Diffida per violazione del GDPR per utilizzo Google Analytics su sito istituzionale

Se è per paura dello spam, i pretesti sono infiniti.

Beh, a mio parere il messaggio inviato agli Enti è un po’ sopra le righe, non è vero che Google Analytics sia illegale, è vero che c’e’ stata una contestazione in un caso specifico dal garante europeo e che in base a quello due garanti di due paesi hanno preso una posizione precisa. Il Garante Italiano non mi risulta che lo abbia fatto, al contrario le linee guida entrate in vigore a gennaio scorso e le linee guida di Agid sui servizi digitali contengono indicazioni su come configurare Analytics in modo da anonimizzare il traffico.

e in una parte successiva della guida Agid stessa indica come configurare Google Analytics in modo corretto.

Non sono un legale, potrei sbagliarmi, ma se non c’e’ nulla oltre a quello che ho linkato sopra, rivolgersi agli enti scrivendo che sono “in violazione” e lasciando intendere che anche Agid abbia detto che bisogna usare Web Analytics Italia e non Google Analytics, secondo me è pericoloso: si punta sulla scarsa conoscenza in materia, sulla paura dell’Ente di fare qualcosa di illegale e sanzionabile, è un’arma molto pericolosa da usare.

Comprendo che lo scopo sia fare pressione sul Garante affinché si pronunci in senso analogo a quanto hanno fatto altri enti analoghi europei, ma quando si punta sull’ignoranza e la risposta di pancia secondo me nel lungo termine si fa un danno maggiore del beneficio immediato che si vuole ottenere.

7 Mi Piace

Concordo, è indubbiamente una modalità un po’ “terroristica”. A volte è utile smuovere gli enti verso un cambiamento ma in questo caso minacciare delle sanzioni che al momento non esistono è sbagliato. Sembra più un’azione mirata contro Google piuttosto che a favore della legalità e della trasparenza.

Inoltre Web Analytics Italia, a giudicare dal repository su github, sembra che non stia ricevendo molti aggiornamenti.

1 Mi Piace

Esatto. Come dicevo, non intendo al momento dare troppo peso a questa faccenda.
Se hanno qualcosa da segnalare e sono nel giusto, perchè non usano direttamente i canali istituzionali?

Ciao a tutti,

il progetto MonitoraPA effettuerà a breve:

  1. Esposto al Difensore Civico Digitale affinché intervenga in relazione al rispetto art. 68 del CAD
  2. Esposto al Garante della Privacy Italiano per violazione del GDPR (rif. EDPS/Francia/Austria)

Le PA in violazione sono 7833 e abbiamo già ricevuto notifiche di alcune centinaia di Enti (e i loro fornitori) che hanno avviato la migrazione.

La domanda ai fini del rispetto del CAD: E’ stata effettuata l’analisi comparativa fra l’acquisizione di Google Analytics vs. Web Analytics Italia?
Se no, Agid dovrà intervenire e l’RTD prendere provvedimenti.

Il software verrà eseguito con cadenza mensile e riscansionerà tutti i siti, re-invierà tutte le notifiche via PEC, comparerà i risultati rispetto alle scansioni precedenti monitorando il trend.

Il software è in riuso con licenza libera, per contributi GitHub - hermescenter/monitorapa: Progetto per monitoraggio e notifica di non compliance GDPR alle PA con input da IndicePA

Seguirà l’inclusione di ulteriori test di protezione dati quali:
a) Attivazione supporto HTTPS e appropriatezza dei Cifrari tecnici
b) Presenza di Pixel Tracking di Facebook
c) Presenza di Google Fonts
d) Presenza di CMS/Webserver vulnerabili/vecchi

L’idea è che, grazie al contributo volontario questo progetto diventerà un vero e proprio Osservatorio Civico, da cui il nome MonitoraPA, che userà misurazioni oggettive, notifiche massive e incentivi reputazionali coniugati a incentivi professionali tramite gli esposti alle autorità preposte.

