- Home
- Categorie
- Digital Marketing
- Google Analytics e Web Analytics
- Google Analytics è illegale in EU?
-
@merlinox Se poi Scorza ha detto che l'art 49 non basta, ha già risposto.
-
Mi unisco alla discussione in quanto ho diversi clienti che hanno forse giustamente preso la drastica decisione di togliere Analytics del tutto dal loro sito web. Il punto è che io stesso ovviamente ho fatto ricerche in questi giorni per capire le alternative in linea con il provvedimento (salvataggio dati in EU, IP del tutto mascherati ed altro), ho realizzato anche un articolo su cui cerco di dare delle dritte e fatto comunicazione trovando Matomo come alternativa valida e etica. Ma ho un "ma" che mi frulla per la testa grande quanto una casa...
"Ma" possibile che Google in tutto ciò non faccia chiarezza correndo ai ripari visto che un'intera nazione (o forse anche più della sola Italia) vede uno dei suoi servizi più in vista e utilizzati per la raccolta dati gli viene bannato??
Non c'è stato fino ad ora a distanza di giorni un post, una pagina o un segnale di fumo per fare chiarezza.
Mi sembra semplicemente assurdo.
1 Risposta -
@giorgio-sanna la posizione di Google è "we welcome an EU-US data agreement", sostanzialmente se ne lavano COMPLETAMENTE le mani e lasciano che sia la politica a sbrogliarsela.
Hanno fatto delle modifiche al prodotto, che però non risolvono il problema.
Va anche detto che nulla di quello che Google può fare risolve il problema... a meno che:
- non si divida da se stesso fornendo la sua tecnologia on premise ad un'azienda europea non controllata (assolutamente impensabile)
- non acquisti in blocco i servizi di qualche fornitore di tecnologia europeo che faccia da proxy, pagando bei soldoni (anche questa impensabile, anche se sicuramente più praticabile in quanto è "solo" un problema di soldi)
1 Risposta -
@kal Grazie, ma c'è un link ufficiale di una loro risposta a riguardo? Oppure ti riferisci in maiera generica ai termini di servizio e privacy policy?
2 Risposte -
@giorgio-sanna Google dal suo punto di vista ha detto di aver fatto tutto il possibile e che GA4 è ok.
Ma ovviamente lato Google non è sistemabile oltre questo la cosa. C'è poco da fare.
In ogni caso soluzioni esistono per continuare a usare Google Analytics, ma tutte implicano un lavoro da parte di chi lo vuole utilizzare. Spoiler: Presto arriverà qualcosa anche di Italiano.
-
@giorgio-sanna ha detto in Google Analytics è illegale in EU?:
@kal Grazie, ma c'è un link ufficiale di una loro risposta a riguardo? Oppure ti riferisci in maiera generica ai termini di servizio e privacy policy?
Qua la posizione di Google sulla questione:
1 Risposta -
@kal @juanin grazie per le risposte, ho letto l'articolo di Karan Bathia e si capisce che si espresso in maniera generica sull'accordo di privacy tra Europa e USA a riguardo il trattamento dei dati, e posso capire questa risposta diplomatica al relativo accordo futuro, ma è chiaro che non è una risposta al ban che è stato fatto in Italia dal garante per i motivi che sappiamo. Sembra quasi che venga snobbato, lo ritengo assurdo. Vedremo se nei prossimi giorni si muoverà qualcosa di ufficiale per questa situazione.
-
@giorgio-sanna non c'è nessun ban in Italia come in Europa per Google Analytics. Come scrive Andrea ci sono strategie tecniche per poterlo utilizzare in Italia.
Quindi Google cosa dovrebbe rispondere, google ritiene che GA4 out of the box sia abbastanza, noi tecnici facendo un'analisi non lo riteniamo abbastanza ma dobbiamo aggiungere server side e va bene.Ma voglio ricordare che il problema è l'esportazione dei dati verso gli US non Google Analytics, quindi anche se metti matomo, piwik pro, e compagnia nel momento stesso in cui usi un qualunque tag di Advertising (Google Ads, Facebook Ads, ecc. ecc.) l'azienda non è a norma perché sta esportando dati personali verso gli USA.
Questo è il punto, quindi si sistemiamo GA nel migliore dei modi, ma non è quello il vero problema e giustamente Google evidenzia il bersaglio vero, perché Google non ha alcun altra soluzione: l'unica soluzione è politica non tecnica.
-
Certo... il problema per il garante italiano sono infatti i dati salvati in USA è chiaro. Ma appunto soluzioni come Matomo ti permettono di salvare i dati sul tuo server e non condividerli su server esterni. GA4 permette questo? Anche con il server-side vengono elaborati non lato client ma su server, ma poi vengono comunque spediti in USA a Google o sbaglio?? Se fosse così come scrivo rimarrebbe illegale il suo utilizzo anche implementando il server side.
