15 Novembre 2022
È illegittimo per il Garante della privacy italiano il trasferimento negli USA dall'Unione europea dei dati raccolti da Google Analytics. Gli Stati Uniti non assicurano, secondo l'Autorità, un "adeguato livello di protezione" ai dati degli utenti, a differenza di quanto avviene in Europa dall'introduzione del Regolamento generale sulla protezione dei dati o GDPR.
Il verdetto, che si pone in scia a quelli emessi dagli omologhi francese e austriaco, arriva al termine di una "complessa istruttoria" generata da alcuni reclami e in coordinamento con altre Autorità europee che si occupano di privacy. L'indagine ha evidenziato che i proprietari di siti e portali che si affidano ad Analytics raccolgono, attraverso i cookie, "informazioni sulle interazioni degli utenti con i predetti siti, le singole pagine visitate e i servizi proposti".
IP È DATO PERSONALE ANCHE SE TRONCO, GOOGLE TROPPO BRAVA
Poi dettagli precisi come l'indirizzo IP del dispositivo utilizzato dall'utente, browser e sistema operativo utilizzati, data e ora della visita e anche la risoluzione del display "salpano" alla volta degli USA. Il Garante ha chiarito che l'indirizzo IP è considerato un dato personale, e troncarlo non è sufficiente a renderlo anonimo "considerata la capacità di Google di arricchirlo con altri dati di cui è in possesso".
Al Garante preoccupa la possibilità che Autorità e agenzie di intelligence a stelle e strisce possano accedere a diversi dati, tutti piuttosto precisi, degli utenti senza le dovute garanzie in fatto di tutele e riservatezza.
Con l’occasione l’Autorità richiama all’attenzione di tutti i gestori italiani di siti web, pubblici e privati, l’illiceità dei trasferimenti effettuati verso gli Stati Uniti attraverso Google Analytics, anche in considerazione delle numerose segnalazioni e quesiti che stanno pervenendo all’Ufficio. E invita tutti i titolari del trattamento a verificare la conformità delle modalità di utilizzo di cookie e altri strumenti di tracciamento utilizzati sui propri siti web, con particolare attenzione a Google Analytics e ad altri servizi analoghi, con la normativa in materia di protezione dei dati personali.
PRIMA AMMONIZIONE, NE SEGUIRANNO ALTRE
Le società destinatarie del provvedimento di ammonizione hanno 90 giorni prima che il Garante avvii un'ispezione per verificare il rispetto del GDPR in materia di trasferimento dei dati. Il primo - "di una serie" - ha già un nome e un cognome: Caffeina Media SRL è stata avvertita il 9 giugno scorso di avere tre mesi per conformarsi al Regolamento europeo, tempo "ritenuto congruo per consentire al gestore di adottare misure adeguate per il trasferimento, pena la sospensione dei flussi di dati effettuati, per il tramite di Google Analytics, verso gli Stati Uniti".
Google dev'essere poco sorpresa dalla decisione del Garante italiano. Già a gennaio aveva chiesto a USA e Unione europea di collaborare per stabilire nuove regole per la gestione dei dati e per il loro trasferimento da una sponda all'altra dell'Oceano Atlantico.
Commenti
optimised for google... translate [ into Eng. ]
<draft>
identifichiamo soltanto un [ 1 ] " problema " e questione che é sempre collegata a trattamento [ i.e: gestione e tutela ] di ' dati sensibili ' e ' informazioni personali ' e che può aver luogo quando le imprese agiscono esclusivamente nell'interesse di quelle norme ormai certamente in vigore.
