- Home
- Categorie
- Digital Marketing
- Google Analytics e Web Analytics
- Google Analytics è illegale in EU?
-
@kal ha detto in Google Analytics è illegale in EU?:
Segnalo un Google Trends decisamente da monitorare:
https://trends.google.com/trends/explore?q=gdpr google analytics
Si iniziano a notare già diverse cose interessanti ad esempio tra gli argomenti correlati:
A occhio Trends è in ritardo di circa un paio di settimane (segna "Austria" come impennata, quando il caso più recente è in realtà quello della CNIL francese).
Veloce aggiornamento di Google Trends... negli argomenti è spuntata la CNIL (il Garante francese):
Google Trends si conferma in ritardo di circa due settimane.
Questo invece il dato assoluto del volume di ricerca per la query [google analytics gdpr] per il mercato globale a gennaio 2022:
Questo solo in Italia:
Questo è Germania + Austria:
E questa invece è un'approssimazione del mercato europeo in generale:
F 1 Risposta -
@kal ed oggi esce questo https://www.vischer.com/en/knowledge/blog/how-to-legally-use-google-analytics-in-europe-39512/
Devo ancora rivederlo tutto con il mio DPO, ma sembra stare in piedi
2 Risposte -
@filtro mi pare che abbia ragione da vendere. E come ho detto sopra nella fattispecie la sentenza fa acqua da tutte le parti dal punto di vista giuridico. Si accusa un potenziale rischio, tra l'altro nullo, piuttosto che accusare su fatti realmente in opera.
Ad oggi non c'è ragione per smettere di usare GA. Basta configurarlo bene, oppure metterlo server side, oppure proxy passarlo.
Tre soluzioni relativamente semplici da implementare.
Io e @andreadragotta in 8 ore totali abbiamo chiuso il cerchio includendovi pure una analitica di prima parte che fa da broadcaster.
Sinceramente non vedo questo spauracchio.
-
@filtro ha detto in Google Analytics è illegale in EU?:
@kal ed oggi esce questo https://www.vischer.com/en/knowledge/blog/how-to-legally-use-google-analytics-in-europe-39512/
Devo ancora rivederlo tutto con il mio DPO, ma sembra stare in piedi
L'ho letto ma ci sono tantissimi punti proprio campati in aria. Domani se ho tempo argomento.
-
@homeworker @kal @juanin appena finito telefonata con il mio DPO.
L’impostazione è sostenibile davanti ad un giudice e vincerla: i punti base sono
Contratto con google Ireland
Attivare google analytics solo dopo l’accettazione della privacy policy
Stiamo verificando se il google consent mode accetta anonimizzazione del ip e quindi se
è possibile attivarlo prima del consenso.
Però da un’analisi dettagliata dei due casi ad oggi alla cronaca Francia e Austria
Entrambe avevano firmato il contratto con google
LLC
Entrambe attivavano google analytics prima del consenso.A prescindere anche se non andrà all’onore della cronaca i problemi che abbiamo descritto cdn ed altri servizi perché raccolgo l’ip dell’utenre
-
Eccomi, allora. L'articolo è lungo lungo e non vorrei fare una disamina punto per punto che non ha senso.
Mi concentro su quello che a mio parere è il grosso punto debole e che per me è praticamente garanzia di una bella doccia fredda nei prossimi mesi.
L'autore dell'articolo chiaramente è un sostenitore del cosiddetto "risk based approach":
We also have the impression that there are more important issues to be dealt with in data protection than the often only theoretical risk of US intelligence authorities accessing the data of offerings such as Google Analytics. The clear and present risk of ransomware and other cyberattacks is only one example.
E ancora:
In addition to that, we have ourselves independently from Google carried out a TIA for the transfer of data between Google Ireland Limited to Google LLC. It comes to the conclusion that the risk of a prohibited lawful access in the next five years is 3.38 percent, which means that there is a 90% chance that a lawful access of this kind will occur at least once only every 335 years. We believe that under these conditions, Google Ireland Limited indeed has no reason to believe that any prohibited lawful access will occur, thus satisfying the "Schrems II" and EDPB conditions for the data to be transferred to Google LLC, even if such data were considered personal data (which we believe is not the case for reasons discussed below).
Altro punto:
First, Google has made it clear that there have never been any requests from US intelligence authorities for the gathering the Google Analytics data; hence, such access so far is a theoretical risk.
E di nuovo:
Third, it is questionable whether Section 702 FISA permits the US intelligence authorities to order the disclosure of the Google Analytics data (see our TIA). Hence, the risk of identification of a data subject based on Google Analytics data appears to be of merely theoretical nature.
E infine:
Likewise, we see many TIAs which either only generally discuss lawful access laws or only discuss traditional data security. Instead, a proper TIA should analyze the probability of a prohibited lawful access occurring, taking into account all circumstances of the case. Many TIAs, unfortunately, do not address this question. In such cases it does not come as a surprise that data protection authorities conclude that there is a relevant risk of foreign lawful access.
Per farla breve il punto attorno a cui ruota TUTTO è: il rischio è basso al punto da poter essere considerato nullo.
