Il sito web che utilizza il servizio Google Analytics (GA), senza le garanzie previste dal Regolamento Ue, viola la normativa sulla protezione dei dati perché trasferisce negli Stati Uniti, Paese privo di un adeguato livello di protezione, i dati degli utenti.
Comunicato completo: https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9782874
Direi che hanno seguito l’orientamento anche di Austria:
https://www.theregister.com/2022/01/13/google_analytics_gdpr/
E Francia:
Tutto grazie a Noyb... 
Bene così.
Analytics misura il singolo utente, che poi nella console vedi dati aggregati è un altro paio di maniche - il problema è quello che Google raccoglie.
[cancellato] ok, ma dove gli aggrega? Non ha server in Europa? Vanno tutti direttamente negli USA?
Se ha la sede, mi sembra strano non abbia un server in EU, li possiede per gli altri servizi tipo Youtube e non per GA?
Perché se li aggrega su un server EU e poi li manda ad un server USA già aggregati credo sia differente che mandarli direttamente dall'utente ad server USA non aggregati.
L'articolo da questo punto di vista non è chiaro.
adanf Vanno tutti direttamente negli USA?
Sì, il punto è questo. Il Garante ha accertato che i dati finiscono alla fine negli USA, e dopo che Schrems è riuscito a far invalidare sia Safe Harbour che Privacy Shield, trasferire i dati negli USA usando SCCs è ben più complesso, specialmente per le PMI. Vedi ad esempio:
adanf Se ha la sede mi sembra strano non abbia un server in EU
Neanche tanto strano, perché un sito web non è detto che abbia solo visitatori EU. Potrebbe fare un sistema distribuito dove i dati EU vengono analizzati e aggregati in EU prima di venire inviati alla console di Analytics, ma evidentemente non l'ha fatto. C'è un motivo se è gratis....
[cancellato] Non son stato dietro tutta la vicenda, ma quindi qui dichiarano il falso?
https://support.google.com/analytics/answer/12017362?hl=it
cito:
Analytics non registra gli indirizzi IP
Google Analytics 4 non registra né archivia i singoli indirizzi IP.
Quando Analytics raccoglie i dati di misurazione, tutte le ricerche IP vengono eseguite su server che si trovano nell'UE prima di inoltrare il traffico ai server di Analytics per l'elaborazione
I dati dell'UE vengono raccolti nell'UE
Google Analytics 4 raccoglie tutti i dati provenienti dai dispositivi che si trovano nell'UE (in base alla ricerca geografica dell'IP) attraverso domini e server nell'UE prima di inoltrare il traffico ai server di Analytics per l'elaborazione.
Lo usavo qualche anno fà per un progetto e me lo ricordavo così già allora. Però è da qualche tempo che non lo uso più GA quindi potrei ricordar male alcune parti.
Direi anche finalmente
Comunque non sembra tutta colpa di Google, ma di come viene implementato sul sito che lo utilizza.
Qui un articolo più dettagliato delle "due modalità" una più GDPR compliant e una meno (probabilmente quest'ultima è usabile negli USA e altri stati senza GDPR).
https://www.lexology.com/library/detail.aspx?g=221fdb9e-9f52-4823-87db-fc45cb3ba94f
Il garante austriaco sembra abbia fatto i test seguendo il setup non GDPR compliant.
Cito:
The Austrian decision was the first and the most detailed one, which is why we will focus on it. The decision relies on the manner in which Google Analytics has been implemented in the case at hand. This is important because Google Analytics can be implemented in several different ways, which has an impact on its assessment under the GDPR (and the Swiss Data Protection Act, which follows the same concepts concerning international transfer). In the Austrian case an implementation was chosen as a target by noyb.eu that did not use various features available for data protection compliance. Accordingly, the fact that the authority found the implementation non-compliant does not mean that other implementations of Google Analytics are non-compliant, too.
adanf Google Analytics 4 non registra né archivia i singoli indirizzi IP.
Come fatto notare dal Garante, anche se Google in qualche modo anonimizza questi dati, è in grado di de-anonimizzarli, combinandoli con tutto il resto del fingerprinting che fanno del sistema su quale gira Analytics.
adanf tutte le ricerche IP vengono eseguite su server che si trovano nell'UE prima di inoltrare il traffico ai server di Analytics per l'elaborazione
Quindi i dati lasciano la UE ed è questo che conta. Che prima passino per un server UE non cambia nulla.
