No Panic - Stiamo tranquilli
Anche io oggi ho avuto modo di essere interpellato in merito ad una Pec che in questi giorni molte Pubbliche Amministrazioni stanno ricevendo.
La Pec fa riferimento alla diffida per l’utilizzo, sul Sito Internet dell’Ente, dello strumento Google Analytics.
La situazione sembra abbondantemente diffusa tanto da rendere impensabile una risoluzione in tempi brevi se non bloccando l’intero sistema di Siti e Servizi del mondo PA.
Cosa ne penso
La Pec non proviene da un mittente reputato ad essere un’Autorità competente a tale controllo.
È comunque risaputo che Google Analytics non sia aderente al rispetto della normativa legata alla privacy la cui evoluzione ha fatto grandi passi con la nascita del GDPR.
È altrettanto importante, dal mio punto di vista, capire il motivo per cui un Ente Pubblico utilizzi un prodotto come Google Analytics non essendo un soggetto che necessiti di analizzare il pubblico per pianificare piani di marketing e remarketing.
Da pubblico cittadino fruitore dei servi offerti dalla Pubblica Amministrazione, mi aspetto una maggior attenzione alla qualità e alla resilienza dei servizi più che ad una semplice analisi demografica degli utilizzatori del servizio.
Un’altra riflessione che viene spontanea è: quanto gli Enti Pubblici e la Pubblica Amministrazione in genere, spesso sono lasciati soli in balia di novità inerenti il mondo Internet?
L’alternativa
Con l’introduzione del GDPR lo sviluppo di software adotta misure tecniche ed organizzative per renderlo nativo privacy by design e by default. Google stessa sta sostituendo pubblicamente il prodotto Google Analytics (GA) con Google Analytics 4 (GA4) proprio per garantire il massimo rispetto della privacy.
Quando si parla di GA4 va di pari passo anche l’argomento “Compliance With National and State Privacy Regulations” (Conformità alle normative nazionali e statali sulla privacy).
Punto fondamentale che garantisce un’impronta nell’attenzione alla privacy di GA4 è il suo principale comportamento: By default, GA4 anonymizes IP addresses of all users (GA4 rende anonimi gli indirizzi IP di tutti gli utenti).
Una soluzione immediata
Trovandoci di fronte ad un “invito” a risolvere la posizione di utilizzo dello strumento Google Analytics, ecco ESATTAMENTE cosa si può fare: chiedere a chi gestisce il Sito (con una mail ufficiale, meglio a mezzo PEC) di eliminare il codice di Google Analytics presente sul Sito (UA-XXXXXXXX-XX).
Un approfondimento importante
Per approfondire l’argomento suggerisco questo post del Dott. Andrea Lisi, Avvocato | Titolare dello Studio Legale Lisi | Presidente Anorc Professioni: https://www.linkedin.com/pulse/panic-google-analitics-per-un-ente-pubblico-%C3%A8-illegittimo-andrea-lisi/
La PEC incriminata
Alla Att.ne del DPO (Responsabile Protezione Dati) dell’Ente.
Diffida per per l’illecito utilizzo di Google Analytics su c_l751, in violazione del Regolamento generale sulla protezione dei dati personali 2016/679 (GDPR)
Spett.le Ente,
siamo un gruppo di hacker italiani, attiviste e attivisti, cittadine e cittadini attenti alla privacy ed alla tutela dei diritti cibernetici del nostro Paese: https://privacy.g0v.it
Abbiamo rilevato che il vostro Ente utilizza Google analytics (GA) nel suo sito www.nomesito.ext.it, nonostante sia ormai pacifico che questo strumento non sia conforme ai principi del GDPR in ordine al trasferimento transfrontaliero di dati personali.
L’utilizzo di GA è infatti stato ritenuto illecito dall’EDPS, con riguardo al trattamento dei dati operato dal Parlamento europeo, dall’Autorità di controllo austriaca e da da ultimo da quella francese (si veda in sintesi https://noyb.eu/en/edps-sanctions-parliament-over-eu-us-data-transfers-google-and-stripe).
Riteniamo che il mantenimento, da parte dell’Ente, di un trattamento di dati personali così evidentemente illecito, che comporta un ingiustificato e massivo trasferimento transfrontaliero di dati personali, riguardante tutti gli utenti del sito www.nomesito.ext.it , costituisca una grave violazione che debba immediatamente cessare.
Invitiamo pertanto a voler immediatamente provvedere alla rimozione di GA e di qualsiasi altro strumento di analytics o tracking che produca effetti analoghi.
La suddetta violazione, imputabile al Vs. Ente nome dell’Ente, quale titolare del trattamento, in persona del legale rapp.te pro tempore Nome Cognome espone l’Ente stesso alle sanzioni amministrative pecuniarie previste dall’art. 83 del GDPR.
La presente viene inviata in via informativa, proprio al fine di consentire una rapida rimozione di Google Analytics, rimandando a quanto raccomandato dalla Agenzia per l’Italia Digitale Web Analytics Italia https://www.agid.gov.it/design-servizi/web-analytics-italia
Il resoconto complessivo delle Pubbliche Amministrazioni in violazione, con particolare riguardo a quelle che non avranno provveduto alla tempestiva rimozione di GA, verrà pubblicato come report e inviato come segnalazione al Garante per la Protezione dei Dati e al Difensore Civico Digitale.