Cambiamenti per Google Analyics

Novità per quanto riguarda Google Analytics, lo strumento di analisi che traccia le visite e le conversioni nella maggior parte dei siti oggi presenti in Italia e nel mondo:

La prima novità è che alcune authority della privacy europee (italiana, francese, tedesca, spagnola), hanno dichiarato Google Analytics (nella versione Universal Analytics) non è più conforme alle normative GDPR in quanto non rispetta le normative vigenti, i dati raccolti da Google vengono trasferiti nei server degli Stati Uniti dove le normative sulla privacy sono ben diverse dalle nostre e ritenute non in linea con le indicazioni fornite dalla UE.

La seconda invece riguarda Google, ha annunciato che dismetterà la versione Universal Analytics a partire da Luglio 2023.

Questo vuol dire che tutti i siti che entro quella data si devono adeguare.

Quali sono le possibili alternative?

  1. Passare a un servizio di analytics con sede in Europa:
    Plausible, Matomo e Web Analytics Italia. Solamente la prima è opensource le altre prevedono un canone mensile.
  2. Passare a Google Analytics 4 applicando delle misure aggiuntive relative alla privacy
  3. Non tracciare più visite ed eventi

Nel caso fossi interessato ad una delle soluzioni proposte, contattaci per un analisi del tuo sito e per una stima dei costi.

Google Analytics 4 per essere in regola col GDPR

Il Garante della Privacy, come era prevedibile, ha chiesto di sospendere Google Analytics in quanto i dati vengono trasferiti negli Stati Uniti (paese privo di un adeguato livello di protezione) senza il consenso degli utenti violando la normativa sulla protezione dei dati.

Diciamo che al momento non si tratta di un divieto vero e proprio ma di una sospensione in attesa che il sito in questione, adotti le misure necessarie per garantire la conformità dol GDPR in merito al trasferimento dei dati in USA.

Quali sono i dati che GA raccoglie:

  • indirizzi ip del dispositivo dell’utente
  • informazioni relative al browser ed sistema operativo
  • la lingua utilizzata
  • data e ora della visita

Il garante ritiene che la legislazione USA non offra garanzie adeguate, non in linea con gli standard del GDPR.

Il garante ha dato 90 giorni di tempo per adottare misure adeguate, questo vuol dire che gli scenari possono cambiare e che Google potrebbe adottare le misure richieste dal Garante.

Una delle misure che è possibile adottare nel breve periodo è quella di migrare a Google Analytics 4 (non esiste certezza che sia conforme, unica cosa certa è che il garante di è espresso solo nei confronti di Universal Analytics e non di GA4).

GA4 presenta alcune caratteristiche che lo rendono “più conforme”:

  • non gestisce ip degli utenti
  • i dati vengono gestiti tramite server proxy collocato in Europa
  • anonimizzare gli indirizzi ip

Il consiglio è quello di passare a GA4, anche perchè nel 2023 Universal verrà dismesso e tanto vale farlo adesso.

Se hai bisogno di supporto contattaci.

Nuove linee guida in merito alla privacy e cookie dei siti web

Il Garante della privacy ha annunciato il piano ispettivo per il primo semestre del 2022, verranno presi in esame:
trattamento dei dati personali, uso dei cookie e sistemi di videosorveglianza.

Obblighi principali ai quali ogni sito deve adattarsi

Le nuove linee guida aggiornano le precedenti e allineano la normativa nazionale alle direttive adottate dall’ European Data Protection Board del 4 maggio 2020.

  • Cookie Banner: i pulsanti Accetta e Rifiuta sono stati resi obbligatori, non è considerata legale la possibilità di non poter rifiutare il consenso
  • Cookie disabilitati di default: ad eccezione dei cookie tecnici, tutti gli altri devono essere disabilitati di default. Anche i cookie di tracciamento devono essere disabilitati fino a che l’utente non ha espresso il consenso.
  • Scelte granulari e preferenze modificabili in ogni momento: l’utente deve avere la possibilità di scegliere quali cookie attivare ed in ogni momento deve avere la possibilità di poter revocare il consenso
  • Raccolta del consenso per scorrimento: non è più valida l’accettazione tramite scorrimento del mouse
  • Basta con i cookie wall: illegale l’obbligo di accettare i cookie per poter accedere ai contenuti di un sito web
  • Validità del consenso: deve essere espresso una volta sola ed ha validità di un mese. Vietato mostrare in maniera insistente il cookie banner del consenso.

Come possiamo aiutarvi?

Il nostro sistema, certificato dagli esperti dell’Accademia Italiana della Privacy permette di essere in regola e rendere conforme il tuo sito web alle normative attuali.

Gdpr e sanzioni, cosa succede??

Gdpr e sanzioni, cosa succede??

Forse per google, la sanzione di 50 milioni di euro emessa dai francesi sono pochi spiccioli, ma al momento si tratta della sanzione piu’ alta mai emessa. Da quello che circola, la cifra potrebbe essere superata dalla sanzione che potrebbe essere emessa nei confronti di Facebook per lo scandalo relativo a Cambridge Analytica.

In casa nostra come siamo messi? Posto che la normativa non esonera le piccole realtà dall’adottare queste misure di sicurezza, diciamo che siamo messi abbastanza male, circa il 60% delle attività non sono in regola, il 20% è in regola solo parzialmente, il restante 20% e pienamente conforme.

Cosa prevedono le ispezioni?

Il Garante, sta procedendo alle ispezioni chiedendo varie informazioni e accedendo ai sistemi informatici delle aziende per verificare la corrispondenza di quanto indicato nella documentazione e quanto è stato fatto. Al momento, almeno fino a quando è stato scritto questo post, ci si è limitati ad avvisare l’azienda, concedendo circa 30 giorni di tempo per procedere con l’adeguamento alla normativa.

Sanzioni emesse in Italia

Al momento l ‘unica sanzione emessa in Italia, è stata quella che ha colpito l’associazione Rousseau per la mancata adozione delle misure di sicurezza, in seguito al Data Breach relativo ai siti del movimento 5 stelle. La sanzione è stata di 50 mila euro.

I criteri per il calcolo della sanzioni, non sono molto chiari, il Garante non prevede un importo minimo ma solo un importo massimo fino al 4% del fatturato annuo dell’esercizio precedente.

19 maggio 2019: termine ultimo di adeguamento al GDPR

Sono passati otto mesi dall’entrata in vigore dell’obbligo di adeguarsi alla normativa GDPR (regolamento UE n. 679-2016-UE)
Il termine ultimo per l’adeguamento alla nuova disciplina è stato fissato per il 19 maggio.

Dal 20 maggio quindi chi non è in regola potrà essere sanzionato pesantemente se non si è adeguato. Una bella pretesa considerato che il GDRP rimette ai destinatati della normativa la responsabilità del processo di adeguamento, meglio noto come “accountability”. Un’autoresponsabilità che, se in otto mesi non è stata all’altezza degli oltre 90 adempimenti da rispettare rischia di far chiudere bottega ai ritardatari. Non si parla infatti di spiccioli, ma di sanzioni astronomiche che possono raggiungere il 4% del fatturato.

Per informazioni e consulenza sull’adeguamento GDPR

GDPR: cosa fare con siti web e hosting

Adeguamento GDPR per aziende e consulenti, compresi i siti web.

Abbiamo tempo fino al 25 Maggio per adeguare i nostri siti web al regolamento interno GDPR (General Data Protection Regulation) ,  le sanzioni sono abbastanza pesanti per cui è meglio spendere qualche euro e mantenere aggiornati i propri sistemi che pagare multe salate.

Cosa succede se un sistema viene violato (Data Breach) ?
Bisogna comunicare immediatamente al garante il data breach con tutte le conseguenze che ne derivano

Data Breach: è la trasmissione o comunicazione non autorizzata di informazioni “sensibili” ad una parte, solitamente esterna all’organizzazione vittima, che non è autorizzata a possedere o vedere l’informazione.

Cosa fare su server, hosting, siti web? PRIVACY BY DESIGN: “tutti i sistemi devono essere disegnati per essere inespugnabili ed in regola con il GDPR.”

Per quanto riguarda i server dedicati o sistemi in cloud, è necessario prendere alcuni accorgimenti:
Firewall: deve proteggere il sistema ed esporre all’esterno solo le porte necessarie per l’operatività necessaria e solo alle sorgenti autorizzate
SSH e FTP: gli accessi SSH devono essere consentiti solo con chiave pubblica e con restrizioni IP e solamente a soggetti autorizzati, niente password. Per gli accessi in FTPdevono essere consentiti solo in modalità TLS
Backup: predisporre dei backup regolari dei dati, dei siti e dei database e assicurarsi che il ripristino sia sempre possibile.
Password: devono essere sicure e lunghe, ad esempio composte da numeri lettere almeno una maiuscola e almeno un simbolo. Evitare di trasmettere password in chiaro.
PC e Terminali: mantenerli sempre aggiornati ed evitare infezioni di trojan.

Come comportarsi con i siti web

Nel caso un sito web dovesse essere “bucato”, la normativa del GDPR impone di comunicare tempestivamente al Garante l’avvenuto Data Breach, notificare quindi che il tuo sito è stato violato e che sono stati trafugati i dati dei tuoi clienti/utenti/fornitori.

Non basta quindi ripulire il sito e modificare le password, ma bisogna comunicare il data breach al Garante e pagare una multa che equivale al 4% del fatturato, inoltre in caso di violazione dei dati si è perseguibili per legge.

Come evitare queste spiacevoli situazioni?

Firewall: WordPress deve essere protetto da un plugin di firewall per schermare il sito da brute force e altri tipi di attacchi (ci sono diversi plugin validi, Sucuri ad esempio).
SSL: il GDPR prevede che i dati personali debbano essere sempre trasmessi su canali sicuri. In parole parole, ogni sito deve avere un certificato SSL. La cosa è più facile a farsi che a dirsi. Ho spiegato tutto qui: I certificati SSL per Server Dedicati e Siti Web, spiegati al mio criceto
FTP: l’accesso FTP al sito deve essere consentito soltanto a soggetti autorizzati. Ovvero: restrizione per IP, no FTP in chiaro, solo TLS.
Backup: revisionare e/o predisporre backup regolari del sito e dei DB. Verificare periodicamente che il ripristino sia sempre possibile.
Aggiornamenti: tutti i componenti del sito WordPress devono essere tempestivamente aggiornati. Temi: aggiornare tempestivamente.
Plugin e Core dei siti web: aggiornarli tempestivamente, gli aggiornamenti su WordPress e di Joomla,  sono automatici per le minor version, quando ci sono i salti di versione è richiesto l’intervento manuale, lo stesso vale per plugin e temi. Salvo casi particolari, plugin e temi non si aggiornano automaticamente.
Password: le password di accesso a WordPress devono essere sicure e lunghe.
Rischi da evitare ad ogni costo: trasmettere in chiaro password WordPress o password FTP. Mai trasmettere in chiaro le password. Non essere negligente con la sicurezza dei terminali desktop. Il tuo pc contiene password che consentono di aver accesso amministrativo ad uno o più siti WordPress? Se il pc viene compromesso ed infettato con un trojan, qualsiasi hacker con un minimo di esperienza potrà accedere in pochi minuti al tuo sito.
Raccomandazioni generali e sempre valide: limitare e se possibile evitare l’accesso di soggetti terzi come ad esempio rivolgersi a collaboratori a basso costo extra UE che accedono ai siti per aggiornare temi e plugin.

 

Apri la chat
1
WhatsApp
Ciao!
Bisogno di informazioni? Chiedi qui!