Solo se si usano servizi di reportistica molto base, poco più di un contatore d’accessi. Non ci sono nemmeno i log inclusi.
con Matomo on-premise in realtà hai persino più funzionalità di WAI.
Considerando che le PA non gestiscono e-commerce… va più che bene.
Di WAI sì, di Google Analytics no. Per altro sto spostando l’attenzione sulle non-PA, alcune come controllate dallo Stato quali Enti di diritto privato che hanno ricevuto la medesima mail. Alcuni esempi sono l’Enit, l’ISS, l’Agenas, Sogei, Consip, ecc…
Personalmente lavoro per Croce Rossa Italiana che ha il medesimo inquadramento legale e gestiamo anche un e-commerce senza scopo di lucro, ma per raccolta fondi benefici.
non ne sono sicuro.
ma se CRI è su indicePA, dovreste poter utilizzare WAI senza problemi.
non è proprio così però… WAI e matomo in generale, è molto più che un contatore accessi eh…
Non è su IndicePA in quanto non è una PA.
Eh ma Analytics Italia non lo possiamo usare perché non siamo una PA, mentre per fornirci i servizi completi di GA Matomo è a pagamento (e come già scritto per noi è molto importante ad esempio l’integrazione Ads che non mi sembra abbia).
Ma ne sei sicuro?
Se non ho capito male hai scritto di aver ricevuto la mail dal gruppo di attivisti.
Ma loro hanno preso i dati proprio da indicepa…
Confermo.
Visto quanto mi dici ho effettuato una nuova ricerca e nell’IndicePA c’è l’Ente Strumentale (nome che ha assunto la vecchia CRI Pubblica quando venne liquidata ai tempi del Governo Monti, ancora presente negli archivi ma difatti, non più esercitante), mentre la Croce Rossa Italiana confermo che non risulta.
Quindi la mail ci è stata inviata di certo erroneamente, tuttavia in una qualche percentuale il problema rimane anche per il privato.
Mi risulta che il 15 giugno Google presenterà servizi che poggeranno su nuovi data-center italiani, è supponibile anche per risolvere questo problema di Analytics.
Conferme e/o smentite sono gradite.
Segnalo che il gruppo MonitoraPA domani lancerà una nuova scansione dei siti istituzionali con conseguente segnalazione al Garante.
Parlando con loro è emerso che hanno inviato la mail anche alle società private che gestiscono servizi pubblici, non solo alle PA.
E loro hanno risposto alla tua domanda del trovare una soluzione?
Ho chiesto, ma visto il loro obiettivo non è nel loro interesse trovare una soluzione, è un problema che spetta all’Ente risolvere.
Il fatto che i data center siano in Italia non rileva, considerate le motivazioni che stanno alla base della sentenza Schrems II.
In poche parole, con le leggi in vigore il governo americano ha la possibilità di imporre a Google di farsi dare i dati, ovunque questi siano. È questo il problema.
3 Mi Piace
Ma, oggettivamente, il fatto che Mario Rossi, il giorno 1 giugno 2022, abbia visitato il sito del comune di Torino, al governo americano cosa può interessare? e questo come influisce nella vita di Mario Rossi?
Mi sembra la classica domanda “why metadata matters” e la risposta è ad una ricerca su internet di distanza, ad esempio qui ne parla la eff Why Metadata Matters | Electronic Frontier Foundation
1 Mi Piace
Non mi risulta che Google Analytics di base offra un registro degli accessi, cioè un registro che elenchi ogni singolo accesso in ordine cronologico con relativi metadati. Una tale funzionalità non è particolarmente utile perché è fornita da qualsiasi webserver.
Per un confronto delle funzionalità sarà piú facile cominciare a usare la versione libera (e gratuita) di Matomo e far un confronto sul campo. Leggere la documentazione a volte può non bastare perché ci si scontra con fraintesi terminologici. Un ente come CRI il cui sito principale fosse troppo trafficato per le prove gratuite potrà sicuramente trovare qualche sottosito meno trafficato in cui cominciare una sperimentazione.
