- Home
- Categorie
- Digital Marketing
- Google Analytics e Web Analytics
- Google Analytics è illegale in EU?
-
@kal quella austriaca non è una sentenza è proprio questo il punto, ma è un provvedimento in cui rimanda al garante tedesco un eventuale alto provvedimento e da quel provvedimento potremmo partire una causa e quindi i vari livelli di giudicato.
Certo un provvedimento può trasformarsi in una nuova linea guida del garante che uscirà in una certa data ed avrà un certo tempo di interregno in cui ci si dovrà adattare alle linee guida.
Per ora non c’è una sentenza non c’è una nuova linea guida ergo business as usual.Quello che mi aspetto è che scherms intenti una class action a difesa dei consumatori e delle aziende europe contro google partendo dal provvedimento austriaco chiederà quei 6 miliardi di euro: 10 euro per ogni cittadino europeo entrato in contatto con google analytics.
E potrebbe anche vincerla obbligando google a cambiare la gestione, ma questo è fare nostradamus ci posso azzeccare come no
-
@filtro infatti ho citato "esistano entità esterne"
detto questo "almeno per ora" molte puoi evitarle... mettendole in local (io per esempio utilizzo svg di fontawesome direttamente dal mio server perché sicuramente guadagno anche in tempi di risposta)... idem con jquery (si cdn comoda... ma ribadisco che se schiatta non hai un soluzione di backup)ogni cosa che utilizzi esternamente ha la "sua policy" e li stai...
-
Ma domanda, questa cosa può andare realmente avanti?
Perché se lo fa, in linea teorica anche tutto Microsoft 365 e compagnia cantante è illegale.
E ormai anche diverse infrastrutture dello stato (italiano in primis) si basano proprio su servizi USA.
1 Risposta -
@eleclipse ha detto in Google Analytics è illegale in EU?:
Ma domanda, questa cosa può andare realmente avanti?
Sì, credo che possiamo aspettarcelo.
Perché se lo fa, in linea teorica anche tutto Microsoft 365 e compagnia cantante è illegale.
E ormai anche diverse infrastrutture dello stato (italiano in primis) si basano proprio su servizi USA.
Non a caso nel mio post di inizio discussione ho segnalato questa iniziativa: https://designers.italia.it/progetti/web-analytics-italia/
-
Grazie!
Che dire, sembrano le basi per un possibile stravolgimento, non riesco neanche a immaginare quanto grosso se va a fondo perché ormai la cosa è molto ramificata (alla fine potenzialmente ci entrano pure spotify e netflix, per dire).
I 1 Risposta -
@eleclipse ma e perché non Microsoft? Ho fatto l'aggiornamento e dice che con i miei dati ci fa quello che vuole o accetti tutto o non si installa o compaiono di continuo messaggi.
-
Comunque scusatemi il francesismo, ma mi sembra una grossa "minchiata" tutto questo potenziale scenario.
Non puoi decidere dall'oggi al domani che la normalità diventi illegalità diffusa dai. Non sta in piedi con tutti il rispetto per le autorità garanti e per l'Unione Europea.
Per pensare un adeguamento del genere servono anni. Non mesi.
1 Risposta -
@juanin ha detto in Google Analytics è illegale in EU?:
Non puoi decidere dall'oggi al domani
Ma non è stato deciso "dall'oggi al domani". Se cerchi documentazione sul Privacy Shield e sulla sentenza Schrems II se n'è discusso TANTISSIMO negli ambienti giuridici. Sia prima che poi. (per dire... "widely anticipated" scrivono qui) E la sentenza Schrems I è del 2015, già lì si capiva in che direzione stavamo andando.
Siamo noialtri che ci siamo svegliati ora.
Poi c'è il fatto che i nostri fornitori USA per tenersi i clienti hanno fatto orecchie da mercante, assumendo una posizione da "è tutto ok non vi preoccupate, stanno solo scherzando" e noi non ci siamo preoccupati, quando invece forse forse avremmo dovuto... iniziando da subito a considerare di cambiare fornitori. Qualcuno lo ha fatto effettivamente.
Mentre gli attivisti privacy Schrems in testa andavano avanti come i panzer, noi ce ne siamo oggettivamente disinteressati.
@eleclipse ha detto in Google Analytics è illegale in EU?:
Che dire, sembrano le basi per un possibile stravolgimento
Yep, infatti è proprio quello che ho scritto nel mio post iniziale.
1 Risposta -
@kal sì ok chiaro che va avanti da anni, ma ora come dice @filtro tra questa sentenza e quello che sarà secondo me ce ne passa. Non è che post questa sentenza adesso parte la macchinetta automatica delle sanzioni.
Follia pura. Anche perché le sanzioni non toccheranno solo a Google & Co.
