Diffida per violazione del GDPR per utilizzo Google Analytics su sito istituzionale

Le altre risposte sono già esaustive, ma aggiungo un paio di esempi semplici:

Se Rossi è una persona “attenzionata” per qualunque motivo, sapere il suo indirizzo IP può essere utile per geolocalizzarlo e farsi un’idea dei posti fisici da cui si collega nonché degli orari in cui li frequenta. Per poi magari seguirlo anche in altri modi.
Avere poi indicazioni sulla sua configurazione-macchina può essere utile per sfruttare vulnerabilità del suo sistema, installare captatori etc.

Oppure ancora, sapere quali siti frequenta può servire per rendere maggiormente credibili eventuali attacchi di phishing.

E se non sei attenzionato oggi, chissà magari un giorno lo sarai (e non lo deciderai tu). Per cui non si sa mai, intanto pesco tutto a strascico, lo conservo indefinitamente e poi si vedrà.

1 Mi Piace

Ok, tutto giusto, mi siccome tutti abbiamo uno smartphone sempre con noi e abbiamo prestato il consenso a concedere una miriade di dati ad Apple e/o Google, il tracciamento tramite GA mentre si visita il sito di una PA a me sembra un po’ cercare la pagliuzza e non guardare la trave…

1 Mi Piace

Beh, nì.

C’è una questione di “opportunità” che la PA non può sottovalutare. Io cittadino non voglio essere spiato da una azienda privata mentre accedo a un servizio statale, dicendogli a che ora lo sto facendo, da quale IP, con quale browser e su quale pagina sto accedendo. Parliamo di servizi pubblici, spesso obbligatori (es. pagamento delle imposte), da cui non si può sfuggire.

Lo trovo irrispettoso. Al di là, ovvio, della questione normativa.

3 Mi Piace

Lei conosce tutti? Io non ho uno smartphone con google e apple :confused:

ok, allora diciamo “quasi” tutti :slight_smile:

E’ proprio questo il punto, dobbiamo mirare ad una società dove le aziende private non spiano i loro utenti, e lavorare affinché le PA e lo stato remino nella giusta direzione

1 Mi Piace

Esatto, e credo che il primo step sia prima di tutto la consapevolezza delle dirigenze.

Buongiorno a tutti,
un nostro cliente PA ha ricevuto la suddetta mail il 12/5/2022; siccome l’uso di Analytics era molto ridotto abbiamo momentaneamente optato per rimuovere il tracciamento tramite Google Analytics.
Infatti, come si può vedere dall’immagine allegata, dal 15/5 non risulta tracciato più nulla da Analytics.

Poichè il sito fa uso di un widget di chat di terze parti su cloud, utilizziamo Google Tag Manager per gestire l’incorporamento e l’attivazione di tale script. Il tutto utilizzando anche un sistema di blocco preventivo dei cookies utilizzato da tale widget, in modo che se l’utente non dà il consenso espressamente per quel tipo di cookie, il cookie non viene installato e la chat non viene attivata in conformità con le recenti regole in materia di cookies.

Ieri, in data 6/6 lo stesso cliente riceve nuovamente la stessa mail che fa riferimento alla precedente email e al fatto di non aver ancora rimosso l’utilizzo di GA e ovviamente lo esorta a procedere in tal senso. Visto che gli autori della mail sembrerebbe leggano i post di questo forum, gli sarei grato se mi potessero chiarire questa situazione.

Cordialmente,
Matteo

Li trova più facilmente sulla chat telegram Telegram: Contact @monitorapa

Aggiungo alla discussione le FAQ della CNIL su GA uscite oggi:

FAQ del CNIL su GA tradotta in Italiano su Monitora PA (monitora-pa.it)

Fabio

Per chi se lo fosse perso…

Con l’occasione l’Autorità richiama all’attenzione di tutti i gestori italiani di siti web, pubblici e privati, l’illiceità dei trasferimenti effettuati verso gli Stati Uniti attraverso GA, anche in considerazione delle numerose segnalazioni e quesiti che stanno pervenendo all’Ufficio. E invita tutti i titolari del trattamento a verificare la conformità delle modalità di utilizzo di cookie e altri strumenti di tracciamento utilizzati sui propri siti web, con particolare attenzione a Google Analytics e ad altri servizi analoghi, con la normativa in materia di protezione dei dati personali.

Allo scadere del termine di 90 giorni assegnato alla società destinataria del provvedimento, il Garante procederà, anche sulla base di specifiche attività ispettive, a verificare la conformità al Regolamento Ue dei trasferimenti di dati effettuati dai titolari.

3 Mi Piace