• Contributor

    @juanin è chi installa lo script che decide.

    Se io configuro lo script in modo che "qualunque cosa faccia l'utente, tu registra comunque il consenso", la terza parte riceve il consenso e lo mantiene.

    Poi da lì hai voglia a dimostrare la gestione fraudolenta.

    Oppure per farla ancora peggio, usi le API della CMP per validare il consenso in un momento successivo e totalmente lato server, in totale ignoranza dell'utente finale.

    Il punto è: inserire una terza parte a gestire il registro dei consensi...

    1. non è affatto una cosa a miglior tutela della privacy (anzi, è contrario al principio generale di "privacy by design") e
    2. non valida alcunché (perché può essere comunque liberamente manipolata dalla prima parte)

    Che sia utile utilizzarla in determinati contesti (grosso editore con molto programmatic da sfangare) lo capisco, ma non è affatto una cosa obbligatoria. Altre soluzioni sono permesse e restano comunque valide.


  • Admin

    @kal eh no spe.

    Durante la fase di registro viene memorizzata l'azione espressa come e dove con tanto di screenshot e registrazione per ogni azione.

    Non puoi manipolarla affatto altrimenti saremmo tutti dei babbuini.

    Non soffermarti al sito dove è agevole modificare le cose anche al volo, ma anche ad app native o simile dove se esci con una cosa manipolata e illegale devi fare nuovi rilasci e fai presto ad essere sgamato.

    Insomma il fatto che ci sia una terza parte non è contrario a nessun principio. Basta farle per bene le cose. Una terza parte che consente la manipolazione andando contro proprio allo scopo che si prefigge farebbe di fatto decadere ogni minima credibilità su di essa. Sarebbe come dire ok autodistruzione.

    Inoltre un conto è manipolare una cosa di prima parte.

    Un conto è manipolare una cosa di terza parte dove in caso di contenzioso probabilmente rientrerebbe in audit e dunque poi se viene fuori che tu hai agito con dolo in manipolazione la questione si aggrava.

    In generale avere un terzo certificatore o comunque che fa degli audit di corretta instrumentazione è prassi ed è normale per avere ulteriori garanzie di correttezza. Ti posso dire con certezza che su cose di cui non posso parlare dove è intervenuta agcom senza un auditor esterno delle realtà anche importanti avrebbero chiuso baracca e burattini non potendo essere considerata attendibile una autocertificazione di corretta implementazione.


    kal 1 Risposta
  • User Attivo

    @kal in effetti è come per tick rock. Però conoscere i gusti commerciali e usarli per fini politici quello dovrebbe essere illecito.
    La domanda, qual è il confine di un uso lecito?
    Poi la sentenza su GA si applica anche ai social che come vediamo sono usati anche a scopo politico? E i social hanno dati personali non solo su click di pagine viste, ma di opinioni personali e intime?


  • Contributor

    @juanin ha detto in Google Analytics è illegale in EU?:

    Insomma il fatto che ci sia una terza parte non è contrario a nessun principio. Basta farle per bene le cose.

    Per farle bene, aumenta il grado di complessità.

    Ed in generale, in linea di principio, fornire dati personali a terze parti è in contraddizione con il principio di "privacy by design" in quanto lo stesso principio dice "se puoi, non condividerli". Vedi qua, in particolare il dettaglio:

    In particular, such measures shall ensure that by default personal data are not made accessible without the individual's intervention to an indefinite number of natural persons.

    E direi che i listoni di gestione del consenso affidati ad una terza parte non ricadono molto in questa casistica.

    Poi che possa essere comodo e/o necessario lo capisco. Concordo anche al 100% con le osservazioni che fai sull'auditing e sul valore della presenza di un certificatore terzo (certificatore che dovrebbe essere indipendente e senza conflitti di interesse... ma qua divaghiamo troppo).

    Ma, detto questo, non significa che il registro dei consensi sia per forza di cose obbligatorio (come i venditori del servizio vorrebbero far credere).

    Senza contare poi che la sentenza del Garante austriaco di cui si parla in topic non impatta la questione del consenso... perché il trasferimento di dati EU -> USA rimane illegittimo a meno che non sia fatto in deroga secondo quanto espresso nell'articolo 49 della GDPR "Derogations for specific situations".