Siamo quasi 100 persone nella chat Telegram, unitevi! Telegram: Contact @monitoraPA

Fabio

3 Mi Piace

pare che lo stesso sito AGID utilizzi Google Analytics:
view-source:Linee guida di design per i servizi web della Pubblica Amministrazione | 5.3. Web analytics

(function (i, s, o, g, r, a, m) {
i[‘GoogleAnalyticsObject’] = r;
i[r] = i[r] || function () {
(i[r].q = i[r].q || []).push(arguments)
}, i[r].l = 1 * new Date();
a = s.createElement(o), m = s.getElementsByTagName(o)[0];
a.async = 1;
a.src = g;
m.parentNode.insertBefore(a, m)
})(window, document, ‘script’, ‘//www.google-analytics.com/analytics.js’, ‘ga’);

$(document).ready(function() {
var sendGaPageview = function() {
ga(‘create’, ‘UA-122854273-2’, ‘auto’);
ga(‘set’, ‘anonymizeIp’, true);
ga(‘send’, ‘pageview’);

};
if ($.fn['cookiebar'].Constructor._getCookieEU()) {
  sendGaPageview();
} else {
  $(document).on('close.bs.cookiebar', sendGaPageview);
}

});

e pare anche che Agid nella sua guida per i Comuni spieghi come configurare correttamente google analytics

infine pare che in Italia al momento, le sentenze austriache non abbiano valore normativo.

Salve Lorenzo,

in realtà questo approccio ha una base meramente contrattuale e non costituisce una misura tecnica supplementare a protezione dei dati personali dei visitatori.
(vedi a riguardo le raccomandazioni del EDPB)

L’IP dei visitatori infatti raggiunge comunque i server di Google, che promette, dopo averlo processato per decodificare il pacchetto ed identificare il parametro anonymize_ip, di anonimizzarlo all’interno del prodotto (ovvero all’interno di Google Analytics).

Tuttavia quella pagina della documentazione di Google, per quanto studiata per far intendere più di quanto non prometta, è imprecisa:

l’anonimizzazione degli indirizzi IP avviene non appena i dati vengono ricevuti da Google Analytics, prima che venga eseguita qualsiasi archiviazione o elaborazione

non è tecnicamente possibile: la connessione è protetta da TLS e anche solo per identificare l’uso di tale tag è necessario elaborare il pacchetto IP inviato dall’utente (decifrarlo, interpretare la richiesta HTTP etc…) sui server di Google.

Al di là di questa “piccola imprecisione” comunque, il problema è che Google riceve quel identificativo dell’utente in chiaro (è noto che l’IP costituisce un dato personale) insieme a molti altri che permettono l’identificazione dell’utente (in gergo, fingerprinting).

Google promette contrattualmente, dopo averlo processato, di scartare parte di tale IP, ma se costretto da una agenzia US nei termini del CLOUD Act, può inviarlo prima a terzi.

Dunque un titolare del trattamento che utilizzi Google Analytics non può addurre l’utilizzo di questa funzionalità come misura tecnica supplementare a protezione dei dati personali.

In altri termini, impostare anonymize_ip: true non è sufficiente per continuare ad utilizzare Google Analytics.

Restare su Google Analytics è possibile, ma solo con misure tecniche più avanzate.

Ad esempio, servendo il sito della PA solo sulla rete .onion, accessibile attraverso TorBrowser.
In questo modo Google non riceverebbe l’IP dell’utente ma quello dell’exit point.

Tuttavia come puoi immaginare si tratta di una soluzione molto più costosa:

  • bisogna informare la popolazione che può raggiungere la PA solo attraverso la rete onion
  • bisogna mettere su il sito onion

Dunque le soluzioni tecniche per poter continuare ad utilizzare Google Analytics esistono, ma sono talmente costose (economicamente e politicamente) che conviene semplicemente passare a Web Analytics Italia che è Matomo fornito dalla Pubblica Amministrazione italiana alla Pubblica Amministrazione Italiana.

