• Contributor

    @jabba la risposta breve è "sì".

    Ad esempio, su MailChimp c'è questa recentissima: https://edpb.europa.eu/news/national-news/2021/bavarian-dpa-baylda-calls-german-company-cease-use-mailchimp-tool_en


  • User

    Sarebbe veramente l'apocalisse... vediamo che salta fuori


    kal 1 Risposta
  • Contributor

    @jabba ha detto in Google Analytics è illegale in EU?:

    Sarebbe veramente l'apocalisse... vediamo che salta fuori

    La parte buffa di tutta sta faccenda è che l'apocalisse c'è già stata... un anno e mezzo fa. Sembra che caschiamo tutti dal pero, ma la sentenza Schrems II è di luglio 2020!


  • Moderatore

    @kal ma non è questione di essere ottimista o meno e che parliamo di lana caprina in alcuni casi è quando si va a processo conta la capacità dei vari avvocati.

    Facciamo un esempio il garante austriaco ritiene che l’anonimozzazione che fa google del
    Ip non sia sufficiente perché google avendo visto l’ip potrebbe avere una facile mappa di decodifica, però google dichiara di cancellare le ultime 4 cifre quindi puoi avere la mappa di decodifica che vuoi e ti sfido a ricostruire l’ip originale.

    Se ci sarà un processo i tempi saranno lunghi. Aspettiamo e vediamo. È un precedente ma di cose ne possono ancora capitare


    kal 1 Risposta
  • Contributor

    @filtro la sentenza austriaca sostanzialmente prende in considerazione l'indirizzo IP solo come una delle componenti della digital fingerprint, in associazione con i cookie client ID e l'user agent.

    Sai bene quanto me che per Google fare cookie reconciliation tecnicamente è un gioco da ragazzi. Controlla da solo il 70% degli User Agent sia mobile che desktop... (e nel caso del mobile, l'utente è permanentemente loggato sull'account Google).

    Saran bravi quanto vuoi sti avvocati, ma il materiale fondato tecnicamente c'è eccome.


    F 2 Risposte
  • User Attivo

    Beh, abbiamo avuto la possibilità di sfruttare il mezzo e di dar loro la possibilità di sfruttarlo... 20anni fa era differente.. e forse un poì meglio...
    Io comunque, adotto sia un'analisi dei log e registro ogni tipo di accesso per i miei clienti più importanti proprio perché basarsi sul fatto che esistano entità esterne che ti forniscono dati potrebbe essere un problema se muoiono o magari iniziano a farti pagare cifre stratosferiche.

    Detto ciò Google troverà una soluzione.. è solo un "paletto"... ma i soldi da investire non mancano (altrimenti salta)

    Magari il problema è su realtà più piccole che forniscono servizi e magari usano tracking ed è li che guadagnano...

    Comunque dai basta un bel bannerone di iubenda in cui l'utente perde mezz'ora o clicca "va bene la qualsiasi" e abbiamo risolto 😂


    F 1 Risposta
  • Moderatore

    @kal prende in considerazione l’ip come dato personale perché tutto si gioca su questa cosa perché non fosse personale sarebbe esportabile.

    Se togli l’ip decade tutto perché il resto non è classificabile come dato personale


  • Moderatore

    @mirkomassarutto il problema è un po’ più ampio, prendiamo la libreria di jqwuey hostata sui server di Amazon.
    Essendo che il server si salva l’ip e quel server o si trova negli Stati Uniti o fa backup dei dati di log dove l’ip è presente non potresti utilizzarla.


    mirkomassarutto 1 Risposta
  • Moderatore

    @kal quella austriaca non è una sentenza è proprio questo il punto, ma è un provvedimento in cui rimanda al garante tedesco un eventuale alto provvedimento e da quel provvedimento potremmo partire una causa e quindi i vari livelli di giudicato.

    Certo un provvedimento può trasformarsi in una nuova linea guida del garante che uscirà in una certa data ed avrà un certo tempo di interregno in cui ci si dovrà adattare alle linee guida.
    Per ora non c’è una sentenza non c’è una nuova linea guida ergo business as usual.

    Quello che mi aspetto è che scherms intenti una class action a difesa dei consumatori e delle aziende europe contro google partendo dal provvedimento austriaco chiederà quei 6 miliardi di euro: 10 euro per ogni cittadino europeo entrato in contatto con google analytics.

    E potrebbe anche vincerla obbligando google a cambiare la gestione, ma questo è fare nostradamus ci posso azzeccare come no


  • User Attivo

    @filtro infatti ho citato "esistano entità esterne"
    detto questo "almeno per ora" molte puoi evitarle... mettendole in local (io per esempio utilizzo svg di fontawesome direttamente dal mio server perché sicuramente guadagno anche in tempi di risposta)... idem con jquery (si cdn comoda... ma ribadisco che se schiatta non hai un soluzione di backup)

    ogni cosa che utilizzi esternamente ha la "sua policy" e li stai...


  • User Attivo

    Ma domanda, questa cosa può andare realmente avanti?

    Perché se lo fa, in linea teorica anche tutto Microsoft 365 e compagnia cantante è illegale.

    E ormai anche diverse infrastrutture dello stato (italiano in primis) si basano proprio su servizi USA.


    kal 1 Risposta
  • Contributor

    @eleclipse ha detto in Google Analytics è illegale in EU?:

    Ma domanda, questa cosa può andare realmente avanti?

    Sì, credo che possiamo aspettarcelo.

