Diffida per violazione del GDPR per utilizzo Google Analytics su sito istituzionale

Qui il video di presentazione con Fabio Pietrosanti e Marco Ciurcina!

1 Mi Piace

pare che web analytics italia sia ancora in una fase beta

pare anche che non riceva aggiornamenti costanti nel tempo

tutta questa operazione pare sia un po’ di fuffa e basta per intimorire i DPO e fare migrare i Comuni su di un analytics che è in beta e non aggiornato.

Quindi resta una domanda: chi ci guadagna?
Pare che alcune tra le grosse società di fornitura servizi DPO agli Enti faranno un sacco di soldi facendo pagare questa “transizione” ai Comuni.

Pare eh.

5 Mi Piace

Tutti i cittadini italiani.

Ti potrei citare la costituzione, l’articolo 1 o l’articolo 15.

Io sono un cittadino italiano, quindi ci guadagno anche io.
Non credo che però questo renda lecito l’uso di Google Analytics.

Per quanto possa sembrare strano di questi tempi, pretendiamo semplicemente il rispetto di una Legge dello Stato e di un diritto fondamentale per i cittadini e la democrazia.

il cittadino italiano guadagna da una PA che per effettuare analisi dei dati deve affidarsi ad un servizio in fase beta e non aggiornato e con costanti problemi di sicurezza? Ti sei almeno guardato un po’ il repository di quel progetto?

In compenso io qui sento odore di dollari:

Vogliamo parlare delle altre major che forniscono servizi DPO agli Enti?

Voi, esattamente, chi siete? Vi firmate “hacker italiani”, e mandate email fuffa. Una persona fisica la avete? O una giuridica? Il dominio che ospita il sito che sponsorizzate che appoggia il progetto a quale società è intestato? Che interessi ha questa Società in ambito di servizi internet e consulenza per le PA? E il dominio dal quale inviate le email a chi è intestato? Forse allo stesso gruppo di domini di quella Società?

pare che il tutto sia un po’ meno che trasparente, pare naturalmente.

1 Mi Piace

Caro Sweetiest_The_Aviato, stai parlando con persone fisiche, con nome e cognome.

Prima @fpietrosanti poi @Matteo_Flora e poi me.
Io sono Giacomo Tesio, se vuoi puoi trovare tanto su di me su https://www.tesio.it

Tu chi sei?

Perché “pare” che tu ci stia lanciando accuse piuttosto infamanti.

1 Mi Piace

@Giacomo_Tesio io rispetto l’attivismo digitale e il tempo che ci hai speso pero’ dire a 7000 enti che sono “in violazione” significa secondo me giocare con la paura delle persone e secondo me è male. Oggi lo fai per una battaglia tua, domani ti si rivolta contro e la gran parte delle persone non ne capisce una virgola in più, ne prima ne dopo. Davvero l’azione sarebbe stata meno efficace dicendo solo cose vere?

Detto questo, ben venga che il Garante si pronunci in modo diverso da come lo ha fatto fino ad ora, anche per merito di questa azione, buon proseguimento @Giacomo_Tesio.

1 Mi Piace

Qui i cookie di google che mi sono preso su un sito della PA perché hai embeddato il video senza il domio youtube-nocookie.com

image

mannaggia, adesso google sa che non resisto ai titoli clickbait :slight_smile:

besos

L

2 Mi Piace

Puoi indicarmi qualche affermazione falsa che avremmo fatto?

Perché se c’è, è stato un errore involontario (o un bug).

…quindi voi per sensibilizzare gli enti a non usare google analytics fate un video su youtube che utilizza google analytics (e che non ha anonimize ip: true) solo per fare un po’ di pubblicità a questo Matteo Fiora che ha un interesse diretto nello sponsorizzare questa azione poichè (cito dalla sua descrizione del canale) “insegno in Università e faccio consulenza ad Aziende, Enti e Professionisti con le mie aziende” ?

Di nuovo, prima di fare affermazioni di questo genere, forse sarebbe saggio firmarsi, un_cittadino.