1 Mi Piace

Qui il video di presentazione con Fabio Pietrosanti e Marco Ciurcina!

1 Mi Piace

pare che web analytics italia sia ancora in una fase beta

pare anche che non riceva aggiornamenti costanti nel tempo

tutta questa operazione pare sia un po’ di fuffa e basta per intimorire i DPO e fare migrare i Comuni su di un analytics che è in beta e non aggiornato.

Quindi resta una domanda: chi ci guadagna?
Pare che alcune tra le grosse società di fornitura servizi DPO agli Enti faranno un sacco di soldi facendo pagare questa “transizione” ai Comuni.

Pare eh.

5 Mi Piace

Tutti i cittadini italiani.

Ti potrei citare la costituzione, l’articolo 1 o l’articolo 15.

Io sono un cittadino italiano, quindi ci guadagno anche io.
Non credo che però questo renda lecito l’uso di Google Analytics.

Per quanto possa sembrare strano di questi tempi, pretendiamo semplicemente il rispetto di una Legge dello Stato e di un diritto fondamentale per i cittadini e la democrazia.

1 Mi Piace

il cittadino italiano guadagna da una PA che per effettuare analisi dei dati deve affidarsi ad un servizio in fase beta e non aggiornato e con costanti problemi di sicurezza? Ti sei almeno guardato un po’ il repository di quel progetto?

In compenso io qui sento odore di dollari:

Vogliamo parlare delle altre major che forniscono servizi DPO agli Enti?

Voi, esattamente, chi siete? Vi firmate “hacker italiani”, e mandate email fuffa. Una persona fisica la avete? O una giuridica? Il dominio che ospita il sito che sponsorizzate che appoggia il progetto a quale società è intestato? Che interessi ha questa Società in ambito di servizi internet e consulenza per le PA? E il dominio dal quale inviate le email a chi è intestato? Forse allo stesso gruppo di domini di quella Società?

pare che il tutto sia un po’ meno che trasparente, pare naturalmente.

1 Mi Piace

Caro Sweetiest_The_Aviato, stai parlando con persone fisiche, con nome e cognome.

Prima @fpietrosanti poi @Matteo_Flora e poi me.
Io sono Giacomo Tesio, se vuoi puoi trovare tanto su di me su https://www.tesio.it

Tu chi sei?

Perché “pare” che tu ci stia lanciando accuse piuttosto infamanti.

1 Mi Piace

@Giacomo_Tesio io rispetto l’attivismo digitale e il tempo che ci hai speso pero’ dire a 7000 enti che sono “in violazione” significa secondo me giocare con la paura delle persone e secondo me è male. Oggi lo fai per una battaglia tua, domani ti si rivolta contro e la gran parte delle persone non ne capisce una virgola in più, ne prima ne dopo. Davvero l’azione sarebbe stata meno efficace dicendo solo cose vere?

Detto questo, ben venga che il Garante si pronunci in modo diverso da come lo ha fatto fino ad ora, anche per merito di questa azione, buon proseguimento @Giacomo_Tesio.

1 Mi Piace

Qui i cookie di google che mi sono preso su un sito della PA perché hai embeddato il video senza il domio youtube-nocookie.com

image

mannaggia, adesso google sa che non resisto ai titoli clickbait :slight_smile:

besos

L

2 Mi Piace

Puoi indicarmi qualche affermazione falsa che avremmo fatto?

Perché se c’è, è stato un errore involontario (o un bug).

…quindi voi per sensibilizzare gli enti a non usare google analytics fate un video su youtube che utilizza google analytics (e che non ha anonimize ip: true) solo per fare un po’ di pubblicità a questo Matteo Fiora che ha un interesse diretto nello sponsorizzare questa azione poichè (cito dalla sua descrizione del canale) “insegno in Università e faccio consulenza ad Aziende, Enti e Professionisti con le mie aziende” ?

