- Home
- Categorie
- Digital Marketing
- Google Analytics e Web Analytics
- Google Analytics è illegale in EU?
-
@filtro quell'articolo è di un anno e mezzo fa. Che abbiamo fatto nel frattempo? Che arrivavano le sanzioni si sapeva già allora.
F 1 Risposta -
@kal scusa ma quel articolo conferma quello che dico matomo ne parla solo dopo che scherms ha fatto la denuncia di 101 siti quindi l’unico a capirlo è sempre super max!
Google in realtà ha assicurato tutti che secondo lui rispettava le direttive. Infatti solo ora gli stanno rispondendo che quello che ha fatto non è abbastanza e dopo una causa di 140 pagine dettagliatissima e una documentazione arrivata ancora più lunga.
Dove gli si risponde che l’anonimozzazione client side non è abbastanza e che disabilitare l’advertising non è abbastanza, nell’articolo che hai linkato non vedo nessuna spiegazione così dettagliata perché è chiaramente un articolo di marketingSinceramente chi prima della sentenza avrebbe immaginato che anonimizzare l’ip lato client non fosse abbastanza, inoltre in questo anno e mezzo di chiarimenti sulla GDPR ce ne sono stati molti pensiamo solo a come si evoluta l’interfaccia di consenso e modalità che erano accettare dal garante non lo sono più oggi. Pensiamo già solo le differenze che ci sono nelle direttive tra garante italiano sul consenso e garanti del resto di Europa, dove quello italiano ha chiesto di aggiungere la x per chiuder e non accettare mentre al momento nel resto di Europa non c’è ovunque questa direttiva.
Dire che tutto è chiaro mi sembra semplicemente semplicistico ed ancora di più dire che tutti potevano capire quando è servito un documento di 140 pagine super tecnico ed una risposta del garante a cui si può fare appello, ma questo sembra che tutti se lo stiamo dimenticando.
Come per il TCF Lo IAB ha fatto appello e vedremo che succede, ma anche di la ti stai urlando che lo IAB doveva sapere, ma ti assicuro che quel protocollo è stato scritto lavorando con i garanti l’azienda del mio DPO ha lavorato a quei tavoli e non è tutto bianco e nero come tu vorresti spesso descriverlo
-
@filtro ha detto in Google Analytics è illegale in EU?:
Sinceramente chi prima della sentenza avrebbe immaginato che anonimizzare l’ip lato client non fosse abbastanza
Io che non serviva un cazzo lo dicevo ancora in tempi non sospetti... (del resto, non puoi davvero anonimizzare lato client e con una direttiva JavaScript non hai alcuna garanzia che sia davvero rispettata).
Che questo avesse anche delle implicazioni lato privacy per via del Privacy Shield decaduto non lo avevo considerato, per due ragioni:
- Non ho dato credito alle notizie che uscivano come quella che ho linkato sopra che avvertivano pro tempore del rischio di sanzioni
- Mi sono fidato delle clausole di Google che dicevano sostanzialmente "firma qui che va tutto bene"
Ora i provvedimenti sono arrivati e mi sono accorto che abbiamo dormito per un anno e mezzo.
Personalmente mi sto sforzando di recuperare il tempo perso.
Di fidarmi ancora di Google francamente mi sembra inutile... Anche perché hanno detto chiaramente che non faranno nulla e aspettano un nuovo accordo. Hanno promesso "opzioni" che però non sono arrivate.
E anche del nuovo accordo non si ha, di fatto, alcuna notizia.
E intanto stiamo qua, ad aspettare sanzioni del Garante italiano che arriveranno di sicuro.
-
@kal ha detto in Google Analytics è illegale in EU?:
Segnalo un Google Trends decisamente da monitorare:
https://trends.google.com/trends/explore?q=gdpr google analytics
Si iniziano a notare già diverse cose interessanti ad esempio tra gli argomenti correlati:
A occhio Trends è in ritardo di circa un paio di settimane (segna "Austria" come impennata, quando il caso più recente è in realtà quello della CNIL francese).
Veloce aggiornamento di Google Trends... negli argomenti è spuntata la CNIL (il Garante francese):
Google Trends si conferma in ritardo di circa due settimane.
Questo invece il dato assoluto del volume di ricerca per la query [google analytics gdpr] per il mercato globale a gennaio 2022:
Questo solo in Italia:
Questo è Germania + Austria:
E questa invece è un'approssimazione del mercato europeo in generale:
F 1 Risposta -
@kal ed oggi esce questo https://www.vischer.com/en/knowledge/blog/how-to-legally-use-google-analytics-in-europe-39512/
Devo ancora rivederlo tutto con il mio DPO, ma sembra stare in piedi
2 Risposte -
@filtro mi pare che abbia ragione da vendere. E come ho detto sopra nella fattispecie la sentenza fa acqua da tutte le parti dal punto di vista giuridico. Si accusa un potenziale rischio, tra l'altro nullo, piuttosto che accusare su fatti realmente in opera.