F 1 Risposta -
@giorgio-sanna non è correcto quello che hai scritto il problema è l'esportazione di dati personali, non di dati in generale.
Matomo ti permette di tenere i dati personali in Europa sì
Server side evita di esportare dati personali verso gli Stati Uniti: sìposso oggi in qualche modo evitare che i pixel di advertising esportino dati in US: no
posso ad. oggi avere un'azienda completamente GDPR compliant se usi i pixel di advertising: no
1 Risposta -
Chiaro che parlavo di dati personali, è sottointeso... Quindi server-side evita di trasferire i dati personali degli utenti negli USA? Perdonami ma io credo proprio di no. Sicuramente è una tecnologia che li elabora lato server, ma i dati degli utenti che visitano i nostri siti web vengono conservati sui server di Google in USA (correggetemi se sbaglio), e quindi, se per il garante italiano il problema è relativo al possibile ed eventuale utilizzo che ne fanno Agenzie Governative USA di questi dati, credo che anche con il server side non si risolva. Poi è chiaro che il mio non è un attacco a Google e suoi servizi (meno male che esistono), solo che trovo assurdo che in Italia non ci sia una risposta ufficiale per chiarire la situazione.
F 2 Risposte -
@filtro @giorgio-sanna GA può essere usato senza problemi se gestito server side o proxato perché puoi potare i dati potenzialmente rischiosi.
Banalmente in ottica di misurazione GA4-Style il problema neanche si pone.
Puoi pure cestinare lo User Agent oltre all'IP e anche la risoluzione schermo se non è per te una metrica di analisi di business e di quello che avviene sul prodotto. Ci sono almeno 100 modi migliori di fare analisi senza quei dati.
Quindi detto questo l'analitica è la parte più facile da risolvere senza usare strumenti come Matomo o simili che secondo me sono concettualmente già vecchi e che sono dei monoliti su cui ho seri dubbi riguardo alla scalabilità con alti volumi. Ma mi riservo di studiarlo meglio.
Il problema vero secondo me è tutto il resto. Analytics è solo la punta dell'iceberg e un capro espiatorio perché facile da attaccare e verificare.
Di fatto il punto è che l'analitica è un asset strategico e di conseguenza quello che butti a tool esterni dovrebbe essere un accessorio. Da li dunque puoi usare le API di ogni tipo di servizio e continuare a usare tutto potando dati personali.
Che poi tutto questo fa ridere perché nel mentre stai usando Chrome che è un Browser di Google, Android che è un sistema operativo di Google, iOS che è un sistema operativo di Apple e sono tutte Americane.
Altro che indirizzo IP. E nel mentre siete pure loggati.
-
@giorgio-sanna se togli i dati personali sui server di google non avrai dati personali, ma solo dati aggregati statistici che non permettono identificazione di nessuno a partire solo dal dato
-
@giorgio-sanna Il dato personale preso in considerazione è:
L'ip dell'utente
altri segnali che permettono al Google di riconoscere l'utente: come il gclid e lo useragentGoogle Server side permette di rimuovere queste informazioni de non inviarle ai server US per Google Analytics:sì
-
Grazie @juanin @filtro per la spiegazione quindi c'è un modo con server-side per poter continuare ad utilizzare GA4. Se avrò tempo lo implementerò, anche se devo essere sincero al momento per soluzioni piccole-medie ho trovato molto comodo Installare Matomo. Meno male che c'è connect GT , per tutti gli altri script per ads e dintorni ci facciamo un segno della croce per ora mi sa.
-
Il problema lato tecnico ruota attorno al concetto di hit.
Qualunque strumento installato lato client: è il client che manda la hit connettendosi al server di azienda USA... ed è la hit stessa che configura l'esportazione del dato.
Installato lato server invece: il client manda la hit al server proprietario, il quale a sua volta lo manda in USA, facendosi intermediario tecnico. Già solo questo è una misura di anonimizzazione piuttosto forte (è virtualmente impossibile ottenere una digital fingerprint affidabile).
In più, il server può manipolare ulteriormente la hit e - se ritenuto necessario dopo valutazione legale - ripulirla ancora di altre informazioni.
-
Io sono sempre più dell'idea che il Garante abbia tacitamente fatto un grandissimo favore all'economia italiana non esponendosi completamente ma parlando solo di GA.
l'esposto fatto da NOYB ai punti 2 e 4 cita Google Ads.
Se il Garante si fosse espresso su Google Ads non so immaginare di cosa staremmo parlando oggi.
