• sermatica
    Moderatore

    Ciao
    mi sono un po' studiato la questione dell'aggiornamento della Privacy, la questione è complessa ma come mai in tutto questo polverone nessuno parla dei log sul server? Li c'è tutto e in chiaro. Le vere problematiche sulla privacy sono ben altre.

    P.s.
    Ci sono molte cose tralasciate di cui si parla pochissimo. C'è chi fa ancora scraping di email e numeri di telefono sul Web senza farsi nessuno scrupolo nel farlo. Se gli scrivi in merito dicono che si sono sbagliati, si scusano e continuano tranquillamente a fare spam.

    0
    kal 1 Risposta
  • kal
    Contributor

    @sermatica ha detto in Google Analytics è illegale in EU?:

    mai in tutto questo polverone nessuno parla dei log sul server? Li c'è tutto e in chiaro. Le vere problematiche sulla privacy sono ben altre.

    Nessuno ne parla perché non è in topic 🙂

    Il nucleo centrale della questione è l'esportazione di dati personali dall'EU verso gli USA, definito come sempre illegale all'interno della sentenza Schrems II.

    Questo provvedimento del Garante austriaco verso il sito che fa(ceva) uso di GA è semplicemente un'applicazione speciale della regola generale.

    Per riassumere:

    1. è sempre illegale esportare in modo indiscriminato dati personali da uno stato EU verso gli USA (salvo eccezioni molto specifiche)
    2. GA manda dati in modo indiscriminato dagli EU verso gli USA
    3. i dati che manda GA sono passibili di digital fingerprint e per questo motivo sono stati classificati dal Garante austriaco come dati personali

    Questo non è equivalente al rendere "illegale" GA in EU. Significa solo che se hai un'attività in EU e stai usando Google Analytics, sei a rischio di sanzione.

    Quindi, allo stato attuale... GA è illegale in EU? No o perlomeno non ancora.

    Se usi GA e sei un'azienda EU rischi sanzioni? Sì.

    Quanto si rischia veramente? Chissà. Difficile da stimare.

    0
  • sermatica
    Moderatore

    @kal ha detto in Google Analytics è illegale in EU?:

    Questo non è equivalente al rendere "illegale" GA in EU. Significa solo che se hai un'attività in EU e stai usando Google Analytics, sei a rischio di sanzione.
    Quindi, allo stato attuale... GA è illegale in EU? No o perlomeno non ancora.
    Se usi GA e sei un'azienda EU rischi sanzioni? Sì.
    Quanto si rischia veramente? Chissà. Difficile da stimare.

    Se è illegale o non conforme alla legge in Europa che lo rendano non accessibile a chi vive in Europa. Ma la questione non è solo GA.

    0
    kal 1 Risposta
  • kal
    Contributor

    @sermatica ha detto in Google Analytics è illegale in EU?:

    Se è illegale o non conforme alla legge in Europa che lo rendano non accessibile a chi vive in Europa.

    Google sostiene che lo sia, sulla base di alcune Clausole Speciali. E non è un problema suo, perché (per il momento) non rischia sanzioni, la legge colpisce chi esporta.

    0
  • S
    User Newbie

    Ciao a tutti, qui su LinkedIn ho provato a sintetizzare la questione, corroborando la mia personalissima (e dunque altrettanto discutibile) lettura con quanto emerge nella puntata di #Garantismi dedicata al tema, che credo sia - al momento - la fonte più autorevole di cui disponiamo visto che vede l'autore Matteo Flora a confronto con Guido Scorza componente del collegio del Garante per la protezione dei dati personali.

    1
  • kal
    Contributor

    Grazie del parere! Mi permetto di chiosare su questo punto:

    In concreto, se nella privacy policy (che i miei utenti devono leggere e approvare), spiego per filo e per segno come stanno le cose e perché ho scelto di usare ad esempio Google Analitics, e i miei utenti acconsentono al trasferimento proposto, posso ritenermi "in regola" o no?

    Se spieghi davvero quali sono i rischi (ovvero: "il Governo USA può identificarti come individuo ed accedere ai tuoi dati personali"), chi sarebbe mai così pazzo da cliccare su "Accetto"?