1 Risposta -
@juanin ha detto in Google Analytics è illegale in EU?:
Non è che post questa sentenza adesso parte la macchinetta automatica delle sanzioni.
Non parte la "macchinetta automatica"... ma certamente aumenta il profilo di rischio. Anzi, il profilo di rischio è aumentato di colpo dopo la Schrems II, siamo noialtri che lo abbiamo "prezzato" male.
Alla fine l'approccio alla gestione della privacy è sempre stato basato su una valutazione del rischio commisurato al contesto.
Aziende grandi con molti dati personali devono mettere in atto procedure più solide, fornitori certificati etc.
Era così anche prima.
Follia pura. Anche perché le sanzioni non toccheranno solo a Google & Co.
Infatti le sanzioni le becchiamo "noi"!
F 1 Risposta -
@kal @juanin usiamo le pare le giuste: questa non è una sentenza ma un provvedimento: ergo non ha alcun valore legale.
Dà una possibile direzione secondo il garante della privacy austriaca che potrà o meno essere presa in considerazione e trasformarsi in una sentenza a cui si potrà fare appello ecc ecc. anni di tribunale.
Esempio che non vuole essere la soluzione se invalidano la visione del garante austriaca per cui l’anonimmozzazione del ip fatta da google è per il garante austriaco una pseudo anonimizzazione e quindi ancora dato personale, tutto salta.
I dettagli qui sono importanti e non siamo noi a poter dire se sarà possibile o no.
Nel mentre potrebbero arrivare nuove linee guida con dei tempi per adattarsi ad esse.
Tutto il resto è pura fantasia.
1 Risposta -
@filtro la sentenza a cui faccio riferimento è la Schrems II.
Questo provvedimento del garante privacy austriaco ha tutta l'aria di essere il primo di una serie.
Vero che "ci vorranno anni", ma io credo che non serva a molto mettere la testa sotto la sabbia: trasferire dati personali in USA è illegale per l'ordinamento UE.
E chi fa analytics o peggio ancora advertising nei dati personali ci sguazza, non è che possiamo davvero girarci attorno.
Indirizzo IP (anche se mascherato) + User Agent (in particolar modo se mobile che è un dispositivo personale) + client ID = una persona singolarmente identificabile.
È così e lo sappiamo.
Possiamo solo decidere se farci i conti ora oppure poi.
F 1 Risposta -
@kal non concordo
ip anonimizzato cancellando le ultime 4 cifre non recuperabili + cookie di prima parte + user agent
non identifico nessuna persona, ma proprio nessuna e non posso collegare il suo comportamento su nessun altro sito.
In Italia anche con l'ip non anonimizzato ti sfido a riconoscere l'utente con quella combinazione visto come sono assegnati gli ip
1 Risposta -
@filtro ha detto in Google Analytics è illegale in EU?:
non identifico nessuna persona, ma proprio nessuna e non posso collegare il suo comportamento su nessun altro sito.
Neanche se sei il proprietario di quell'user agent di cui raccogli i dati di telemetria, nonché del sistema operativo su cui lo stesso è installato?
F 1 Risposta -
@kal considera pure che ora iOS non manda più neanche lo user agent, e con l'app transparency non ti manda più neanche il device ID. I browser si stanno muovendo per seguire e lo stesso sta facendo Android.
La direzione è quella...se hai il dato di prima parte sei fortunato altrimenti ti attacchi e oltre a questo Apple sta pure marciando verso chi ha il dato di prima parte randomizzando la mail di iscrizione.
1 Risposta -
@juanin vero, ma non fa altro che confermare lo scenario eh. Altrimenti perché sbattersi ad offuscare?
Dai non nascondiamoci dietro un dito
F 1 Risposta -
@kal stai piegando le cose per perorare la tua tesi che va al di la d Schremp2 e di quello per cui oggi stiamo discutendo:
I dati di Google Analytics sono dati personali se non anonimizzaimo l'ip sì, perché l'IP e l'unico elemento ad oggi riconosciuto come dato personale a livello legale.
Il Garante della privacy contesta come Google anonimizza tale ip (oltretutto solo se richiesto dal proprietario del sito) e questo è IL problema che potrebbe bloccare tutto non solo Google Analytics se l'ip viene esportato negli USA.Questa è la discussione tutto il resto ci spostiamo su altro ambito che è l'ambito dell'advertising che non ha alcun collegamento con quello con cui stiamo discutendo perché:
Se sono una ditta europea posso raccogliere tutti i tipi di dati, fare finger printing e le peggio cose a livello di tracking e se lo attivo dopo il consenso dell'utente rispetto Schremp2 e questo non risolve il problema della privacy dell'utente.