    Questo articolo nomina sì la raccolta del consenso... ma per gestire delle eccezioni strettamente necessarie (es. un tour operator che fornisce i dati di prenotazione del suo cliente ad un hotel negli USA). Il tracciamento indiscriminato degli utenti verso cloud USA resterebbe illegittimo, consenso o meno.

    @infermieri-attivi ha detto in Google Analytics è illegale in EU?:

    Poi la sentenza su GA si applica anche ai social

    La sentenza si applica a GA in quanto tecnologia di tracciamento, non riguarda i social... ma possiamo sicuramente generalizzare a qualunque tecnologia di tracciamento con le stesse caratteristiche (ovvero basata su cloud USA).


  • Admin

    @kal ma infatti qui il consenso non centra però è stato tirato fuori quindi era giusto e doveroso evitare fraintendimenti.

    A casa mia cmq una cosa è fintanto che non ti ritrovi nella cacca non è necessaria né obbligatoria. Poi quando ti ci ritrovi poi scopri che ti sarebbe servita. Perché per quanto il garante cerchi la buona fede, se la buona fede è dimostrata poi da fatti e certificatori è meglio.

    Sul resto invece è ovviamente una situazione paradossale. Di fatto si dovrebbe davvero chiudere tutto e ciao lato servizi di terze parti. Volendo oltre agli approcci server side esistono pure approcci edge side per evitare totalmente la presenza di questi all'interno del sito e spostando la logica server side in edge.

    Insomma fatta la legge trovato l'inganno.

    Per me è solo politica per ora.


    kal 1 Risposta
  • Contributor

    @juanin ha detto in Google Analytics è illegale in EU?:

    Per me è solo politica per ora.

    Sì, sicuramente c'è una dose largamente prevalente di politica.

    Ma secondo me, tempo che le autorità garanti di varie nazioni EU iniziano a far fioccare sentenze simili, le cose potrebbero precipitare molto in fretta. E le sentenze arriveranno, perché come detto la sentenza Schrems II su cui quest'ultima del Garante austriaco si basa è veramente limpida nella sua sintesi.

    A noi ci sembra tutto "business as usual" perché le piattaforme lo hanno preso in quel modo, ritoccando le privacy policy e facendo orecchie da mercante, sperando che assicurazioni commissionate ad astuti azzeccagarbugli bastassero allo scopo. Ma più leggo in giro e più mi convinco che sia un giochino dalle gambe corte.

    Di fatto si dovrebbe davvero chiudere tutto e ciao lato servizi di terze parti.

    Solo se questi stanno in USA, perché il problema è tutto lì.

    Poi, certo, praticamente tutti i maggiori servizi di tracking e advertising stanno in USA... e noi ci siamo abituati bene perché "è gratis" (e del resto lo sappiamo che "quando qualcosa è gratis, il prodotto sei tu").

    Ma che non fosse una situazione tanto sana era evidente secondo me.

    Comunque sì, secondo me bisogna prepararsi a fornire delle alternative. Non saranno gratis, certo. Nemmeno il nostro tempo come professionisti è gratis. Ma chi si prepara prima, si troverà meglio poi.


  • Admin

    @kal assolutamente tutto condivisibile.

    Il problema grosso però secondo me è che alla fine gira che ti rigira penso che il 75% di internet poi tra amazon, google, microsoft etc etc etc poi in qualche modo ritorni sempre in US a livello di metallo 😄

    Insomma diventa un po' una cosa impressionante anche a livello di controllo.

    L'alternativa che è poi quello verso cui stanno andando tutti è che abbiano un punto da "vera azienda" in loco e rimandando tutte queste cose sotto la giurisdizione dell'azienda del luogo in modo da non dover sottostare alle regole USA.


    kal 1 Risposta
  • Contributor

    @juanin ha detto in Google Analytics è illegale in EU?:

    L'alternativa che è poi quello verso cui stanno andando tutti è che abbiano un punto da "vera azienda" in loco e rimandando tutte queste cose sotto la giurisdizione dell'azienda del luogo in modo da non dover sottostare alle regole USA.

    Uno spezzatino antitrust de-facto. Sì, probabilmente è questa la direzione.