In altri termini, un approccio probabilistico alla privacy.
Il problema qua è che questa linea è destinata a fallire per un motivo molto semplice: il provvedimento austriaco ha escluso completamente il "risk based approach". Moltissimi analisti nel settore legale/privacy hanno rilevato questo, ne ho fatto una veloce raccolta pescando da Linkedin dove c'è un dibattito molto articolato:
This brings us on to the debate that sits at the heart of this topic: the "risk-based approach".
Many people maintain that the legality of a transfer rests, in part, on risk factors such as the nature of the personal data and the likelihood of unauthorised access by authorities in the importer's jurisdiction.
Others, notably NOYB, argue that the "risk-based approach" is not implied by Chapter 5 GDPR, was not endorsed by the CJEU, and was not present in the EDPB's recommendations on international transfers.
There's also the question of whether the SCCs themselves allow for a risk-based approach to transfers.
I am not going to pick a side here, but I will say that these Google decisions did not surprise me. It seems that the DPAs applied the law in a logical and "good faith" manner.
In short if you are using Google Analytics, use an alternative. The same decision has been made by more than a single Data Protection Authority in the EU, and that is that a risk based approach on the use of Google Analytics is not acceptable. You need to find an alternative for your business.
https://www.linkedin.com/posts/odiakagan_dataprivacyweek-tia-fisa-activity-6891770914187685888-yUdh/
(2) No risk-based approach, says Romain Robert (Program Director at noyb.eu) of the DSB decision.
- The risk based approach argument (or the "de miniminis", or "likelyhood of surveillance", or whatever one wants to call it) was advanced by the parties and rejected by the DSB. Same in the EDPS decision against the European Parliamant for use of GA and Stripe
Quindi in estrema sintesi: è una disamina molto interessante, ma racconta una storia che già le autorità Garanti hanno escluso in modo netto.
Ci sarebbero poi altri punti più tecnici che vorrei criticare (ad esempio, l'autore sembra ignorare il fatto che Google sia già tecnicamente in grado di utilizzare GA cross-site per gli utenti loggati su Google e che i flag nell'interfaccia di amministrazione non hanno alcun valore), ma mi dilungherei troppo e questo fatto del "risk based approach" è il problema più grosso, che purtroppo fa cascare tutto il palco.
-
Aggiungo: resta invece a mio parere valido l'approccio di spostare il tracciamento lato server/proxy e levare lì i dati passibili di digital fingerprint, perché effettivamente questa cosa si qualifica pienamente come queste famose "supplementary measures" che Google ha mancato completamente di fornire.
Anche perché, lo ripetiamo, le "supplementary measures" è comunque l'esportatore del dato che deve metterle in atto... non l'importatore.
C 2 Risposte -
@kal ha detto in Google Analytics è illegale in EU?:
resta invece a mio parere valido l'approccio di spostare il tracciamento lato server/proxy e levare lì i dati passibili di digital fingerprint
Giusto perché vi citerò tutti in FastLetter. Con questo approccio tu ritieni che in EU si possa continuare a usare Google Analytics?
2 Risposte -
@giorgiotave ha detto in Google Analytics è illegale in EU?:
Con questo approccio tu ritieni che in EU si possa continuare a usare Google Analytics?
Sì, perché metti in campo delle misure aggiuntive, oggettive e attive dirette all'impedire o comunque fortemente limitare la capacità dell'ispettore USA di fare digital fingerprint e seguire l'utente cross-site usando l'account Google come stampella.
Va detto che le pressioni "politiche" della comunità legale/privacy vanno tutte nella direzione di spingere ad abbandonare GA, che secondo me è una cavolata in generale. È un'opzione sul tavolo, ma non è detto che sia l'unica.
I punti chiave del provvedimento sono:
- GA coi dati che raccoglie (IP ed User Agent sopra a tutti) permette di fare digital fingerprint
- l'account Google loggato permette ad un eventuale ispettore di tracciare cross-site grazie alla digital fingerprint che fa da "ponte"
- la digital fingerprint è un dato personale
- esportare dati personali in USA non si può, salvo ristrettissime ed ineludibili eccezioni
Ne consegue che qualunque azione che impedisca a Google di raccogliere dati per fare digital fingerprint è la soluzione legale VERA e SOSTANZIALE per continuare ad utilizzare GA in europa.
Tutte le altre per me sono aria fritta.
-
@giorgiotave è la soluzione. Punto. Perché di fatto puoi offuscare a monte ogni dato non necessario, ma potenzialmente usato per identificare, anche se nella realtà servono comunque a poco in termini di fingerprinting.
Pura fuffa legale, ma facilmente risolvibile.
-
Nella pratica, impedire a GA di fare fingerprinting vuol dire manipolare il parametro cid o uid prima di inviarlo ai server Analytics?
2 Risposte -
@matteo-boscolo il cid o uid in realtà sono un problema relativo secondo me.
Infatti nel caso server side sono valori che generi tu e indipendenti da ogni altro collegamento che Google può fare.
Il punto qui è il mix di altri dati quali IP/UA etc.
-
@matteo-boscolo come ha detto @juanin.
