 Allora, prima di tutto grazie per essere qui, sono l'ultima oggi con un argomento che insomma non è proprio dei più leggeri e a questo proposito ho voluto creare questo mio intervento per lasciarvi qualcosa, so che ci sono stati tanti dubbi, quest'estate è stata un'estate calda oltre che per le temperature ma per tutta la questione che ha visto coinvolto Google, Google Analytics e quindi diciamo ho voluto prendere tre impegni con voi. Va bene, queste sono io, saltiamo. La verità, vorrei portarvi il vero, in che senso, vi riporterò quello che è stato detto dalle autorità garanti, quindi non sono mie opinioni personali, quelle ovviamente le potrò condividere con voi però sono partita da dati quello che abbiamo, quello che c'è oggi, la chiarezza proprio perché è un argomento difficile, ho cercato di renderlo molto potabile per voi affinché non ha possato avere almeno qualche dubbio in meno e poi l'impartibilità perché purtroppo in questi mesi ho visto con dispiacere molti miei colleghi che hanno parteggiato per un determinato strumento piuttosto che per un altro o per togliamo tutto, non ho interessi, non mi interessa uno strumento o un altro, non vengo pagata e non faccio sponsorizzazioni per nessuno, quello che mi interessa è la legalità e passarvi dei concetti. Per fare questo, quindi partiremo da Google Analytics, ho voluto riavvolgere il nastro perché noi abbiamo la memoria corta, infatti il tutto non nasce quest'estate ma nasce tanto tempo fa come iniziano le favole, no questo è un incubo però non è una favola, infatti la Cicogna ci porta nel 2020 questa bella pronuncia M2, come vedete la questione nasce nel 2020 perché il nostro abocato Shrens ha fatto in modo che cadesse la privacy shield che si occupava appunto di gestire le relazioni tra Unione Europea e Stati Uniti per il trasferimento dei dati. Poi cos'è successo? Dopo il 2020? Ok, va bene, è venuta meno la privacy shield, si ci sono le clause le contracuali standard però si viveva tutti tranquilli, il nostro garante privacy emana queste linee guida sui cookie il 10 giugno 2021 e interviene su cookie banner, sullo scroll cookie wall e si lancia in un'affermazione a quanto temeraria secondo me ci dice che i cookie analytics possono essere preparati ai cookie tecnici, addirittura Google Analytics può essere cookie tecnico quando, quando non c'è una diretta individuazione dell'interessato e beh noi avevamo l'IP anonymizzato, ci siamo, quando lo strumento è limitato appunto a una statistica aggregata di cui io anonymizzo l'IP, sono a posto, sono sereno e quando lo strumento non combina i dati, non li incrocia con altri dati e li trasvette a partner terzi, qui già c'era qualcosa che non doveva tornare però va bene, tutti contenti, abbiamo fatto consulenze, abbiamo portato questo verbo in giro se non che succede qualcosa. Da gennaio febbraio 2022 iniziano ad agitarsi le acque, ovviamente non dall'Italia, non parte dall'Italia, parte dall'Austria, ma non so se lo sapete il garante francese è sempre molto attivo e quello che produce di più, addirittura anche dei software gratuiti per la DPA, ci ha dato tanti strumenti, quindi è molto molto attivo e interviene sulla sciea del garante austriaco che però diciamo condanna solamente ma non entra nel merito, lui entra nel merito e entra gambatessa su GAT3, su Google Analytics, allora G4 era ancora in versione beta quindi non c'era, non era ancora completato e cosa ci dice? In realtà Google fa tante cose, nel suo lungo testo ci dice raccoglie le query dei nostri utenti, tutte le informazioni del browser, sistemi operativi, lingua, ricordiamoci che sul nostro sito non c'è solo Google Analytics, ci sono tante altre cose di Google, memorizza i cookie ovviamente ma queste informazioni le trasmette ai server di Google Analytics negli Stati Uniti e perché questo? Perché ottiene dei dettagli più accurati e noi non ce ne