• juanin
    Admin

    @kal il competitor che fa la segnalazione in prima istanza deve essere certo che lui non stia violando nulla. E già questo di per se è un bel deterrente alle segnalazioni dei competitor.

    Perché se parte uno poi partono tutti. Di solito è così.

    Perché? Un piccolo commerciante o un artigiano non può voler fare remarketing o migliorare le sue pagine analizzando il comportamento degli utenti sul suo sito nel tentativo di offrire loro quello che vogliono?

    @altrasoluzione certo che può farlo. Ma se lo fa lo deve fare con consapevolezza degli strumenti che usa. Non è che arriva il Googler di turno o il consulente che se ne sbatte delle regole e gli infarcisce il sito di schifezza senza adeguarsi legalmente.

    Puoi tranquillamente monitorare il comportamento degli utenti senza fare remarketing. E puoi fare remarketing chiedendo il consenso.

    Il problema sinceramente non esiste. Ma se fai impresa devi rispettare le regole e devi rispettare in primis i tuoi clienti.

    Tu pensi che un cliente sarebbe felice di essere spiato mentre si prova i vestiti in un camerino senza che tu lo avvisi del fatto che potrà essere ripreso e sulla base delle riprese potresti alla sua uscita proporgli ad esempio una pancera perché hai visto che è un po' grassottello?

    Insomma sto esagerando, ma il tema qui è che tutti possono fare business, ma che non è una giungla e tutto deve essere fatto nel modo giusto. Si può fare ancora tutto, ma va fatto rispettando la privacy delle persone.

    Alla fine basta il principio della buona fede. Perché se non sei in buona fede ti scopro in 3-2-1 secondi.

    1
  • kal
    Contributor

    @filtro ha detto in Google Analytics è illegale in EU?:

    Kal la multa viene fatta sotto segnalazione e dopo un'inchiesta, ritorniamo al calcolo del rischio

    Inchiesta che viene solitamente sempre protocollata e aperta se la segnalazione è puntuale e documentata.

    E l'ho detto sopra anche io che è un calcolo del rischio. Quanto è grande il rischio che un concorrente si prenda lo sbattimento di incaricare un avvocato Schrems Style di mandare un complaint bomba?

    Se con un 10-20K di budget legale ho la possibilità di farti arrivare 150K di multa... oltre a tutto il tempo perso tra scartoffie e costi legali... io prima mi metto a posto e poi un pensierino ce lo faccio.

    Ah, e non ci sono solo i concorrenti... ma anche i fornitori scaricati male che covano risentimenti. Fornitori che magari hanno avuto modo di documentare cose da dietro le quinte... Brr.

    La temperatura è destinata ad alzarsi, è inevitabile.

    @filtro ha detto in Google Analytics è illegale in EU?:

    e la guerra in Ucraina sta ricompattando l'occidente.

    La guerra in Ucraina farà abrogare la GDPR e/o le leggi sullo spionaggio di Stato USA? Lo dubito fortemente!! Ma chissà, tutto può succedere.

    Nel frattempo, stiamo qua.

    @filtro ha detto in Google Analytics è illegale in EU?:

    Si sta facendo molto rumore solo perché è Google e tu sta cosa la stai cavalcando perché hai un odio per google profondo. La realtà dei fatti è che senza Google nessuno di noi avrebbe un lavoro probabilmente.

    No comment guarda :rollo:

    @filtro ha detto in Google Analytics è illegale in EU?:

    Kal fosse così chiaro perché solo il signor Schrems ci sta speculando??? E' facile dire ora che ci era chiaro! Ma l'unico che ha capito il giochetto è sempre Max!

    Schrems è stato banalmente il primo a capire che le SCC di Google (e Facebook) erano carta straccia. E infatti si è mosso a mandare i famosi 101 complaints immediatamente dopo la sentenza.

