Wordpress e GDPR: google analytics è illegale in UE

[nedonodo]

Salve,
altervista integra google analytics 3 e 4 i quali sono illegali da quando è in vigore il GDPR maggio 2018. Inoltre, l'illegalità è stata ribadita dalla sentenza Schrems II e dai vari garanti sulla privacy UE incluso quello italiano a giugno 2022.
Esiste la possibilità di disattivarlo, meglio rimuoverlo?
Altrimenti credo che a breve interverrà il garante sulla privacy italiano?
Grazie

[frasidipace]

Salve,
il Garante della privacy si è già espresso in Italia lo scorso 9 giugno. I titolari dei siti web hanno 90 giorni di tempo da quella data per porre in essere opportuni accorgimenti tecnici.
Lo staff di Altervista ha già risposto sul tema qui.
Da precisare che il problema si genera con Universal Analytics e non con Google Analytics versione 4. Quest'ultimo, infatti, non memorizza l'ip dell'utente dopo le elaborazioni ed ha serventi in UE, non negli USA come U.A..
Con U.A., invece, il titolare del sito invia direttamente in USA i dati personali dell'utente, compreso l'ip anche se anonimizzato, che è una finta anonimizzazione.

Saluti

[iisavogadro]

Salve,
il Garante della privacy si è già espresso in Italia lo scorso 9 giugno. I titolari dei siti web hanno 90 giorni di tempo da quella data per porre in essere opportuni accorgimenti tecnici.
Lo staff di Altervista ha già risposto sul tema qui.
Da precisare che il problema si genera con Universal Analytics e non con Google Analytics versione 4. Quest'ultimo, infatti, non memorizza l'ip dell'utente dopo le elaborazioni ed ha serventi in UE, non negli USA come U.A..
Con U.A., invece, il titolare del sito invia direttamente in USA i dati personali dell'utente, compreso l'ip anche se anonimizzato, che è una finta anonimizzazione.

Saluti

Non è ben informato, anche google analytic 4 è illegale, legga qui. Entro 90 giorni vedremo i risultati.

[frasidipace]

Non è ben informato, anche google analytic 4 è illegale, legga qui. Entro 90 giorni vedremo i risultati.

Non basta un articolo che fa solo critica con qualche battutina per stabilire se è legale o meno. In rete ci sono numerosi articoli e video anche di legali esperti della materia che dicono l'esatto contrario dell'articolo in questione.
Per comprendere se è legale o meno bisogna andare alla radice del problema, che nasce da una segnalazione di un utente che risale al 2020, relativo ad un sito web di un'Azienda a cui era connesso UA.
Il Garante ha rilevato che i ntal caso il titolare del sito web inviava a serventi USA dati personali e negli USA non ci sono norme relative alla privacy come in UE, quindi i cittadini europei non erano tutelati da questo punto di vista. Dunque nella disposizione del Garante non v'è al momento alcuna indicazione circa GA 4.
GA 4 ha i serventi in UE e anche se rileva lì'ip per delle elaborazioni, lo cancella prima di proxarlo sui propri serventi.
Se, pertanto, successivamente trasmette dati fuori dalla UE, li trasmette privi di ip e negli USA non sarebbero in grado di risalire all'utente specifico.
Il titolare del sito web, pertanto, trasmette dati personali, ma all'interno della UE. Se GA 4 trasmette dati personali fuori dalla UE, deve farlo nel rispetto del GDPR. Se non lo rispetta, non è il titolare del sito web ad esserne responsabile, ma GA4.
Il Garante, come si legge nello stesso articolo, non ha anlizzato GA4, perché non era l'oggetto del contendere, e quindi si è pronunciato in tal senso, ma non si è pronunciato nei confronti di UA, ma mei confronti di quella Azienda ritenuta responsabile di invio dati extra UE, tra l'altro invitando a mettere in essere accorgimenti tecnici per evitare tale trasmissione dati. Non c'è stata alcuna multa.
Se, pertanto, quell'Azienda mette in essere accorgimenti tecnici adeguati, così come qualsiasi altro titolare di sito web, può continuare ad utilizzare UA.
Utilizare GA4 è un accorgimento tecnico, perché consente al titolare di non trasmettere dati extra UE e di rispettare il GDPR. Tra l'altro GA4 è completamente configurabile e si può decidere di non rilevare la posizione dell'utente, così come altri dati.
Qualsiasi sito rileva l'ip quando un utente si registra, commenta un articolo, o invia una mail mediante modulo di contatto. Immagino che anche sul Suo blog Lei rilevi gli ip. Quindi il Suo blog è illegale? Assolutamente no, sempreché Lei non invii quei dati fuori dalla UE senza avvisare adeguatamente gli utenti.

Saluti

[iisavogadro]

Non basta un articolo che fa solo critica con qualche battutina per stabilire se è legale o meno. In rete ci sono numerosi articoli e video anche di legali esperti della materia che dicono l'esatto contrario dell'articolo in questione.
Per comprendere se è legale o meno bisogna andare alla radice del problema, che nasce da una segnalazione di un utente che risale al 2020, relativo ad un sito web di un'Azienda a cui era connesso UA.
Il Garante ha rilevato che i ntal caso il titolare del sito web inviava a serventi USA dati personali e negli USA non ci sono norme relative alla privacy come in UE, quindi i cittadini europei non erano tutelati da questo punto di vista. Dunque nella disposizione del Garante non v'è al momento alcuna indicazione circa GA 4.
GA 4 ha i serventi in UE e anche se rileva lì'ip per delle elaborazioni, lo cancella prima di proxarlo sui propri serventi.
Se, pertanto, successivamente trasmette dati fuori dalla UE, li trasmette privi di ip e negli USA non sarebbero in grado di risalire all'utente specifico.
Il titolare del sito web, pertanto, trasmette dati personali, ma all'interno della UE. Se GA 4 trasmette dati personali fuori dalla UE, deve farlo nel rispetto del GDPR. Se non lo rispetta, non è il titolare del sito web ad esserne responsabile, ma GA4.
Il Garante, come si legge nello stesso articolo, non ha anlizzato GA4, perché non era l'oggetto del contendere, e quindi si è pronunciato in tal senso, ma non si è pronunciato nei confronti di UA, ma mei confronti di quella Azienda ritenuta responsabile di invio dati extra UE, tra l'altro invitando a mettere in essere accorgimenti tecnici per evitare tale trasmissione dati. Non c'è stata alcuna multa.
Se, pertanto, quell'Azienda mette in essere accorgimenti tecnici adeguati, così come qualsiasi altro titolare di sito web, può continuare ad utilizzare UA.
Utilizare GA4 è un accorgimento tecnico, perché consente al titolare di non trasmettere dati extra UE e di rispettare il GDPR. Tra l'altro GA4 è completamente configurabile e si può decidere di non rilevare la posizione dell'utente, così come altri dati.
Qualsiasi sito rileva l'ip quando un utente si registra, commenta un articolo, o invia una mail mediante modulo di contatto. Immagino che anche sul Suo blog Lei rilevi gli ip. Quindi il Suo blog è illegale? Assolutamente no, sempreché Lei non invii quei dati fuori dalla UE senza avvisare adeguatamente gli utenti.