Di nuovo, prima di fare affermazioni di questo genere, forse sarebbe saggio firmarsi, un_cittadino.

Comunque il video è sotto Creative Commons ed è disponibile anche

HAHAHAHAHAHHAHAHAHAHHAHA

Scusa. Guarda meglio con CHI parli prima di ricevere la citazione per diffamazione :slight_smile:

3 Mi Piace

@Giacomo_Tesio scusa il ritardo, non volevo lasciar cadere il discorso a metà :slight_smile:

Tutto il messaggio fa intendere che chi sta usando in Italia Google Analytics sta facendo qualcosa di illegale, ha sbagliato in qualcosa… al punto che ci si rivolge agli enti “in violazione”. Ma come si fa a dire a un ente che ha seguito le indicazioni del Garante e di Agid per configurare google analytics che è “in violazione”, che ha sbagliato qualcosa… già sono pochi quelli che si leggono le linee guida, se poi lasciamo intendere che non serve a nulla secondo me facciamo un danno.

Se capisco bene l’intento della campagna, io nei prossimi messaggi spiegherei candidamente che “sebbene non sia formalmente illegale… se anche viene indicato nelle guide ufficiali come configurarlo “bene” etc… noi riteniamo che il Garante dovrebbe bandire GA anche in Italia e quindi ti chiediamo di toglierlo subito, visto che c’e’ una bella alternativa basata su software opensource e offerta da Agid gratuitamente”

My2c, buona continuazione di campagna
L

6 Mi Piace

Riporto qui le mie considerazioni in maniera informale, mi sembra che gli attivisti di MonitoraPA girino su questo forum ed abbiano la possibilità di leggerle.

Anche il mio ente ha ricevuto la diffida relativa a Google GA, il DPO ha suggerito di prendere tempo ed abbiamo temporaneamente disattivato il servizio, ma gli avvocati che rappresentano un discreto numero di realtà ci confermano che non sussistono al momento criticità e che il servizio può rimanere attivo.

Sono perfettamente al corrente del fatto che Google tramite GA, email, captcha, ads, fonts, maps, android, etc. etc. abbia un controllo capillare di tutto quanto succede nel mondo internet, e so che gli ottimi servizi che fornisce “gratuitamente” in realtà se li fa pagare con la condivisione di dati molto preziosi. Le cose che condividiamo con Google sono moolte di più di quelle che solo possiamo immaginare.

So anche che se Google dichiara di gestire i dati in forma anonima probabilmente non c’è troppo da credergli, ma a meno che non si dimostri il contrario a livello normativo questo è più che sufficiente a non presentare criticità. Sì lo so che a livello tecnico le cose vanno diversamente, ma le normative le scrivono gli avvocati più che i tecnici (avete presente quell’obbrobrio della PEC??), e contenti loro contenti tutti.

Comunque mi domandavo: ma perché prendersela con le PA?
Al GDPR deve sottostare qualsiasi fornitore di servizi che opera in europa, non solo pubblico ma anche privato. Dato che GA ce lo hanno praticamente tutti, mi state davvero dicendo che il 90% dei siti web al mondo sono illegali a causa GA? Tanto il restante 10% sarà illegale per qualche altra ragione!

Leggo poi che il progetto prevede anche questo:

Ottima idea, sapete quanto costa un vulnerability scan fatto da professionisti? Una montagna di soldi, ma proprio tanti: ai tecnici come al solito rimarranno le briciole, ma ci sono i project manager, i key account manager e quelli del marketing e dell’amministrazione da sfamare. Se si vuole dare questo servizio gratis sarà sicuramente apprezzato!

Ah ho guardato i sorgenti di MonitoraPA, per carità fa il suo sporco lavoro ma sembra scritto da una software house che lavora per la PA.

L’iniziativa è interessante ma andava gestita meglio.

1 Mi Piace