Fate attenzione che in tutte quelle risposte ci sono dietro team di avvocati e significano esattamente quello che scrivono e nulla di più, nulla di meno. Ad esempio "non registra né archivia singoli indirizzi IP" potrebbe tranquillamente significare che li trasformano in un hash, che non è più un indirizzo IP. Hash che rimarrebbe univoco e sarebbe anche facile da de-anonimizzare.
[cancellato] infatti non è "compliant" nemmeno la versione denominata "GDPR compliant". Analytics, comunque la si giri, non è compatibile con il GDPR, punto.
edit: qua se ne occupano in diverse puntate, in modo abbastanza colorito ma chiaro
adanf Qui un articolo più dettagliato
Simpatico tizio, direi che la sua posizione sulla GDPR è chiara "quella maledetta legge non ci fa fare soldi facili!!!"
The decisions reflect a trend among data protection authorities towards a fundamentalistic and absolutistic view of data protection,
It has become obvious that noyb.eu and many EEA data protection authorities want to force EEA website operators to switch to EEA-based solutions and in any event stop using Google Analytics regardless of how it is implemented. In our view, however, the discussion concerning the use of US-owned service providers appears to be, first above all, a political one
The ones suffering today are the many European businesses and other organizations that want to properly implement state-of-the-art online techniques, but even with a lot of goodwill cannot understand the attitude and position of many EEA data protection authorities.
Comunque quello che suggerisce è un tentativo di aggirare la GDPR che non cambia nulla, a parte il la necessità di consenso informato, che comunque se non fornito implica che Analytics non può essere usato in quel caso.
Io capisco i motivi dal punto di vista legale/etico, però non riesco a capire come si pretenda di far funzionare internet, come lo conosciamo oggi, a quelle condizioni.
Per Google analytics, google fonts e tutte le librerie scaricate da cdn terze ok, se ne può far a mano, gli utenti si scaricheranno tutto ogni volta per ogni sito che visitano, ma pazienza.
Ma per youtube o maps? (integrati in un sito web) Non mi sembra ci siano alternative che assicurino che i client non si connettano mai a server USA.
Per gli ADS? Su questo forum vedo spesso gli ads di apnic, che palesemente raccolgono statistiche sugli IP, chi mi garantisce che quei dati non oltrepassino mai i confini dell'UE?
E per le CDN/proxy? Quei dati che il garante ritiene, giustamente, personali sono proprio alla base delle loro funzionalità di ottimizzazione del traffico e di sicurezza e non mi sembra proprio che quelle gratuite/più economiche diano garanzie sull'utilizzo di server esclusivamente in UE (alcuni per europa intendono quella geografica)
E siti hostati tramite github pages, wordpress, shopify, anche per quelli va garantito che i dati personali, come l'IP, non escano dai confini UE?
E per i DNS? Se anche un IP troncato è dato personale, usare EDNS può essere illecito? Proprio per il funzionamento dei DNS non si può garantire che quel dato non esca dai confini UE...
E per le piattaforme dove gli utenti possono condividere link di terzi o immagini scaricate da link di terzi? Bisogna proibirlo? Censurare ciò che non è garantito essere in UE?
Chiaramente ora ce la si prende con lo gigante, ma mi sa che sarebbe da mettere al bando mezzo internet (attuale) a queste condizioni
Secondo me la parola Internet non potrà mai essere associata alla parola Privacy
handymenny E per le CDN/proxy? Quei dati che il garante ritiene, giustamente, personali sono proprio alla base delle loro funzionalità di ottimizzazione del traffico e di sicurezza e non mi sembra proprio che quelle gratuite/più economiche diano garanzie sull'utilizzo di server esclusivamente in UE (alcuni per europa intendono quella geografica)
Le CDN per definizione devono essere vicine all'utente quindi sarebbe un controsenso se caricare un javascript dall'Italia richiedesse di connettersi al server della CDN in US.
handymenny E siti hostati tramite github pages, wordpress, shopify, anche per quelli va garantito che i dati personali, come l'IP, non escano dai confini UE?
Esce dai confini per policy, non per ragioni tecniche. Il business model di internet si fonda in larghissima parte sulla sorveglianza, quindi le società hanno interesse nello spostare enormi quantità di dati in paesi dove la normativa sulla privacy è poco restrittiva.
