Se usi Google Analytics devi notificare al Garante (e spendere 150€)

S

cmonster


**CHIARIMENTO: Ciao! Questo post, nato come “trolling” al Garante, sta ricevendo più attenzione di quanto mi aspettassi. Vediamo un po’ di chiarire per bene il mio punto di vista. Secondo me la Notificazione è limitata ai soli soggetti palesemente dediti allo “svolgimento dell’attività di profilazione”, quindi retargeting, remarketing, profilazione a tutto tondo. Non ai siti che usano semplicemente Analytics. MA – c’è sempre un MA – la definizione che viene data nei [chiarimenti ufficiali][2] contrasta PALESEMENTE e LOGICAMENTE con quanto qui sopra riportato. Nel dubbio vale la normativa (no notificazione se non fai attivamente profilazione), ma il cosiddetto chiarimento ha generato solamente scompiglio. E’ troppo auspicare un chiarimento che chiarifichi invece che gettare scompiglio?**

Ho aspettato a scrivere alcunché sul [provvedimento del Garante][1] (il provvedimento sulla Cookie Law) semplicemente perché lo ritenevo ancora troppo farragginoso per comprendere esattamente cosa diavolo intendesse. Vi sono, infatti, una pletora di casi d’uso che (per ignoranza o leggerezza) il provvedimento non demarca in modo serio e compiuto, probabilmente solo per il fatto che cerca in tutti i modi di scrivere provvedimenti “tecnologici” in un “burocratichese”: tanto sciocco quanto controproducente.

Comunque sia i miei dubbi, dopo gli ennesimi [chiarimenti ufficiali][2] dati dal Garante, sono finalmente svaniti. Se usate Google Analytics **dovete pagare la notifica al Garante e spendere i 150 euro**. Incontrovertibilmente. O almeno così si legge da cosa scrive il Garante. Ovviamente spero di essere smentito, anche perché la normativa dice una cosa molto diversa, ma come vedrete è **l’unica soluzione razionale** dopo i [“chiarimenti”][2] del garante.

Ma vediamo insieme perché: all’interno dei sopra-citati [chiarimenti][2], il Garante spiega una volta per tutte come comportarsi con i Cookie Analitici. Lo spiega in modo chiaro e preciso grassetto mio):

> Se i cookie analitici sono messi a disposizione da terze parti i titolari non sono soggetti ad obblighi (notificazione al Garante in primis) **qualora**:
> A) siano adottati strumenti che **riducono il potere identificativo** dei cookie (ad esempio tramite il **mascheramento di porzioni significative dell’IP**);
> B) la terza parte si impegna a **non incrociare** le informazioni contenute nei cookies con **altre** di cui già dispone.

Quindi, per NON essere soggetti alla notifica (quella dei 150€) è necessario quindi il concorso di due differenti precondizioni che devono sussistere simultaneamente: si deve ad un mascheramento o direttamente cancellazione degli IP ed al contempo i dati NON devono essere incrociati con altri.

Orbene, vediamo un po’ Google Analytics:

* Il **mascheramento** degli IP non è lo standard di Google Analytics. Per attivarlo è necessario [modificare manualmente][3] i settaggi dello script da includere in tutte le pagine come viene spiegato [qui][3]. Questa operazione, inoltre, impatta negativamente sulla geolocalizzazione (ovviamente);
Quindi “a scatola chiusa” e come lo state usando, **Google Analytics non rispetta i prerequisiti del Garante** per non necessitare di notifica
* Le informazioni di Google Analytics **vengono sistematicamente incrociate** sia con l’account AdSense che con l’account AdWords. E non ci potete fare niente. Anche ammesso che [seguiate le procedure][4] per evitare la “condivisione delle informazioni”, google ci tiene a sottolineare che *”Se disattivi questa opzione (il collegamento, ndr), i dati possono comunque essere inviati ad altri prodotti Google collegati esplicitamente ad Analytics.”*

Google_Analytics

Quindi? Quindi se usate Google Analytics pare siate **tenuti alla notifica** e **tenuti al pagamento**. A meno che, ancora una volta, il Garante non esca con qualche altra rettifica che, invece di rettificare, getta ancora più scompiglio :)

Per finire, OVVIAMENTE siete altresì **tenuti alla notifica** e **tenuti al pagamento** qualora utilizziate ogni forma di **pixel tracking”** e/o **retargeting** che sia di Google, Facebook o Twitter. Sì, vale anche per i **pixel di conversione** delle campagne di Social Media.

