Le altre risposte sono già esaustive, ma aggiungo un paio di esempi semplici:
Se Rossi è una persona “attenzionata” per qualunque motivo, sapere il suo indirizzo IP può essere utile per geolocalizzarlo e farsi un’idea dei posti fisici da cui si collega nonché degli orari in cui li frequenta. Per poi magari seguirlo anche in altri modi.
Avere poi indicazioni sulla sua configurazione-macchina può essere utile per sfruttare vulnerabilità del suo sistema, installare captatori etc.
Oppure ancora, sapere quali siti frequenta può servire per rendere maggiormente credibili eventuali attacchi di phishing.
Ok, tutto giusto, mi siccome tutti abbiamo uno smartphone sempre con noi e abbiamo prestato il consenso a concedere una miriade di dati ad Apple e/o Google, il tracciamento tramite GA mentre si visita il sito di una PA a me sembra un po’ cercare la pagliuzza e non guardare la trave…
C’è una questione di “opportunità” che la PA non può sottovalutare. Io cittadino non voglio essere spiato da una azienda privata mentre accedo a un servizio statale, dicendogli a che ora lo sto facendo, da quale IP, con quale browser e su quale pagina sto accedendo. Parliamo di servizi pubblici, spesso obbligatori (es. pagamento delle imposte), da cui non si può sfuggire.
Lo trovo irrispettoso. Al di là, ovvio, della questione normativa.
E’ proprio questo il punto, dobbiamo mirare ad una società dove le aziende private non spiano i loro utenti, e lavorare affinché le PA e lo stato remino nella giusta direzione
Buongiorno a tutti,
un nostro cliente PA ha ricevuto la suddetta mail il 12/5/2022; siccome l’uso di Analytics era molto ridotto abbiamo momentaneamente optato per rimuovere il tracciamento tramite Google Analytics.
Infatti, come si può vedere dall’immagine allegata, dal 15/5 non risulta tracciato più nulla da Analytics.
Poichè il sito fa uso di un widget di chat di terze parti su cloud, utilizziamo Google Tag Manager per gestire l’incorporamento e l’attivazione di tale script. Il tutto utilizzando anche un sistema di blocco preventivo dei cookies utilizzato da tale widget, in modo che se l’utente non dà il consenso espressamente per quel tipo di cookie, il cookie non viene installato e la chat non viene attivata in conformità con le recenti regole in materia di cookies.
Ieri, in data 6/6 lo stesso cliente riceve nuovamente la stessa mail che fa riferimento alla precedente email e al fatto di non aver ancora rimosso l’utilizzo di GA e ovviamente lo esorta a procedere in tal senso. Visto che gli autori della mail sembrerebbe leggano i post di questo forum, gli sarei grato se mi potessero chiarire questa situazione.
Con l’occasione l’Autorità richiama all’attenzione di tutti i gestori italiani di siti web, pubblici e privati, l’illiceità dei trasferimenti effettuati verso gli Stati Uniti attraverso GA, anche in considerazione delle numerose segnalazioni e quesiti che stanno pervenendo all’Ufficio. E invita tutti i titolari del trattamento a verificare la conformità delle modalità di utilizzo di cookie e altri strumenti di tracciamento utilizzati sui propri siti web, con particolare attenzione a Google Analytics e ad altri servizi analoghi, con la normativa in materia di protezione dei dati personali.
Allo scadere del termine di 90 giorni assegnato alla società destinataria del provvedimento, il Garante procederà, anche sulla base di specifiche attività ispettive, a verificare la conformità al Regolamento Ue dei trasferimenti di dati effettuati dai titolari.
Ora i tempi nella mail di minaccia si sono accorciati a 15. Leggendo nei post vedo che non puoi nemmeno criticarli perché minacciano querele. Un gruppo di hacker che minaccia è l’ultima cosa che un ente può sopportare, soprattutto enti che non hanno un solo dipendente e che sopravvivono per bontà di volontari e piccoli contratti di consulenti. Preferirei mail di soluzione dei problemi alle minacce di hacker se tanto ci tenete alla vostra Mission di paladini e difensori della privacy dei cittadini. Buona giornata
Buongiorno Alfonso.
Buongiorno a tutti.
Sono d’accordo con te e pertanto, chiedo lumi a qualcuno nel forum che magari ha una visione più estesa della mia.
Riuscite a spiegarmi perché questi signori di MonitoraPA (che sembra leggano questo forum), non riescono a comunicare in maniera un po’ meno aggressiva?
Intendo dire: se ci sono delle accortezze da adottare per tutelare la privacy dei cittadini che navigano sui nostri siti, perché non suggerirle in maniera tranquilla, magari anche con la collaborazione del Garante, che potrebbe avere un comune interesse, invece di ergersi a sceriffi cibernetici con le pistole della polemica sempre calde e fumanti?
Ma come fanno a pensare che siamo d’accordo con Google, o con altri giganti del web, che non vedono l’ora di carpirci i dati per scoprire le nostre abitudini e preferenze?
Hanno paura che se non usano un tono minatorio, nessuno li calcola? Cosa glielo fa pensare?
Fossi in loro, proverei con qualche approccio più sereno e collaborativo, però non so se il consiglio sarà considerato come spero. Me lo auguro.