Saluti

La radice del problema sono il GDPR e la sentenza Schrems II come riportato dall'altro utente e il Cloud act USA. Non ci sono disposizioni specifiche per un determinato software, ma google analytic 4 viola il GDPR come chiarito bene dall'articolo (che probabilmente non ha letto).
Comunque faccia come vuole, google analytic 4 è illegale e vedremo i risultati al termine dei 90 giorni.
Saluti

P.S. sarebbe più semplice, equo e onesto dare la possibilità agli utenti di disabilitare google analytic.

[frasidipace]

La radice del problema sono il GDPR e la sentenza Schrems II come riportato dall'altro utente e il Cloud act USA. Non ci sono disposizioni specifiche per un determinato software, ma google analytic 4 viola il GDPR come chiarito bene dall'articolo (che probabilmente non ha letto).
Comunque faccia come vuole, google analytic 4 è illegale e vedremo i risultati al termine dei 90 giorni.
Saluti

P.S. sarebbe più semplice, equo e onesto dare la possibilità agli utenti di disabilitare google analytic.

La sentenza Schrems II è relativa esattamente a quanto descritto, cioè al trasferimento dati tra UE e USA.
Per quanto riguarda GA4, mi sembra che l'articolo indichi come "tritolo" il rilevamento della posizione dell'utente. A tal proposito ho già spiegato che su GA4 vi è la possibilità di configurare la non rilevazione della posizione come di altri dati personali. Quindi, se il titolare del sito web, limitando ovviamente le statistiche, non fa rilevare una serie di dati personali degli utenti, sta ponendo in essere accorgimenti tecnici, si o no? Dove sarebbe l'irregolarità?

Potrei concordare, infine, che il singolo titolare dovrebbe poter scegliere se attivare o meno UA, ma al momento della creazione dell'account si accetta il regolamento nel quale è scritto a chiare lettere che Altervista inserisce i codici UA.
Ad ogni modo Altervista si è impegnata a risolvere il problema entro il termine stabilito dal Garante, considerando che sono in atto accordi tra UE e USA sulla trasmissione dati dei dati personali.

Saluti

[nedonodo]

La radice del problema sono il GDPR e la sentenza Schrems II come riportato dall'altro utente e il Cloud act USA. Non ci sono disposizioni specifiche per un determinato software, ma google analytic 4 viola il GDPR come chiarito bene dall'articolo (che probabilmente non ha letto).

Anche io sono d'accordo con l'articolo.

P.S. sarebbe più semplice, equo e onesto dare la possibilità agli utenti di disabilitare google analytic.

Esatto, sarebbe la soluzione migliore per tutti.

[iisavogadro]

La sentenza Schrems II è relativa esattamente a quanto descritto, cioè al trasferimento dati tra UE e USA.
Per quanto riguarda GA4, mi sembra che l'articolo indichi come "tritolo" il rilevamento della posizione dell'utente. A tal proposito ho già spiegato che su GA4 vi è la possibilità di configurare la non rilevazione della posizione come di altri dati personali. Quindi, se il titolare del sito web, limitando ovviamente le statistiche, non fa rilevare una serie di dati personali degli utenti, sta ponendo in essere accorgimenti tecnici, si o no? Dove sarebbe l'irregolarità?

Nell'articolo è spiegato bene che tali accorgimenti sono necessari, ma non sufficienti e che il GDPR non è rispettato di default.

l'articolo 25 del GDPR: il Titolare del Trattamento è tenuto a scegliere tecnologie progettate per proteggere i dati degli interessati e che proteggano tali dati sin dalla propria configurazione predefinita. Se anche fosse vero che, come spiegato da Guiotto e Zambon, una ipotetica configurazione GDPR-compliant di Google Analytics 4 "richiede delle opportune competenze tecniche", ne conseguerebbe logicamente che GA4 non protegge la privacy dei cittadini europei by design e by default, costituendo di fatto una soluzione incompatibile con i doveri di protezione e cautela del Titolare del Trattamento.

In altri termini, Scorza chiarisce che non è sufficiente rimuovere tutti gli identificativi dal set di dati ricevuti da Google per rendere legale l'utilizzo di Google Analytics. Il Titolare del Trattamento dovrà essere in grado di dimostrare che l'azienda Google LLC non può tecnicamente utilizzare i dati personali descrittivi che riceve per identificare anche un solo, singolo cittadino europeo, attraverso una delle innumerevoli tecniche di deanonimizzazione disponibili a Google stessa.

Potrei concordare, infine, che il singolo titolare dovrebbe poter scegliere se attivare o meno UA, ma al momento della creazione dell'account si accetta il regolamento nel quale è scritto a chiare lettere che Altervista inserisce i codici UA.
Ad ogni modo Altervista si è impegnata a risolvere il problema entro il termine stabilito dal Garante, considerando che sono in atto accordi tra UE e USA sulla trasmissione dati dei dati personali.

Saluti

Se i termini di un servizio sono in contrasto con la normativa, sono illegali. Fino a quando ci sarà il GDPR qualunque accordo salterà (Safe Harbour, Privacy Shield) in seguito al futuro Schrems III.
L'era della pubblicità comportamentale e del tracciamento profilato è finita con il GDPR e ancora di più con DSA e DMA.

Saluti

P.S. se l'obiettivo è avere delle statistiche sulla navigazione degli utenti, perché non fornite matomo al posto di google analytic?

[frasidipace]

Nell'articolo è spiegato bene che tali accorgimenti sono necessari, ma non sufficienti e che il GDPR non è rispettato di default.

l'articolo 25 del GDPR: il Titolare del Trattamento è tenuto a scegliere tecnologie progettate per proteggere i dati degli interessati e che proteggano tali dati sin dalla propria configurazione predefinita. Se anche fosse vero che, come spiegato da Guiotto e Zambon, una ipotetica configurazione GDPR-compliant di Google Analytics 4 "richiede delle opportune competenze tecniche", ne conseguerebbe logicamente che GA4 non protegge la privacy dei cittadini europei by design e by default, costituendo di fatto una soluzione incompatibile con i doveri di protezione e cautela del Titolare del Trattamento.

E' ovvio che in termini di privacy il titolare del trattamento deve porre in essere accorgimenti tecnici. Cosa significa che di default un applicativo fa tracciamento? Di default nessun sito web ha la cookie policy e nessun sito web blocca preventivamente il tracciamento. Quindi? Chiudiamo gli hosting che non installano automaticamente una cookie policy con consenso preventivo?

In altri termini, Scorza chiarisce che non è sufficiente rimuovere tutti gli identificativi dal set di dati ricevuti da Google per rendere legale l'utilizzo di Google Analytics. Il Titolare del Trattamento dovrà essere in grado di dimostrare che l'azienda Google LLC non può tecnicamente utilizzare i dati personali descrittivi che riceve per identificare anche un solo, singolo cittadino europeo, attraverso una delle innumerevoli tecniche di deanonimizzazione disponibili a Google stessa.