Quanto ai costi, non so come si arrivi alla stima di “oltre 2000 €/anno” (stiamo parlando delle stime per i siti con oltre 1 milione di accessi al mese?), ma Matomo Cloud è solo un punto di riferimento per chi vuole andare sul sicuro. Le PA con esigenze particolari possono organizzarsi per ospitare Matomo su proprie macchine virtuali: si può anche ospitarlo sulla stessa infrastruttura che ospita il sito e/o farlo gestire dagli stessi fornitori del sito, per cui sarà spesso un’aggiunta di poco conto al contratto esistente. Altrimenti si può anche fare una procedura di affidamento più aperta che consideri piú opzioni: i fornitori autorevoli a disposizione sono dozzine, anche andando a guardare solo quelli consigliati dal garante francese (CNIL):
La gratuità di Google Analytics è un’illusione, perché affidare a Google masse enormi di dati personali di un pubblico indiscriminato aumenta i rischi legali dell’ente e i rischi di sicurezza di tutti. Concretamente, non so quanto spendano le amministrazioni per i loro DPO e per scrivere le informative sul trattamento dei dati personali, ma considerato anche solo il costo organizzativo dell’affidare un incarico del genere sicuramente superiamo i 2000 €, anche in un ente di diritto privato come CRI che (presumibilmente) non agisce come un’srl a socio unico dove una persona singola fa e decide quello che le pare. Scegliere software libero, oltre a essere una scelta vincente per rispettare i diritti dell’ente e del cittadino, può portare a qualche piccolo costo economico iniziale ma nel lungo periodo sicuramente avrà costi complessivi minori.
1 Mi Piace
Grazie delle precisazioni, faremo le nostre valutazioni.
@AlessandroDenti da volontaria CRI penso che la CRI abbia problemi di privacy un pochino più pressanti che il dilemma GA/Matomo (mi riferisco ai comitati territoriali e i loro software, social, siti ecc.)
Ciao Elena, piacere di conoscerti, anche questo di Google Analytics è un problema da risolvere, ciò non rende meno importanti gli altri, né il fatto che ci siano dei problemi in determinati contesti deve impedirci di lavorare per risolvere difficoltà che sorgono altrove.
Comunque qui siamo off-topic, proseguiamo privatamente così puoi indicarmi nel dettaglio di cosa stai parlando.
Non è possibile attribuire un valore al rischio nel caso specifico, ma il problema a livello generale esiste e non si sta riducendo.
Porto un piccolo esempio, forse un po’ nerd: Chrome è un browser con circa il 65% di mercato mondiale di tutti i devices e, nel 2020, è stato introdotto un Header particolare “x-client-data”, che porta con sè un elenco di interi che identificano il browser nelle sue variazioni di stato [installazioni, update, etc…]
L’header ha una particolarità interessante: l’elenco viene comunicato ad ogni chiamata con tutti, ma proprio tutti i servizi Google (quindi anche quando si naviga un qualsiasi sito che utilizzi per esempio Google Fonts o una mappa Google inclusa nella pagina, come anche i siti della galassia RTB doubleclick*.*com). Gli stessi valori sono presenti anche quando siamo loggati in Gmail, per esempio.
L’uso di questo insieme di dati viene dichiarato nella Privacy Policy di Chrome dove si legge:
Questa intestazione viene utilizzata per valutare l’effetto sui server di Google, ad esempio, una modifica della rete può influire sulla velocità di caricamento dei video di YouTube o un aggiornamento del ranking Omnibox può comportare risultati di Ricerca Google più utili.
Anche cancellando tutti i dati di navigazione, la lista viene solo decurtata di alcune variazioni e quindi Google è sempre in grado tecnicamente di identificare il browser (basta poi associarlo alla sessione gmail per arrivare più vicini alla persona).
Il reset della lista si fa aggiungendo la flag --reset-variation-state al comando (non proprio alla portata di chiunque [e anche qui siamo lontanucci dal concetto di controllo dei propri dati, caro al GDPR]).
Google davanti al crescente malumore che ne è derivato ha cercato di calmare con le rassicurazioni del caso.
L’alternativa difensiva si attua con ModHeader finché lo permettono, oppure usando altri browser.
Pensando che nel 1999 fece scandalo l’uso del GUID dentro Microsoft Word, si resta abbastanza attoniti dall’assuefazione che abbiamo sviluppato sul tema, nonostante l’incremento della normazione in materia.
1 Mi Piace
Mi sorge un dubbio, https://panelbear.com/ può andare come valido sostituto? Sia a livello legale che a livello di features