**Inutile dire, credo sia chiaro, che spero fortemente di essere smentito. Ma “rebus sic stantibus” è l’unica interpretazione possibile.**

UPDATE 1: È assolutamente interessante vedere come procedono le [conversazioni su questo tema sulla pagina Facebook][5]: i due fronti contrapposti sostengono da un lato il fatto che rientrino nel comma 3 della [direttiva][1], ma il testo delle [“chiarificazioni”][2] è **completamente contrapposto a questa impostazione**. Buffo, lo so, ma così è. Sono comunque d’accordo con gli amici giuristi che tra i due, il primo domina :)
Estote parati.

[1]: http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3118884
[2]: http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/4006878
[3]: https://support.google.com/analytics/answer/2763052?hl=it
[4]: https://support.google.com/analytics/answer/1011397?hl=it
[5]: https://www.facebook.com/Lastknight/posts/10153439074067053?comment_id=10153440129902053&notif_t=feed_comment

l'autore

Matteo Flora

Mi chiamo Matteo Flora, sono imprenditore seriale, docente universitario e keynote panelist e divulgatore. Mi occupo di cambiare i comportamenti delle persone usando i dati.
Puoi trovare informazioni su di me ed i miei contatti sul mio sito personale, compresi i link a tutti i social, mentre qui mi limito a raccogliere da oltre quattro lustri i miei pensieri sparsi.
Buona lettura.

31 commenti

  • Qujndi riassumendo:
    1) se la prendono sempre con i più deboli (fra NSA che fa i suoi porchi comodo, linkedin che fa la mappa dei professionisti per lo spionaggio industriale e facebook che studia reti neurali con le informazioni raccolte dagli utenti, il Garante della Privacy si preoccupa dei cookie…
    2) subito dopo aver emanato questa bellissima norma/legge i politici hanno continuato a dirigere il paese via tweet/facebook, dimostrando molta coerenza
    3) senza cookie il sistema banner perderà di qualità, quindi i blogger saranno spinti ad usare altre tecniche o non sosterranno più i blog… trionferanno i social network che spadroneggiano incontrastati e rubano molte più informazioni.

      • Ok, le informazioni magari uno puo’ stare attento a controllarle….Io mi preoccuperei piu’ che altro del contenuto, se lo hosto sul mio sito e’ mio se invece lo pubblico su facebook o altri social media posso dire di essere veramente proprietario dei miei testi/foto/video?

        • @aciso: Io dico di sì: legalmente sei proprietario a tutti gli effetti, e il fatto che il servizio si riservi diritti come quello di creare opere derivate, anche se non subito chiaro, è ragionevole (i thumbnail non lo sono?), e se esagerassero la figuraccia non sarebbe da poco!

  • Perché dovrebbero cambiare o rettificare? Pioggia di quattrini al garante senza far nulla. Poi ci si lamenta di iva e altre imposte…

  • Riguardo alla condivisione dei dati con i prodotti Google io la interpreterei in un modo diverso: con il check-box che hai evidenziato puoi abilitare la condivisione con “tutti le proprietà” gestite da Analytics.
    Se lo deselezioni resteranno connessi i prodotti che sono configurati per ogni singola proprietà “esplicitamente”. Se vai in ogni proprietà e disattivi ogni condivisione, i dati restano “isolati”.

    • Penso anche io che disabilitando la condivisione generale venga solo specificato che è possibile attivare una condivisione “granulare” verso i vari servizi Google. Infatti scollegando tutto potrai poi verificare nelle proprietà che i dati non hanno alcun collegamento con altri prodotti Google.

  • Ciao,
    ho letto l’articolo ma non sono d’accordo con il titolo: “Se usate Google Analytics dovete pagare la notifica al Garante e spendere i 150 euro.” ?
    Detta cosi sembra che qualsiasi sito web che utilizza Google Analytichs debba sborsare 150€.
    Quando invece a parere mio non è cosi.

    Mi piacerebbe capire se ho sbagliato a capire la dichiarazione del garante sopratutto al punto 1 – a)
    …cookie analytics, assimilati ai cookie tecnici laddove utilizzati direttamente dal gestore del sito per raccogliere informazioni, in forma aggregata, sul numero degli utenti e su come questi visitano il sito stesso; …

    Cioè un installazione di Google Analytichs con solo codice di tracciamento.

    Ho capito male?

  • Se usate solo GA non vanno fatte dichiarazioni. Riporto la policy di GA ufficiale di Google. “Le informazioni generate dal cookie sull’utilizzo del sito da parte sua (compreso il suo indirizzo IP) verranno trasmesse a, e depositate presso i server di Google negli Stati Uniti. Google utilizzerà queste informazioni allo scopo di tracciare e esaminare l’utilizzo del sito da parte dell’utente, compilare report sulle attività del sito e fornire altri servizi relativi alle attività del sito e all’utilizzo di Internet. Google può anche trasferire queste informazioni a terzi ove ciò sia imposto dalla legge o laddove tali terzi trattino le suddette informazioni per conto di Google.

