Diffida per violazione del GDPR per utilizzo Google Analytics su sito istituzionale

Buongiorno a tutti,
Oggi molti comuni italiani hanno ricevuto un’email da un sedicente “gruppo di hacker italiani, attiviste e attivisti, cittadine e cittadini attenti alla privacy ed alla tutela dei diritti cibernetici nel nostro Paese:” che denunciano l’uso di Google Analytics come non corrispondente ai requisiti del GDPR.

Il testo recita:

Abbiamo rilevato che il vostro Ente utilizza Google analytics (GA) nel suo sito xxxxxx, nonostante sia oramai pacifico che questo strumento non sia conforme ai principi del GDPR in ordine al trasferimento transfrontaliero di dati personali.
L’utilizzo di GA è infatti stato ritenuto illecito dall’EDPS, con riguardo al trattamento dei dati operato dal Parlamento europeo, dall’Autorità di controllo austriaca e da da ultimo da quella francese (si veda in sintesi EDPS sanctions Parliament over EU-US Data Transfers to Google and Stripe).

Riteniamo che il mantenimento, da parte dell’Ente, di un trattamento di dati personali così evidentemente illecito, che comporta un ingiustificato e massivo trasferimento trasfrontaliero di dati personali, riguardante tutti gli utenti del sito xxxxx, costituisca una grave violazione che debba immediatamente cessare.
Invitiamo pertanto a voler immediatamente provvedere alla rimozione di GA e di qualsiasi altro strumento di analytics o tracking che produca effetti analoghi.

La suddetta violazione, imputabile al Vs. Ente Comune di xxxxx, quale titolare del trattamento, in persona del legale rapp.te pro tempore xxxxxxx espone l’Ente stesso alle sanzioni amministrative pecuniarie previste dall’art. 83 del GDPR.

La presente viene inviata in via informativa, proprio al fine di consentire una rapida rimozione di Google Analytics, rimandando a quanto raccomandato dalla Agenzia per l’Italia Digitale Web Analytics Italia Web Analytics Italia|Agenzia per l'Italia digitale

Il resoconto complessivo delle Pubbliche Amministrazioni in violazione, con particolare riguardo a quelle che non avranno provveduto alla tempestiva rimozione di GA, verrà pubblicato come report e inviato come segnalazione al Garante per la Protezione dei Dati e al Difensore Civico Digitale.

Qual è la posizione dell’ecosistema Italia in merito a questa questione?
Possiamo considerare Google Analytics come corrispondente al GDPR se viene correttamente implementata l’anonimizzazione degli utenti?

Considerato che Web Analytics Italia pare abbandonato… per il momento soprassiederei

Speriamo che non sia così…

Ciao.
Ma siamo sicuri che sia così? Non è sufficiente l’anonimizzazione degli IP?

Se ho capito bene la questione è legata alla trasmissione dei dati verso server fuori dall’EU (nello specifico USA) che potrebbero non essere del tutto GDPR compliant.
Attendiamo una pronuncia da AgID e dal Garante italiano.

Ribadisco: ma non è sufficente rendere anonimi gli IP?

è proprio quello che c’è da capire
Attenzione che il codice postato è una vecchia versione di GA, andrebbe in ogni caso aggiornato.

@AlessandroVecchi @Antonino_Campo se vi è utile potete usare il codice che segue che oltre ad anonimizzare l’ultima parte dell’IP evita anche che vengano usato cookie sul browser del navigatore.

<!-- Global site tag (gtag.js) - Google Analytics -->
<script async src="https://www.googletagmanager.com/gtag/js?id=UA-XXXXXXXXX"></script>
<script>
  window.dataLayer = window.dataLayer || [];
  function gtag(){dataLayer.push(arguments);}
  gtag('js', new Date());

  gtag('config', 'UA-XXXXXXXXXX',{ client_storage: 'none', anonymize_ip: true });
</script>

Anche per Matomo (il software su cui è stato creato WebAnalytics Italia) è possibile avere uno snippet cookieless.

Anche per includere un video di youtube è disponibile una versione del codice cookieless, direi che i provider si stanno progressivamente organizzando per farne a meno

Non so se si possa fare di più per minimizzare i trattamenti, noi per adesso arriviamo fino a qui

Telegram: Contact @monitoraPA è il link per accedere al gruppo Telegram del gruppo hacker, attivisti e cittadini. E’ da verificare se il garante italiano, ma soprattutto quello europeo, ha dichiarato GA illegale per l’utilizzo e quindi è da dismettere dai siti della PA.

