• Moderatore

    Con GA4 c'è un problemi di privacy come GA3?

    @halfmoon ha detto in Check list operativa per la migrazione a GA4:

    collegamento a Google Ads

    Quoto, ma servirebbe capire se con #GA4 si presenta il problema privacy come su GA3.


    halfmoon Emanuele Ricci 2 Risposte
  • User Attivo

    @sermatica su questo punto ti linko la guida ufficiale:

    https://support.google.com/analytics/answer/12017362?hl=it

    Privacy e dati nell'UE
    Durante la raccolta dei dati, Google Analytics 4 non registra né archivia gli indirizzi IP.

    Analytics elimina eventuali indirizzi IP raccolti sugli utenti dell'UE prima di registrare questi dati tramite domini e server che si trovano nell'UE.
    Inoltre, Analytics fornisce controlli per:

    Disattivare la raccolta di dati di Google Signals in base all'area geografica
    Disattivare la raccolta di dati granulari su località e dispositivo in base all'area geografica

    Secondo molti sembrerebbe poter essere compliant, ma ovviamente fino a quando non si esprime il garante non si può avere certezza.


    ? 1 Risposta
  • @halfmoon ha detto in Check list operativa per la migrazione a GA4:

    Secondo molti sembrerebbe poter essere compliant, ma ovviamente fino a quando non si esprime il garante non si può avere certezza.

    Infatti... il Garante si è già espresso, non è solo l'indirizzo IP la questione, altrimenti basterebbe anonimizzarlo, o eliminare gli ultimi gruppi di cifre, il problema è che Google ha una marea di dati che raccoglie su ogni singolo utente che rendono possibile risalire a questi.
    Almeno questo è quanto ho capito io...

    Secondo me sarebbe fantastico e utile proporre delle alternative a Google, l'uso di questi e un confronto tra gli utenti.


  • Appena pubblicato nel blog di Google e a me che sono ignorante sembra una supercazzola. Mi da l'idea che Google ci tenga a dimostrare che ha risolto le problematiche sulla privacy causate da gente brutta e cattiva, anzi sono molto attenti e forse inizieranno a multare direttamente chi nbon si attiene alle normative 😂

    https://blog.google/products/marketingplatform/analytics/prepare-for-future-with-google-analytics-4/?utm_campaign=2022-q1-gbl-all-gafree&utm_source=google-growth&utm_medium=email&utm_content=ga-deprecation-comm-read-only


  • Chiedo scusa, l'articolo non è stato appena pubblicato, è del 16 marzo scorso, ma nelle ultime ore stanno inviando la newsletter, come a tutti gli iscritti nel blog, e la sto ricevndo su tutti gli account Gmail.


  • User Attivo

    @kal domanda su stape
    https://stape.io/solutions/multiple-server-locations#stape-s-gtm-server-locations

    Quindi anche se gli noleggi un server in Europa siccome la società sta in usa è Comunque illegale perché nsa entra a far quel che vuole ?


    kal 1 Risposta
  • Contributor

    @shazarak esattamente.

    LA QUESTIONE LEGALE


    GA4 rispetta la GDPR? La faccio breve: se installata lato client no e non potrà MAI rispettarla nel quadro normativo attuale. In sintesi: se il client invia le hit ad un server di Google, stiamo fornendo dati di cittadini EU ad un'azienda USA. Non si può. È illegale. Interdits. VERBOTEN.

    Si mettano il cuore in pace i colleghi che fanno voli pindarici e prendono posizioni ambigue.

    Che fare, quindi?

    Va installata lato server, ovvero: il computer dell'utente invierà le hit a un NOSTRO server il quale si occuperà di inviarle a Google. Anche qui, veloce ed in sintesi: possiamo usare Google Cloud? Niet. Siamo d'accapo. Niente cloud USA! Possiamo usare Stape.io che pare stia andando di gran moda? 8 The Green, Suite # 12892, Dover, DE 19901. Vedete un po' voi.

    In definitiva: possiamo usare GA4 in modo pienamente compliant solo:

    1. lato server
    2. su server proprietario di fornitore cloud EU, sul quale gira l'immagine docker di GTM

    Imbarcarsi nell'impresa è una cosa raccomandabile?

    Anche qui, la faccio breve: no.

    Una cosa del genere richiede di avere a disposizione almeno un sistemista che sappia come amministrare e dimensionare il server, gestire e tenere aggiornata l'installazione... garantire l'uptime e tutto il cucuzzaro.

    Non è una cosa per small business, ma per aziende dalle spalle larghe e tasche profonde. Personalmente l'ho prospettata come soluzione valutabile solo per un 1% dei miei clienti.