L'articolo riporta cose a metà e, quindi, che non corrispondono al vero. Il riferimento a Google LLC è relativo UA, non a GA 4 che ha i server in Irlanda e la cui Azienda è Google Ireland con serventi in UE e non in USA. Ci si riferisce alla questione denunciata nel 2020 ed agli accorgimenti tecnici da porre in essere.
A proposito di GA4, inoltre, Scorza ha detto quanto segue:

"In teoria può esistere un modo per usare in maniera conforme Google Analytics, in pratica è legittimo dubitarne – dice Scorza -. Capire su quale sponda ci troviamo è compito dei titolari del trattamento. Una volta che sapremo di più su Google Analytics 4, bisognerà fare una verifica di conformità. Sicuramente sul versante degli indirizzi IP ci sarà una semplificazione, il punto è capire se la quantità di dati personali, che comunque anche con questa nuova versione passeranno da una parte all’altra, sarà tale da dichiarare risolto il problema o no".

Al momento, pertanto, non v'è alcuna indicazione che GA 4 sia illegale, poiché non è stata fatta alcuna analisi dal Garante. Ribadisco che tutti i provvedimenti emanati ad oggi sono riferiti esclusivamente a UA.

Se i termini di un servizio sono in contrasto con la normativa, sono illegali. Fino a quando ci sarà il GDPR qualunque accordo salterà (Safe Harbour, Privacy Shield) in seguito al futuro Schrems III.
L'era della pubblicità comportamentale e del tracciamento profilato è finita con il GDPR e ancora di più con DSA e DMA.

Non è proprio così, poiché il GDPR e le disposizioni del Garante prevedono che l'utente debba fornire puntualmente il consenso al proprio tracciamento anche ai fini pubblicitari e che debba avere la possibilità di poterlo revocare in qualisasi momento. Nulla deve essere configurato di default.

Saluti

P.S. se l'obiettivo è avere delle statistiche sulla navigazione degli utenti, perché non fornite matomo al posto di google analytic?

Su questo eventualmente risponderà lo staff.

Saluti

[iisavogadro]

E' ovvio che in termini di privacy il titolare del trattamento deve porre in essere accorgimenti tecnici. Cosa significa che di default un applicativo fa tracciamento? Di default nessun sito web ha la cookie policy e nessun sito web blocca preventivamente il tracciamento. Quindi? Chiudiamo gli hosting che non installano automaticamente una cookie policy con consenso preventivo?

Non c'è scritto questo. Rilegga bene.
l'articolo 25 del GDPR: il Titolare del Trattamento è tenuto a scegliere tecnologie progettate per proteggere i dati degli interessati e che proteggano tali dati sin dalla propria configurazione predefinita.

L'articolo riporta cose a metà e, quindi, che non corrispondono al vero. Il riferimento a Google LLC è relativo UA, non a GA 4 che ha i server in Irlanda e la cui Azienda è Google Ireland con serventi in UE e non in USA. Ci si riferisce alla questione denunciata nel 2020 ed agli accorgimenti tecnici da porre in essere.
A proposito di GA4, inoltre, Scorza ha detto quanto segue:

"In teoria può esistere un modo per usare in maniera conforme Google Analytics, in pratica è legittimo dubitarne – dice Scorza -. Capire su quale sponda ci troviamo è compito dei titolari del trattamento. Una volta che sapremo di più su Google Analytics 4, bisognerà fare una verifica di conformità. Sicuramente sul versante degli indirizzi IP ci sarà una semplificazione, il punto è capire se la quantità di dati personali, che comunque anche con questa nuova versione passeranno da una parte all’altra, sarà tale da dichiarare risolto il problema o no".

Al momento, pertanto, non v'è alcuna indicazione che GA 4 sia illegale, poiché non è stata fatta alcuna analisi dal Garante. Ribadisco che tutti i provvedimenti emanati ad oggi sono riferiti esclusivamente a UA.

Anche qui non ha letto bene l'articolo. Non occorre attendere un'analisi del garante in quanto avere i server in UE non garantisce nulla a causa del Cloud Act in contrasto con il GDPR. Questa è la posizione sia della sentenza Schrems II sia dei garanti UE.
Se vuole può attendere una verifica di google analytic 4 da parte del garante, ma visto quanto scritto nelle varie sentenze è praticamente illegale (garantirne la legalità è molto difficile e i costi sono molto alti). Il garante francese CNIL ha già detto che se venissero adottare tutte le misure dai lui citate (riportate nell'articolo), esse sarebbero necessarie, ma non sufficienti.

Non è proprio così, poiché il GDPR e le disposizioni del Garante prevedono che l'utente debba fornire puntualmente il consenso al proprio tracciamento anche ai fini pubblicitari e che debba avere la possibilità di poterlo revocare in qualisasi momento. Nulla deve essere configurato di default.
Saluti

Non è possibile dare il proprio consenso a qualcosa che è illegale.

[frasidipace]

Non c'è scritto questo. Rilegga bene.
l'articolo 25 del GDPR: il Titolare del Trattamento è tenuto a scegliere tecnologie progettate per proteggere i dati degli interessati e che proteggano tali dati sin dalla propria configurazione predefinita.

Art. 25 GRDP: " Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento".
Questo significa che per impostazione predefinita il Titolare può raccogliere solo dati strettamente necessari all'attività che svolge. Nel caso del sito web non può raccogliere altri dati e non può fare tracciamento se non con esplicto consenso dell'utente ed esplicitandone in maniera chiara i motivi nella cookie e privacy policy. Il consenso può essere solo preventivo, cioè se l'utente non esprime consenso, non può essere tracciato.

Anche qui non ha letto bene l'articolo. Non occorre attendere un'analisi del garante in quanto avere i server in UE non garantisce nulla a causa del Cloud Act in contrasto con il GDPR. Questa è la posizione sia della sentenza Schrems II sia dei garanti UE.
Se vuole può attendere una verifica di google analytic 4 da parte del garante, ma visto quanto scritto nelle varie sentenze è praticamente illegale (garantirne la legalità è molto difficile e i costi sono molto alti). Il garante francese CNIL ha già detto che se venissero adottare tutte le misure dai lui citate (riportate nell'articolo), esse sarebbero necessarie, ma non sufficienti.

Lei continua a riferirsi all'articolo. Ma chi è che ha scritto quell'articolo? Ve ne sono decine che dicono l'esatto contrario firmati da legali. Basta fare una ricerca sul web.
Ad ogni modo ribadisco che ad oggi si parla solo di UA e non di GA4 su cui non si è fatta alcuna analisi. Quindi come fa ad affermare che GA4 è illegale?
Anche la CNIL ha affermato tutt'altro. Ha affermato, infatti che un server proxy proprietario a monte del server proxy nativo in Google Analytics 4 sarebbe sufficiente. Ma al momento, non essendoci alcuna analisi tecnica su GA4, nessuno può affermare che sia illegale.
Questo è ciò che dichiara GA4. Qualcuno ha affermato che non sia vero? Al momento non mi sembra. Quindi?
Certo che aspetto. Se le analisi del Garante affermeranno che quanto dichiarato da GA4 corrispondano al vero, dove sta il problema?

Non è possibile dare il proprio consenso a qualcosa che è illegale.