L’iniziativa ha anche la sua pagina web: https://privacy.g0v.it/
e un account con gli aggiornamenti: Friendica in Luxembourg | Monitora PA @ Friendica in Luxembourg

Ciao.
Per me è più che sufficiente. Non capisco perchè di una pratica tanto diffusa, senza scopi reconditi, si sia accorto un gruppo di utenti e non il Garante…
E non capisco neppure cosa possano temere gli utenti, se qualcuno vede che visitano siti della PA.

@Antonino_Campo il GDPR ha stabilito delle norme da rispettare e sembrerebbe che Google non si sia del tutto adeguato.

Mi devo ripetere. Non sto dicendo che Google rispetti le regole, ma mi sembra strano come non si sia accorto il Garante italiano e cosa si possa temere dalla navigazione sui siti PA.

Se è per paura dello spam, i pretesti sono infiniti.

Beh, a mio parere il messaggio inviato agli Enti è un po’ sopra le righe, non è vero che Google Analytics sia illegale, è vero che c’e’ stata una contestazione in un caso specifico dal garante europeo e che in base a quello due garanti di due paesi hanno preso una posizione precisa. Il Garante Italiano non mi risulta che lo abbia fatto, al contrario le linee guida entrate in vigore a gennaio scorso e le linee guida di Agid sui servizi digitali contengono indicazioni su come configurare Analytics in modo da anonimizzare il traffico.

• Linee guida cookie e altri strumenti di tracciamento - 10 giugno 2021... - Garante Privacy
• Web Analytics: cosa fare per adempiere alla normativa sui cookie

e in una parte successiva della guida Agid stessa indica come configurare Google Analytics in modo corretto.

Non sono un legale, potrei sbagliarmi, ma se non c’e’ nulla oltre a quello che ho linkato sopra, rivolgersi agli enti scrivendo che sono “in violazione” e lasciando intendere che anche Agid abbia detto che bisogna usare Web Analytics Italia e non Google Analytics, secondo me è pericoloso: si punta sulla scarsa conoscenza in materia, sulla paura dell’Ente di fare qualcosa di illegale e sanzionabile, è un’arma molto pericolosa da usare.

Comprendo che lo scopo sia fare pressione sul Garante affinché si pronunci in senso analogo a quanto hanno fatto altri enti analoghi europei, ma quando si punta sull’ignoranza e la risposta di pancia secondo me nel lungo termine si fa un danno maggiore del beneficio immediato che si vuole ottenere.

Concordo, è indubbiamente una modalità un po’ “terroristica”. A volte è utile smuovere gli enti verso un cambiamento ma in questo caso minacciare delle sanzioni che al momento non esistono è sbagliato. Sembra più un’azione mirata contro Google piuttosto che a favore della legalità e della trasparenza.

Inoltre Web Analytics Italia, a giudicare dal repository su github, sembra che non stia ricevendo molti aggiornamenti.

Esatto. Come dicevo, non intendo al momento dare troppo peso a questa faccenda.
Se hanno qualcosa da segnalare e sono nel giusto, perchè non usano direttamente i canali istituzionali?

Ciao a tutti,

il progetto MonitoraPA effettuerà a breve:

1. Esposto al Difensore Civico Digitale affinché intervenga in relazione al rispetto art. 68 del CAD
2. Esposto al Garante della Privacy Italiano per violazione del GDPR (rif. EDPS/Francia/Austria)

Le PA in violazione sono 7833 e abbiamo già ricevuto notifiche di alcune centinaia di Enti (e i loro fornitori) che hanno avviato la migrazione.

La domanda ai fini del rispetto del CAD: E’ stata effettuata l’analisi comparativa fra l’acquisizione di Google Analytics vs. Web Analytics Italia?
Se no, Agid dovrà intervenire e l’RTD prendere provvedimenti.

Il software verrà eseguito con cadenza mensile e riscansionerà tutti i siti, re-invierà tutte le notifiche via PEC, comparerà i risultati rispetto alle scansioni precedenti monitorando il trend.