quella questione implica - ma senza limitazione a - certo esame e certa valutazione di anche differenti ' punti di vista ' [ aspetti ] e che dovranno poi agevolare un impedimento per evitare l'evento di aggregazione di ' dati sensibili e informazioni personali ' - ricavati anche con differenti metodi, strumenti e poi in congiunture non sincroniche - il " problema " implica inoltre quel divieto di trasferire, oltre oceano e negli USA, le ' informazioni personali ' e i ' dati sensibili ' poiché non dovranno nemmeno essere offerti a " quei rami di un'attività amministrativa " che si trovano al di là dei confini dell'EU [ é anche buona norma considerare quell'opportunità per inserire e poi sanzionare quel emendamento e vietare così il trasferimento di ' dati sensibili ' e oltre i confini nazionali. ]
non é poi ben chiaro perché le ' autorità e agenzie di intelligence ' [ CIA e NSA negli stati uniti ] sarebbero forse " inaffidabili " e meno " capaci " di assicurare un anche adeguato livello di protezione con le dovute garanzie in fatto di difesa e riservatezza mentre [ ' autorità e agenzie di intelligence ' ] potrebbero esaminare ovvero potrebbero anche non esaminare mai quei " dati sensibili " di proprietà degli utenti e quando le equivalenti attività sono: ...forse; presumibilmente [ allegedly ]; talvolta attendibili poiché svolte da " agenzie di intelligence " in europa dove quel regolamento [ GDPR ] potrebbe essere noto ovvero potrebbe anche essere ignoto a quegli addetti ai lavori.
mettiamo infine in evidenza circostanze per collocare nuovamente nel contesto appropriato - ai fini di una valutazione - quelle filiali di ' operatori per la rete telefonica ' e ' società controllate ' oppure succursali di quelle " imprese in un settore dell'industria per le telecomunicazioni " [ i.e: network operators; service providers; telephony company ] mentre tutte impiegano " addetti ai lavori " e dipendenti oppure responsabili che " hanno sempre caratteristiche simili " e ancora molto simili a quei membri di " un'associazione per delinquere " [ i.e: crimine organizzato a scopo di estorsione ] pertanto... il " problema " deve essere risolto sempre prima e certamente " a monte ", portando a termine un'indagine laddove quegli operatori e quelle ' imprese in un'industria per le telecomunicazioni ' " dimenticano " - per non scrivere: volontariamente vendono informazioni personali - sfuggendo, talvolta, quel tale obbligo per tutelare [ obliterare ] i ' dati sensibili '
e le ' informazioni personali 'quindi anche quel ' indirizzo IP ' ma certamente la ' numerazione telefonica ' che google può sempre collegare [ associare e unire ] a personali informazioni e data di nascita; indirizzo di posta elettronica e del luogo di lavoro; nome e cognome; recapito postale; sesso etc etc...</draft>
Va beh...
ripeto, se usi Analytics così a caso usi Matomo se usi Analytics seriamente invece no
Totalmente falso. Mai sentito parlare, ad esempio, di Matomo? 100% conforme al GDPRP, puoi installarlo nel tuo server, gratis essendo open source, ha il tracciamento e-commerce e degli obiettivi, il tag-manager, più un infinità di plugin (in questo caso non tutti gratuiti). Infine non viene bloccato dai vari sistemi anti tracciamento, quindi è molto più preciso di Analytics.
Ma esiste eccome alternativa ad Analytics, soprattutto considerato che analytics è contraria ai principi della legislazione europea. È come dire che non esiste alternativa alla pirateria se vuoi vedere film che Netflix non propone.
sono d'accordo con te, chi non lo usa quotidianamente non comprende, sarebbe come dire domani rendo illegale GSC e allora chiudi internet e fai prima
Google fa cosa gli pare nei limiti delle leggi in vigore. Vuole raccogliere dati personali su consenso? Lo fa. E allora Facebook? Fa molto di più perché ha data di nascita, email, la tua vita... e rompono le scatole ai webmaster.
"i banner per l'accettazione sono stati fatti esplicitamente per rovinare la UX" quindi si creano problemi ai cittadini ed ai webmaster perché non si vuole toccare i big che creano i browser? Mi ricorda tanto la famosa tassa al 15% che vorrebbero applicare alle multinazionali mentre ai poracci tocca pagare il 49%.