Dove avrei scitto questo?

Concludo osservando che Lei si sta preoccupando di GA4, ma mi sembra che il suo sito sia privo di una privacy policy.

Saluti

[iisavogadro]

Art. 25 GRDP: " Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento".
Questo significa che per impostazione predefinita il Titolare può raccogliere solo dati strettamente necessari all'attività che svolge. Nel caso del sito web non può raccogliere altri dati e non può fare tracciamento se non con esplicto consenso dell'utente ed esplicitandone in maniera chiara i motivi nella cookie e privacy policy. Il consenso può essere solo preventivo, cioè se l'utente non esprime consenso, non può essere tracciato.

Questo è corretto.

Lei continua a riferirsi all'articolo. Ma chi è che ha scritto quell'articolo? Ve ne sono decine che dicono l'esatto contrario firmati da legali. Basta fare una ricerca sul web.
Ad ogni modo ribadisco che ad oggi si parla solo di UA e non di GA4 su cui non si è fatta alcuna analisi. Quindi come fa ad affermare che GA4 è illegale?
Anche la CNIL ha affermato tutt'altro. Ha affermato, infatti che un server proxy proprietario a monte del server proxy nativo in Google Analytics 4 sarebbe sufficiente. Ma al momento, non essendoci alcuna analisi tecnica su GA4, nessuno può affermare che sia illegale.
Questo è ciò che dichiara GA4. Qualcuno ha affermato che non sia vero? Al momento non mi sembra. Quindi?
Certo che aspetto. Se le analisi del Garante affermeranno che quanto dichiarato da GA4 corrispondano al vero, dove sta il problema?

L'articolo è stato scritto congiuntamente da diverse persone competenti DPO, esperti informatici e avvocati. Inoltre, non occorre preoccuparsi del contenitore, ma del contenuto il quale contiene sia i riferimenti legislativi e sia i pareri dei garanti italiano e francese.
Se legge l'articolo c'è scritto chiaramente che a priori google analytic 4 non è illegale, ma per garantire la sua legalità quanto espresso da lei in precedenza è necessario, ma non sufficiente.

Il CNIL elenca anche alcune caratteristiche necessarie a rendere efficace l'introduzione di un server proxy come misura supplementare a protezione dei dati personali:
l'assenza dell'IP fra i dati trasferiti nonché di una localizzazione sufficientemente specifica da permettere l'identificazione dell'utente (come nel caso del chiosco, ad esempio)
la continua sostituzione degli pseudonimi dell'utente, che non devono permettere l'attribuzione di diverse sessioni di navigazione ad uno stesso utente
la soppressione delle informazioni provenienti dall'esterno del sito, come le pagine di arrivo (referer)
la soppressione di tutti i parametri utilizzati dalla richiesta del browser, anche quelli utilizzati per la navigazione interna del sito stesso
la rimozione di tutte le informazioni che possano permettere la generazione di un'impronta digitale (fingerprint), come lo User Agent o le informazioni dedotte dal runtime di esecuzione del browser
l'assenza di identificativi da altri siti o di identificativi deterministici, come possono essere l'unique ID, un identificativo di sessione o un cookie di terze parti
la rimozione di qualsiasi dato che potrebbe permettere A GOOGLE una reidentificazione dell'utente
E si noti come il CNIL definisce queste caratteristiche necessarie, ma non le definisce affatto come sufficienti!

Dove avrei scitto questo?

Concludo osservando che Lei si sta preoccupando di GA4, ma mi sembra che il suo sito sia privo di una privacy policy.

Saluti

Rilegga il suo messaggio precedente.
Grazie ne sono consapevole. Il sito ha bisogno di una privacy policy solo se raccoglie i dati degli utenti. Miracolo! E' stato rimosso google analytic e non ho bisogno di una privacy policy.
Adesso andrebbe fatto lo stesso per tutti i siti su altervista.

[frasidipace]

L'articolo è stato scritto congiuntamente da diverse persone competenti DPO, esperti informatici e avvocati. Inoltre, non occorre preoccuparsi del contenitore, ma del contenuto il quale contiene sia i riferimenti legislativi e sia i pareri dei garanti italiano e francese.

Cioè? Dove sono i nomi di questi signori? Ribadisco che ci sono altree decine di articoli in rete, firmati anche da legali, che dicono esattamente il contrario. A me questo articolo sembra solo uno scagliarsi contro un altro sito di informazione tecnologica e facendo solo confusione.

Se legge l'articolo c'è scritto chiaramente che a priori google analytic 4 non è illegale, ma per garantire la sua legalità quanto espresso da lei in precedenza è necessario, ma non sufficiente.

Dunque GA4 a priori non è illegale (e infatti non lo è perché al momento non è stato dichiarato tale), però occorre fare qualcosa per garantire la sua legalità. Mi sembra che qualcosa non torni: se non è illegale a priori perché occorre fare qualcosa per renderlo legale?

Il CNIL elenca anche alcune caratteristiche necessarie a rendere efficace l'introduzione di un server proxy come misura supplementare a protezione dei dati personali:
l'assenza dell'IP fra i dati trasferiti nonché di una localizzazione sufficientemente specifica da permettere l'identificazione dell'utente (come nel caso del chiosco, ad esempio)
la continua sostituzione degli pseudonimi dell'utente, che non devono permettere l'attribuzione di diverse sessioni di navigazione ad uno stesso utente
la soppressione delle informazioni provenienti dall'esterno del sito, come le pagine di arrivo (referer)
la soppressione di tutti i parametri utilizzati dalla richiesta del browser, anche quelli utilizzati per la navigazione interna del sito stesso
la rimozione di tutte le informazioni che possano permettere la generazione di un'impronta digitale (fingerprint), come lo User Agent o le informazioni dedotte dal runtime di esecuzione del browser
l'assenza di identificativi da altri siti o di identificativi deterministici, come possono essere l'unique ID, un identificativo di sessione o un cookie di terze parti
la rimozione di qualsiasi dato che potrebbe permettere A GOOGLE una reidentificazione dell'utente
E si noti come il CNIL definisce queste caratteristiche necessarie, ma non le definisce affatto come sufficienti!

Tutto quanto esplicitato dal CNIL riguarda esclusivmanete (e lo ribadisco per l'ennesima volta, dopodiché non replicherò più) il trasferimento dei dati verso USA. Se quei dati non vengono trasmessi come dichiara GA4 (ed al momento nessuno può confutare tale dichiarazione) nn c'è nulla di illegale. Ad ogni modo GA4 è configurabile per non far tracciare quei dati e noi siamo in Italia e non in Francia, quindi occorre attendere le decisioni del Garante.

Rilegga il suo messaggio precedente.

Ho letto ma non ho scritto quello che Lei vuole dare ad intendere.

Grazie ne sono consapevole. Il sito ha bisogno di una privacy policy solo se raccoglie i dati degli utenti. Miracolo! E' stato rimosso google analytic e non ho bisogno di una privacy policy.