    @juanin ha detto in Google Analytics è illegale in EU?:

    Il problema grosso però secondo me è che alla fine gira che ti rigira penso che il 75% di internet poi tra amazon, google, microsoft etc etc etc poi in qualche modo ritorni sempre in US a livello di metallo

    Io è da mò che lo dico: la GDPR è il modo che l'europa ha trovato per recuperare il tempo perso a livello di investimenti IT rispetto agli USA.

    Con il protezionismo spinto sui dati personali si sta di fatto creando un grosso spazio di mercato per nuovi fornitori interni all'EU... vediamo se verrà riempito e come.


    juanin 1 Risposta
  • Admin

    @kal Che sia più politica che altro mi sembra evidente.

    Per carità va anche bene eh se è in grado di creare competizione e maggiori possibilità in un modo che continuerà la sua espansione.

    E' pure vero che a queste azioni vanno poi legati anche investimenti seri e azioni che siano in grado poi di tutelare seriamente certi aspetti. Altrimenti come sta succedendo per la storia della privacy/cookie/profilazione che doveva servire come attacco ai BIG alla fine si è rivelato un coltello piantato tra capo e collo di piccole e medie imprese.


  • Admin

    @robertosantoli ha detto in Google Analytics è illegale in EU?:

    Il registro dei consensi è una invenzione di Iubenda che non trova nessun riscontro nei regolamenti gdpr aggiornati.

    Il GDPR dice questo e lo dice da sempre quindi non capisco perché voi dite che non sta da nessuna parte.

    Where processing is based on consent, the controller shall be able to demonstrate that the data subject has consented to processing of his or her personal data.

    Quindi questo ha tutta l'aria di essere quello che Iubenda chiama registro dei consensi. I chiarimenti del garante italiano hanno poi confermato questa cosa a livello abbastanza definitivo ed è stato pure reinvigorito nelle ultime linee guida che delineano con chiarezza che il consenso debba essere "adeguatamente registrato" per dimostrarne la validità.

    Poi per carità. Ognuno è libero di interpretare questa cosa a modo suo, ma non vi auguro di avere un contenzioso se non avete un minimo straccio di traccia dei consensi raccolti.

    Diciamo che è un po' la stessa logica con cui uno fa una assicurazione contro le grandinate o sulla vita. E' un costo finché non ti capita niente. Siamo allo stesso livello.


    robertosantoli kal 2 Risposte
  • User Attivo

    @juanin ha detto in Google Analytics è illegale in EU?:

    @robertosantoli ha detto in Google Analytics è illegale in EU?:

    Il registro dei consensi è una invenzione di Iubenda che non trova nessun riscontro nei regolamenti gdpr aggiornati.

    Il GDPR dice questo e lo dice da sempre quindi non capisco perché voi dite che non sta da nessuna parte.

    Where processing is based on consent, the controller shall be able to demonstrate that the data subject has consented to processing of his or her personal data.

    Quindi questo ha tutta l'aria di essere quello che Iubenda chiama registro dei consensi. I chiarimenti del garante italiano hanno poi confermato questa cosa a livello abbastanza definitivo ed è stato pure reinvigorito nelle ultime linee guida che delineano con chiarezza che il consenso debba essere "adeguatamente registrato" per dimostrarne la validità.

    Poi per carità. Ognuno è libero di interpretare questa cosa a modo suo, ma non vi auguro di avere un contenzioso se non avete un minimo straccio di traccia dei consensi raccolti.

    Diciamo che è un po' la stessa logica con cui uno fa una assicurazione contro le grandinate o sulla vita. E' un costo finché non ti capita niente. Siamo allo stesso livello.

    Certo. Sui miei siti l'ho attivato avendolo nell'abbonamento lifetime ma covo ancora dei dubbi se sia effettivamente una soluzione valida.


    juanin 1 Risposta
  • Admin

    @robertosantoli che sia valida o meno è un altro discorso però.

    Non discuto la validità dell'implementazione, ma discuto il fatto che si neghi su tutta la linea la necessità che il consenso vada registrato. Un po' forte come affermazione se andiamo a leggere le scartoffie reali.