    Perché se lo fa, in linea teorica anche tutto Microsoft 365 e compagnia cantante è illegale.

    https://edps.europa.eu/press-publications/press-news/press-releases/2021/edps-opens-two-investigations-following-schrems_en

    E ormai anche diverse infrastrutture dello stato (italiano in primis) si basano proprio su servizi USA.

    Non a caso nel mio post di inizio discussione ho segnalato questa iniziativa: https://designers.italia.it/progetti/web-analytics-italia/


  • User Attivo

    Grazie!

    Che dire, sembrano le basi per un possibile stravolgimento, non riesco neanche a immaginare quanto grosso se va a fondo perché ormai la cosa è molto ramificata (alla fine potenzialmente ci entrano pure spotify e netflix, per dire).


    I 1 Risposta
  • User Attivo

    @eleclipse ma e perché non Microsoft? Ho fatto l'aggiornamento e dice che con i miei dati ci fa quello che vuole o accetti tutto o non si installa o compaiono di continuo messaggi.


  • Admin

    Comunque scusatemi il francesismo, ma mi sembra una grossa "minchiata" tutto questo potenziale scenario.

    Non puoi decidere dall'oggi al domani che la normalità diventi illegalità diffusa dai. Non sta in piedi con tutti il rispetto per le autorità garanti e per l'Unione Europea.

    Per pensare un adeguamento del genere servono anni. Non mesi.


    kal 1 Risposta
  • Contributor

    @juanin ha detto in Google Analytics è illegale in EU?:

    Non puoi decidere dall'oggi al domani

    Ma non è stato deciso "dall'oggi al domani". Se cerchi documentazione sul Privacy Shield e sulla sentenza Schrems II se n'è discusso TANTISSIMO negli ambienti giuridici. Sia prima che poi. (per dire... "widely anticipated" scrivono qui) E la sentenza Schrems I è del 2015, già lì si capiva in che direzione stavamo andando.

    Siamo noialtri che ci siamo svegliati ora.

    Poi c'è il fatto che i nostri fornitori USA per tenersi i clienti hanno fatto orecchie da mercante, assumendo una posizione da "è tutto ok non vi preoccupate, stanno solo scherzando" e noi non ci siamo preoccupati, quando invece forse forse avremmo dovuto... iniziando da subito a considerare di cambiare fornitori. Qualcuno lo ha fatto effettivamente.

    Mentre gli attivisti privacy Schrems in testa andavano avanti come i panzer, noi ce ne siamo oggettivamente disinteressati.

    @eleclipse ha detto in Google Analytics è illegale in EU?:

    Che dire, sembrano le basi per un possibile stravolgimento

    Yep, infatti è proprio quello che ho scritto nel mio post iniziale.


    juanin 1 Risposta
  • Admin

    @kal sì ok chiaro che va avanti da anni, ma ora come dice @filtro tra questa sentenza e quello che sarà secondo me ce ne passa. Non è che post questa sentenza adesso parte la macchinetta automatica delle sanzioni.

    Follia pura. Anche perché le sanzioni non toccheranno solo a Google & Co.


    kal 1 Risposta
  • Contributor

    @juanin ha detto in Google Analytics è illegale in EU?:

    Non è che post questa sentenza adesso parte la macchinetta automatica delle sanzioni.

    Non parte la "macchinetta automatica"... ma certamente aumenta il profilo di rischio. Anzi, il profilo di rischio è aumentato di colpo dopo la Schrems II, siamo noialtri che lo abbiamo "prezzato" male.

    Alla fine l'approccio alla gestione della privacy è sempre stato basato su una valutazione del rischio commisurato al contesto.

    Aziende grandi con molti dati personali devono mettere in atto procedure più solide, fornitori certificati etc.

    Era così anche prima.

    Follia pura. Anche perché le sanzioni non toccheranno solo a Google & Co.

    Infatti le sanzioni le becchiamo "noi"!


    F 1 Risposta
  • Moderatore

    @kal @juanin usiamo le pare le giuste: questa non è una sentenza ma un provvedimento: ergo non ha alcun valore legale.

    Dà una possibile direzione secondo il garante della privacy austriaca che potrà o meno essere presa in considerazione e trasformarsi in una sentenza a cui si potrà fare appello ecc ecc. anni di tribunale.

    Esempio che non vuole essere la soluzione se invalidano la visione del garante austriaca per cui l’anonimmozzazione del ip fatta da google è per il garante austriaco una pseudo anonimizzazione e quindi ancora dato personale, tutto salta.

    I dettagli qui sono importanti e non siamo noi a poter dire se sarà possibile o no.

    Nel mentre potrebbero arrivare nuove linee guida con dei tempi per adattarsi ad esse.

    Tutto il resto è pura fantasia.


    kal 1 Risposta
  • Contributor

    @filtro la sentenza a cui faccio riferimento è la Schrems II.

    Questo provvedimento del garante privacy austriaco ha tutta l'aria di essere il primo di una serie.

    Vero che "ci vorranno anni", ma io credo che non serva a molto mettere la testa sotto la sabbia: trasferire dati personali in USA è illegale per l'ordinamento UE.

    E chi fa analytics o peggio ancora advertising nei dati personali ci sguazza, non è che possiamo davvero girarci attorno.

    Indirizzo IP (anche se mascherato) + User Agent (in particolar modo se mobile che è un dispositivo personale) + client ID = una persona singolarmente identificabile.

    È così e lo sappiamo.

    Possiamo solo decidere se farci i conti ora oppure poi.


    F 1 Risposta