accorgiamo e quindi poi siccome ottiene dei dati anche in sessioni diverse di incrocia, quindi il Knil si pone le questioni, le studia, non si ferma a dire ah è un cookie tecnico, no va a fondo e cosa chiede il Knil? Google ci dovrebbe dire come fa, quali mezzi usa per garantire questa anonymizzazione? Google non ha mai risposto, il Knil gli ha chiesto ma non solo dice quali sono le misure che Google Analytics inseriscepresi in un sito web che consentono, qui parla di due attori importanti uno dei due siete voi, i gestori del sito web è l'interessato, come si rapportano, chi gestisce politico è l'interessato, come lo identifico? Poi ancora quando avviene l'anonimizzazione del IP? Perché non si è capito. Avviene in un secondo momento, avviene subito. Google non ha risposto e quindi ecco l'altro attore della nostra storia, Noib. Noib è un'associazione capitanata appunto presentato 101 reclami, ben 101 reclami, in tanze a tutte le autorità garanti europee. È ovvio che questi 101 reclami non è che Noib odia morte Google Analytics e la punta di un iceberg, perché non c'è solo Google. Ed ecco che il nostro garante si è svegliato. Anche lui ha avuto da ridire, però l'ha fatto a modo suo. Ha ammonito il 9 giugno del 2022 una società che utilizzava Google Analytics, riconoscendo appunto che Google Analytics in quel caso non era GA4, era Universal e la ammonisceavesa proprio perché Google Analytics non garantisceйsce l'anonimizzazione, quindi il mancato trasferimento dei dati. In particolare questa volta il garante italiano scende nel dettaglio e mi dice che l'anonimizzazione dell'indirizzo IP non è sufficiente, quindi ha fatto un po' di indagini. Non è adeguata la cifratura, perché il titolare dovrebbe capire qualsiasi di dati, ma anche c'è una piccola distonia perché se ha anonimizzato non c'è la cifratura. E poi riconosce che Google ha un'enorme quantità di dati, e l'accent su questo rapporto tra Google in America, in Stati Uniti e Google in Irlanda. Perché non so se vi ricordate quando ci fu la questione della caduta della Privacy Shield, molti aziende americane, con metà per primo, aprirono delle sedi in Irlanda in qualità di responsabili del trattamento. Però questo, ovviamente, se poi l'anonimizzato viene trasferito in America, non si capisce spe, perché ci sia questo giro. E come si è mosso nei confronti di questa società e il garante? La solo ammonita, non gli ha combinato una sanzione con l'espetto dei colleghi europei. Perché? Perché ha riconosciuto l'elemento soggettivo della colpa. Quindi noi italiani siamo ampio. Diciamo, andiamo a fondo sulle nature giuridiche, non c'è dolo. Il povero titolare non sapeva lui aveva quel mezzo adottato quel mezzo. Quindi l'ha ammonito e gli ha dato un periodo di adeguamento dei 90 giorni famosi, alle quali poi si sono un po' adeguati tutti quanti. E poi adottare ulteriori misure, tecniche e organizzative. Qui, ancora una volta si rimbalza, addosso al titolare del trattamento la responsabilità di trovare, secondo i principi generali della prazzi by design e default, le misure tecniche organizzative. Ma non ci vengono dette quali. Aspetta. Ok, allora. Quindi se volessimo tirare le somme. Google Analytics Universal non si può più usare. No, questa è l'unica certezza che abbiamo. Aveva dato 90 giorni. Quindi non si può più usare. Quindi chi ce l'ha passasse alle 24. Novità o era già tutto scritto? No, questo era già tutto scritto dal 2020. Nessuno ha fatto nulla. Comunque nessuno si è posto il problema. Bisognerebbe capire come mai questo problema è sorto a febbraio, gennaio del 2022. La questione è che questo riguarda solo la mancanza di un accordo. C'è qualcos'altro sotto. Ci sono magari dei disegni più grandi di noi che abbia colpito Google e magari hanno lasciato stare altri soggetti, altri parte americani. Queste sono riflessioni che dobbiamo fare. Dopodiché è arrivato lui. Io, la