Comunque il video è sotto Creative Commons ed è disponibile anche

HAHAHAHAHAHHAHAHAHAHHAHA

Scusa. Guarda meglio con CHI parli prima di ricevere la citazione per diffamazione :slight_smile:

3 Mi Piace

@Giacomo_Tesio scusa il ritardo, non volevo lasciar cadere il discorso a metà :slight_smile:

Tutto il messaggio fa intendere che chi sta usando in Italia Google Analytics sta facendo qualcosa di illegale, ha sbagliato in qualcosa… al punto che ci si rivolge agli enti “in violazione”. Ma come si fa a dire a un ente che ha seguito le indicazioni del Garante e di Agid per configurare google analytics che è “in violazione”, che ha sbagliato qualcosa… già sono pochi quelli che si leggono le linee guida, se poi lasciamo intendere che non serve a nulla secondo me facciamo un danno.

Se capisco bene l’intento della campagna, io nei prossimi messaggi spiegherei candidamente che “sebbene non sia formalmente illegale… se anche viene indicato nelle guide ufficiali come configurarlo “bene” etc… noi riteniamo che il Garante dovrebbe bandire GA anche in Italia e quindi ti chiediamo di toglierlo subito, visto che c’e’ una bella alternativa basata su software opensource e offerta da Agid gratuitamente”

My2c, buona continuazione di campagna
L

6 Mi Piace

Riporto qui le mie considerazioni in maniera informale, mi sembra che gli attivisti di MonitoraPA girino su questo forum ed abbiano la possibilità di leggerle.

Anche il mio ente ha ricevuto la diffida relativa a Google GA, il DPO ha suggerito di prendere tempo ed abbiamo temporaneamente disattivato il servizio, ma gli avvocati che rappresentano un discreto numero di realtà ci confermano che non sussistono al momento criticità e che il servizio può rimanere attivo.

Sono perfettamente al corrente del fatto che Google tramite GA, email, captcha, ads, fonts, maps, android, etc. etc. abbia un controllo capillare di tutto quanto succede nel mondo internet, e so che gli ottimi servizi che fornisce “gratuitamente” in realtà se li fa pagare con la condivisione di dati molto preziosi. Le cose che condividiamo con Google sono moolte di più di quelle che solo possiamo immaginare.

So anche che se Google dichiara di gestire i dati in forma anonima probabilmente non c’è troppo da credergli, ma a meno che non si dimostri il contrario a livello normativo questo è più che sufficiente a non presentare criticità. Sì lo so che a livello tecnico le cose vanno diversamente, ma le normative le scrivono gli avvocati più che i tecnici (avete presente quell’obbrobrio della PEC??), e contenti loro contenti tutti.

Comunque mi domandavo: ma perché prendersela con le PA?
Al GDPR deve sottostare qualsiasi fornitore di servizi che opera in europa, non solo pubblico ma anche privato. Dato che GA ce lo hanno praticamente tutti, mi state davvero dicendo che il 90% dei siti web al mondo sono illegali a causa GA? Tanto il restante 10% sarà illegale per qualche altra ragione!

Leggo poi che il progetto prevede anche questo:

Ottima idea, sapete quanto costa un vulnerability scan fatto da professionisti? Una montagna di soldi, ma proprio tanti: ai tecnici come al solito rimarranno le briciole, ma ci sono i project manager, i key account manager e quelli del marketing e dell’amministrazione da sfamare. Se si vuole dare questo servizio gratis sarà sicuramente apprezzato!

Ah ho guardato i sorgenti di MonitoraPA, per carità fa il suo sporco lavoro ma sembra scritto da una software house che lavora per la PA.

L’iniziativa è interessante ma andava gestita meglio.

1 Mi Piace

E’ un progetto basato su contributo volontaristico, quindi il codice software è disegnato per eseguire i workflow di interesse di risultato nel modo più “minimalista” e “chirurgico” possibile, seguendo l’evoluzione iterativa di un MVP.

Da questo punto di vista se puoi contribuire al progetto, è interamente aperto, orizzontale e trasparente basato su do-ocracy, chi vuole contribuire fa’ e ne determina l’indirizzo Telegram: Contact @monitoraPA :slight_smile:

L’outcome sempre minimale, produzione ripetibile di OpenData periodici, elaborazione solo ai fini di computazione di KPI di contatori e notifiche automatiche.