    Google non assocerà l’indirizzo IP dell’utente a nessun altro dato posseduto da Google. “

  • Matteo ma la co-titolarita dei dati di analytics o di adsense dove sta? io non ho accesso ai cookie che google usa per tracciare analytics (con analytics anonimizzato).
    se non c’e’ co-titolarita ( = io ho accesso ai dati) no devo fare nessuna notifica da 150 euro….

      • Condivido questa interpretazione.
        Riporto uno stralcio del Provvedimento del 2014: ”
        Tali soggetti (gli editori), infatti, da un lato sono titolari del trattamento quanto ai cookie installati direttamente dal proprio sito; dall’altro, non potendo ravvisarsi una contitolarità con le terze parti per i cookie che le stesse installano per il loro tramite, si ritiene corretto considerarli come una sorta di intermediari tecnici tra le stesse e gli utenti. Ed è, quindi, in tale veste che, come si vedrà più avanti, sono chiamati ad operare nella presente deliberazione, con riferimento al rilascio dell’informativa e all’acquisizione del consenso degli utenti online con riguardo ai cookie delle terze parti.”

        Quindi se non esiste contitolarità, a che titolo dovrei effettuare la notifica? L’articolo 37 recita “Il titolare notifica al Garante”. Il gestore, rispetto ai cookie di profilazione di terze parti, non è il titolare ma è un intermediario.

  • Porco il ***, non ci ho capito una beata e amatissima minchia di niente. Nel dubbio, spero che il mio blog su blogspot abbia il culo parato da esso, anche perche’ non ho pubblicita’. Qualcuno puo’ consigliarmi cosa fare?

    EDITED BY LK: Ho tolto il bestemmione :)

  • Mi sembra una boiata pazzesca.

    Pensateci.

    1) se fosse così ogni sito in rete in italia che usa google analytic per meri scopi di tracciamento (99% DEI SITI) dovrebbe notificare… e non lo farà per non spendere i soldi….

    2) smetterebbero di usare analytic?

    3) verrebbero colpiti gli enormi interessi di google rendendo di fatto inutilizzabile il core business di google cioè adwords?

    4) il problema e che devono DIMOSTRARE che io povero tapino che gestisco un sito o un blog uso quesi dati

    5) messa così il problema di cosa si fa con quei dati E’ DI GOOGLE NON NOSTRO

    Roba da matti!

    Sarà da vedere!

    • Ho molti molti dubbi. Ma a occhio non devono dimostrare niente: semplicemente ti mandano la multa e poi tu devi fare la contestazione della stessa… non so se c’e’ convenienza.

  • Buongiorno, è vero questi cosiddetti “chiarimenti” sono assurdi.

    Un’altra cosa, oltre al discorso notifica al Garante, in particolare mi ha messo in allerta: è relativa alle azioni di scroll (ma dovrebbe essere quindi intesa anche in generale):

    “siano in grado di generare un evento, registrabile e documentabile presso il server del gestore del sito (prima parte), che possa essere qualificato come azione positiva dell’utente”

    Cioè io, dopo aver creato lo script che blocca i cookie prima dell’ok, dovrei anche registrare sul mio server tutti gli “ok” degli utenti? Al momento sono azioni che hanno effetto solo lato client! Sul mio server non c’è traccia di tutto ciò.

    Idee/interpretazioni in merito?

  • Ma se al posto di Google analitycs si utilizza un plugin per statistiche su WordPress come si ci deve comportare?

    • In questo caso basta mettere una nota nell’informativa estesa ma non è necessario alcun banner.

  • Basta usare l’IP anonymize
    ga(‘set’, ‘anonymizeIp’, true);

    Nel codice Google Analytics e sei a norma.

  • Ciao Matteo, scusa la mia ignoranza ma… i dati vengono incrociati anche se IO non utilizzo altro che analytics? Io non uso ne adsense ne adwords…

  • Ciao a tutti, condivido l’opinione di Matteo.
    Il chiarimento del Garante nel testo: “la terza parte si impegna a non incrociare le informazioni contenute nei cookies con altre di cui già dispone.” … ha solo creato ulteriore confusione. Faccio notare però che questa confusione viene generata non dal Garante ma da Google. È chiaro infatti da questo post, come da altri migliaia in giro per la rete che pochi sanno chiaramente cosa ne fa Google dei dati che gli permettiamo di prelevare con google Anaytics. …. e Facebook e Twitter?? Forse piuttosto che prendercela col Garante dovremmo chiedere chiarimenti ai nostri Grandi Fratelli!