    Perché ho fatto tutta questa premessa? Beh, perché c'è sempre l'opzione "facciamo i banditi", ovvero installiamo comunque GA4 lato client e in sella alla bersagliera!

    Personalmente è una cosa che non raccomando, ma con un bello scarico di responsabilità i problemi spariscono.


    shazarak 1 Risposta
  • User Attivo

    @kal da una parte meglio così mi evito di smanettare su server side, dall’ altra …ehm…. Un mal di testa a grappolo da meno fastidio della faccenda hihihi
    Grazie


    kal 1 Risposta
  • Contributor

    @shazarak eh, sì... La situa è abbastanza incasinata 😂

    Anche se, onestamente, una volta che ti metti a ragionare a mente fredda, GA4 non è per forza l'unica soluzione.

    Anzi.

    Dipende tutto da ciò che ti serve.

    E questa cosa resta vera a prescindere dalla situazione legale...

    I veri vantaggi di GA4 sono:

    • aggregazione di molte origini dati in un unico hub incentrato attorno all'utente
    • collegamento a BigQuery per il dato censuario
    • uso della segmentazione avanzata per creare liste di remarketing estremamente granulari grazie al collegamento con Ads

    Tutte queste cose sono realmente applicabili con profitto solo su siti grossi, possibilmente già integrati con CRM e app mobile.

    Il sitarello da poche migliaia di visite al mese non potrà mai davvero beneficiarne con profitto.

    Anche per questo personalmente metto il Piano di Misurazione davanti a qualunque installazione di GA4... Perché se puoi permetterti un Piano di Misurazione, allora forse puoi anche beneficiare dello strumento.

    Se un Piano di Misurazione pare "troppo"... Allora senza dubbio anche GA4 è "troppo".


    shazarak 1 Risposta
  • User Attivo

    @kal eh si capisco e seguo. Infatti plausible.io al momento lo vedo molto interessante


  • User Attivo

    @giorgiotave @kal scusate, ma mi chiedo:
    se è vero che non è possibile usare stape.io perchè la società ha sede in USA e quindi bla bla bla Nsa può avere accesso,...
    allora allo stesso modo creare un server side con google cloud o aws o azure, allo stesso modo non è fattibile ?
    è corretto?

    quindi l'unico modo compliance sarebbe un gtm server side con server proprietario ?
    ma anche qui, significa che bisognerebbe prendere un serve proprietario da un servizio con sede in europa e non come Digital Ocean ecc sempre per lo stesso motivo delle società con sede in USA

    dove sbaglio nel ragionamento?
    grazie


  • User

    @kal grazie per il contributo, ma non credo le cose stiano così, il cloud di google con datacenter in europa è utilizzabile, cosi come può esserlo aws o azure, etc, parliamo di cloud unmanaged dove i dati sono sotto il tuo pieno controllo, loro stessi non hanno accesso (o almeno cosi dicono, e quel che conta è questo, se le cose non si rivelassero così, sarebbero grandi problemi per loro), ma anche ammettendo che abbiano accesso, anzichè usare il loro sistema di cifratura managed, puoi mettere le tue chiavi (sconsigliato seriamente per aziende senza un reparto IT veramente competente)

    CMEK
    https://cloud.google.com/dataproc/docs/concepts/configuring-clusters/customer-managed-encryption
    vs CSEK
    https://cloud.google.com/docs/security/encryption/customer-supplied-encryption-keys

    Ho sentito pure io Guido Scorza suscitare questo dubbio, ma mi sono sembrate pure illazioni dette da uno che non mastica l'argomento.

    attendiamo piuttosto con ansia uno SHREMS 3, perchè alla fine è tutta una questione politica ( e mi spiace dirlo perchè suona fin troppo banale)


    Emanuele Ricci 1 Risposta
  • User

    Secondo voi ha senso implementare tutto un sistema server side tracking con sistemisti, server casini vari? Cioè per poi tracciare pochi dati alla fine (signals ad esempio non funziona)...
    Inoltre non essendo sicuri che soluzioni come stape siano GDPR compliant?


    kal 1 Risposta
  • User Newbie

    Non è possibile risolvere la questione dichiarando nell'informativa cookie che il sito utilizza GA4 e che esso invia dati in USA? In questo modo l'utente è avvisato e se accetta l'informativa viene tracciato mentre se la rifiuta no


    kal 1 Risposta
  • Contributor

    @anferra ha detto in Check list operativa per la migrazione a GA4:

    Non è possibile risolvere la questione dichiarando nell'informativa cookie che il sito utilizza GA4 e che esso invia dati in USA? In questo modo l'utente è avvisato e se accetta l'informativa viene tracciato mentre se la rifiuta no

    Purtroppo no. Eccezioni nell'esportazione del dato sono ammesse, ma solo su casi singoli e dove il dato è necessario per accedere al servizio.