    Poi uno può farselo tranquillamente in casa. Ma te lo devi fare e te lo devi gestire 😄

    Quindi bisogna valutare se conviene pagare qualche spicciolo o svilupparselo.

    Anche perché dal GDPR è chiaramente scritto che perché un consenso sia valido è conditio sine qua non la sua dimostrabilità. Poi io non sono un legale, ma almeno da quello che leggo non mi pare un punto discutibile. C'è scritto.


  • Contributor

    @juanin ha detto in Google Analytics è illegale in EU?:

    Where processing is based on consent, the controller shall be able to demonstrate that the data subject has consented to processing of his or her personal data.

    Quindi questo ha tutta l'aria di essere quello che Iubenda chiama registro dei consensi.

    A me sembra scritto in modo talmente generico, che qualunque soluzione tecnica che ti permetta di dimostrarlo va bene.

    Anche perché, detto tra noi... le CMP comunque per salvare la preferenza in corrispondenza del client si basano su cookie. Quindi alla fine sempre lì torniamo: ad un cookie salvato sul browser dell'utente.

    E se il client cancella i cookie, tu sulla tua CMP hai un bel record che non corrisponde più a nulla... e tanti saluti alla dimostrazione di alcunché.

    Ah, visto che siamo a tema, bonus: https://www.technologylawdispatch.com/2021/12/privacy-data-protection/german-court-prohibits-u-s-data-transfers-in-cookiebot-decision-why-this-decision-is-special-and-should-alert-but-not-upset-your-organization/


    juanin 1 Risposta
  • Admin

    @kal eh no mio caro non sono d'accordo 😄

    Mi dispiace. Se uno ti fa un esposto perché ritiene che il consenso verso di lui non sia stato rispettato nei casi in cui non ci sia registrazione utente allora è in capo a lui portare le prove e dunque il suo cookie dove lui in tale data ha rifiutato, ma io lo profilo lo stesso. E per farlo dovrà mostrare il suo cookie id, con i data purpose che lui ha accettato/rifiutato e quindi devi portare evidenza di quello specifico cookie che io nel mentre ho registrato con tutte le annesse e connesse.

    Generico. Vero. Ma dire che il tuo meccanismo funziona correttamente non è una prova perché nella data in cui la persona dimostra che non è così se tu non hai un registro archiviato non puoi assolutamente confutare l'accusa.


    kal 1 Risposta
  • Admin

    @kal ha detto in Google Analytics è illegale in EU?:

    Ah, visto che siamo a tema, bonus: https://www.technologylawdispatch.com/2021/12/privacy-data-protection/german-court-prohibits-u-s-data-transfers-in-cookiebot-decision-why-this-decision-is-special-and-should-alert-but-not-upset-your-organization/

    ecco questa è interessante. Come dicevo sopra...come la mettiamo con le CDN? 😄 Questo sarà un bel nodo da sciogliere.


  • Contributor

    @juanin ha detto in Google Analytics è illegale in EU?:

    Mi dispiace. Se uno ti fa un esposto perché ritiene che il consenso verso di lui non sia stato rispettato nei casi in cui non ci sia registrazione utente allora è in capo a lui portare le prove e dunque il suo cookie dove lui in tale data ha rifiutato, ma io lo profilo lo stesso. E per farlo dovrà mostrare il suo cookie id, con i data purpose che lui ha accettato/rifiutato e quindi devi portare evidenza di quello specifico cookie che io nel mentre ho registrato con tutte le annesse e connesse.

    Ma sì, appunto come dicevo sopra: è solo un sistema difensivo per pararsi il culo davanti a contestazioni.

    @juanin ha detto in Google Analytics è illegale in EU?:

    Come dicevo sopra...come la mettiamo con le CDN? Questo sarà un bel nodo da sciogliere.

    Io la vedo "semplice". La questione si risolve in modo definitivo solo se:

    1. gli USA cambiano legislazione (molto difficile)
    2. i vari fornitori USA per salvare il soldo non trovano il modo di dislocarsi fisicamente in EU come azienda separata non soggetta al diritto USA (anche questa molto difficile ma più probabile)

    Altre soluzioni saranno inevitabilmente un cimitero di sentenze e provvedimenti nei prossimi anni.