Il software è in riuso con licenza libera, per contributi GitHub - hermescenter/monitorapa: Progetto per monitoraggio e notifica di non compliance GDPR alle PA con input da IndicePA

Seguirà l’inclusione di ulteriori test di protezione dati quali:
a) Attivazione supporto HTTPS e appropriatezza dei Cifrari tecnici
b) Presenza di Pixel Tracking di Facebook
c) Presenza di Google Fonts
d) Presenza di CMS/Webserver vulnerabili/vecchi

L’idea è che, grazie al contributo volontario questo progetto diventerà un vero e proprio Osservatorio Civico, da cui il nome MonitoraPA, che userà misurazioni oggettive, notifiche massive e incentivi reputazionali coniugati a incentivi professionali tramite gli esposti alle autorità preposte.

Siamo quasi 100 persone nella chat Telegram, unitevi! Telegram: Contact @monitoraPA

Fabio

pare che lo stesso sito AGID utilizzi Google Analytics:
view-source:Linee guida di design per i servizi web della Pubblica Amministrazione | 5.3. Web analytics

(function (i, s, o, g, r, a, m) {
i[‘GoogleAnalyticsObject’] = r;
i[r] = i[r] || function () {
(i[r].q = i[r].q || ).push(arguments)
}, i[r].l = 1 * new Date();
a = s.createElement(o), m = s.getElementsByTagName(o)[0];
a.async = 1;
a.src = g;
m.parentNode.insertBefore(a, m)
})(window, document, ‘script’, ‘//www.google-analytics.com/analytics.js’, ‘ga’);

$(document).ready(function() {
var sendGaPageview = function() {
ga(‘create’, ‘UA-122854273-2’, ‘auto’);
ga(‘set’, ‘anonymizeIp’, true);
ga(‘send’, ‘pageview’);

};
if ($.fn['cookiebar'].Constructor._getCookieEU()) {
  sendGaPageview();
} else {
  $(document).on('close.bs.cookiebar', sendGaPageview);
}

});

e pare anche che Agid nella sua guida per i Comuni spieghi come configurare correttamente google analytics

infine pare che in Italia al momento, le sentenze austriache non abbiano valore normativo.

Salve Lorenzo,

in realtà questo approccio ha una base meramente contrattuale e non costituisce una misura tecnica supplementare a protezione dei dati personali dei visitatori.
(vedi a riguardo le raccomandazioni del EDPB)

L’IP dei visitatori infatti raggiunge comunque i server di Google, che promette, dopo averlo processato per decodificare il pacchetto ed identificare il parametro anonymize_ip, di anonimizzarlo all’interno del prodotto (ovvero all’interno di Google Analytics).

Tuttavia quella pagina della documentazione di Google, per quanto studiata per far intendere più di quanto non prometta, è imprecisa:

l’anonimizzazione degli indirizzi IP avviene non appena i dati vengono ricevuti da Google Analytics, prima che venga eseguita qualsiasi archiviazione o elaborazione

non è tecnicamente possibile: la connessione è protetta da TLS e anche solo per identificare l’uso di tale tag è necessario elaborare il pacchetto IP inviato dall’utente (decifrarlo, interpretare la richiesta HTTP etc…) sui server di Google.

Al di là di questa “piccola imprecisione” comunque, il problema è che Google riceve quel identificativo dell’utente in chiaro (è noto che l’IP costituisce un dato personale) insieme a molti altri che permettono l’identificazione dell’utente (in gergo, fingerprinting).

Google promette contrattualmente, dopo averlo processato, di scartare parte di tale IP, ma se costretto da una agenzia US nei termini del CLOUD Act, può inviarlo prima a terzi.

Dunque un titolare del trattamento che utilizzi Google Analytics non può addurre l’utilizzo di questa funzionalità come misura tecnica supplementare a protezione dei dati personali.

In altri termini, impostare anonymize_ip: true non è sufficiente per continuare ad utilizzare Google Analytics.

Restare su Google Analytics è possibile, ma solo con misure tecniche più avanzate.

Ad esempio, servendo il sito della PA solo sulla rete .onion, accessibile attraverso TorBrowser.
In questo modo Google non riceverebbe l’IP dell’utente ma quello dell’exit point.

Tuttavia come puoi immaginare si tratta di una soluzione molto più costosa:

• bisogna informare la popolazione che può raggiungere la PA solo attraverso la rete onion
• bisogna mettere su il sito onion

Dunque le soluzioni tecniche per poter continuare ad utilizzare Google Analytics esistono, ma sono talmente costose (economicamente e politicamente) che conviene semplicemente passare a Web Analytics Italia che è Matomo fornito dalla Pubblica Amministrazione italiana alla Pubblica Amministrazione Italiana.