  • A costo di sembrare un pazzo, la mia opinione su questa cosa è al pari di quella sulle luci accese anche di giorno.

    CHISSENEFREGA.

    Non saranno MAI capaci di far rispettare questa legge ASSURDA così come non sono mai riusciti a fare le multe a tutti quelli che non accendono i fari di giorno: io ho comprato una macchina col sensore automatico quando c’era già la normativa, che ci faccio? è fuori legge? la butto via? spendo per adeguarla anche se doveva essere già adeguata al momento dell’acquisto? come faccio ad aver comprato una macchina fuori legge? Io i fari non li accendo mai di giorno e mai nessuno mi ha fatto nulla, ivi compreso il posto di blocco che domenica scorsa mi ha fermato per il classico “patentelibretto”. mi ha fermato e mica mi ha fatto la multa per i fari.
    Bene, il discorso qui secondo me è (o sarà presto) identico: una norma che sarà così difficile da far rispettare che agiranno in deroga o cambieranno il modo di recepirla o l’aboliranno presto.

    Una tipica stronzata all’italiana, insomma.
    Ma secondo voi che cosa devono fare, realisticamente si devono mettere a controllare a uno a uno tutti i siti internet per vedere se “il cookie profila”, se è dato a terzi a quarti a quinti? ma per favore, ma un po’ di concreto realismo, ma OVVIAMENTE non faranno NULLA come al solito! Se neanche la polizia postale muove un dito (spesso non raccolgono neanche la denuncia contro ignoti che tanto l’archiviano appena la firmi) finchè sulle prove che gli porti non vede un nome e un cognome, (come se il truffatore/molestatore online ti mette nome e cognome o indirizzo reali), secondo voi qualcuno farà mai qualcosa a un blog di cucina che ha un adsense e non ha fatto la comunicazione al garante? ma dai! ma se ne sbatteranno loro per primi, sicuramente loro stessi già reputano questa legge una minchiata. ma mandateli a cagare e vedrete che come per altre leggi che somigliano a balzelli piuttosto che a leggi giuste, la faranno fuori presto…

    Anche perchè c’è una incompetenza tecnica media spaventosa :D

  • Non trovo da nessuna parte l’estratto della policy a cui si fa riferimento “prodotti e servizi di Google” da flaggare o meno. Mi sapreste indicare il link esatto o mandarmi lo stamp della pagina intera?

  • Dopo aver letto sul web molte interpretazioni date ai “chiarimenti del garante” sull’utilizzo di Google Analytics, la più condivisa è la seguente:

    1) Anonimizzazione dell’IP
    La funzione _anonymizelp nella raccolta ga.js di JavaScript (e più di recente ga(‘set’, ‘anonymizeIp’, true) nella raccolta analytics.js) consente ai proprietari di siti web di richiedere che tutti gli indirizzi IP dei loro utenti vengano resi anonimi all’interno del prodotto. Ulteriori informazioni.

    2) Accettare emendamento sull’elaborazione dei dati
    L’Emendamento sull’elaborazione dei dati di Google Analytics è destinato ad attività con sede nel territorio di uno Stato membro dello Spazio economico europeo o in Svizzera o che, per altri motivi, sono soggette all’applicazione territoriale delle implementazioni nazionali della Direttiva 95/46/CE.

    3) Indicare il componente aggiuntivo del browser per la disattivazione
    I visitatori del sito web che non desiderano che i propri dati vengano utilizzati da Google Analytics, possono installare il componente aggiuntivo del browser per la disattivazione di Google Analytics. Questo componente aggiuntivo indica al JavaScript di Google Analytics (ga.js, analytics.js, and dc.js) su siti web di non utilizzare i dati di Google Analytics. Il plug-in di disattivazione di Google Analytics non impedisce ai proprietari dei siti di utilizzare altri strumenti per misurare i dati del sito.

    L’implementazione di tali accorgimenti consentirebbero di visualizzare sul sito una mera informativa evitando di bloccare gli script a priori con richiesta di autorizzazione..
    Condivido, comunque, che senza la geolocalizzazione le statistiche diventano molto approssimative.

Matteo Flora

Mi chiamo Matteo Flora, sono imprenditore seriale, docente universitario e keynote panelist e divulgatore. Mi occupo di cambiare i comportamenti delle persone usando i dati.
Puoi trovare informazioni su di me ed i miei contatti sul mio sito personale, compresi i link a tutti i social, mentre qui mi limito a raccogliere da oltre quattro lustri i miei pensieri sparsi.
Buona lettura.