siffatta presa di posizione è stata attuata a seguito dell’illegittimità del trasferimento dei dati nell’ambito dell’uso ininterrotto di Google Analytics.
    https://gdpr.net/gdpr-google-analytics-nel-mirino-del-cnil/

    Vabbé, faremo a meno di Google Analytics 😭

    Anche se dall'Italia ancora non è arrivata una presa di posizione.


    F 1 Risposta
  • Moderatore

    @robot la politica di deve muovere per ripristinare il privacy schield tra Europa e Stati Uniti oppure il web è illegale non google analyrics


  • Contributor

    Segnalo un Google Trends decisamente da monitorare:

    https://trends.google.com/trends/explore?q=gdpr google analytics

    Si iniziano a notare già diverse cose interessanti ad esempio tra gli argomenti correlati:

    Immagine 2022-02-21 102135.png

    A occhio Trends è in ritardo di circa un paio di settimane (segna "Austria" come impennata, quando il caso più recente è in realtà quello della CNIL francese).


    kal 1 Risposta
  • Contributor

    Anche il Lichhtenstein prende ufficialmente posizione sulla questione:

    https://twitter.com/OdiaKagan/status/1499339806765195264

    Qua la traduzione automatica del pezzo più rilevante:

    Il DSS invita pertanto i responsabili a progettare siti web in conformità con le normative sulla protezione dei dati e a utilizzare soluzioni alternative conformi alla protezione dei dati al posto di Google Analytics. Anche se DSS non sta attualmente conducendo alcuna indagine ufficiale su Google Analytics, ci sono già stati una serie di reclami in Liechtenstein che potrebbero essere risolti amichevolmente dagli operatori del sito web disabilitando immediatamente Google Analytics.

    Grassetto mio, ma è un punto estremamente importante.

    Le autorità Garanti Privacy stanno effettivamente raccomandando ai siti sotto inchiesta di rimuovere Google Analytics.

    Arriverà anche in Italia una situazione simile, è solo questione di tempo, probabilmente pochi mesi.


    altrasoluzione 1 Risposta
  • User Attivo

    @kal
    Roba da matti. Stanno massacrando il mercato web, almeno quello dei "piccoli".


    kal 1 Risposta
  • Contributor

    @altrasoluzione ma no. Le alternative ci sono. Piwik Pro ha un tier gratuito fino a 500.000 hit/mese. Anche Matomo On Premise è una via percorribile (ce l'ho da mesi sul mio sito personale).

    Secondo me è meno dura di quel che sembra.

    E i grossi dovranno tirare fuori il soldo... Ma menomale!!


    altrasoluzione 1 Risposta
  • User Attivo

    @kal ha detto in Google Analytics è illegale in EU?:

    @altrasoluzione ma no. Le alternative ci sono. Piwik Pro ha un tier gratuito fino a 500.000 hit/mese. Anche Matomo On Premise è una via percorribile (ce l'ho da mesi sul mio sito personale).

    Secondo me è meno dura di quel che sembra.

    E i grossi dovranno tirare fuori il soldo... Ma menomale!!

    Vero, esistono altre soluzioni ma nessuna è così "integrata" nell'ecosistema Web.

    Volenti o nolenti Google ha praticamente un monopolio, a mio parere anche giustificato dalla qualità e dal prezzo (spesso gratuito) dei suoi servizi.

    Da quando è cominciata questa storia del GDPR e in particolare dei cookie ho sempre pensato che sarebbe stato molto più corretto istruire gli utenti per un uso più consapevole del Web invece di costringere milioni di publisher a investire tempo e denaro per tentare di adeguarsi a norme scritte da burocrati che non hanno mai acceso un computer in vita loro e che neanche loro sanno come interpretare.

    È un po' come se, invece di dare le patenti agli automobilisti che superano degli esami, si costringessero i venditori di automobili a vigilare continuamente sui loro clienti ogni volta che salgono in auto, ricordando loro che se corrono troppo o non frenano o vanno contromano rischiano un incidente e costringendo gli automobilisti a firmare di aver ricevuto l'avvertimento ogni volta che si mettono alla guida. 🙂
    Ovviamente è una metafora scherzosa ma credo che renda l'idea.
    Inoltre, per quanto mi riguarda, se proprio devo vedere della pubblicità sui siti preferisco che riguardi prodotti e servizi che m'interessano invece di vedere una pubblicità di scarpe da donna col tacco 12. 😂
    Però questa è solo la mia discutibilissima opinione.


    kal 1 Risposta
  • Contributor

    @altrasoluzione ha detto in Google Analytics è illegale in EU?:

    ma nessuna è così "integrata" nell'ecosistema Web.

    https://help.piwik.pro/support/reports/google-search-console-report/

    e

    https://help.piwik.pro/support/integrations/google-ads-integration/

    E sono entrambi disponibili se ho capito bene nel tier gratuito fino a 500K hit/mese.

    Ripeto: secondo me le alternative a Google Analytics ci sono. E pian piano che iniziano a girare i soldi (ripeto: MENOMALE!), mi aspetto che il prodotto migliori ancora, che si crei competizione e concorrenza con nuovi prodotti e nuove feature.

    Il monopolio di Google ha settato alta l'asticella delle aspettative, ma ha anche congelato il mercato.

    È ora che questa cosa si smuova una buona volta.


    juanin altrasoluzione 2 Risposte
  • Admin

    @kal @altrasoluzione ad oggi la reale soluzione è spostare tutto server side.