Quello di cui non ha bisogno in questo caso è di una cookie policy, ma la privacy policy ci deve essere, o altro per indicare l'utilizzo dei cookies tecnici, come indicato anche nelle FAQ del Garante:
"In questo caso, il titolare del sito può dare l’informativa agli utenti con le modalità che ritiene più idonee, ad esempio, anche tramite l’inserimento delle relative indicazioni nella privacy policy indicata nel sito".
Al momento, pertanto, il sito non è conforme al GDPR.

Saluti

[iisavogadro]

Cioè? Dove sono i nomi di questi signori? Ribadisco che ci sono altree decine di articoli in rete, firmati anche da legali, che dicono esattamente il contrario. A me questo articolo sembra solo uno scagliarsi contro un altro sito di informazione tecnologica e facendo solo confusione.

I nomi sono all'inizio dell'articolo. Comunque attendiamo i garanti e vedremo.

Dunque GA4 a priori non è illegale (e infatti non lo è perché al momento non è stato dichiarato tale), però occorre fare qualcosa per garantire la sua legalità. Mi sembra che qualcosa non torni: se non è illegale a priori perché occorre fare qualcosa per renderlo legale?

Non è illegale se si riesce a garantire quanto previsto dal GDPR, privacy by default e by design. Tuttavia, nella pratica ciò è considerato molto difficile e costoso, quasi impossibile (vedere le condizioni del CNIL che sono necessarie, ma non sufficienti). Ci sono alternative a costo zero e molto più semplici da implementare, con privacy by default e by design.

Tutto quanto esplicitato dal CNIL riguarda esclusivmanete (e lo ribadisco per l'ennesima volta, dopodiché non replicherò più) il trasferimento dei dati verso USA. Se quei dati non vengono trasmessi come dichiara GA4 (ed al momento nessuno può confutare tale dichiarazione) nn c'è nulla di illegale. Ad ogni modo GA4 è configurabile per non far tracciare quei dati e noi siamo in Italia e non in Francia, quindi occorre attendere le decisioni del Garante.

Tale trasferimento non deve avvenire con google analytic 4 e invece avviene se è configurato senza proxy e anche in tale causo occorrono molti accorgimenti non sempre realizzabili. Certamente non è privacy by default e by design.
I garanti UE rispettano tutte le stesse direttive e regolamenti, quindi quando si muove uno, gli altri seguono.

Ho letto ma non ho scritto quello che Lei vuole dare ad intendere.

A me pare chiaro, ma va bene.

Quello di cui non ha bisogno in questo caso è di una cookie policy, ma la privacy policy ci deve essere, o altro per indicare l'utilizzo dei cookies tecnici, come indicato anche nelle FAQ del Garante:
"In questo caso, il titolare del sito può dare l’informativa agli utenti con le modalità che ritiene più idonee, ad esempio, anche tramite l’inserimento delle relative indicazioni nella privacy policy indicata nel sito".
Al momento, pertanto, il sito non è conforme al GDPR.
Saluti

Certo, ma il sito in questione non ha alcun cookie, ne tecnico, ne di profilazione. Comunque, non cerchi di sviare il discorso.
Saluti

[frasidipace]

Evidentemente avrò problemi di vista, ma non vedo i nomi degli autori di quell'articolo, che ribadisco, mi sembra esclusivamente un attacco ad n ualtro sito che tenta di spiegare come stanno realmente le cose.
Ad ogni modo, proprio gli autori di quel sito, insieme ad altri tecnici ed avvocati esperti della materia, lo scorso 25 luglio hanno organizzato un incontro con l'Avv. Scorza ed il video è disponibile qui.
Viene ribadito a chiare lettere che il problema è il trasferimento dati extra UE, e non il tracciamento dei dati personali, e che su GA4 non è stato eseguito alcun accertamento, quindi non si può escludere che sia legale, né che sia illegale, e che il Garante non si può esprimenre su tale applicativo per non fare torto ad altri fornitori di analisi statistiche.
Si auspica, infine, che nelle prossime settimane si sigli un accordo tra UE e USA sul tema, ovvero che Google fornisca adeguati accorgimenti tecnici per garantire la riservatezza dei dati, poiché in altre nazioni il provvedimento riguarda anche altri servizi, come Google Ads.
Questo è quanto.

Per quanto riguarda la privacy policy, non si tratta di sviare il discorso visto che siamo in ambito privacy, ed andrebbe comunque integrata sul sito per indicare almeno l'hosting che ospita il sito. Comunque faccia come ritiene più opportuno.

Saluti

[iisavogadro]

Evidentemente avrò problemi di vista, ma non vedo i nomi degli autori di quell'articolo, che ribadisco, mi sembra esclusivamente un attacco ad n ualtro sito che tenta di spiegare come stanno realmente le cose.

Errore mio, mi sembrava che ci fossero. Se è interessato a contattarli, trova i riferimenti a fine pagina.
Comunque ribadisco che un contenuto non diventa più o meno valido in base a chi lo scrive, ma a cosa dice.
In realtà, monitoraPA dimostra con i fatti quanto di errato scritto nell'articolo di Tag Manager Italia.

Ad ogni modo, proprio gli autori di quel sito, insieme ad altri tecnici ed avvocati esperti della materia, lo scorso 25 luglio hanno organizzato un incontro con l'Avv. Scorza ed il video è disponibile qui.
Viene ribadito a chiare lettere che il problema è il trasferimento dati extra UE, e non il tracciamento dei dati personali, e che su GA4 non è stato eseguito alcun accertamento, quindi non si può escludere che sia legale, né che sia illegale, e che il Garante non si può esprimenre su tale applicativo per non fare torto ad altri fornitori di analisi statistiche.
Si auspica, infine, che nelle prossime settimane si sigli un accordo tra UE e USA sul tema, ovvero che Google fornisca adeguati accorgimenti tecnici per garantire la riservatezza dei dati, poiché in altre nazioni il provvedimento riguarda anche altri servizi, come Google Ads.
Questo è quanto.

Se i dati personali non venissero raccolti a monte, non ci sarebbe alcun problema sul loro trattamento. Il trasferimento dei dati tra UE e paesi terzi è possibile solo se essi offrono le stesse garanzie sul trattamento degli stessi (cosa non vera per gli USA a causa del Cloud Act). Questo è stato ribadito dalla sentenza Schrems II.
Gooogle analytic 4 è legale solo se è in grado di garantire che non ci sia alcun trasferimento di dati personali verso gli USA. Ciò è molto difficile da ottenere e ha costi elevati rispetto a utilizzare soluzioni alternative.

Per quanto riguarda la privacy policy, non si tratta di sviare il discorso visto che siamo in ambito privacy, ed andrebbe comunque integrata sul sito per indicare almeno l'hosting che ospita il sito. Comunque faccia come ritiene più opportuno.
Saluti

Il GDPR articolo 13 non prevede di avere una privacy policy nel caso in cui non si trattino dati personali degli utenti.