Una cosa come DuckDuckGo Privacy Essentials andrebbe resa obbligatoria nei browser per togliere i banner per accettazione.
Se c'è una legge è chiaro che va rispettata ma è altrettanto evidente che la si possa criticare per migliorarla. E' triste anche solo pensare che si possa dire "c'è una legge, mi rassegno".
Ma il blocco preventivo dei cookies di Analytics non sarebbe già obbligatorio?
Quindi tu mi consigli Brave + DuckDuckGo.
Proverò per un paio di settimane e tirerò le mie conclusioni.
Grazie per la dritta
Faranno un terza o quarta riforma sull'uso dei dati da parte degli USA? Due sono state bocciate: safe harbor e privacy sheld, adesso vogliono bocciare anche l'attuale per la sentenza Schrems II che viene dopo la Schrems I. Ovviamente l'Europa farà una riforma che sarà impugnata da Schrems e darà luogo alla sentenza Schrems III. Una presa per i fondelli.
<draft>
il problema é sempre e soltanto uno: ' gestione di dati personali e sensibili ' che deve essere conforme a certe norme attualmente in vigore. questo comporta poi differenti aspetti tra cui l'aggregazione di dati e di informazioni ottenuti anche con differenti modalità e in tempi che non sono sincronici e certamente comporta anche quel divieto di trasferire informazioni sensibili negli USA.
ciò detto... quando quelle filiali ovvero società controllate e succursali di operatori della telefonia, coinvolgono anche addetti ai lavori [ dipendenti ] che assomigliano di più a membri di un'associazione a delinquere, il problema resterà sempre " a monte " ovvero dove ' quegli operatori e società per le telecomunicazioni " dimenticano " [ per non scrivere " volontariamente vendono dati sensibili " ] evitando anche di tutelare dati personali e sensibili tra cui quella numerazione telefonica che google potrà allora utilizzare per ritrovare: nome e cognome, recapito postale, indirizzo di posta elettronica, data di nascita, sesso, luogo di lavoro etc etc...
</draft>
• 12 hours ago @malapropysm wrote:
stai parlando di due problemi differenti: il primo lo hai detto tu e non serve ripeterlo, il secondo si riferisce al trasferimento di dati negli USA senza una base legale visto che la sentenza della corte di giustizia europea (Schrems II) lo vieta.
Ciao!
Premesso che non conosco benissimo Safari (ho Mac, ma non un Iphone e quindi non mi sono mai interessato ad usarlo), l'opzione migliore per la privacy è una base Firefox altamente customizzata. Ci sono tante guide al riguardo online, ma è una cosa che richiede un po' di pratica (troppa per i miei gusti).
Io utilizzo Brave, che pur essendo Chromium based (ahimè), integra di default blocco di traccianti e advertising senza bisogno di plugin di terze parti. Ha molti setting integrati per impostare il livello di tutela di privacy che preferisci (chiaramente se imposti tutto al massimo rischi anche alcuni siti non funzionino correttamente, tanto in profondità vai a "bloccare"). All'occorrenza, integra anche un TOR browser tutto sommato accettabile.
Come Search engine DuckDuckGo è buono, ultimamente sono passato a Brave Search e mi sto trovando bene.
Cari gestori, analytics non è stato rimosso dal vostro sito dopo la pubblicazione della notizia, come la mettiamo? :D
Librewolf, è un fork di firefox con settaggi più rigidi lato privacy
Certo che conosco il GDPR, ciò non significa che lo debba rispettare considerando che non esistono alternative e che il 90% dei siti web lo usano, compresa la PA.
Ciao Andrea, io uso Safari su iOS/macOS, motore di ricerca DuckDuckGo e come estensione/plugin 1Blocker…
Cosa mi consigli per migliorare o aumentare la tutela della mia privacy?
Sono disposto a cambiare tutto, anche se abbandonare Safari sarebbe una “coltellata”.