    0
    S 1 Risposta
  • S
    User Newbie

    @kal 😅 in effetti è stata grosso modo questa l'obiezione dei miei colleghi al legale: come fai ad informare un utente del fatto che hai deciso, consapevolmente, di utilizzare un sistema che mette a rischio la sicurezza dei loro dati personali?

    1
    kal 1 Risposta
  • kal
    Contributor

    @simbon la riposta dovrebbe essere ovvia.

    E lo dico con la morte nel cuore, dato che personalmente adoro Google Analytics (Universal) come strumento... ma stiamo arrivando a passi da gigante alla resa dei conti.

    Gli USA rivedranno la loro legislazione per garantire sicurezza ai dati dei cittadini EU?

    Lo vedremo, anche se personalmente non sono pronto a scommetterci.

    1
    S 1 Risposta
  • S
    User Newbie

    @kal Il problema è che non ci sono altre vie d'uscita. O gli USA "si arrendono" e rinunciano alla possibilità di accedere ai dati dei cittadini europei (magari mantenendo la possibilità di accedere ai dati dei loro cittadini? Certo creerebbe una disparità di trattamento difficilmente giustificabile) o l'Europa cede in parte alle velleità di controllo USA (magari andando a dettagliare le clausole di "permesso all'accesso dei dati dei cittadini europei", ma anche qui non mi sembra una soluzione semplice). Nel frattempo alcune aziende (cito come esempio il caso MailChimp, visto che è un'altra delle aziende coinvolte nelle sentenze post-Schrems II) si stanno organizzando per creare data center basati in Europa, ma si tratta di iniziative sporadiche, costose, e lunghe nei tempi di realizzazione, che non possono rappresentare una soluzione generalizzata, anche perché fanno ricadere sui privati (per quanto con spalle larghe) i costi di una mancata decisione politica.

    0
    F kal 2 Risposte
  • F
    Moderatore

    @simbon il problema non è data center in Europa ma aziende europee se quei data center sono di proprietà di un’azienda americana si torna al punto precedente

    2
  • kal
    Contributor

    @simbon come dice @filtro la questione non si risolve solo con un datacenter su suolo EU.

    Serve proprio che l'azienda non sia soggetta al Diritto USA.

    1
  • mirkomassarutto
    User Attivo

    @simbon ha detto in Google Analytics è illegale in EU?:

    iao a tutti, qui su LinkedIn ho provato a sintetizzare la questione, corroborando la mia personalissima (e

    ooook... alternativa? proposte? suggerimnenti?

    esiste sempre un "qualcosa di diverso"...

    altrimenti torniamo in casa come nel 2000... ma mi chiedo come funzionerà ADS e FB....

    1
    F kal 2 Risposte
  • F
    Moderatore

    @mirkomassarutto c’é un vuoto legale, quindi non c’é molto da fare o si colma il vuoto legale oppure internet per l’Europa diventa ingestibile perché dovremmo avere tutte aziende europee che ad oggi non esistono e ci vorranno decenni prima che crescano aziende paragonabili. Tutto l’adv mainstream escluso Criteo sarebbe illegale

    0
  • kal
    Contributor

    @mirkomassarutto ha detto in Google Analytics è illegale in EU?:

    ooook... alternativa? proposte? suggerimnenti?

    1. Matomo On Premise (soluzione valida da subito per siti di piccole dimensioni, l'ho testato sul mio sito personale ed in un caso sul campo con un cliente, funziona)
    2. Fathom Analytics (sono canadesi, non USA, e gestiscono il traffico EU con una CDN su cloud EU. Non l'ho mai testato.)
    3. Spostare il tracciamento lato server e ripulire lì le hit da ogni dato personale (complicato da fare, non è per tutti)
    0
    F 1 Risposta
  • kal
    Contributor

    Segnalo varie considerazioni fatte da Romain Robert, Direttore di Programma per NOYB: https://www.linkedin.com/posts/romain-robert-68456021_gdpr-googleanalytics-activity-6891310811868917760-k50k

    0
  • F
    Moderatore

    @kal stai guardando la punta del
    Problema e non l’orizzonte. Google analytics è solo la punta dell’ iceberg non il problema. Puoi anche installare matomo on premise e gestirti tutto sui tuoi server, ma praticamente qualunque tool di advertising anche in contextual targeting è illegale, perché trasferirà un ip in US, ma anche un sito internet che non ha un hosting gestito da un’azienda Europea è illegale.