Ad essere problematici sono i dati della connessione (IP sopra a tutti) e del dispositivo (User Agent sopra a tutti) visto che vengono passati ad ogni hit.
Qua una lista di vari dati che può aiutare a chiarirti le idee... https://understandingdata.com/what-is-a-digital-fingerprint/#:~:text=fingerprint tracker collect%3F-,How is a Digital Fingerprint Created%3F,-A digital fingerprint
(e praticamente tutti questi vengono risolti inviando le hit lato server)
-
Grazie @juanin e @kal per la risposta.
Non mi è ancora chiara la necessità di dover passare per un server per gestire questa cosa.
Non basta usare un customTask sul GTM client side e manipolare l'hit prevenendo l'invio di questi parametri in chiaro?
1 Risposta -
@matteo-boscolo l'indirizzo IP viene comunque passato dal client al server! E anche l'User Agent.
Fanno parte integrante del protocollo HTTP, non li puoi levare!
Serve per forza un attore tecnico intermedio.
-
Un thread interessante su Twitter per capire meglio in quale direzione si sta muovendo il legislatore americano e l'attività di lobbismo effettuata dalle Big Tech:
https://twitter.com/JustinBrookman/status/1501954731924762628
Anche per questo motivo non vedo davvero possibile un nuovo Privacy Shield, USA ed EU hanno oramai imboccato strade diametralmente opposte...
F 1 Risposta -
@kal ha detto in Google Analytics è illegale in EU?:
Aggiungo: resta invece a mio parere valido l'approccio di spostare il tracciamento lato server/proxy e levare lì i dati passibili di digital fingerprint, perché effettivamente questa cosa si qualifica pienamente come queste famose "supplementary measures" che Google ha mancato completamente di fornire.
Premesso che non ho nessuna competenza in merito, avete da consigliare delle letture di approfondimento su come implementare questo bypass?
Grazie
1 Risposta -
@kal sinceramente sono discorsi separati la legge sulla provacy a livello statale non è strettamente legata al privacy shield visto che copre elementi diversi.
Per farti un esempio con il mio DPO dopo l’articolo di Vischer stiamo investigando se alcuni leggi italiane per la sicurezza vanno contro la GDPR abbiamo due o tre analisi da fare ma siamo allo stato preliminare e non so dove porterà.
È un argomento veramente spinoso e pensare che una legge escluda ed includa altro è difficile.
La CCPA per esempio ha una filosofia completamente opposta rispetto alla GDPR. Mentre la GDPR è costruita pensando che il dato sia un diritto della persona e che quindi l’utente deve dare in consenso prima della raccolta dei dati, la CCPA prevede che il dato possa essere raccolte e che l’utente abbia la possibilità di richiedere che venga cancellato.
Le due leggi arrivano a conclusioni simili , ma da punti vista opposti e quindi al gestione è diversa, ma alla base c’è sempre la protezione del dato.
No so dirti quale sia la migliore sono punti di vista. Sicuramente la GDPR sta diventando estrema nella sua interpetazione.
E come ha già evidenziato @juanin la possibilità di interpretazione è un male.
Inoltre per lavoro sto approfondendo molti provider tecnologici di dati e purtroppo la realtà dei fatti è che con contratti e tecnologie costruire bene si posso fare accrocchi che rispettano perfettamente la filosofia della GDPR e che per smontarli serviranno nuovi indicazioni da parte del legislatore se e quando se ne accorgerà.Alla fine tutta la questione di GA e portata dal fatto che esporta i dati negli Stati Uniti se ci pensate. Ma se tenesse i dati in Europa tutte il tracciamento che fa sarebbe completamente legale e senza problemi.
Quindi se per assurdo google spostare il suo Hq in Europa ed importasse tutti i dati degli utenti americani un’Europa (nessuna legge lo vieta) potrebbe continuare ad operare senza problemi.
Per me è tutto un bel castello ma che complica la vita a noi, non alle big tech
1 Risposta -
@claudius ci sono vari modi per farlo.
1 - analitica di prima parte (opzionale) + invii via Measurement Protocol
2 - proxy pass + subfiltering via webserver
3 - tag manager server side1. Measurement Protocol
Uno è che ti fai un tuo script che del tipo mia-analitica.js che poi chiama un tuo sistema server side tipo hit.go o hit.php o hit.asp e li dentro poi mandi i dati a #Google tramite measurement protocol https://developers.google.com/analytics/devguides/collection/protocol/v1/parameters
Alla fine è anche molto semplice. Sono giusto una ventina di parametri da mappare e tutti ottenibili con le interfacce javascript di accesso al dom, document, window etc.
Se qualcuno è interessato potremmo pensare un incontro formativo @giorgiotave o comunque una live o un webinar o una sette formazione pratica o un workshop.
2 - Proxy pass + Subfiltering
Poi qui sopra ho già linkato degli esempi per fare invece proxy pass con sub filtering per il replace dinamico degli endpoint.
3 - Tag Manager Server Side
La terza possibilità invece è mettersi su un google tag manager server side. Ci sono dei comodi Docker anche se la documentazione è imbarazzante.
1 Risposta