Dani Marca, la conoscevo per questi bellissimi biscotti, di dire la sua. Nessuno li ha chiesto poverino, nessuno li ha fatto un interpel, non è stato citato da Noib. Volontariamente ha rilasciato queste facche e li ha rilasciate sotto forma ovviamente di domanda alla quale ha dato delle risposte. E tra l'altro ha parlato di Giapattro. Quindi è andato un po' più in là. E quindi la prima domanda che fa è questa. È possibile configurarlo Google Analytics in modo tale che questi dati non vengano trasferiti. Perché io ne ho sentite tante, no? Soprattutto su chi rivende i servizi di Google Analytics. Ora lo impostiamo benissimo, lo settiamo in maniera eccezionante e non trasferisce più niente. Il garante da me si dice ma è proprio così? È davvero così? E risponde da solo la sua domanda non ci risulta che ci sia possibile. Non siamo a conoscenza di questo cambiamento dell'assesso tecnico. Quindi, per noi Google Analytics trasferisce spegne dati. Non abbiamo novità in tal senso. L'altra domanda e che si pone questa ma possiamo non raccogliere dati personali, quindi andare solo sui dati aggregati? Anche qui dice ok, prendiamo atto che con GA4 i titolari possono attraverso ovviamente voi che siete gli attori i protagonisti che mette mano possono fare funzioni in più, sono state implementate delle funzioni in più. Però non si sente di dare una risposta certa perché viene rimandato alla volontà di una persona, di trattare il dato aggregato o meno. Quindi come vedete la situazione non è così così chiara. L'autorità daniese poi continua e da questi due suggerimenti dice utilizzare misure integrative quindi di anonimizzazione. Quindi batte sull'anonimizzazione e poi una cosa che secondo me in tanti dimenticano o non ha anche considerato l'analisi del rischio che cos'è l'analisi del rischio? È un qualcosa che dovrebbe fare il titolare del trattamento con un consulente legale e con l'ausilio di voi di voi che siete diciamo tecnici del sito per analizzare i determinati flussi e quindi capire se ci può essere un rischio di data bridge di perdita di quel dato e quindi implementare quelle misure tecniche di sicurezza di cui parlava prima il nostro verante. L'analisi del rischio associata alla DPA, quindi alla valutazione di impatto, dovrebbero essere misure da adeguare in un contesto dove c'è un trasferimento del dato extraway. Sicuramente questo è un ottimo consiglio. Quindi quindi inoltre afferma una cosa interessante non basta il semplice consenso all'uso di GA perché questa frase ho sentito negli ultimi due mesi molti miei colleghi dibattere sul consenso non so se voi ne avete seguito sui vari social cioè chi diceva ma io chiedo il consenso perché c'è la norma del GDPR che dice quando il trasferimento di dati extraway si può chiedere il consenso interessato al trasferimento del suo dato. È una norma eccezionale infatti la norma parla di una volta non può essere ripetuto alcuni colleghi dicevano no ma non dobbiamo essere tale bani non dobbiamo interpretarlo in maniera restrittiva è vero il regolamento private è un regolamento di principi però se è una norma un'eccezione non possiamo diventare regola infatti il garante da nì se lo ricorda non basta il semplice consenso anche perché bisognerebbe poi nagnate già il banner de cookie che bello specifico pensate se dobbiamo specificare anche questo se ci dà il consenso ai cookie analitici con google analytics allora il tuo dato andrà non credo sia il caso e poi ancora non sono sufficienti le dichiarazioni di google che ha fatto in cui ha dichiarato che di non aver mai ricevuto richiesta da parte delle autorità statunitensi di accesso ai dati mi dice non basta che tu me lo dichiari tu puoi dichiarare qualsiasi cosa non è garanzia sufficiente allora vediamo un po' i falsi alarmismi delle certezze che sono state date in questi mesi che secondo me non sono fondate ho sentito colleghi diamo tutto un DPO di un'azienda che volevo obbligare il cliente a togliere google analytics a togliere tutte le funzioni google abbiamo detto ma no possiamo fare una cosa del genere c'è capisci l'impatto su un'attività questo e l'altro quindi attenzione non è chiudiamo tutto tutti gli alarmismi si sono veri ma allora se sei un DPO o comunque un consulente sediamoci iniziamo a vedere il flusso dei dati come li conservi perché poi ci facciamo i problemi di google analytics magari non hanno mai fatto l'adeguamento pregasi dell'azienda non hanno neanche uno straccio di nomina da nessuna parte non hanno manco il registro dei trattamenti quindi altro che trasferimento dei dati e certezze infondate google analytics GIA4 rispetta il GDPR questo non ve lo può dire nessuno ieri ci ha chiamato un cliente che ha detto che ha trovato un DPO che certifica che GIA4 è compliant io lo vorrei vedere perché è più intelligente di tutti i garanti no nessuno lo può dire è un ottimo strumento lo si usa come si stanno usando tanti altri strumenti ma dire che rispetta il GDPR no non ve lo può dire nessuno lo stesso se settiamo correttamente siamo a norma non basta l'abbiamo visto non basta ma non perché noi non sappiamo settarlo perché non dipende da noi e poi ancora non basta chiedere il consenso lo puoi chiedere una volta perché è un consenso eccezionale non lo puoi chiedere ogni volta e poi il fatto che tanti hanno detto il garante italiano non ha combinato una sanzione quindi va beh facciamolo tanto non rischiamo nulla è un po quello che sento dire da tanti titolari del trattamento io non procedo con l'adeguamento privacy perché tanti controlli sono a campione tanto devono venire a prendere me ma che vuoi che sia lo fanno tutti va bene quindi dobbiamo cambiare un po la mentalità secondo me sicuramente per andare meglio quale l'orizzonte e futuro allora a marzo del 2022 a me piace oggi la storia mi sto tormentando Biden e la nostra Ursula hanno fatto un accordo di principio poi il quale prendevano un impegno a punto a un accordo che tra la guerra russia ucraina il caro energia ecc non credo che nei loro pensieri ci sia questo problema il 7 ottobre Biden ha fermato questo executive order lo spettavamo con tanta trepidazione arrivato sostanzialmente cosa dice lui si rende disponibile ad aprire le trattative per una nuova versione che si scelde che fornisca più garanzia e garanti l'esercizio dei poteri dell'autorità americana in modo necessario e proporzionato quindi limitando l'accesso o le richieste garanti i livelli più alti di sicurezza per i dati degli interessati e poi questa istituzione di un nuovo tribunale che dovrebbe poi appunto essere competente stabilire violazioni e adempimenti è un lungo percorso ovviamente dal 7 ottobre non abbiamo avuto più notizie tutto tace ora la palla è stata lanciata la we quindi bisognerà vedere salvo in pugnazioni purtroppo perché noib nostro amico è già sul piede di guerra ha già fatto sapere lui che difficilmente questo executive order soddisferà le tutele previste dalla normativa che secondo lui nulla è cambiato perché il potere dispezione delle autorità americane è forte quindi comunque non verrà marginato e poi incide anche su questo nuovo tribunale che secondo lui non garantirà una parità o comunque un'imparzialità ma sembra un organe esecutivo degli stati uniti del governo quali sono le alternative a google allora ci rimane che magari nel mentre vediamo cosa possiamo fare allora sicuramente la soluzione custom bellissima cioè io mi faccio un'infrastruttura di analitica e sì bellissimo e la soluzione stupenda, peccato c'ha dei costi molto elevati che se la può permettere e poi non solo consideriamo sempre quell'analisi del rischio la vulnerabilità dei sistemi quindi non solo devo investire per creare tutta un'infrastruttura ma poi la devo abbinare un'infrastruttura di sicurezza, tecnica e sformatica quindi attenzione potremmo appoggiarci a dei software su host in proprietario dove metteri dati oppure software alternativi che abbiano server in Europa e a questo proposito alcuni di voi mi hanno chiesto prima dell'evento di parlare, sono andata indietro scusate di parlare di lui mi avete richiesto, dice mamma Tomo vedo che tu sei contento ha detto ok, parliamo lui si è rettando per lato vediamo cosa fa Mattomo, allora Mattomo è una piattaforma coochless che questa soluzione si andrà cioè di non trattare coochie di terze parti quindi permette questo di attivare il tracciamento coochless quindi solo coochie di prime parti e open source come WordPress quindi diciamo a una facilità di ingresso poi da accesso ai dati grezzi come dicevamo prima come quello che ha contestato il Knil quindi io posso consultare i dati grezzi, poi se voglio posso effettare varie opere, quindi andare più o meno nel profondo delle mie ricerche può essere automatizzato e poi può essere anche esteso perché anche due versioni con dei plugin sia gratuiti che in versione premium e poi Mattomo si dichiara vada bene le mie parole si dichiara, io non lo dichiaro ne lo dichiarerei mai si dichiara GDPR compliant ok, se è la sua dichiarazione di intenti perché dice che garantiscemerà l'anonymizzazione dei dati da loq tout, ma questo lo faceva anche Google Analytics appunto tratta coochie di prima parte di default perché è coochless le persone possono avere traccia di tutti i dati che sono stati raccolti dalla piattaforma può cancellare immediatamente i dati vi ricordo Federico Leva il nostro amico che ci ha contenuto compagnia a questo estate e poi avete avuto problemi un caro Federico appunto nell'anonymizzazione dell'IP addirittura garantisca una personale il titolare del trattamento con l'usilio dei tecnici può anche scegliere quanto andare in profondità nell'anonymizzazione e poi ovviamente i dati rimangono in Europa in un paese addirittura a propria scelta sembrerebbe wow poi la realtà non lo so devo dire la verità perché a questo punto cosa dovremmo fare ogni volta che utilizziamo uno strumento vedere bene oltre le loro polisi ma tutta la documentazione tutta la loro documentazione di misure tecniche informatiche vedete che ritorna sempre ci dobbiamo vedere prima le loro capire come tratta nel dato come faccio quella anonymizzazione che ho avuto addirittura di personalizzarla e poi questo è un punto che volevo trattare perché secondo me è molto importante per voi la vostra responsabilità perché è sottovalutata eh no attenzione attenzione io nei miei contratti metto sempre le sonero di responsabilità per voi ne ho dato la comitata il 20 april di quest'anno ho avuto il piacere di tormentare il garante privasi italiano e gli ho fatto un po' di domandine e gli ho fatto queste domande allora voi siete responsabili del trattamento perché nel momento in cui trattate i dati degli utenti del vostro cliente quindi i dati di chi va sul sito i dati di chi va sugli account social eccetera voi state trattando dati per conto del titolare la natura è contratuale del vostro rapporto quindi occorre un contratto un contratto principale che stabilisca termini della fortuna il contratto secondario collegato che è la nomina responsabile e poi c'è quest'altro soggetto che spesso viene dimenticato subresponsabile perché spesso voi non riuscite a fare magari tutto il lavoro lo affidate a qualcuno che conosce lui diventa subresponsabile il garante cosa ha detto alle mie domande ma ha detto che la prima responsabilità è il fatto di non essere nominati quindi voi dovete farvi nominare e se non vi nominano autonominatevi perché è importante o no sarete responsabile in qualità di titolare perché non avete alcun titolo per trattare quei dati quindi mi raccomando qui è la responsabilità non avete la responsabilità legale ma attenzione avete la responsabilità tecnica quindi