Perchè altrimenti non raggiungerebbero i loro scopi, che mi pare siano
farsi notare (se ti proponi in modo sereno e pacato finisci in fila con le altre istanze che arrivano, se urli e minacci passi avanti), così ottengono ‘punti’ anche sui media così anche in futuro ogni minc… iniziativa che lanceranno sarà sempre “del gruppo di hacker che in una settimana ha imposto a millemila siti di PA di elilminare GA”, molto più “autorevole”, no?
far togliere GA alle PA
(forse, non ho prove ma il sospetto sorge) vendere qualche servizio informatico volto a raggiungere l’obiettivo delle PA senza usare i servizi google
In realtà questi signori sono dei talebani che (contrariamente a quanto scriveva qualcuno qui sopra) guardano il dito e non la luna. Non hanno MAI gestito il sito o il settore IT di una PA media, non sanno quanto sia difficile riuscire a tenere su la baracca con le risorse umane e materiali che ci sono, anzi non gliene frega niente. Per loro, se Google fornisse la cura del cancro gratuitamente a tutti gli ospedali italiani ma mettendo un cookie che so, sulle bombole d’ossigeno (invento), preferirebbero lasciar morire la gente piuttosto che tollerare il cookie mentre altre aziende copiano la cura a pagamento.
Guardano il principio, non il bilanciamento degli interessi. Quindi se si usano risorse per ottenere un risultato perfettamente inutile e facendo questo si perdono effetti positivi derivanti dall’uso di GA, poco male. Se si si usano risorse per ottenere a pagamento quello che prima faceva GA gratis rinunciando a usarle per cose più necessarie, poco male. A loro va bene così.
Posso solo dire che pena. Una volta l’attivismo informatico era una cosa molto più seria.
Ciao Elena.
Ovviamente le mie domande sottintendono le risposte e capisco bene il perché del tuo accalorarti, ma non conviene nemmeno prendersela. Si sono accorti tutti che stanno alzando un polverone per avere una particolare visibilità, come l’hanno raggiunta, nel bene o nel male, non importa.
Quello che davvero non capisco, ma davvero davvero, è: se sono così bravi, tecnicamente e legalmente, perchè la guerra non la fanno direttamente a Google (per esempio)?
Questo li farebbe diventare davvero fighi.
A me hanno insegnato che fare la voce grossa coi piccoli e girarsi dall’altre parte coi grandi, non è un comportamento esemplare…
Buona giornata.
Ma appunto. Una campagna direttamente contro Google, FB eccetera. Contro il governo americano che si riserva di mettere il naso su quell che vuole dovunque nel mondo senza garanzia che un giudice supervisioni (e magari ti informi a indagine finita). Robe così.
Se tutti gli attivisti del mondo si coordinassero seriamente per una campagna mondiale di sensibilizzazione-pressione-boicottaggio capirei e mi unirei senz’altro a loro. Ma fare la voce grossa con le PA per una cosa che non sposta assolutamente nulla (che DI SICURO quelli sono i dati che a google interessano meno) è figo come rubare le caramelle a un bambino.
Il problema non è quanto faccia la voce grossa il gruppo di Montora PA e quanto sbagli i modi o quanto ci sia dietro la loro missione (che è palesemente anti-Google), il problema è che il Garante della Privacy si è espresso sostenendo la loro azione: i siti che utilizzano GA contravvengono la normativa europea e sono passabili di sanzioni.
Questo fa passare completamente in secondo piano l’azione di Monitora PA, per quanto ci compete sarebbe anche potuta non esistere, normativa e Garante sono chiari.
Per lo stesso motivo è necessario osservare la cookie law anche senza le minacce di Monitora PA.
Tornando in topic, da parte nostra abbiamo iniziato a utilizzare Matomo on premise, ottima soluzione tecnica, per chi utilizza WordPress esiste anche una plugin che lavora ottimamente senza dispendio particolare di risorse.
Alessandro, il Garante senza questa iniziativa non si sarebbe mosso. Non lo ammetteranno mai, ma sanno perfettamente come stanno le cose nella PA (la carenza di risorse e le cose più urgenti e serie di cui scrivevo) e fan finta di non sapere. Poi chiaro che se vengono interpellati non possono esimersi dal pronunciarsi.
Sull’alternativa, mi pare che tutti abbiano detto che la versione gratis di Matomo non è equivalente a GA. Se adesso è migliorata, meglio.
Certo Alessandro,
ma tu conosci qualcuno che intende volutamente eludere la normativa?
Secondo te che motivo potrebbe avere una qualsiasi PA a non volere osservare la cookie law, o la legge sulla privacy in generale? Che vantaggio ne potrebbe ottenere?
Mi sembra che nessuno si sia espresso in modo tale da ignorare completamente gli avvisi (anche se posti in maniera poco ortodossa). Noi abbiamo provveduto a dare seguito agli avvisi ricevuti come credo abbiano fatto tutti, ma non risulta che il Garante li abbia eletti a propria succursale. Il modo in cui ti poni, spesso, conta tanto quanto quello che hai da dire.
Ripeto che avrebbero molto più seguito, se le loro azioni fossero direttamente rivolte verso Google e tutti gli altri.
Comunque, grazie per le indicazioni per Wordpress.