Ad oggi non c'è ragione per smettere di usare GA. Basta configurarlo bene, oppure metterlo server side, oppure proxy passarlo.
Tre soluzioni relativamente semplici da implementare.
Io e @andreadragotta in 8 ore totali abbiamo chiuso il cerchio includendovi pure una analitica di prima parte che fa da broadcaster.
Sinceramente non vedo questo spauracchio.
-
@filtro ha detto in Google Analytics è illegale in EU?:
@kal ed oggi esce questo https://www.vischer.com/en/knowledge/blog/how-to-legally-use-google-analytics-in-europe-39512/
Devo ancora rivederlo tutto con il mio DPO, ma sembra stare in piedi
L'ho letto ma ci sono tantissimi punti proprio campati in aria. Domani se ho tempo argomento.
-
@homeworker @kal @juanin appena finito telefonata con il mio DPO.
L’impostazione è sostenibile davanti ad un giudice e vincerla: i punti base sono
Contratto con google Ireland
Attivare google analytics solo dopo l’accettazione della privacy policy
Stiamo verificando se il google consent mode accetta anonimizzazione del ip e quindi se
è possibile attivarlo prima del consenso.
Però da un’analisi dettagliata dei due casi ad oggi alla cronaca Francia e Austria
Entrambe avevano firmato il contratto con google
LLC
Entrambe attivavano google analytics prima del consenso.A prescindere anche se non andrà all’onore della cronaca i problemi che abbiamo descritto cdn ed altri servizi perché raccolgo l’ip dell’utenre
-
Eccomi, allora. L'articolo è lungo lungo e non vorrei fare una disamina punto per punto che non ha senso.
Mi concentro su quello che a mio parere è il grosso punto debole e che per me è praticamente garanzia di una bella doccia fredda nei prossimi mesi.
L'autore dell'articolo chiaramente è un sostenitore del cosiddetto "risk based approach":
We also have the impression that there are more important issues to be dealt with in data protection than the often only theoretical risk of US intelligence authorities accessing the data of offerings such as Google Analytics. The clear and present risk of ransomware and other cyberattacks is only one example.
E ancora:
In addition to that, we have ourselves independently from Google carried out a TIA for the transfer of data between Google Ireland Limited to Google LLC. It comes to the conclusion that the risk of a prohibited lawful access in the next five years is 3.38 percent, which means that there is a 90% chance that a lawful access of this kind will occur at least once only every 335 years. We believe that under these conditions, Google Ireland Limited indeed has no reason to believe that any prohibited lawful access will occur, thus satisfying the "Schrems II" and EDPB conditions for the data to be transferred to Google LLC, even if such data were considered personal data (which we believe is not the case for reasons discussed below).
Altro punto:
First, Google has made it clear that there have never been any requests from US intelligence authorities for the gathering the Google Analytics data; hence, such access so far is a theoretical risk.
E di nuovo:
Third, it is questionable whether Section 702 FISA permits the US intelligence authorities to order the disclosure of the Google Analytics data (see our TIA). Hence, the risk of identification of a data subject based on Google Analytics data appears to be of merely theoretical nature.
E infine:
Likewise, we see many TIAs which either only generally discuss lawful access laws or only discuss traditional data security. Instead, a proper TIA should analyze the probability of a prohibited lawful access occurring, taking into account all circumstances of the case. Many TIAs, unfortunately, do not address this question. In such cases it does not come as a surprise that data protection authorities conclude that there is a relevant risk of foreign lawful access.
Per farla breve il punto attorno a cui ruota TUTTO è: il rischio è basso al punto da poter essere considerato nullo.
In altri termini, un approccio probabilistico alla privacy.
Il problema qua è che questa linea è destinata a fallire per un motivo molto semplice: il provvedimento austriaco ha escluso completamente il "risk based approach". Moltissimi analisti nel settore legale/privacy hanno rilevato questo, ne ho fatto una veloce raccolta pescando da Linkedin dove c'è un dibattito molto articolato:
This brings us on to the debate that sits at the heart of this topic: the "risk-based approach".
Many people maintain that the legality of a transfer rests, in part, on risk factors such as the nature of the personal data and the likelihood of unauthorised access by authorities in the importer's jurisdiction.
Others, notably NOYB, argue that the "risk-based approach" is not implied by Chapter 5 GDPR, was not endorsed by the CJEU, and was not present in the EDPB's recommendations on international transfers.
There's also the question of whether the SCCs themselves allow for a risk-based approach to transfers.
I am not going to pick a side here, but I will say that these Google decisions did not surprise me. It seems that the DPAs applied the law in a logical and "good faith" manner.
In short if you are using Google Analytics, use an alternative. The same decision has been made by more than a single Data Protection Authority in the EU, and that is that a risk based approach on the use of Google Analytics is not acceptable. You need to find an alternative for your business.
https://www.linkedin.com/posts/odiakagan_dataprivacyweek-tia-fisa-activity-6891770914187685888-yUdh/
(2) No risk-based approach, says Romain Robert (Program Director at noyb.eu) of the DSB decision.