    E lo avremmo capito anche noi, se solo le avessimo lette prima di cliccare su "Accetto"... :rollo:

    0
    F 1 Risposta
  • F
    Moderatore

    @kal io continuo a vedere un sennò di poi nei tuoi commenti

    Scherms a 25 anni ha aperto la prima sentenza seguita dalla seconda che ha preso il suo nome e che ha fatto cadere il privacy shield.
    Direi che il ragazzo è un genio legale e io sinceramente non mi sento di essere alla sua altezza.
    Ma come non sono alla sua altezza molti altri legali che non avevano capito il tutto dire che tutti lo potevano capire mi sembra semplicistico visto che al mondo solo 1 ha capito veramente come fare

    0
    kal 1 Risposta
  • kal
    Contributor

    @filtro ha detto in Google Analytics è illegale in EU?:

    @kal io continuo a vedere un sennò di poi nei tuoi commenti

    Agosto 2020: https://matomo.org/blog/2020/08/risk-fines-after-google-privacy-shield-invalidation/

    Dai, abbiamo dormito. Ammetterlo è il primo passo

    0
    F 1 Risposta
  • F
    Moderatore

    @kal quel articolo è dopo scherms 2 quindi stai solo confermando che il genio è max e nessun altro se n’era accorto

    0
    kal 1 Risposta
  • kal
    Contributor

    @filtro quell'articolo è di un anno e mezzo fa. Che abbiamo fatto nel frattempo? Che arrivavano le sanzioni si sapeva già allora.

    0
    F 1 Risposta
  • F
    Moderatore

    @kal scusa ma quel articolo conferma quello che dico matomo ne parla solo dopo che scherms ha fatto la denuncia di 101 siti quindi l’unico a capirlo è sempre super max!

    Google in realtà ha assicurato tutti che secondo lui rispettava le direttive. Infatti solo ora gli stanno rispondendo che quello che ha fatto non è abbastanza e dopo una causa di 140 pagine dettagliatissima e una documentazione arrivata ancora più lunga.
    Dove gli si risponde che l’anonimozzazione client side non è abbastanza e che disabilitare l’advertising non è abbastanza, nell’articolo che hai linkato non vedo nessuna spiegazione così dettagliata perché è chiaramente un articolo di marketing

    Sinceramente chi prima della sentenza avrebbe immaginato che anonimizzare l’ip lato client non fosse abbastanza, inoltre in questo anno e mezzo di chiarimenti sulla GDPR ce ne sono stati molti pensiamo solo a come si evoluta l’interfaccia di consenso e modalità che erano accettare dal garante non lo sono più oggi. Pensiamo già solo le differenze che ci sono nelle direttive tra garante italiano sul consenso e garanti del resto di Europa, dove quello italiano ha chiesto di aggiungere la x per chiuder e non accettare mentre al momento nel resto di Europa non c’è ovunque questa direttiva.

    Dire che tutto è chiaro mi sembra semplicemente semplicistico ed ancora di più dire che tutti potevano capire quando è servito un documento di 140 pagine super tecnico ed una risposta del garante a cui si può fare appello, ma questo sembra che tutti se lo stiamo dimenticando.
    Come per il TCF Lo IAB ha fatto appello e vedremo che succede, ma anche di la ti stai urlando che lo IAB doveva sapere, ma ti assicuro che quel protocollo è stato scritto lavorando con i garanti l’azienda del mio DPO ha lavorato a quei tavoli e non è tutto bianco e nero come tu vorresti spesso descriverlo

    0
  • kal
    Contributor

    @filtro ha detto in Google Analytics è illegale in EU?:

    Sinceramente chi prima della sentenza avrebbe immaginato che anonimizzare l’ip lato client non fosse abbastanza

    Io che non serviva un cazzo lo dicevo ancora in tempi non sospetti... (del resto, non puoi davvero anonimizzare lato client e con una direttiva JavaScript non hai alcuna garanzia che sia davvero rispettata).

    Che questo avesse anche delle implicazioni lato privacy per via del Privacy Shield decaduto non lo avevo considerato, per due ragioni:

    1. Non ho dato credito alle notizie che uscivano come quella che ho linkato sopra che avvertivano pro tempore del rischio di sanzioni
    2. Mi sono fidato delle clausole di Google che dicevano sostanzialmente "firma qui che va tutto bene"

    Ora i provvedimenti sono arrivati e mi sono accorto che abbiamo dormito per un anno e mezzo.

    Personalmente mi sto sforzando di recuperare il tempo perso.

    Di fidarmi ancora di Google francamente mi sembra inutile... Anche perché hanno detto chiaramente che non faranno nulla e aspettano un nuovo accordo. Hanno promesso "opzioni" che però non sono arrivate.

    E anche del nuovo accordo non si ha, di fatto, alcuna notizia.

    E intanto stiamo qua, ad aspettare sanzioni del Garante italiano che arriveranno di sicuro.

    0
  • kal
    Contributor

    @kal ha detto in Google Analytics è illegale in EU?:

    Segnalo un Google Trends decisamente da monitorare:

    https://trends.google.com/trends/explore?q=gdpr google analytics

    Si iniziano a notare già diverse cose interessanti ad esempio tra gli argomenti correlati:

    Immagine 2022-02-21 102135.png

    A occhio Trends è in ritardo di circa un paio di settimane (segna "Austria" come impennata, quando il caso più recente è in realtà quello della CNIL francese).

    Veloce aggiornamento di Google Trends... negli argomenti è spuntata la CNIL (il Garante francese):
    Immagine 2022-03-07 182404.png

    Google Trends si conferma in ritardo di circa due settimane.

    Questo invece il dato assoluto del volume di ricerca per la query [google analytics gdpr] per il mercato globale a gennaio 2022:
    Immagine 2022-03-07 182918.png

    Questo solo in Italia:
    Immagine 2022-03-07 183107.png

    Questo è Germania + Austria:
    Immagine 2022-03-07 183237.png

    E questa invece è un'approssimazione del mercato europeo in generale:
    Immagine 2022-03-07 183451.png

    0
    F 1 Risposta
  • F
    Moderatore

    @kal ed oggi esce questo https://www.vischer.com/en/knowledge/blog/how-to-legally-use-google-analytics-in-europe-39512/

    Devo ancora rivederlo tutto con il mio DPO, ma sembra stare in piedi

    1
    juanin kal ? 3 Risposte
  • juanin
    Admin

    @filtro mi pare che abbia ragione da vendere. E come ho detto sopra nella fattispecie la sentenza fa acqua da tutte le parti dal punto di vista giuridico. Si accusa un potenziale rischio, tra l'altro nullo, piuttosto che accusare su fatti realmente in opera.

    Ad oggi non c'è ragione per smettere di usare GA. Basta configurarlo bene, oppure metterlo server side, oppure proxy passarlo.

    Tre soluzioni relativamente semplici da implementare.

    Io e @andreadragotta in 8 ore totali abbiamo chiuso il cerchio includendovi pure una analitica di prima parte che fa da broadcaster.

    Sinceramente non vedo questo spauracchio.

    2
  • kal
    Contributor

    @filtro ha detto in Google Analytics è illegale in EU?:

    @kal ed oggi esce questo https://www.vischer.com/en/knowledge/blog/how-to-legally-use-google-analytics-in-europe-39512/

    Devo ancora rivederlo tutto con il mio DPO, ma sembra stare in piedi

    L'ho letto ma ci sono tantissimi punti proprio campati in aria. Domani se ho tempo argomento.

    0
  • ?

    @filtro ha detto in Google Analytics è illegale in EU?:

    @kal ed oggi esce questo https://www.vischer.com/en/knowledge/blog/how-to-legally-use-google-analytics-in-europe-39512/

    Devo ancora rivederlo tutto con il mio DPO, ma sembra stare in piedi

    Al netto del trasferimento dati EU-USA che resta il problema principale, in questa sentenza austriaca i proprietari del sito avevano configurato veramente male le analytics, anonimizzate male e con user id non anonimi.

    1
    F 1 Risposta
  • F
    Moderatore

    @homeworker @kal @juanin appena finito telefonata con il mio DPO.
    L’impostazione è sostenibile davanti ad un giudice e vincerla: i punti base sono
    Contratto con google Ireland
    Attivare google analytics solo dopo l’accettazione della privacy policy
    Stiamo verificando se il google consent mode accetta anonimizzazione del ip e quindi se
    è possibile attivarlo prima del consenso.
    Però da un’analisi dettagliata dei due casi ad oggi alla cronaca Francia e Austria
    Entrambe avevano firmato il contratto con google
    LLC
    Entrambe attivavano google analytics prima del consenso.

    A prescindere anche se non andrà all’onore della cronaca i problemi che abbiamo descritto cdn ed altri servizi perché raccolgo l’ip dell’utenre

    3
  • kal
    Contributor

    Eccomi, allora. L'articolo è lungo lungo e non vorrei fare una disamina punto per punto che non ha senso.

    Mi concentro su quello che a mio parere è il grosso punto debole e che per me è praticamente garanzia di una bella doccia fredda nei prossimi mesi.

    L'autore dell'articolo chiaramente è un sostenitore del cosiddetto "risk based approach":

    We also have the impression that there are more important issues to be dealt with in data protection than the often only theoretical risk of US intelligence authorities accessing the data of offerings such as Google Analytics. The clear and present risk of ransomware and other cyberattacks is only one example.

    E ancora:

    In addition to that, we have ourselves independently from Google carried out a TIA for the transfer of data between Google Ireland Limited to Google LLC. It comes to the conclusion that the risk of a prohibited lawful access in the next five years is 3.38 percent, which means that there is a 90% chance that a lawful access of this kind will occur at least once only every 335 years. We believe that under these conditions, Google Ireland Limited indeed has no reason to believe that any prohibited lawful access will occur, thus satisfying the "Schrems II" and EDPB conditions for the data to be transferred to Google LLC, even if such data were considered personal data (which we believe is not the case for reasons discussed below).

    Altro punto:

    First, Google has made it clear that there have never been any requests from US intelligence authorities for the gathering the Google Analytics data; hence, such access so far is a theoretical risk.

    E di nuovo:

    Third, it is questionable whether Section 702 FISA permits the US intelligence authorities to order the disclosure of the Google Analytics data (see our TIA). Hence, the risk of identification of a data subject based on Google Analytics data appears to be of merely theoretical nature.

    E infine:

    Likewise, we see many TIAs which either only generally discuss lawful access laws or only discuss traditional data security. Instead, a proper TIA should analyze the probability of a prohibited lawful access occurring, taking into account all circumstances of the case. Many TIAs, unfortunately, do not address this question. In such cases it does not come as a surprise that data protection authorities conclude that there is a relevant risk of foreign lawful access.

    Per farla breve il punto attorno a cui ruota TUTTO è: il rischio è basso al punto da poter essere considerato nullo.

    In altri termini, un approccio probabilistico alla privacy.

    Il problema qua è che questa linea è destinata a fallire per un motivo molto semplice: il provvedimento austriaco ha escluso completamente il "risk based approach". Moltissimi analisti nel settore legale/privacy hanno rilevato questo, ne ho fatto una veloce raccolta pescando da Linkedin dove c'è un dibattito molto articolato:

    https://www.linkedin.com/posts/protectionofdata_regulators-are-playing-a-dangerous-game-on-activity-6897852365848788992-d9nU

    This brings us on to the debate that sits at the heart of this topic: the "risk-based approach".

    Many people maintain that the legality of a transfer rests, in part, on risk factors such as the nature of the personal data and the likelihood of unauthorised access by authorities in the importer's jurisdiction.

    Others, notably NOYB, argue that the "risk-based approach" is not implied by Chapter 5 GDPR, was not endorsed by the CJEU, and was not present in the EDPB's recommendations on international transfers.

    There's also the question of whether the SCCs themselves allow for a risk-based approach to transfers.