    Il problema Analytics è banale da risolvere se si tratta solo dell'IP di fatto.


    kal sermatica 2 Risposte
  • Contributor

    @juanin ha detto in Google Analytics è illegale in EU?:

    se si tratta solo dell'IP di fatto.

    In realtà non è "solo l'IP", è sicuramente anche l'User Agent e tutto ciò che può essere utilizzato per fare digital fingerprint, ma in generale serve un assessment su quali dati si esportano all'estero ed una valutazione del rischio che l'importatore possa fare una digital fingerprint efficace.

    Non è una cosa fattibile per il 99% delle PMI che manco hanno un consulente, figurarsi poi un ufficio legale. Le piccole aziende al massimo chiedono al consulente marketing, che con tutte le migliori intenzioni non potrà mai essere preparato a fare una consulenza correttamente informata (io che mi sto informando molto, onestamente non sono sicurissimo su cosa raccomandare)

    Una soluzione più fattibile allo stato attuale è proprio "non esportare" e cambiare quindi fornitore.

    Almeno, è una delle strade che sto valutando. Ancora non ho deciso in concreto.


    juanin 1 Risposta
  • Admin

    @kal se sposti server side puoi fare override anche dello User Agent.

    Se già togli l'ip e fai reduce dello UA la vedo veramente dura fare fingerprinting con tutta la stima che posso avere per i tecnici di Google.

    E oltre a questo voglio poi capire quale garante sarà in grado di identificare uno spostamento lato server del tracking senza poterlo identificare in modo apparente con controlli sul campo.

    Comunque se quei consulenti non hanno idea di come fare basta che chiedono qui su connect 😄


    F 1 Risposta
  • Moderatore

    @juanin devi capire che per @kal il fingerprinting è arte magica anche se togli l’ip e fai l’overid dello useragent lui uscirà con gli studi del fingerprinting con le schede video come ha già fatto.

    A volte secondo me è una crociata contro google secondo me 🙂

    Si scherza @kal 🙂


  • Contributor

    Ma sì ragazzi, lo so che tutto si può fare... ma come ripeto fin dall'inizio e non mi stancherò mai di ripetere: il problema è legale.

    È enormemente più importante il principio di accountability che non l'effettiva soluzione tecnica.

    Per dirla breve: in informativa privacy devi scrivere cosa hai fatto per risolvere il problema dell'esportazione dei dati verso gli USA.

    Scrivere "ho anonimizzato l'IP lato client" non basta, non è sufficiente. Lo abbiamo visto e i Garanti si stanno muovendo tutti in questo senso.

    Bisogna scrivere qualcosa del tipo "abbiamo analizzato la possibilità che l'importatore dei dati in USA effettui una digital fingerprint e sulla base della nostra personale valutazione del rischio abbiamo deciso di non inviare in USA i seguenti dati: 1, 2, 3. Questo minimizza il rischio di esportazione dei dati personali permettendo al tempo stesso di mantenere il legittimo interesse dell'analisi dei dati aggregati ai fini di miglioramento del servizio etc. etc.".

    Davanti ad una cosa del genere nessun Garante ti potrà multare, al massimo ti daranno raccomandazioni su come rivedere i criteri di decisione e mitigazione.

    Già il fatto che tu te ne sia preoccupato è garanzia di compliance (effettiva o potenziale).

    Per fare sta cosa qua però serve fare un assessment tecnico-legale di quello che raccogli e che mandi e serve un legale che scriva l'informativa privacy.

    OPPURE

    Serve un fornitore che non esporti i dati in USA e sia apparentemente solido e convincente sul piano legale.


    juanin 1 Risposta
  • Admin

    @kal beh ok chiaro...ma se hai un'attività online oggi un legale ti serve.

    Se non hai un legale significa che la tua attività è minimale e quindi anche il rischio di prendere una multa per analytics rientra nel range dei 0-100 euro quindi parliamo di niente.

    In sostanza uno aprirebbe un calvario e spenderebbe più soldi di quanto rischierebbe di spenderne in una multa.

    Di che parliamo?


    kal 1 Risposta
  • Contributor

    @juanin ha detto in Google Analytics è illegale in EU?:

    @kal beh ok chiaro...ma se hai un'attività online oggi un legale ti serve.

    Se non hai un legale significa che la tua attività è minimale e quindi anche il rischio di prendere una multa per analytics rientra nel range dei 0-100 euro quindi parliamo di niente.

    In sostanza uno aprirebbe un calvario e spenderebbe più soldi di quanto rischierebbe di spenderne in una multa.

    Di che parliamo?

    Mah, io ho clienti anche con buoni fatturati e decine di dipendenti che non hanno un legale e che copiano-incollano le informative privacy prese dai concorrenti o da siti a caso.

    Dal canto mio la domanda "avete un ufficio legale o almeno un consulente?" la faccio sempre quando si affronta il tema, ma le risposte sono SEMPRE disarmanti. La più comune è: stanno in silenzio con gli occhi da triglia, come se gli avessi appena chiesto se hanno una rampa di lancio di missili balistici in cortile.

    Io sinceramente non so come facciano, ma siamo in Italia, la terra del pressapochismo, quindi...

    @homeworker ha detto in Google Analytics è illegale in EU?:

    Ma con la cookie bar posso far scegliere o meno al visitatore se attivare o no i vari servizi di tracciamento, tag, social, etc. Se non viene attivato analytics (o gli altri tag) non può raccogliere nessun dato o sbaglio?
    Si è a rischio anche in questo caso?

    Il tema del consenso non si pone in questo caso... perché l'esportazione del dato personale verso gli USA è SEMPRE illegale, consenso o meno.


    juanin 1 Risposta