Marco25 Le CDN per definizione devono essere vicine all'utente quindi sarebbe un controsenso se caricare un javascript dall'Italia richiedesse di connettersi al server della CDN in US.
Dillo a cloudflare. In caso di problemi di routing interno non si fa problemi a fare fare il giro del mondo al traffico
handymenny come si pretenda di far funzionare internet, come lo conosciamo oggi,
L'Internet che conosciamo oggi è stata infettata da Google, Faceboolk & C. e difatti va cambiata. Il problema non si poneva prima che cominciassero una sorveglianza continua ed estrema degli utenti. Internet funziona tranquillamente senza.
handymenny non mi sembra ci siano alternative che assicurino che i client non si connettano mai a server USA.
E questo è solo un problema prima di Google e poi degli USA. Se gli USA avessero una protezione equivalente non ci sarebbe alcun problema. Se insistono con FISA e CLOUD Act persino nei confronti dei paesi alleati è giusto che ne subiscano le conseguenze.
Il problema non è ricevere l'IP (o altro dato personale), è quello che ne fai poi. Un server DNS che risponde e non logga l'IP non ha alcun problema. Un server DNS che lo logga e poi ci fa analisi ricade sotto GDPR. E allora dipende cosa ci fai con i log... ma il problema di Analytics non è solo l'IP, è la quantità di dati che raccoglie che permette di risalire ad un identità. Anche se maschera l'ultimo ottetto ci sono solo 255 possibilità che possono venire tranquillamente scremate usando gli altri dati.
Se vuoi trasferire i dati fuori dall'UE devi rispettare le norme in vigore. Ci hanno tentato con Safe Harbor e Privacy Shield ma nessuno dei due ha retto in tribunale. Ora ci stanno riprovando perché le attuali SCCs hanno i loro problemi. Il trasferimento non è vietato in sé, ma l'utente deve essere informato e poterlo accettare o meno - senza che ciò precluda l'uso. Difatti è anni che blocco Analytics e molti altri script sui miei browser e Internet continua a funzionare.
handymenny Per gli ADS?
Il problema è esattamente questo - i soldi facili che girano attorno al brokeraggio degli ads - ma possono tranquillamente smetterla di raccogliere PII sperando di fregare meglio i consumatori - possono passare alla pubblicità contestuale che non richiede di trattare PII.
handymenny E per le piattaforme dove gli utenti possono condividere link di terzi o immagini scaricate da link di terzi? Bisogna proibirlo? Censurare ciò che non è garantito essere in UE?
No, ci vuole il classico disclaimer che se clicchi stai lasciando il sito e lo fai a tuo "rischio e pericolo".
Marco25 Le CDN per definizione devono essere vicine all'utente quindi sarebbe un controsenso se caricare un javascript dall'Italia richiedesse di connettersi al server della CDN in US.
è capitato che la metà (faccio per dire) del traffico di cloudflare da rete TIM venisse processato in USA.
Poi tra le località vicine ci sono anche Svizzera e UK, che mi risultano fuori UE (o sono comunque considerate UE lato privacy/GDPR?)
Marco25 Esce dai confini per policy, non per ragioni tecniche
Dagli articoli/comunicati stampa che sono stati riportati qui ho capito che il problema fosse il trasferimento del dato in uno stato con "poche garanzie" in sé, non la motivazione di questo trasferimento. Mi sbaglio?
[cancellato] No, ci vuole il classico disclaimer che se clicchi stai lasciando il sito e lo fai a tuo "rischio e pericolo".
Su questo forum (giusto perché è quello che ho ora a portata di mano), posso mettere una immagine da tizio.us che viene scaricata direttamente da quel server in USA senza alcun disclaimer per gli utenti di fibra.click
[cancellato] Il problema è esattamente questo - i soldi facili che girano attorno al brokeraggio degli ads - ma possono tranquillamente smetterla di raccogliere PII sperando di fregare meglio i consumatori - possono passare alla pubblicità contestuale che non richiede di trattare PII.
e per il "caso" di APNIC? Come si risolve? Quello non serve a fare soldi facili mi sembra...
[cancellato] Un server DNS che risponde e non logga l'IP non ha alcun problema.
Penso che possiamo dare per scontato che nessun servizio su internet non conservi, nemmeno temporaneamente, gli IP (lo fa anche il mio router in casa, per dire...).
