• Moderatore

    @kal però la funzione è google signals che si attiva solo se hai advertising abilitato come da [documentazione]
    (https://support.google.com/analytics/answer/9445345?hl=en#zippy=%2Cin-this-article%2Ccross-platform-reporting)

    Ritorniamo al punto precedente che diventa facile far cadere le accuse.


    kal 1 Risposta
  • Contributor

    @filtro non c'entrano nulla i "Google Signals". Nel provvedimento vengono nominati più volte come "disattivati" (chiaro tentativo di difesa), ma il garante comunque giunge alle conclusioni citate sopra.

    E il perché è presto detto... Google Signals è il nome COMMERCIALE del servizio di riconciliazione cookie tramite fingerprinting che GA offre ai suoi clienti.

    Ma Google non ha bisogno tecnicamente che il cliente finale lo attivi per porlo in essere. La tecnologia c'è già ed è pronta da usare (al punto che basta schiacciare un pulsantino da backend per attivarla).

    Google per mezzo di GA raccoglie dati sufficienti per fare fingerprinting?

    Se la risposta è sì (e lo è, non nascondiamoci dietro a un dito), allora sta trattando dati personali.

    Io l'ho scritto sopra e lo ripeto: GA può diventare davvero anonimo solo se un intermediario in area EU ripulisce COMPLETAMENTE i dati di indirizzi IP e User Agent.

    Con il solo client ID è davvero impossibile fare fingerprint ed a quel punto torna davvero ad essere dato pseudonimo non personale.


    F 1 Risposta
  • Moderatore

    @kal la posizione del garante è abbastanza debole sul dato personale: GA senza funzioni di advertising non raccoglie abbastanza informazioni per fare fingerprinting se l'ip è anonimizzato, perché proprio cita il fatto che google potrebbe recuperare quel dato non si sa come usando funzioni di fingeprinting che senza Advertising non sono attive e ti ricordo che si attivano facendo un cookie synch quindi sono dati di un'altra piattaforma non della stessa piattaforma.
    Quindi torniamo all'ip anonimizzato secondo loro non in modo abbastanza completo.

    GA sincronizzandosi con l'infrastruttura di advertsing ne raccoglie più che abbastanza se attiviamo le funzioni connesse che prevedono un cookie synch, un cookie di terza parte, un collegamento con in login degli account google, ecc. ecc

    La difesa di Google è debole su un punto nevralgico che viene riportato fra le righe: ma se lei funzioni di advertising sono attive tu stai importando i dai in US e siamo punto a capo.

    Lavorandoci tutti i giorni in datrix:
    lo user agent da solo non basta per fare fingerprinting, è uno degli elementi alla base dei famosi statistical ID perché fingerprinting è una brutta parola.

    ip + user agent migliora le cose, ma comunque mi porta a migliaia di utenti con le stesse informazioni

    ip + user agent + cookie di terza parte + analisi non indifferente dei dati, mi riduce a qualche centinaio di persone

    ip + user agent, + cookie di terza parte + schifezze non indifferenti sfruttando bug dei browser, il canvas html ed altre amenità lato mobile: sì mi permette di arrivare al singolo utente. (molti di queste non più praticabili) ad esempio ad oggi è notizia che in safari posso accedere alla history del browser.

    ip + user agent mi identifica un utente solo se ho 10 utenti con ip e useragent differenti, ma se parliamo di milioni di utenti la situazione si complica di molto e bisogna usare molti altri dati.


    kal 1 Risposta
  • Contributor

    @filtro ha detto in Google Analytics è illegale in EU?:

    usando funzioni di fingeprinting che senza Advertising non sono attive

    Guarda, facendola semplice semplice e schematica...

    A) La hit di GA contiene:

    • IP
    • User Agent
    • URL risorsa
    • timestamp
    • Client ID

    B) La telemetria del browser contiene le stesse robe:

    • IP
    • User Agent
    • Client ID (? non sono sicuro che le hit del pannello network siano registrate nella telemetria... le page load invece assolutamente sì)
    • URL risorsa
    • timestamp
    • più eventuali hit concomitanti inviate a Google dallo stesso IP+User Agent come terza parte grazie all'utente loggato

    C) La telemetria del sistema operativo contiene:

    • IP
    • Account Google

    A) si collega a B) con il Client ID o con una combinazione di timestamp+URL risorsa oltre ad User Agent ed IP. B) si collega a C) con l'Account Google.