Saluti

[nedonodo]

Visto che ho iniziato la discussione, vorrei fare una precisazione importante: il GDPR è un regolamento che specifica cosa deve essere fatto per la protezione dei dati personali e quindi anche della privacy. Non c'è scritto da nessuna parte che i garanti devono analizzare i vari software per approvarli. Anche perchè sarebbe impossibile stare al passo con l'avanzamento delle versioni; infatti, basta vedere l'esempio di GA 3 e 4.
I garanti intervengono a posteriori tramite ispezioni ordinarie e straordinarie (dopo una denuncia). Nel caso di GA 3 c'è stata una denuncia a Caffeina Media e dopo l'analisi del trattamento dei dati, il garante ha dichiarato illegale l'utilizzo di tale software. Per GA 4 accadrà la stessa cosa, qualcuno farà una denuncia verso un soggetto che lo utilizza e il garante farà un'analisi. Secondo le informazioni che abbiamo è molto probabile che non sia lecito utilizzarlo.
Quindi altervista fa bene a utilizzare GA 4 se crede di poter dimostrare il corretto trattamento dei dati personali, ma considerando che è una piattaforma di hosting, verrà analizzata appena possibile dal garante dopo una o più denunce.
Un ultima cosa: l'altro utente ha detto che non ha più google analytic attivo, come ha fatto a disattivarlo?

[alemoppo]

Un ultima cosa: l'altro utente ha detto che non ha più google analytic attivo, come ha fatto a disattivarlo?

iisavogadro ha un account hosting con file manager, quindi può modficare/caricare le pagine HTML come meglio crede.

Ciao!

[nedonodo]

iisavogadro ha un account hosting con file manager, quindi può modficare/caricare le pagine HTML come meglio crede.

Ciao!

Grazie.

[frasidipace]

Se è interessato a contattarli, trova i riferimenti a fine pagina.
Comunque ribadisco che un contenuto non diventa più o meno valido in base a chi lo scrive, ma a cosa dice.
In realtà, monitoraPA dimostra con i fatti quanto di errato scritto nell'articolo di Tag Manager Italia.

Un contenuto è valido quando dice cose sensate e chi lo scrive si firma per far comprendere a chi legge quale sia la propria autorevolezza sul tema.
Gli articoli di Tag Manager Italia sono firmati, hanno organizato dirette con avvocati esperti della materia, mentre MonitoraPA fa solo confusione pur di cercare di confutare TMI. Tra l'altro l'intervista all'Avv. Scorza smonta completamente l'intera tesi, almeno per chi vuole realmente capire cosa stia succedendo.

Se i dati personali non venissero raccolti a monte, non ci sarebbe alcun problema sul loro trattamento.

Già, e non avremmo neanche i conti in banca.

Il trasferimento dei dati tra UE e paesi terzi è possibile solo se essi offrono le stesse garanzie sul trattamento degli stessi (cosa non vera per gli USA a causa del Cloud Act). Questo è stato ribadito dalla sentenza Schrems II.

Dove avrei affermato il contrario?

Gooogle analytic 4 è legale solo se è in grado di garantire che non ci sia alcun trasferimento di dati personali verso gli USA.

Infatti è quello che viene dichiarato, ma al momento nessuno sa con certezza se sia vero o meno, come ha affermato lo stesso Avv. Scorza, pertanto scrivere che l'utilizzo è illegale non corrisponde al vero, poiché il Garante non si è espresso in tal senso, anche perché come spiegato dallo stesso Garante non c'è alcuna azione nei confronti di GA4 e, quindi, non possono esprimersi neanche a favore per non avvantaggiare GA4 nei confronti di altri soggetti presenti sul mercato.

Domande: Facebook, GMAIL, Android e tutte le altre Aziende controllate da Società USA trasmettono dati verso USA? Blocchiamo la campagna abbonamenti dell'AS Roma perché non può gestire dati personali? Mi sembra che a queste domande anche lo stesso Avv. Scorza non abbia dato una risposta esaustiva, se non auspicare che l'accordo UE e USA si faccia al più presto.

Il GDPR articolo 13 non prevede di avere una privacy policy nel caso in cui non si trattino dati personali degli utenti.

Ho già risposto.

Saluti

[frasidipace]

Visto che ho iniziato la discussione, vorrei fare una precisazione importante: il GDPR è un regolamento che specifica cosa deve essere fatto per la protezione dei dati personali e quindi anche della privacy. Non c'è scritto da nessuna parte che i garanti devono analizzare i vari software per approvarli. Anche perchè sarebbe impossibile stare al passo con l'avanzamento delle versioni; infatti, basta vedere l'esempio di GA 3 e 4.
I garanti intervengono a posteriori tramite ispezioni ordinarie e straordinarie (dopo una denuncia). Nel caso di GA 3 c'è stata una denuncia a Caffeina Media e dopo l'analisi del trattamento dei dati, il garante ha dichiarato illegale l'utilizzo di tale software. Per GA 4 accadrà la stessa cosa, qualcuno farà una denuncia verso un soggetto che lo utilizza e il garante farà un'analisi.

Infatti quello che sto tentando di spiegare nelle mie risposte è che il provvedimento riguarda l'utilizzo di Universal Analytics, quindi è improprio parlare genericamente di Google Analytics come hanno fatto i media ed alcuni siti web.

Secondo le informazioni che abbiamo è molto probabile che non sia lecito utilizzarlo.

Potrebbe essere illecito anche utilizzare Facebook, GMAIL, Whatsapp, Youtube, samrtohone Android e IOS, e potrebbero essere fuori legge anche tutte le Aziende controllate da Società USA.
Per come è stata impostata la questione occorre attendere l'accordo tra UE e USA sul trattamento dei dati personali.
AD ogni modo ribadisco che GA4, a differenza di UA, è completamente configurabile, cose viene descritto qui, pertanto il titolare del sito può decidere di non far raccogliere dati personali. Se questi non vengono raccolti, come possono essere trasferiti in USA?
Per il mio sito non faccio rilevare tali dati, quindi quale sarebbe l'illecito? Se poi GA4 dichiara cose che poi non fa, entriamo in un altro campo...

Quindi altervista fa bene a utilizzare GA 4 se crede di poter dimostrare il corretto trattamento dei dati personali, ma considerando che è una piattaforma di hosting, verrà analizzata appena possibile dal garante dopo una o più denunce.

Non so cosa deciderà di fare Altervista. Ad ogni modo il titolare del trattamento dati personali di un sito web non è la piattaforma che ospita il sito, ma il titolare del sito stesso.
Ad ogni modo mi sembra che lo staff di Altervista si sia già espresso in questo post.

Saluti

[nedonodo]

Infatti quello che sto tentando di spiegare nelle mie risposte è che il provvedimento riguarda l'utilizzo di Universal Analytics, quindi è improprio parlare genericamente di Google Analytics come hanno fatto i media ed alcuni siti web.

Vedremo cosa fare il garante quando farà un'ispezione.

Potrebbe essere illecito anche utilizzare Facebook, GMAIL, Whatsapp, Youtube, samrtohone Android e IOS, e potrebbero essere fuori legge anche tutte le Aziende controllate da Società USA.
Per come è stata impostata la questione occorre attendere l'accordo tra UE e USA sul trattamento dei dati personali.
AD ogni modo ribadisco che GA4, a differenza di UA, è completamente configurabile, cose viene descritto qui, pertanto il titolare del sito può decidere di non far raccogliere dati personali. Se questi non vengono raccolti, come possono essere trasferiti in USA?
Per il mio sito non faccio rilevare tali dati, quindi quale sarebbe l'illecito? Se poi GA4 dichiara cose che poi non fa, entriamo in un altro campo...