    (a margine: ma che figo assoluto è Schrems? Addirittura gli hanno intestato le sentenze, ha combinato un casino allucinante...!)


    juanin 1 Risposta
  • Admin

    @kal ha detto in Google Analytics è illegale in EU?:

    (a margine: ma che figo assoluto è Schrems? Addirittura gli hanno intestato le sentenze, ha combinato un casino allucinante...!)

    😂

    schrems.png


  • Contributor

    Aggiornamento, sul Blog di Google oggi se ne escono con una perla:

    It’s time for a new EU-US data transfer framework
    If you rely on an open, global internet, you’ll want the European Union and the U.S. government to agree soon on a new data framework to keep the services you use up and running.
    https://blog.google/around-the-globe/google-europe/its-time-for-a-new-eu-us-data-transfer-framework/

    Hmmm...

    parley.jpg

    Dopo due anni passati a non fare letteralmente nulla, ora che i nodi arrivano al pettine... ha un po' il suono di una resa.

    Dato che il problema è sia economico che politico-diplomatico, il gigante incapace di agire invoca l'intervento della politica.

    Che è come dire: noi non abbiamo intenzione di cambiare infrastruttura o modificare la raccolta dei dati. Che si mettano d'accordo le autorità regolatorie. Tanto non è solo un problema nostro, muoia Sansone con tutti i Filistei.

    Ora, le autorità regolatorie EU sono elefantiache e non muoveranno certamente un dito (vi ricordate Brexit?). Le sentenze ci sono ed è chiaro a tutti che stanno per partire sanzioni a raffica, in più paesi europei. Più passa il tempo e più il rischio si alza. Per tutti.

    Le autorità USA che faranno? Staranno anche loro a guardare, credo. Alla fine è un problema dei privati...

    Io vedo all'orizzonte:

    1. sempre più sanzioni che metteranno al bando GA per i siti dell'EU
    2. sempre più clienti ci contatteranno per liberarsi di GA, sull'onda delle suddette sanzioni

    Piaccia o no, credo che questo sarà quello che dovremo aspettarci nel corso dei prossimi 12-18 mesi.

    Ah, esiste il rischio concreto che le stesse sentenze si estendano a tools adiacenti come le conversioni/remarketing di Google Ads, il Pixel di Facebook... e potenzialmente (mi rendo conto che sarebbe un'apocalisse vera, ma la possibilità c'è) anche lo stesso Google Tag Manager (che comunque raccoglie l'indirizzo IP degli utenti che scaricano la libreria... anche se questo può essere probabilmente risolto proxandola lato server).


    F 1 Risposta
  • Admin

    Io la vedo grigia.

    Probabilmente anche i business model basati sulla pubblicità saranno fortemente a rischio se questa roba passa veramente.

    Diventa tutto illegale in sostanza.

    Non so se veramente ci guadagnerà qualcuno da questa cosa. Credo proprio di no.


    kal 1 Risposta
  • Contributor

    @juanin il punto è che questa roba è già passata. La sentenza Schrems II è del luglio 2020, ormai quasi due anni fa.

    La vera domanda è: perché finora non abbiamo fatto nulla di nulla?

    Forse Google e l'autorità legislativa USA pensavano davvero che era tutta una finta?

    E soprattutto: noi ce la siamo davvero bevuta così?

    @juanin ha detto in Google Analytics è illegale in EU?:

    Non so se veramente ci guadagnerà qualcuno da questa cosa. Credo proprio di no.

    L'atteggiamento di Google è chiaramente "muoia Sansone con tutti i Filistei". Abusa (tanto per cambiare) della sua posizione dominante per minacciare velatamente di tirare giù tutto il mercato dietro di lui.

    A me sinceramente questa arroganza da un po' fastidio ed onestamente sono molto curioso di vedere che succede.

    La storia recente (non ho citato Brexit per caso) insegna che non puoi davvero pensare di ingaggiare una battaglia muscolare con le istituzioni europee.

    Sarai anche un leone con le zanne aguzze, ma l'elefante che vorresti aggredire pesa tonnellate.

    @juanin ha detto in Google Analytics è illegale in EU?:

    Io la vedo grigia.

    Lo è.