    Non hai bisogno dei Google Signals se controlli l'ecosistema. Google Signals servono eventualmente al cliente finale, ma Google ce li ha belli belli già pronti a backend.

    La parte un po' sporca è quella della telemetria browser, dato che non è detto vi siano hit concomitanti (subito prima/dopo), ma Google raccoglie talmente tanti di quei dati che prima o poi il collegamento lo fa.

    EDIT: come non detto, se salvi la cronologia di navigazione nell'account Google (ed è attiva di default), allora il collegamento è puntuale e non probabilistico. Non c'è manco bisogno di chiamare in causa l'OS in questo scenario.

    Attenzione, io non so se lo facciano veramente... ma non è rilevante. Possono farlo e quindi in ottica di privacy bisogna dare per presupposto che lo facciano.

    Anche perché (e questa è la parte davvero rilevante che ci riporta in topic) se non lo fa Google comunque può farlo il Governo USA, basta che bussi alla porta di Google con un pezzo di carta del formaggio con scritto su "motivazioni di sicurezza nazionale".

    Che è esattamente il cuore del problema dal punto di vista legale affrontato nella sentenza Schrems II.


    sermatica 1 Risposta
  • Moderatore

    Ciao
    mi sono un po' studiato la questione dell'aggiornamento della Privacy, la questione è complessa ma come mai in tutto questo polverone nessuno parla dei log sul server? Li c'è tutto e in chiaro. Le vere problematiche sulla privacy sono ben altre.

    P.s.
    Ci sono molte cose tralasciate di cui si parla pochissimo. C'è chi fa ancora scraping di email e numeri di telefono sul Web senza farsi nessuno scrupolo nel farlo. Se gli scrivi in merito dicono che si sono sbagliati, si scusano e continuano tranquillamente a fare spam.


    kal 1 Risposta
  • Contributor

    @sermatica ha detto in Google Analytics è illegale in EU?:

    mai in tutto questo polverone nessuno parla dei log sul server? Li c'è tutto e in chiaro. Le vere problematiche sulla privacy sono ben altre.

    Nessuno ne parla perché non è in topic 🙂

    Il nucleo centrale della questione è l'esportazione di dati personali dall'EU verso gli USA, definito come sempre illegale all'interno della sentenza Schrems II.

    Questo provvedimento del Garante austriaco verso il sito che fa(ceva) uso di GA è semplicemente un'applicazione speciale della regola generale.

    Per riassumere:

    1. è sempre illegale esportare in modo indiscriminato dati personali da uno stato EU verso gli USA (salvo eccezioni molto specifiche)
    2. GA manda dati in modo indiscriminato dagli EU verso gli USA
    3. i dati che manda GA sono passibili di digital fingerprint e per questo motivo sono stati classificati dal Garante austriaco come dati personali

    Questo non è equivalente al rendere "illegale" GA in EU. Significa solo che se hai un'attività in EU e stai usando Google Analytics, sei a rischio di sanzione.

    Quindi, allo stato attuale... GA è illegale in EU? No o perlomeno non ancora.

    Se usi GA e sei un'azienda EU rischi sanzioni? Sì.

    Quanto si rischia veramente? Chissà. Difficile da stimare.


  • Moderatore

    @kal ha detto in Google Analytics è illegale in EU?:

    Questo non è equivalente al rendere "illegale" GA in EU. Significa solo che se hai un'attività in EU e stai usando Google Analytics, sei a rischio di sanzione.
    Quindi, allo stato attuale... GA è illegale in EU? No o perlomeno non ancora.
    Se usi GA e sei un'azienda EU rischi sanzioni? Sì.
    Quanto si rischia veramente? Chissà. Difficile da stimare.

    Se è illegale o non conforme alla legge in Europa che lo rendano non accessibile a chi vive in Europa. Ma la questione non è solo GA.


    kal 1 Risposta
  • Contributor

    @sermatica ha detto in Google Analytics è illegale in EU?:

    Se è illegale o non conforme alla legge in Europa che lo rendano non accessibile a chi vive in Europa.