Grazie
Ah beh allora se ci lavori tu, fermiamo tutto. Ma poi, lavori coi dati e non conosci il GDPR?
Quante cose sbagliate.
Google potrebbe funzionare senza raccolta di dati personali e quindi senza violazione gdpr. Nessuno te lo toglie.
Non basta legiferare sui cookie perché la legislazione USA consente al governo di avere accesso ad ogni dato delle sue aziende a prescindere dai termini del contratto.
Sui cookie, il gdpr è una manna dal cielo e dovreste ringraziarlo. I banner per l'accettazione sono stati fatti esplicitamente per rovinare la UX in modo tale che la gente percepisse come un ostacolo il tema della tutela alla privacy.
Suggerisco di usare un browser che blocca i cookie di terze parti (o li cancella alla chiusura) e plugin per l'accettazione automatica dei banner, così nemmeno li vedi più.
Comunque, se una legge c'è va rispettata ed è triste anche solo pensare che si possa dire "ignoriamola perché non c'è un servizio che mi piace allo stesso modo, anche se questo viola la mia privacy"
Non è vero.
Comunque, anche fosse, per me un professionista che lavora con i dati e liquida come sciocchezze il rispetto della normativa in tema di privacy è uno che non sa lavorare.
non esiste alternativa a Analytics se usi Analytics seriamente
non esiste alternativa a Analytics se usi Analytics seriamente.
e lavori male
ma chi l'ha detto che non c'è alternativa a Google analytics?
in che senso?
stai parlando di due problemi differenti: il primo lo hai detto tu e non serve ripeterlo, il secondo si riferisce al trasferimento di dati negli USA senza una base legale visto che la sentenza della corte di giustizia europea (Schrems II) lo vieta.
<draft>
.... mah !
distolgono l'attenzione ponendo enfasi su quel indirizzo IP [ talvolta troncato ] mentre dimenticano sempre che " google " potrà sempre associare | collegare anche quella nostra numerazione telefonica a tal " google account " che sfrutta quel indirizzo di posta elettronica e che utilizziamo, " google " [ forse anche altri ] potranno sempre ritrovare quella infinta serie di informazioni e ' dati sensibili ' e ogni qualvolta visitiamo pagine con ipertesto [ sia che utilizziamo un computer portatile oppure uno smartphone e altri dispositivi ]
il problema non può essere isolato a quel trasferimento di dati [ singole informazioni ] e informazioni verso gli USA ma dovremo anche riconsiderare certa negligenza mettendo in relazione quella scarsa capacità degli ' operatori per le telecomunicazioni ' quando si ritrovano a non gestire mai [ mai tutelano ] quelle nostre informazioni personali.
</draft>
Non se ne andrà sicuro, ma non bastano i server in Europa.
E allora impara a fare il tuo lavoro e usa servizi che rispettano i regolamenti sui dati che tratti.
Ma se non sono conformi al gdpr cosa devi fare? Farti calpestare una legge perché "oh no come faccio senza Google?"
Sentiamo, genio. Perché?
... ooooh, ecco che gugol ora fallisce
(ironic mode ON)
https://media1.giphy.com/me...
allora visto che tu ci lavori tutto il mondo è giustificato! adesso è chiaro.
ah beh perfetto...
A me non frega niente del perché sia inapplicabile.
Io ci lavoro con Analytics con i miei ecommerce e non ho certo tempo da perdere con ste càzzãte.
Ma infatti, non so se ridere o piangere davanti a tanta ignoranza tecnologica.
Ennesima dimostrazione che chi commina le sanzioni non ha la minima idea di come funzioni tecnicamente quello che sta sanzionando.
Da quando qualunque dato nelle mani di Google ha la minima garanzia di nulla?
finalmente, non ci possiamo fidare degli americani quando poi questi dati vengono usati per spargere propaganda americana nei meno intelligenti
No, non se ne rendono conto. Comunque tranquillo, succederà che Google bloccherà i dati in EU e basta.