Così facendo, la struttura “core” può evolvere e il resto della comunità di addetti specialistici nei diversi ambiti giuridici e tecnici/tecnologici, può trarre le proprie conclusioni (Halley che rimuove Google Analytics dal suo prodotto eliminandolo da 1334 siti su 7833 mappati) ed analisi (vedi Il Pensatoio: Nel torbido si pesca meglio? MonitoraPA e GA nella PA che è stata prima analisi).

Quindi il progetto a mio avviso deve rimanere minimale, automatizzato ma costante negli anni e abilitare l’accountability tramite la misurazione, al resto ci deve pensare la comunità (anche fatta di autorità di controllo) che trae beneficio da questi dati e notifiche.

Fabio

Come vi hanno già scritto anche altri,

  1. se Google Analytics viola il GDPR lo viola sempre, non solo per i siti della PA italiana, perchè il punto critico è la trasmissione di dati all’estero.
  2. al momento un’alternativa soddisfacente non esiste.
  3. il danno di non usare GA, vista l’inconsistenza di WAI, è maggiore del beneficio
  4. la forma scelta (sollevare un polverone con termini metagiuridici e pseudointimidatori) è controproducente
  5. esistono enti appositi con canali altrettanto appositi a cui indirizzare segnalazioni di questo tipo
  6. fino a quando non si esprimono gli enti ufficiali (che al momento hanno addirittura invitato a usare GA), usare GA non è in violazione di nulla e la querela rischia di prendersela chi dice il contrario. Da parte di Google
  7. al di là del contributo volontaristico e del sw aperto e del minimalismo e tutto quel che volete, il conflitto di interessi che qualcuno ha adombrato, c’è o non c’è?
3 Mi Piace

credo che qui tu abbia pienamente ragione.

Ho letto le vostre considerazione, tutte apprezzabili.
Ma alla fine WAI è uno strumento disponibile, stabile, efficace o allo stato attuale è meglio lasciarlo perdere?

Ehi! @Fedue2, piano eh… anche noi scriviamo codice per la PA :slight_smile:
(o l’hai già guardato? :open_mouth: )
si scherza eh

WAI è basato su Matomo che si dichiara GDPR compliant Be Compliant With Secure GDPR Analytics - Respect User-Privacy

Rispetto a GA ha molte meno funzionalità.
Io per esempio non ho ancora capito se si può e come fare a creare un report per le visite ad una sezione del sito.

1 Mi Piace

Io plaudo all’iniziativa.
Poco mi interessano le discussioni riguardo gli autori dell’esposto e la forma in cui è stato fatto. Vuol dire guardare il dito e non la Luna. E poi, che avrebbero dovuto dire? “Scusateci, ci risulta che… forse, magari, potreste controllare, quando ne avrete voglia, umilmente vostri, etc. etc…”?
Diciamoci la verità, hanno fatto un gran lavoro con un’idea semplicissima (un classico uovo di Colombo) che magari già avrebbe dovuto avere qualcun altro.

Per fortuna il Garante sa vedere oltre il polverone mediatico e come al solito andrà dritto al sodo. Semmai spero che ci arrivi un po’ più in fretta, visto che oggettivamente il loro parere sulle questioni sollevate da Noyb (che ha inviato anche a loro una parte delle 101 segnalazioni) è atteso da un po’.
Ma è pacifico che non potranno allontanarsi troppo da quanto già affermato dai colleghi austriaci e francesi, perché la norma è una, così come la sentenza della Corte europea, e i Garanti si coordinano sull’interpretazione di entrambe. L’ha detto proprio Sforza proprio da @Matteo_Flora .

Però dire che Google Analytics è sempre illegale non è corretto. In teoria, ogni caso è diverso (chi mastica diritto lo sa) e i Garanti si pronunciano su casi specifici. Le cose vanno sempre analizzate così.

Io ammiro gli sforzi di Google per migliorare il prodotto ai fini GDPR, sono evidenti, purtroppo è proprio la legge americana che va cambiata e se non lo fanno (ne dubito) ci potranno essere solo foglie di fico legali dalla vita breve.