Ad esempio anche il DNS in apparenza più rispettoso della privacy, quad9, se gli mando tre richieste DNS consecutive, alla terza risponde sistematicamente con 30ms di ritardo. Ma è anche giusto che sia così, qualsiasi meccanismo di sicurezza si basa anche sugli IP.
Poi come dicevo sopra a me sembra che il problema non sia l'uso, ma che "terzi" (enti governativi) ci possano accedere facilmente a quei dati. In questo caso, l'uso che ne fa chi li raccoglie, come cambia la situazione? Il problema non è proprio che sono "fuori controllo" una volta trasferiti?
handymenny è capitato che la metà (faccio per dire) del traffico di cloudflare da rete TIM venisse processato in USA.
Dipende da cosa è successo. Un router che inoltra pacchetti non processa i dati secondo GDPR. Altri tipi di trattamento potevano mettere TIM nei guai.
handymenny Poi tra le località vicine ci sono anche Svizzera e UK, che mi risultano fuori UE
UK al momento avendo una legge che recepiva GDPR non è un problema, in futuro si vedrà. La Svizzera ha introdotto ad inizio di quest'anno la sua LPD che cerca di armonizzare il trattamento dei dati con GDPR.
handymenny ho capito che il problema fosse il trasferimento del dato in uno stato con "poche garanzie" in sé
Esatto. Il problema è il trasferimento dei dati in stati che non garantiscono adeguate protezioni paragonabili a GDPR:
È opportuno però che, quando i dati personali sono trasferiti dall'Unione a titolari del trattamento e responsabili del trattamento o altri destinatari in paesi terzi o a organizzazioni internazionali, il livello di tutela delle persone fisiche assicurato nell'Unione dal presente regolamento non sia compromesso, anche nei casi di trasferimenti successivi dei dati personali dal paese terzo o dall'organizzazione internazionale verso titolari del trattamento e responsabili del trattamento nello stesso o in un altro paese terzo o presso un'altra organizzazione internazionale. In ogni caso, i trasferimenti verso paesi terzi e organizzazioni internazionali potrebbero essere effettuati soltanto nel pieno rispetto del presente regolamento.
("recital" 101 di GDPR)
handymenny posso mettere una immagine da tizio.us che viene scaricata direttamente da quel server in USA senza alcun disclaimer per gli utenti di fibra.click
In questo caso fibraclick potrebbe avere problemi - non è diverso dal "pixel" di Facebook. Dipende da cosa è scritto nei termini di servizio accettati dagli utenti.
handymenny e per il "caso" di APNIC? Come si risolve? Quello non serve a fare soldi facili mi sembra...
Dipende da dov'è che APNIC tratta i dati e perché.
handymenny Ma è anche giusto che sia così, qualsiasi meccanismo di sicurezza si basa anche sugli IP.
Ci sono processi che sono esclusi da GDPR. Tutto dipende da cosa ci fai con quei dati.
handymenny Poi come dicevo sopra a me sembra che il problema non sia l'uso, ma che "terzi" (enti governativi) ci possano accedere facilmente a quei dati
Tutti e due. Analytics richiede il consenso informato fosse anche tutto nella UE. Se poi quei dati vengono trasferiti in un paese terzo "non adeguato", c'è un ulteriore problema.
[cancellato] Dipende da cosa è successo. Un router che inoltra pacchetti non processa i dati secondo GDPR. Altri tipi di trattamento potevano mettere TIM nei guai.
Sono stato poco chiaro io, intendevo che parte dei siti web che usano cloudflare come CDN, venivano serviti dall'USA (è capitato più volte durante il primo lockdown). E non erano router, erano chiaramente webproxy con raccolta di dati per far funzionare anti ddos, firewall e affini.
Visto che è una cosa che può capitare, per me non si può ridurre il tutto a "usare CDN è ok, tanto le richieste vengono servite da server vicini all'utente"
Cioè per come la vedo io, i dati processati da questi servizi vengono raccolti dove termina il traffico TLS/SSL, che poi vengano trasferiti o conservati altrove, non cambia che (nel caso di sopra) sono stati raccolti presumibilmente in USA dove appunto terminava il traffico TLS/SSL
Informativa privacy
-
Informativa cookie
-
Termini e condizioni
-
Regolamento
-
Disclaimer
-
🏳️🌈
P.I. IT16712091004 - info@fibraclick.it
♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile
