Data ProtectioncookieGoogle analytics dopo le diffide ricevute dalle Pubbliche Amministrazioni italiane: chi ha ragione e cosa fare ora

25 Maggio 2022
https://studioiadecola.it/wp-content/uploads/2022/05/1.png
ASCOLTA ARTICOLO

Articolo pubblicato, anche in podcast, su diritto.it

Negli scorsi giorni sono arrivati ad oltre 8.000 enti pubblici alcune comunicazioni aventi ad oggetto: “Diffida per l’illecito utilizzo di Google Analytics su c_b504, in violazione del Regolamento generale sulla protezione dei dati personali 2016/679 (GDPR)”.

Si tratta di una azione coordinata di un “gruppo di hacker italiani, attiviste e attivisti, cittadine e cittadini attenti alla privacy ed alla tutela dei diritti cibernetici nel nostro Paese: https://privacy.g0v.it”, che ha realizzato MonitoraPA, un vero e proprio osservatorio automatizzato in grado di individuare e segnalare i problemi di conformità al GDPR delle pubbliche amministrazioni italiane.

Si è partiti dalla cosa più semplice, ossia dalla scansione dei siti web di migliaia di pubbliche amministrazioni alla ricerca di quelle che ospitano il servizio offerto da Google. Nelle intenzioni degli ideatori tale controllo verrà ripetuto a cadenza quindicinale per verificare quante PA continueranno ad ospitare Google Analytics.

D’altro canto, per verificare se tra i cookie statistici che un sito utilizza vi sono quelli di Google Analytics è sufficiente leggere le indicazioni presenti sul cookie banner, a patto che quest’ultimo sia in regola con le  “Linee guida cookie e altri strumenti di tracciamento” del Garante privacy, in vigore dallo scorso 10 gennaio.

Certamente tale iniziativa ha avuto il pregio di riaccendere i riflettori sulla problematica del trasferimento transfrontaliero di dati personali, anche per le modalità scelte dagli attivisti, consistenti in un invio massivo in contemporanea di pec trasmesse al Titolare del trattamento (menzionando il nominativo del legale rappresentante p.t. per ciascun ricevente) e all’attenzione del D.p.o. (obbligatorio per la pubblica amministrazione ai sensi dell’art. 37 c. 1 lett. a. gdpr).

Ci ricordano i mittenti che l’utilizzo di Google Analytics è  stato ritenuto illecito dall’EDPS, con riguardo al trattamento dei dati operato dal Parlamento europeo, dall’Autorità di controllo austriaca e da da ultimo da quella francese

     Indice

  1. Google analytics: cosa sono e come funzionano
  2. Le ragioni degli attivisti
  3. La posizione del Garante italiano
  4. Conclusioni

1. Google analytics: cosa sono e come funzionano

Si tratta di uno strumento molto performante per l’analisi dei dati digitali utilizzato sulla stragrande maggioranza dei siti web che serve a monitorare il traffico dei siti web e permette di fare web marketing analizzando il comportamento degli utenti sui siti e sulle App.

Analizza e monitora ogni azione lato utente, fornendo importanti e precise indicazioni su quali pagine vengono visitate e quanto, da quale device, da quale posizione geografica, il tasso di conversione e molto altro.

Tutti questi dati vengono raggruppati in report, che può essere visualizzato sulla Google Analytics Dashboard, mentre le attività degli utenti sono raggruppate in sessioni, ossia il lasso di tempo che un utente trascorre navigando su un sito web, dal momento in cui accede ad una pagina, fino al momento in cui lascia il sito, e scade dopo 30 minuti di inattività.

Il punto dolente di questo strumento consiste nel fatto che tutti i siti che fanno uso di Google Analytics di fatto esportano negli Stati Uniti dati personali dei visitatori, come i loro indirizzi IP e i loro identificatori univoci che vengono memorizzati nei cookie.

2. Le ragioni degli attivisti

L’iniziativa in commento che a onor del vero non sembra nascondere secondi fini commerciali ed è costruita e portata avanti da semplici volontari, nasce dalla volontà di riaffermare il principio secondo cui gli Enti pubblici che sono i custodi della maggior parte dei dati personali dei cittadini e di conseguenza, devono per primi conformarsi ai principi comunitari che tali dati proteggono. Gli attivisti hanno quindi effettuato, allo scopo di verificarne l’applicazione, una prima azione di monitoraggio civico legale, libera e verificabile da chiunque.

Essi, sulla scorta delle pronunce del Garante europeo della protezione dei dati (GEPD) o European Data Protection Supervisor del Garante privacy francese ed austriaco che hanno dichiarato inadeguate le misure di Google Analytics, nella misura in cui determina il trasferimento dei dati personali negli USA, sostengono che gli Enti pubblici destinatari delle loro comunicazioni di fatto violano il gdpr.

Nello specifico, entrambe le decisioni dei Garanti europei sono conseguenza dei reclami presentati in varie nazioni dell’Unione Europea da parte dell’ONG austriaca NOYB – European Centre for Digital Rights, l’organizzazione fondata Maximilian Schrems, l’attivista che ha dato il nome alla nota sentenza della Corte di Giustizia dell’UE che nel 2020 ha invalidato la decisione di adeguatezza della Commissione Europea che riteneva il Privacy Shield fornire garanzie adeguate il trasferimento dei dati.

Di fatto, gli indirizzi IP e gli identificatori univoci dei visitatori dei siti, secondo le leggi in vigore negli USA, possono essere fornite alle autorità americane stante i programmi di sorveglianza governativa dei servizi di intelligence (come il FISA 702) e, per queste ragioni, si configurerebbe la violazione delle norme del gdpr in tema di trasferimento dei dati personali all’estero.

3. La posizione del Garante italiano

Sulla scorta di quanto sopra rappresentato, sembrerebbe quindi necessario adeguarsi a questi principi perentori. Invece così non è o perlomeno fino a quando il Garante per la protezione dei dati personali italiano non si pronuncerà sull’argomento, anche se è ragionevole attendersi che questo accadrà presto, anche grazie alla spinta dai toni allarmistici data dalla comunicazione in argomento.

4. Conclusioni

Evitando quindi la cieca obbedienza alla comunicazione / diffida ricevuta e senza perdere di vista la finalità del raggiungimento della migliore compliance al trattamento dei dati, occorrerà in primo luogo che il Titolare del trattamento, sentito il parere del Dpo, si interroghi sulla necessità di continuare ad ospitare tale strumento sul proprio sito, considerando che normalmente un Ente Pubblico, non perseguendo finalità commerciali, potrebbe non  avere bisogno di un prodotto come Google Analytics.

Se, quindi, non vi è alcun motivo per cui il sito di una Pubblica Amministrazione continui ad ospitare Google Analytics, viste le criticità rilevate e in applicazione del principio di minimizzazione, occorrerà prendere provvedimenti per farlo rimuovere.

Se invece vi è interesse a monitorare il traffico del sito web anche solo per migliorare i servizi offerti e per valutare la rispondenza delle iniziative intraprese da parte dell’utenza, è possibile utilizzare Web Analytics Italia, strumento gratuito di Agid  che offre le statistiche in tempo reale dei visitatori dei siti della Pubblica Amministrazione, fornendo agli operatori dei report dettagliati.

Tra i principali vantaggi viene garantita la proprietà del dato e il suo controllo totale, l’assenza di lock-in tecnologico (facilità nel cambiare piattaforma), l’alta modularità e personalizzabilità della piattaforma, l’assenza di sampling / campionamento (procedura che analizza un sottoinsieme di tutti i dati per scoprire le informazioni più importanti in un set di dati più ampio).

Quale che sia la scelta intrapresa, occorrerà adeguare la documentazione sul trattamento dei dati e dare conto della scelta intrapresa in ossequio al principio di accountability.