- The risk based approach argument (or the "de miniminis", or "likelyhood of surveillance", or whatever one wants to call it) was advanced by the parties and rejected by the DSB. Same in the EDPS decision against the European Parliamant for use of GA and Stripe
Quindi in estrema sintesi: è una disamina molto interessante, ma racconta una storia che già le autorità Garanti hanno escluso in modo netto.
Ci sarebbero poi altri punti più tecnici che vorrei criticare (ad esempio, l'autore sembra ignorare il fatto che Google sia già tecnicamente in grado di utilizzare GA cross-site per gli utenti loggati su Google e che i flag nell'interfaccia di amministrazione non hanno alcun valore), ma mi dilungherei troppo e questo fatto del "risk based approach" è il problema più grosso, che purtroppo fa cascare tutto il palco.
-
Aggiungo: resta invece a mio parere valido l'approccio di spostare il tracciamento lato server/proxy e levare lì i dati passibili di digital fingerprint, perché effettivamente questa cosa si qualifica pienamente come queste famose "supplementary measures" che Google ha mancato completamente di fornire.
Anche perché, lo ripetiamo, le "supplementary measures" è comunque l'esportatore del dato che deve metterle in atto... non l'importatore.
C 2 Risposte -
@kal ha detto in Google Analytics è illegale in EU?:
resta invece a mio parere valido l'approccio di spostare il tracciamento lato server/proxy e levare lì i dati passibili di digital fingerprint
Giusto perché vi citerò tutti in FastLetter. Con questo approccio tu ritieni che in EU si possa continuare a usare Google Analytics?
2 Risposte -
@giorgiotave ha detto in Google Analytics è illegale in EU?:
Con questo approccio tu ritieni che in EU si possa continuare a usare Google Analytics?
Sì, perché metti in campo delle misure aggiuntive, oggettive e attive dirette all'impedire o comunque fortemente limitare la capacità dell'ispettore USA di fare digital fingerprint e seguire l'utente cross-site usando l'account Google come stampella.
Va detto che le pressioni "politiche" della comunità legale/privacy vanno tutte nella direzione di spingere ad abbandonare GA, che secondo me è una cavolata in generale. È un'opzione sul tavolo, ma non è detto che sia l'unica.
I punti chiave del provvedimento sono:
- GA coi dati che raccoglie (IP ed User Agent sopra a tutti) permette di fare digital fingerprint
- l'account Google loggato permette ad un eventuale ispettore di tracciare cross-site grazie alla digital fingerprint che fa da "ponte"
- la digital fingerprint è un dato personale
- esportare dati personali in USA non si può, salvo ristrettissime ed ineludibili eccezioni
Ne consegue che qualunque azione che impedisca a Google di raccogliere dati per fare digital fingerprint è la soluzione legale VERA e SOSTANZIALE per continuare ad utilizzare GA in europa.
Tutte le altre per me sono aria fritta.
-
@giorgiotave è la soluzione. Punto. Perché di fatto puoi offuscare a monte ogni dato non necessario, ma potenzialmente usato per identificare, anche se nella realtà servono comunque a poco in termini di fingerprinting.
Pura fuffa legale, ma facilmente risolvibile.
-
Nella pratica, impedire a GA di fare fingerprinting vuol dire manipolare il parametro cid o uid prima di inviarlo ai server Analytics?
2 Risposte -
@matteo-boscolo il cid o uid in realtà sono un problema relativo secondo me.
Infatti nel caso server side sono valori che generi tu e indipendenti da ogni altro collegamento che Google può fare.
Il punto qui è il mix di altri dati quali IP/UA etc.
-
@matteo-boscolo come ha detto @juanin.
Ad essere problematici sono i dati della connessione (IP sopra a tutti) e del dispositivo (User Agent sopra a tutti) visto che vengono passati ad ogni hit.
Qua una lista di vari dati che può aiutare a chiarirti le idee... https://understandingdata.com/what-is-a-digital-fingerprint/#:~:text=fingerprint tracker collect%3F-,How is a Digital Fingerprint Created%3F,-A digital fingerprint
(e praticamente tutti questi vengono risolti inviando le hit lato server)
-
Grazie @juanin e @kal per la risposta.
Non mi è ancora chiara la necessità di dover passare per un server per gestire questa cosa.
Non basta usare un customTask sul GTM client side e manipolare l'hit prevenendo l'invio di questi parametri in chiaro?
1 Risposta -
@matteo-boscolo l'indirizzo IP viene comunque passato dal client al server! E anche l'User Agent.
Fanno parte integrante del protocollo HTTP, non li puoi levare!
Serve per forza un attore tecnico intermedio.
-
Un thread interessante su Twitter per capire meglio in quale direzione si sta muovendo il legislatore americano e l'attività di lobbismo effettuata dalle Big Tech:
https://twitter.com/JustinBrookman/status/1501954731924762628
Anche per questo motivo non vedo davvero possibile un nuovo Privacy Shield, USA ed EU hanno oramai imboccato strade diametralmente opposte...
F 1 Risposta