2. L’utilizzo di Google Analytics è soggetto ai Google Analytics Terms of Service (Allegato 1) e ai Google
Ads Data Processing Terms (Allegato 2), entrambi aggiornati al 12.08.2020 – New Google Ads Data
Processing Terms(Allegato 3). Ai sensi dei Google Analytics Terms of Service, la società Google LCC,
1600 Amphitheatre Parkway Mountain View, CA 94043, USA (“Google”) è la partner contrattuale
del Titolare. Come stabilito dai punti 5.1.1(b) dei Google Ads Data Processing Terms e dei New
Google Ads Data Processing Terms, Google tratta dati personali in nome e per conto del Titolare e
si qualifica come responsabile del trattamento ai sensi dell’Articolo 4(8) GDPR.
3. Durante la visita del Sito internet, il Titolare ha trattato i dati personali del Reclamante
(quantomeno il suo indirizzo IP e alcuni dati relativi ai cookie). Stando a quanto emerge, almeno
alcuni di questi dati personali sono stati trasferiti in favore di Google – cfr. Allegato 4: dati HAR
relativi all’attività di navigazione.
4. Stando al punto 10 dei Google Ads Data Processing Terms, il Titolare ha accettato che Google possa
memorizzare e trattare dati personali (ad esempio, i dati del Reclamante) “[…] in the USA or any
other country in which Google or any of its Subprocessors maintain facilities.” Tale trasferimento di
dati personali, dal Titolare (una società stabilità in territorio europeo) in favore di Google LLC o
ulteriori sub-responsabili negli USA (o qua
1 Risposta -
Si è chiaro, ma quindi qualcuno sta lavorando ad una piattaforma server-side italiana che connette i servizi come Analytics o altri per cui è nato questo problema/necessità e permette di scegliere cosa mandare in maniera intuitiva/semplice? (o esiste già non so)
1 Risposta -
@halfmoon ha detto in Google Analytics è illegale in EU?:
Io sono sempre più dell'idea che il Garante abbia tacitamente fatto un grandissimo favore all'economia italiana non esponendosi completamente ma parlando solo di GA.
Qua bisogna anche "ringraziare" NOYB/Schrems, perché la segnalazione fin dall'inizio verteva solo su Google Analytics.
E questo sicuramente non per ignoranza del segnalante... sono sicuro che conosce benissimo il tag di remarketing di GAds.
Secondo me le segnalazioni le ha fatte su Google Analytics (e Facebook Login) perché sono due tecnologie la cui dismissione causa magari qualche disagio all'azienda ma nessun danno sostanziale.
Se la segnalazione veniva fatta sul tag di remarketing (e l'equivalente Pixel di Facebook)... si andavano a toccare i reparti che maneggiano i soldi. Cosa che avrebbe portato ad un'azione concertata di lobbying del settore adv europeo sul legislatore europeo e a quel punto chissà cosa succedeva.
Schrems ha colpito dove era sicuro di poter colpire con la massima efficacia legale ed il minimo danno collaterale in termini di PR.
Una scelta decisamente molto intelligente in senso strategico.
Ma del resto parliamo di uno che ha annullato non uno ma ben DUE trattati internazionali... che dire se non: respect
-
no non ha fatto un favore, l'esposto era relativo a Google Analytics che nei suoi termini e condizioni e nei data Processing Terms si rifa a quelli di Google Ads.
Quindi l'oggetto della segnalazione è Google Analytics.Perché Noyb ha scelto Google Analytics: perché è molto più diffuso di Google Ads infatti esso lo troviamo anche sui siti di alcuni enti pubblici, quindi era un simbolo forte. (queste non sono dichiarazioni di Noybs, ma analisi raccolte su internet e riassunte di varie persone)
In realtà in Germania è partita una causa l'anno scorso contro l'intero protocollo del programmatic Advertising (e non lo ha fatto noyb) appena posso recupero le info. Un qualunque processo al protocollo RTB non può trovarlo GDPR compliant proprio per l'export dei dati, ma anche per molto altro in realtà.
In Germania l'uso di Google Fonts da parte di un ente publico è stato riconosciuto non compliant.
Il problema va molto al di là di Analytics o dell'advertising, pensate a tutti i CRM in cloud di proprietà di aziende americane.
O si trova un accordo politico o internet come lo conosciamo oggi in Europa non può continuare ad essere, dovremo guardare a situazioni come Russia e Cina dove tutto deve rimanere dentro ai confini nazionali e non può uscire con tanto di firewall nazionali per controllare il flusso di dati, ma sono paesi con regimi politici diversi dal nostro.
L'Europa se lo può permettere oggi? secondo me no.
Potrebbe permetterselo con una decina di anni di investimento? Forse, ma sarebbe un reale vantaggio? Quali sarebbero le ripercussioni economiche e tecnologiche?
Se l'occidente è veramente unito forse bisogna trovare altre soluzioni
1 Risposta