    Google sostiene che lo sia, sulla base di alcune Clausole Speciali. E non è un problema suo, perché (per il momento) non rischia sanzioni, la legge colpisce chi esporta.


  • Contributor

    Grazie del parere! Mi permetto di chiosare su questo punto:

    In concreto, se nella privacy policy (che i miei utenti devono leggere e approvare), spiego per filo e per segno come stanno le cose e perché ho scelto di usare ad esempio Google Analitics, e i miei utenti acconsentono al trasferimento proposto, posso ritenermi "in regola" o no?

    Se spieghi davvero quali sono i rischi (ovvero: "il Governo USA può identificarti come individuo ed accedere ai tuoi dati personali"), chi sarebbe mai così pazzo da cliccare su "Accetto"?


  • Contributor

    @simbon la riposta dovrebbe essere ovvia.

    E lo dico con la morte nel cuore, dato che personalmente adoro Google Analytics (Universal) come strumento... ma stiamo arrivando a passi da gigante alla resa dei conti.

    Gli USA rivedranno la loro legislazione per garantire sicurezza ai dati dei cittadini EU?

    Lo vedremo, anche se personalmente non sono pronto a scommetterci.


  • Moderatore

    @simbon il problema non è data center in Europa ma aziende europee se quei data center sono di proprietà di un’azienda americana si torna al punto precedente


  • Contributor

    @simbon come dice @filtro la questione non si risolve solo con un datacenter su suolo EU.

    Serve proprio che l'azienda non sia soggetta al Diritto USA.


  • User Attivo

    @simbon ha detto in Google Analytics è illegale in EU?:

    iao a tutti, qui su LinkedIn ho provato a sintetizzare la questione, corroborando la mia personalissima (e

    ooook... alternativa? proposte? suggerimnenti?

    esiste sempre un "qualcosa di diverso"...

    altrimenti torniamo in casa come nel 2000... ma mi chiedo come funzionerà ADS e FB....


    F kal 2 Risposte
  • Moderatore

    @mirkomassarutto c’é un vuoto legale, quindi non c’é molto da fare o si colma il vuoto legale oppure internet per l’Europa diventa ingestibile perché dovremmo avere tutte aziende europee che ad oggi non esistono e ci vorranno decenni prima che crescano aziende paragonabili. Tutto l’adv mainstream escluso Criteo sarebbe illegale


  • Contributor

    @mirkomassarutto ha detto in Google Analytics è illegale in EU?:

    ooook... alternativa? proposte? suggerimnenti?

    1. Matomo On Premise (soluzione valida da subito per siti di piccole dimensioni, l'ho testato sul mio sito personale ed in un caso sul campo con un cliente, funziona)
    2. Fathom Analytics (sono canadesi, non USA, e gestiscono il traffico EU con una CDN su cloud EU. Non l'ho mai testato.)
    3. Spostare il tracciamento lato server e ripulire lì le hit da ogni dato personale (complicato da fare, non è per tutti)

    F 1 Risposta
  • Contributor

    Segnalo varie considerazioni fatte da Romain Robert, Direttore di Programma per NOYB: https://www.linkedin.com/posts/romain-robert-68456021_gdpr-googleanalytics-activity-6891310811868917760-k50k


  • Moderatore

    @kal stai guardando la punta del
    Problema e non l’orizzonte. Google analytics è solo la punta dell’ iceberg non il problema. Puoi anche installare matomo on premise e gestirti tutto sui tuoi server, ma praticamente qualunque tool di advertising anche in contextual targeting è illegale, perché trasferirà un ip in US, ma anche un sito internet che non ha un hosting gestito da un’azienda Europea è illegale.

    O trovano un accordo tra eu e US o internet come è oggi semplicemente non può esistere in Europa

    Sono state presentate 101 istanze da noyb in giro per l’Europa, 4 solo in Italia e per ora sappiamo il risultato di 2 e non saranno tutte contro GA, avrà preso in considerazione anche altro sicuramente. Aspettiamo, ma la soluzione non è tool diversi ma un accordo EU e US


    kal 1 Risposta