Il GDPR e la sentenza Schrems II rendono fuori legge il cloud USA. I garanti hanno atteso anche troppo essendo passati 4 anni dal primo e 2 dalla seconda.
E' arrivato il momento di agire e far applicare la legge.

Non so cosa deciderà di fare Altervista. Ad ogni modo il titolare del trattamento dati personali di un sito web non è la piattaforma che ospita il sito, ma il titolare del sito stesso.
Ad ogni modo mi sembra che lo staff di Altervista si sia già espresso in questo post.

Saluti

Questo è il problema essendo google analytic installato di default e non disattivabile tramite opzione.

[iisavogadro]

Un contenuto è valido quando dice cose sensate e chi lo scrive si firma per far comprendere a chi legge quale sia la propria autorevolezza sul tema.

Quindi se un testo non veritiero è stato scritto dal miglior gruppi di esperti, acquista credibilità? Andiamo bene...
Il testo riporta le prove giuridiche ed informatiche delle affermazioni. Gli autori sono gli stessi che hanno effettuato la segnalazione al garante e l'analisi tecnica di google analytic.

Edit: c'è questo articolo che sostiene essenzialmente le stesse cose.

Gli articoli di Tag Manager Italia sono firmati, hanno organizato dirette con avvocati esperti della materia, mentre MonitoraPA fa solo confusione pur di cercare di confutare TMI. Tra l'altro l'intervista all'Avv. Scorza smonta completamente l'intera tesi, almeno per chi vuole realmente capire cosa stia succedendo.

Se legge gli articoli sia quello di MonitoraPA sia quello di Tag Manager Italia, si vede bene chi dei due dice la verità e chi si arrampica sugli specchi. Comunque il tempo confermerà chi due aveva ragione.

Già, e non avremmo neanche i conti in banca.

Il problema è che vengono raccolti dati personali anche per attività che non lo richiedono poiché le aziende come google e facebook sono agenzie pubblicitarie e vivono profilando gli utenti. Inoltre, ci sono varie ricerche scientifiche dove viene mostrato che la pubblicità comportamentale è essenzialmente una bufala a livello di incremento del profitto e che serve solo per mantenere attivo il capitalismo di sorveglianza.

Online Tracking and Publishers’ Revenues: An Empirical Analysis
Our analysis finds that, after accounting for other factors (including those that may be used for non-behavioral forms of targeting, such as visitors device information or geolocation), when the user’s cookie is available publisher’s revenue increases by about 4%. The increase is significant from a statistical perspective. Nevertheless, from an economic perspective, the increase corresponds to an average increment of just $ 0.00008 per advertisement.

Dove avrei affermato il contrario?

Io dove ho scritto che ha affermato il contrario?

Infatti è quello che viene dichiarato, ma al momento nessuno sa con certezza se sia vero o meno, come ha affermato lo stesso Avv. Scorza, pertanto scrivere che l'utilizzo è illegale non corrisponde al vero, poiché il Garante non si è espresso in tal senso, anche perché come spiegato dallo stesso Garante non c'è alcuna azione nei confronti di GA4 e, quindi, non possono esprimersi neanche a favore per non avvantaggiare GA4 nei confronti di altri soggetti presenti sul mercato.

Vista la storia di google, visto google analytic 3, la probabilità che l'ultima versione 4 sia configurata in modo da essere legale è prossima a zero. Inoltre, i costi per farlo sono elevati e non giustificano il suo utilizzo.
Entro fine anno vedremo cosa succederà.

Domande: Facebook, GMAIL, Android e tutte le altre Aziende controllate da Società USA trasmettono dati verso USA? Blocchiamo la campagna abbonamenti dell'AS Roma perché non può gestire dati personali? Mi sembra che a queste domande anche lo stesso Avv. Scorza non abbia dato una risposta esaustiva, se non auspicare che l'accordo UE e USA si faccia al più presto.

Si, perché violano la legge da diversi anni, maggio 2018.

[frasidipace]

Quindi se un testo non veritiero è stato scritto dal miglior gruppi di esperti, acquista credibilità? Andiamo bene...

Ho l'impressione che Lei legga troppo in fretta ciò che scrivo. Rilegga e si accorgerà che non ho scritto ciò che Lei ha inteso.

Il testo riporta le prove giuridiche ed informatiche delle affermazioni. Gli autori sono gli stessi che hanno effettuato la segnalazione al garante e l'analisi tecnica di google analytic.

La segnalazione si riferisce esclusivamente ai siti della PA e non ai siti di aziende private. Ciò significa che l'azione del Garante sarà esclusivamente sui siti della PA e non su altri. Geni!
Gli stessi geni hanno inviato anche una PEC di diffida a tutti gli enti della PA, a prescindere se questi avessero o meno codici Google sui propri siti, intimandoli a rimuovere gli stessi codici; diffida che vale come il 2 di coppe quando la briscola è a denari, visto che in merito le PA rispondono alla AgID e non a private associazioni. Il Garante, tra l'altro, a quanto pare non potrebbe neanche sanzionare le stesse PA come richiesto nell'esposto, poiché le PA rispondono in campo digitale al piano triennale 2021-2023 dettato dalla stesa AgID.
Semmai il Garante dovrebbe accertare come mai su circa 3000 siti vi era lo stesso codice e, quindi, chiederne conto al provider, ma questo non mi sembra di leggerlo nell'esposto.

Se legge gli articoli sia quello di MonitoraPA sia quello di Tag Manager Italia, si vede bene chi dei due dice la verità e chi si arrampica sugli specchi. Comunque il tempo confermerà chi due aveva ragione.

Non si tratta di vedere chi aveva ragione. Non è una questione di tifo. Semplicemente siamo in uno Stato di diritto ed una cosa è illegale quando un'Autorità dello Stato accerta che effettivamente lo sia, non prima.

Vista la storia di google, visto google analytic 3, la probabilità che l'ultima versione 4 sia configurata in modo da essere legale è prossima a zero. Inoltre, i costi per farlo sono elevati e non giustificano il suo utilizzo.

Appunto. E' solo una possibilità, ed al momento nulla è certo.

Entro fine anno vedremo cosa succederà.

Anche prima, visto che, come spiegato dall'Avv. Scorza, sono stati indicati 90 giorni con l'auspicio che si sottoscriva un accordo tra UE e USA, accordo che potrebbe esserci nelle prossime settimane.
A quelo punto tutto rientrerebbe nella norma e si potrà utilizzare sia UA, sia GA4.

Si, perché violano la legge da diversi anni, maggio 2018.

Bene. Allora si dovrebbe denunciare al Garante l'AS Roma per aver gestito illegalmente dati personali di tifosi e calciatori...

Credo che abbiamo diquisito sin troppo. Mi fermo qui.

Saluti

[iisavogadro]

Ho l'impressione che Lei legga troppo in fretta ciò che scrivo. Rilegga e si accorgerà che non ho scritto ciò che Lei ha inteso.