nel momento in cui voi consigliate uno strumento al vostro cliente voi dovete avere tutte le nozioni di quello strumento e voi dovete decidire poi scegliere il titolare ma voi avete la responsabilità tecnica quindi attenzione questa non ve la può togliere nessuno neanche il miglior contratto del mondo quindi io ho finito ma perché così lascio spazio alle domande sono bravo mi hai fatto un po' di tempo grazie una cortezza domande non pareri legali perché Brunella ha il suo studio se avete delle domande avete bisogno di pareri legali perché è già successo e cortesemente una domanda testa grazie a chi diamo un microfono lui c'è la coedipio si torno un po' sull'argomento nella slide prima di matomo si è parlato di server in Europa Google di fatto a server in Irlanda bravo e quindi allo stesso tempo mi chiedo se io attivo il servizio di Google dopo l'accentazione dei cupi per la finalità analitiche o di marketing e dico l'utente che sta accettando di utilizzare questo servizio e che utilizza server in Europa no è ottima la tua osservazione infatti qual'è il problema il fatto che sia in Europa ci deve porre però un campanello dall'arve ecco perché va sempre studiato lo strumento perché come dice il garante italiano guardare i rapporti perché tu e la sede in Europa ma la casa madre in America è come se non hai fatto nulla europea a meno che ci sono degli strumenti americani perché non dobbiamo condannarli tutti ci sono degli strumenti americani che comunque sono validi che rispettano le clausole standard quindi comunque hanno implementato le misure di sicurezza e quindi comunque rispettano alcuni criteri noi ora abbiamo iniziato un lavoro su mini chat dove un'azienda grossa con il suo DPO ha chiesto il nostro aiuto e lavoreremo su mini chat perché loro vogliono usare questo strumento cosa andremo a vedere stiamo sviscerando tutto andiamo a vedere tutto quello che è stato fatto da 2020 ad oggi per implementare le misure di sicurezza io avrei un milione di cose da dire ma ovviamente non c'è il tempo il posto che anche sentendo i pareri specializzati incluso quello del garante non ci si capisce niente io ho visto un'intervista a Guido Scorza e ho riuscito a contraddirsi tre volte nel giro di un minuto dicendo tutto il contrario di tutto c'è un aspetto a questo punto devo fare una scelta fra le mille cose che si possono dire io non sono soltamente d'accordo sull'interpretazione del fatto che la responsabilità di approfondire le questioni tecniche sia del webmaster perché ci ha messo un anno per fare un'istruttoria per capire dove finissero i dati di Google non si può pensare che questa responsabilità ce l'abbia un webmaster perché questo problema no e adesso qua è stato parlato soltanto di Google Analytics ma l'essere meglio di me che si sta tirando in ballo monitora Piattira, in ballo Google Fonts non soltanto i servizi di Google guarda caso dimenticandosi un sacco di altri servizi per cui c'è un intento ideologico di tutto e basato sul terrorismo che questa legge assurda che è la GDPR, assurda non dal punto di vista del principio che è sacrosanto ma nel modo in cui essa viene applicata secondo me bisogna uscire la domanda che io faccio è siamo così sicuri che la responsabilità sia webmaster cioè io come posso avere l'autorità di capire dove vanno a finire i dati di questo o quel servizio no no questo è corretto e ti ringrazio diamoci del tu, ti ringrazio di questa precisazione perché poi ho dovuto un po' chiudere per lasciare spazio a voi la responsabilità tecnica non è quello che voi dovete capire come avviene la anonymizzazione giustamente neanche il cliente l'ha capito perché Google non ha risposto quello che dovete cioè il vostro contito è quello che comunque voi sapete metterci le mani e magari andare a spiegare al cliente di dire guarda c'è questa questione, io te lo setto come lo posso fare però questo è questo è