    (Es. per viaggiare negli USA, l'hotel deve poter avere avere i tuoi dati...)


  • Contributor

    @cristian-bre ha detto in Check list operativa per la migrazione a GA4:

    Secondo voi ha senso implementare tutto un sistema server side tracking con sistemisti, server casini vari? Cioè per poi tracciare pochi dati alla fine (signals ad esempio non funziona)...
    Inoltre non essendo sicuri che soluzioni come stape siano GDPR compliant?

    Come detto, secondo me nella fascia small business GA4 è abbastanza inutile.

    Hai solo "rogne" e nessun beneficio sostanziale.


    S 1 Risposta
  • User

    @claudiosaitta @kal questo è dalle policy di stape.io:

    International transfers and localisation of data
    To achieve uniform protection of client data, we are offering to conclude an international transfer mechanism with Stape, namely the Standard Contractual Clauses (SCC) as approved by the European Commission.
    In the scope of our compliance assessment we also envisage the possibility of restructuring the geography of our data processing to store and process our client’s data in accordance with its region.


    kal C 2 Risposte
  • Contributor

    @emanuele-ricci ha detto in Check list operativa per la migrazione a GA4:

    namely the Standard Contractual Clauses (SCC) as approved by the European Commission.

    SCC che sono valide solo se vi sono le famose "additional measures"... che è stato stabilito Google Analytics non ha.

    (ii)Additionally, the Court affirmed the validity of the SCC Decision and held that SCCs donot, per se, present lawful or unlawful grounds for data transfer (no panacea). The CJEU also stipulatesthat data controllers or operators that seek to transfer data based on SCCs, must ensure that the data subject is afforded a level of protection essentially equivalent to that guaranteed by the GDPR and CFR – if necessary with additional measures to compensate for lacunae in the protection of third-country legal systems. Failing that, operators must suspend the data transfer.

    https://www.europarl.europa.eu/RegData/etudes/ATAG/2020/652073/EPRS_ATA(2020)652073_EN.pdf

    Stape.io ha delle "additional measures" in campo? Non le menzionano, quindi legalmente no, non le hanno.

    Ma anche tecnicamente, no... perché forniscono un servizio di elaborazione e sui server di Stape gira necessariamente tutto in chiaro.

    Poi uno si fa le valutazioni del rischio e come detto, si può benissimo andare alla bersagliera. Ma a quel punto tra usare un servizio a pagamento che NON ti garantisce la compliance legale ed andare lato client... è chiaro che è meno costoso andare lato client.

    Se devi fare il bandito, almeno fallo bene :3:


  • User

    @emanuele-ricci quindi ad oggi effettivamente non ci sono le garanzie richieste, perchè "si stanno attuando per raggiungere tale accordo".

    Mentre la soluzione usando direttamente google cloud sembrerebbe valida perchè:

    Quando utilizzi Google Workspace o Google Cloud:

    I dati appartengono a te, non a Google
    Google non vende i dati dei clienti a terze parti
    Google Cloud non utilizza i dati dei clienti per la pubblicità
    Tutti i dati dei clienti sono criptati per impostazione predefinita
    Proteggiamo i dati dei clienti dall'accesso di personale interno
    Non diamo mai ad alcun ente governativo un accesso "backdoor" ai dati
    Le nostre norme di tutela della privacy sono verificate in base agli standard internazionali

    https://cloud.google.com/security/transparency

    se lo dicono e non lo fanno, sarebbe un problema ben più grave di una sanzione da parte del garante che, parere personale, pensasse a capire come ottengono il consenso certi call center italianissimi a rompermi i maroni a ogni ora del giorno.

    edit: poi ripeto, se uno vuol essere ancora più sicuro come detto sopra, anzichè usare le istanze managed di App Engine, può benissimo creare il proprio server il cui hard disk è criptato con chiave gestite interamente dal cliente, ma a quel punto per aziende piccole, veramente, hai più ritorno di investimento andando totalmente alla cieca col tuo business online, oppure andare su soluzioni alternative, ma anche li, non è che sia tutto senza costi eh? anche un banale matomo va mantenuto


    kal 1 Risposta
  • User

    @claudiosaitta @kal avete assolutamente ragione, però vi faccio notare che il Garante ha analizzato e si è espresso su GA non su stape.io. Usare GA client side è palesemente errato, mentre... fino a che il garante non si esprime su stape.io io sono in buona fede.... Se seguiamo il vostro ragionamento che è corretto formalmente allora dovremmo smettere di usare FB, Google Ads, Insta e qualsiasi altra cosa abbia dati accessibili dagli USA....


    kal C 2 Risposte