Facciamo un esempio: Criteo grandissimo player dell'advertising è europeo con base a Parigi e può fare quello che vuole dopo l'accettazione del utente, basta che non trasferisca i dati in US.Torniamo al tema del post a Schremp2 ed all'esportazione del dato negli US, perché il resto è semplicemente fuori tema: come insinuare il dubbio che Google unisca i dati di analytics con i dati di advertising senza attivare le funzioni di advertising per acquisire non si sa quali dati senza il quali non potrebbe avere un'ottima targetizzazione.
A mio parere ritenere che l'ip anonimizzato cancellando le ultime 4 cifre possa portare in qualche modo a riconoscere l'utente perché google da qualche parte potrebbe avere una tabella per fare il mapping è semplicemente azzardato senza avere accesso i dati. Se avendo accesso i dati si scopre che invece di cancellarli ne fa hash allora ha ragione il garante della privacy, altrimenti il caso è già chiuso.
1 Risposta -
@kal chiaro. Nel senso che si poteva fare, ma piano piano sarà sempre più difficile e se comunque ora senza consenso anche la piattaforma in sé offusca ovviamente ci saranno dei non-coverage che andranno a recuperare con metodi statistici.
-
@kal parliamo di Google Analytics e dei sistemi di analisi oppure dei sistemi di advertising?
Perché sono ambiti diversi ed unirli anche nel caso di Google non ha senso visto che vivono in ambienti separati fino a prova contraria e lo dimostra che per attivare le funzioni di Advertising di GA viene fatta una seconda chiamata ai server di advertising per fare il cookie synch
-
@filtro ha detto in Google Analytics è illegale in EU?:
@kal stai piegando le cose per perorare la tua tesi che va al di la d Schremp2 e di quello per cui oggi stiamo discutendo:
I dati di Google Analytics sono dati personali se non anonimizzaimo l'ip sì, perché l'IP e l'unico elemento ad oggi riconosciuto come dato personale a livello legale.
Il Garante della privacy contesta come Google anonimizza tale ip (oltretutto solo se richiesto dal proprietario del sito) e questo è IL problema che potrebbe bloccare tutto non solo Google Analytics se l'ip viene esportato negli USA.Questa è la discussione tutto il resto ci spostiamo su altro ambito che è l'ambito dell'advertising che non ha alcun collegamento con quello con cui stiamo discutendo perché:
Se sono una ditta europea posso raccogliere tutti i tipi di dati, fare finger printing e le peggio cose a livello di tracking e se lo attivo dopo il consenso dell'utente rispetto Schremp2 e questo non risolve il problema della privacy dell'utente.
Facciamo un esempio: Criteo grandissimo player dell'advertising è europeo con base a Parigi e può fare quello che vuole dopo l'accettazione del utente, basta che non trasferisca i dati in US.Torniamo al tema del post a Schremp2 ed all'esportazione del dato negli US, perché il resto è semplicemente fuori tema: come insinuare il dubbio che Google unisca i dati di analytics con i dati di advertising senza attivare le funzioni di advertising per acquisire non si sa quali dati senza il quali non potrebbe avere un'ottima targetizzazione.
A mio parere ritenere che l'ip anonimizzato cancellando le ultime 4 cifre possa portare in qualche modo a riconoscere l'utente perché google da qualche parte potrebbe avere una tabella per fare il mapping è semplicemente azzardato senza avere accesso i dati. Se avendo accesso i dati si scopre che invece di cancellarli ne fa hash allora ha ragione il garante della privacy, altrimenti il caso è già chiuso.
Guarda che c'è tutto scritto nel provvedimento del Garante austriaco eh.
Cito dalla versione tradotta in inglese (pagina 39):
In addition, the submission of the second respondent cannot be followed because the Google
Analytics identifier - as stated above - is in any case combined with other elements and even with one
that is undisputedly attributable to the complainant Google Account can be associated.
The mentioned "anonymization function of the IP address" is not relevant on a case-by-case basis,
since - as also stated above - not has been implemented correctly. Apart from that, the IP address is
only one of many “puzzle pieces” of the complainant's digital footprint.
As a further interim result, it should be noted that the "additional measures" in question not are
effective, as these do not close the legal protection gaps identified in the framework of the judgment
of the ECJ of June 20, 2020 - i.e. the access and monitoring options of US intelligence services.
Come vedi parlano abbastanza chiaramente di digital fingerprint associata al Google Account. Citano espressamente l'indirizzo IP come "uno di molti pezzi di un puzzle" e la capacità di Google di fare cookie synch per via del fatto che l'utente è loggato ad un Account Google.
Quello che dici tu che "solo l'indirizzo IP è un dato personale il resto non conta" non è assolutamente vero.
Anzi francamente in più mi suona veramente tanto di Google-pensiero (cit.).
Ormai il concetto di digital fingerprint come dato personale è abbondantemente sdoganato.
F 1 Risposta