Ho riletto bene e anche più volte. Cerchi di essere più chiaro la prossima volta.

La segnalazione si riferisce esclusivamente ai siti della PA e non ai siti di aziende private. Ciò significa che l'azione del Garante sarà esclusivamente sui siti della PA e non su altri. Geni!
Gli stessi geni hanno inviato anche una PEC di diffida a tutti gli enti della PA, a prescindere se questi avessero o meno codici Google sui propri siti, intimandoli a rimuovere gli stessi codici; diffida che vale come il 2 di coppe quando la briscola è a denari, visto che in merito le PA rispondono alla AgID e non a private associazioni. Il Garante, tra l'altro, a quanto pare non potrebbe neanche sanzionare le stesse PA come richiesto nell'esposto, poiché le PA rispondono in campo digitale al piano triennale 2021-2023 dettato dalla stesa AgID.
Semmai il Garante dovrebbe accertare come mai su circa 3000 siti vi era lo stesso codice e, quindi, chiederne conto al provider, ma questo non mi sembra di leggerlo nell'esposto.

Può stare tranquillo, finita la PA, passeranno anche ai privati, probabilmente inizieranno dai provider come voi. Inoltre pare che abbia funzionato, da oltre 8000 siti con google analytic siamo già intorno a 2500; la stessa cosa sta avvenendo anche per google fonts.
Quindi i risultati ci sono e l'iniziativa che fa rispettare la legge funziona. Le PA rispondono prima al GDPR e poi ad agid.

Non si tratta di vedere chi aveva ragione. Non è una questione di tifo. Semplicemente siamo in uno Stato di diritto ed una cosa è illegale quando un'Autorità dello Stato accerta che effettivamente lo sia, non prima.

Giusto, in uno stato di diritto le leggi si rispettano. Il GDPR, un regolamento Europeo ovvero una fonte del diritto che viene prima delle leggi di uno stato dell'UE, è in vigore dal 2018 e ancora non è rispettato...

Appunto. E' solo una possibilità, ed al momento nulla è certo.

Secondo l'analisi di MonitoraPA e altri esperti che le ho riportato è molto difficile che sia legale e i costi per riuscirci sono molto alti. In breve non ha senso andare a sbattere con l'auto nel muro per vedere se ci si fa male.

Anche prima, visto che, come spiegato dall'Avv. Scorza, sono stati indicati 90 giorni con l'auspicio che si sottoscriva un accordo tra UE e USA, accordo che potrebbe esserci nelle prossime settimane.
A quelo punto tutto rientrerebbe nella norma e si potrà utilizzare sia UA, sia GA4.

Ci sarà una sentenza Schrems III che lo annullerà come avvenuto per Safe Harbour e Privacy Shield in quanto le leggi UE (GDPR) e USA (Cloud Act) sono tra loro incompatibili.

Bene. Allora si dovrebbe denunciare al Garante l'AS Roma per aver gestito illegalmente dati personali di tifosi e calciatori...

Lo farò se passati i 90 giorni non avrete rimosso google analytic.

Credo che abbiamo diquisito sin troppo. Mi fermo qui.
Saluti

Saluti e buone feste.

[alemoppo]

Lo farò se passati i 90 giorni non avrete rimosso google analytic.

Quell'avrete era riferito ad AlterVista (e l'utente frasidipace ?), corretto? In tal caso non ho capito cosa centrano i dati dei tifosi. Tengo inoltre a precisare che frasidipace è un utente del forum e non un impiegato AlterVista. Oppure intendevi denunciare uno ad uno tutti gli utenti ospitati?

Passando invece lato "AlterVista", sicuramente verranno attuate tutte le misure necessarie a rispettare i termini di legge, consultando esperti in materia. Tu sei liberissimo di fare quel che credi sia meglio nelle tue possibilità.

Ciao!

[iisavogadro]

Quell'avrete era riferito ad AlterVista (e l'utente frasidipace ?), corretto? In tal caso non ho capito cosa centrano i dati dei tifosi. Tengo inoltre a precisare che frasidipace è un utente del forum e non un impiegato AlterVista. Oppure intendevi denunciare uno ad uno tutti gli utenti ospitati?

E' riferito ad altervista per l'utilizzo di google analytic. Pensavo fosse una persona dello staff. Mi scuso se ho dato fastidio.

Passando invece lato "AlterVista", sicuramente verranno attuate tutte le misure necessarie a rispettare i termini di legge, consultando esperti in materia. Tu sei liberissimo di fare quel che credi sia meglio nelle tue possibilità.

Ciao!

Certo, saluti.

[frasidipace]

Pensavo fosse una persona dello staff.

A beneficio di tutti, tengo a precisare che non ho mai scritto in qualità di persona dello staff, né ho mai lasciato intendere una cosa simile. A chiare lettere, infatti, ho scritto:

1) Qui ho scritto che "Lo staff di Altervista ha già risposto sul tema qui". Non ho scritto "Abbiamo già risposto..".

2) Qui ho scritto che "Potrei concordare, infine, che il singolo titolare dovrebbe poter scegliere se attivare o meno UA[...]" e che "Altervista si è impegnata a risolvere il problema entro il termine stabilito dal Garante". Dunque ho anche concordato che l'utente dovrebbe poter scegliere se attivare o meno UA (anche se è da dire che l'attivazione è accettata da regolamento) e che Altervista si è imepegnata a risolvere. Non ho scritto "ci siamo già imepgnati a risolvere...".

3) Qui, a proposito del perché Altervista non usi Matomo ho risposto "Su questo eventualmente risponderà lo staff." Dunque, se ho rimandato ad una eventuale risposta dello staff, è evidente che non ne faccia parte.

4) Qui ho scritto "Non so cosa deciderà di fare Altervista[...]. Ad ogni modo mi sembra che lo staff di Altervista si sia già espresso in questo post". Quindi ancora una volta ho rimandato a quanto aveva scritto lo staff e, pertanto, mi sembra chiaro aver dichiarato di non farne parte.

Tutti gli altri miei interventi hanno riguardato l'utilizzo di GA4 che nulla c'entra con i codici UA di Altervista, e sono esclusivamente mie osservazioni personali con cui ho voluto esclusivamente rimarcare che un applicativo non è illegale se lo afferma un'associazione di hacker, ma quando lo accerta l'Autorità preposta. E del resto ciò è quanto ha affermato anche uno dei componenti della commissione Garante.

Saluti

[iisavogadro]

Il problema è parzialmente risolto da altervista che finalmente consente di disattivare google analytic da impostazioni->generale. Non ho capito perché rimanga il codice di tracciamento disattivato, ma sopratutto altervista dovrebbe renderlo opt-in (disattivato di default).
Quindi il problema è ancora aperto.

[frasidipace]

Il problema è parzialmente risolto da altervista che finalmente consente di disattivare google analytic da impostazioni->generale. Non ho capito perché rimanga il codice di tracciamento disattivato, ma sopratutto altervista dovrebbe renderlo opt-in (disattivato di default).
Quindi il problema è ancora aperto.

Salve,
la discussione sul tema si sta svolgendo qui.

Saluti