    I am not going to pick a side here, but I will say that these Google decisions did not surprise me. It seems that the DPAs applied the law in a logical and "good faith" manner.

    https://www.linkedin.com/posts/privasee_utilisation-de-google-analytics-et-transferts-activity-6897826543754645504-dUQB

    In short if you are using Google Analytics, use an alternative. The same decision has been made by more than a single Data Protection Authority in the EU, and that is that a risk based approach on the use of Google Analytics is not acceptable. You need to find an alternative for your business.

    https://www.linkedin.com/posts/odiakagan_dataprivacyweek-tia-fisa-activity-6891770914187685888-yUdh/

    (2) No risk-based approach, says Romain Robert (Program Director at noyb.eu) of the DSB decision.

    https://www.linkedin.com/posts/romain-robert-68456021_gdpr-googleanalytics-activity-6891310811868917760-k50k

    1. The risk based approach argument (or the "de miniminis", or "likelyhood of surveillance", or whatever one wants to call it) was advanced by the parties and rejected by the DSB. Same in the EDPS decision against the European Parliamant for use of GA and Stripe

    Quindi in estrema sintesi: è una disamina molto interessante, ma racconta una storia che già le autorità Garanti hanno escluso in modo netto.

    Ci sarebbero poi altri punti più tecnici che vorrei criticare (ad esempio, l'autore sembra ignorare il fatto che Google sia già tecnicamente in grado di utilizzare GA cross-site per gli utenti loggati su Google e che i flag nell'interfaccia di amministrazione non hanno alcun valore), ma mi dilungherei troppo e questo fatto del "risk based approach" è il problema più grosso, che purtroppo fa cascare tutto il palco.

    0
  • kal
    Contributor

    Aggiungo: resta invece a mio parere valido l'approccio di spostare il tracciamento lato server/proxy e levare lì i dati passibili di digital fingerprint, perché effettivamente questa cosa si qualifica pienamente come queste famose "supplementary measures" che Google ha mancato completamente di fornire.

    Anche perché, lo ripetiamo, le "supplementary measures" è comunque l'esportatore del dato che deve metterle in atto... non l'importatore.

    0
    giorgiotave C 2 Risposte
  • giorgiotave
    Community Manager

    @kal ha detto in Google Analytics è illegale in EU?:

    resta invece a mio parere valido l'approccio di spostare il tracciamento lato server/proxy e levare lì i dati passibili di digital fingerprint

    Giusto perché vi citerò tutti in FastLetter. Con questo approccio tu ritieni che in EU si possa continuare a usare Google Analytics?

    1
    kal juanin 2 Risposte
  • kal
    Contributor

    @giorgiotave ha detto in Google Analytics è illegale in EU?:

    Con questo approccio tu ritieni che in EU si possa continuare a usare Google Analytics?

    Sì, perché metti in campo delle misure aggiuntive, oggettive e attive dirette all'impedire o comunque fortemente limitare la capacità dell'ispettore USA di fare digital fingerprint e seguire l'utente cross-site usando l'account Google come stampella.

    Va detto che le pressioni "politiche" della comunità legale/privacy vanno tutte nella direzione di spingere ad abbandonare GA, che secondo me è una cavolata in generale. È un'opzione sul tavolo, ma non è detto che sia l'unica.

    I punti chiave del provvedimento sono:

    • GA coi dati che raccoglie (IP ed User Agent sopra a tutti) permette di fare digital fingerprint
    • l'account Google loggato permette ad un eventuale ispettore di tracciare cross-site grazie alla digital fingerprint che fa da "ponte"
    • la digital fingerprint è un dato personale
    • esportare dati personali in USA non si può, salvo ristrettissime ed ineludibili eccezioni

    Ne consegue che qualunque azione che impedisca a Google di raccogliere dati per fare digital fingerprint è la soluzione legale VERA e SOSTANZIALE per continuare ad utilizzare GA in europa.

    Tutte le altre per me sono aria fritta.

    1 1
  • juanin
    Admin

    @giorgiotave è la soluzione. Punto. Perché di fatto puoi offuscare a monte ogni dato non necessario, ma potenzialmente usato per identificare, anche se nella realtà servono comunque a poco in termini di fingerprinting.

    Pura fuffa legale, ma facilmente risolvibile.

    3 1
  • Matteo Boscolo
    User Newbie

    Nella pratica, impedire a GA di fare fingerprinting vuol dire manipolare il parametro cid o uid prima di inviarlo ai server Analytics?

    0
    juanin kal 2 Risposte
Effettua l'accesso per rispondere