    O trovano un accordo tra eu e US o internet come è oggi semplicemente non può esistere in Europa

    Sono state presentate 101 istanze da noyb in giro per l’Europa, 4 solo in Italia e per ora sappiamo il risultato di 2 e non saranno tutte contro GA, avrà preso in considerazione anche altro sicuramente. Aspettiamo, ma la soluzione non è tool diversi ma un accordo EU e US

    2
    kal 1 Risposta
  • S
    User Newbie

    Condivido, è questo il punto: serve un accordo EU-USA che permetta il transito di dati, non ci sono altre soluzioni reali, e non ci sono reali alternative (giustamente come evidenzia anche @filtro nemmeno il data center europeo di un'azienda soggetta a diritto USA è davvero sufficiente, come non sono sufficienti le soluzioni "Società X Ireland"). Ma la domanda allora è: nel frattempo cosa facciamo (nelle nostre aziende e/o per i nostri clienti)? Assodato che non è seriamente pensabile la dismissione totale di punto in bianco di tutte le piattaforme basate in USA, e non ci sono "valide alternative europee" per tutto, resta comunque da capire come gestire questa situazione nell'immediato. Ancora una volta rimando alle affermazioni di Scorza (componente del Garante per la protezione dei dati personali italiano): “La vera partita, la più importante di tutte, si sta giocando ormai da qualche mese tra la Commissione Europea e il governo di Washington, perché nel dialogo tra questi due governi occorre trovare delle soluzioni che rendano nuovamente possibile, in condizioni di sicurezza nella dimensione della privacy, il trasferimento dei dati verso gli Stati Uniti d’America, essendo evidente che questo stato di cose per un verso è incompatibile con il GDPR per l’altro verso è semplicemente incompatibile con il funzionamento di internet, e quindi non è uno stato di cose che può durare nel tempo. I negoziati sono in uno stato avanzato, quindi l’auspicio è che si arrivi a una soluzione il prima possibile”. Quindi in pratica: tocca aspettare, sperando che l'accordo arrivi presto. Solo che anche questa è una toppa abbastanza posticcia: e se qualcuno presentasse denuncia al garante competente? Il garante competente non potrebbe far altro che constatare l'irregolarità. Dice ancora Scorza: “Dobbiamo ricordarci che abbiamo davanti una partita straordinariamente importante, una partita che ha il suo vero epilogo in un accordo tra Europa e Stati Uniti che garantisca la libera circolazione dei dati, non c’è un altro epilogo al quale si possa ambire diverso da questo. Ma è una partita che nei 90 minuti ha per presupposto che le autorità per la protezione dei dati fischino un po’ di falli, che non risolveranno il destino della partita, ma che vanno fischiati perché tanto dicono le regole”. Quindi, non solo tocca aspettare, ma sperare di non essere tra i falli fischiati. Tutto abbastanza precario per i miei gusti, anche perché all'orizzonte non si vede una data precisa per la sottoscrizione di un nuovo accordo (e, aggiungo, non riesco a immaginare la forma di questo accordo).

    0
  • kal
    Contributor

    @filtro ah ne sono ben conscio. Ma il mio dipartimento non comprende ancora le relazioni diplomatiche 😂

    Lato tool invece qualcosa si può fare.

    0
    F 1 Risposta
  • F
    Moderatore

    @kal e come fai advertising? Solo criteo?

    0
    kal 1 Risposta
  • kal
    Contributor

    @filtro ha detto in Google Analytics è illegale in EU?:

    @kal e come fai advertising? Solo criteo?

    Per l'ADV visto che stai usando una piattaforma terza c'è solo una soluzione fattibile: spostare il tracciamento conversioni lato server (e levare lì i dati personali passibili di digital fingerprint ovvero indirizzo IP e User Agent).

    È complicato, specie se fatto su larga scala e a livello PMI. Ma secondo me è comunque il caso di iniziare a pensarci.

    Siamo già in ritardo di quasi due anni.

    0
    F 1 Risposta
Effettua l'accesso per rispondere