È ovvio che le PA non hanno alcun interesse nel violare la normativa (che poi nemmeno riguarda solo le PA…), anche perché è Google che raccoglie le informazioni e le storicizza senza il rispetto della stessa, le PA usano il servizio solo come contatore visite il più delle volte.
Ma purtroppo tutto ciò non cambia la situazione, ovvero la PA deve tutelarsi cercando una soluzione tecnica a norma e così facendo fa l’interesse del cittadino proteggendo i suoi dati e non incorrendo in multe da pagare coi soldi dei contribuenti.
Alessandro,
grazie per le precisazioni (chi raccoglie le informazioni è google, ecc.), solo che credevo di essere stato chiaro in quanto avevo scritto, ma forse no. Va bene così.
Ti ringrazio.
Buona serata.
Io pero’ farei qualche domanda a monte:
- a cosa serve uno strumento di analisi del traffico su un sito di una p.a.?
- Quali sono le funzioni che deve proporre?
- chi analizza i dati e assume decisioni conseguenti?
Chiariti questi aspetti (e altri simili) si può ragionare di quale sia la soluzione più adatta e capire se:
- i dati analizzati hanno bisogno di uscire dal server che ospita il sito;
- i dati analizzati hanno bisogno di uscire dal sistema informatico locale (anche cloud) che ospita il sito/dell’ente proprietario del sito.
Con buona dose di qualunquismo io resto dell’idea che tolti siti ad alto volume di traffico e alto livello di servizi online le funzioni di uno strumento come GA sono del tutto esagerate e sono di vantaggio solo per chi fornisce il servizio e elabora i dati di traffico.
Per dare concretezza, un conto e’ l’INPS che offre decine e decine di servizi online e contenuti informativi e ha poi le risorse umane e strumentali e le competenze per analizzare il traffico sul sito e capire se le informazioni e i percorsi di navigazione sono ben fatti e se possono essere migliorati. Un conto è un comune di 5.000 abitanti che pubblica un sito web sulla base di un modello di organizzazione dei contenuti predefinito.
A occhio, per le esigenze più comuni, un contatore di visualizzazioni di pagine con qualche misurazione aggiuntiva (tipo tempo di permanenza su una pagina) è più che sufficiente e non c’+ motivo alcuno di far uscire i dati dal perimetro del sistema informativo dell’ente (anche se mi sa che l’indicazione di usare l’alternativa governativa a GA avesse anche lo scopo di concentrare in un unico luogo i dati sul traffico nei siti degli enti pubblici).
Questo per dire che la “campagna di sensibilizzazione” poteva anche guardare al fenomeno da un punto di vista più complessivo.
3 Mi Piace
Infatti Web Analytics Italia andrebbe benissimo! se funzionasse… 
In realtà un uso oculato delle statistiche sarebbe utile anche agli enti per tarare meglio la loro strategia di comunicazione ma come ampiamente detto nei post precedenti non ci sono le risorse né le competenze per poterlo fare e quindi rimane pura fantascienza per la PA italiana.
Il punto però è anche quali statistiche e dove memorizzarle e elaborarle.
Esempio stupido. Io ho un blog. Per essere sicuro di non essere l’unico a leggerlo ho implementato un sistema di analisi del traffico tramite plugin del CMS che resta tutto sul “mio” server. Ora, per evitare trattamenti eccedenti, ho disabilitato l’uso dei cookie e tutte le opzioni che “rendono il controllo più accurato”.
Alla fine a me interessa avere un riscontro sul gradimento dei contenuti pubblicati e un’approssimazione o imprecisione che si ripete sempre uguale mi sta bene. Il numero di visitatori (unici e non) è già abbastanza. Come dato aggregato vedo anche da dove sono arrivati i visitatori: un lusso.
Sta poi a me leggere quei numeri sulla base di vari parametri: dove, quando e come ho promosso un post su un social o da qualche parte, l’argomento del post, lo stile del post, la lunghezza del post ecc.
Avrei anche potuto attivare Google Analytics, ma mi serviva? E, da utente consapevole, qualche analisi scodellata in più compensava il mercimonio dei dati di traffico?
1 Mi Piace
Ci sta, è una scelta adeguata.
Il fatto che in molti si siano indirizzati su GA è stato semplicemente per praticità: uno strumento già pronto, super completo, funzionale e gratuito.
1 Mi Piace
Salve, vedo che questa chiacchierata è proseguita parecchio!
Sì, qualcosa si muove, basta leggere queste nuove raccomandazioni del EDPB
Di particolare interesse sono pagina 18 e19.
E per le scuole che hanno dichiarato di non aver fatto DPIA e TIA per le piattaforme “didattiche” di Google e Microsoft è particolarmente importante leggere anche pagina 30.
ECJ nel 2020 (vedi Max_Schrems) stabilisce che non puoi aggirare la GDPR mettendo i server in uno Stato non-UE che non fornisce una sufficiente protezione della privacy. Simili risultati nel 2022 dalla corte suprema austriaca, e leggo sul sito EFF anche dalle data protection authorities di Italia, Finlandia e Francia.
Il caso specifico degli USA è che, per legge e per giurisprudenza, sei costretto a fornire alle agenzie governative qualunque informazione ti viene richiesta, e non puoi informare alcuno (compreso il diretto interessato) che ti sono state richieste. Quindi il cliente europeo non sa in mano a chi possono andare i suoi dati, non può pretendere la cancellazione, non può ricorrere ad ECJ in caso di violazione del diritto umano che, in questo caso, è la privacy.
Quindi non si parla di una specifica tecnica o implementazione o azienda; il problema è avere i server dove la legge domestica non fornisce una sufficiente protezione dei diritti umani. (vedi risposta seguente)
Giungo qui dalla chat OpenStreetMap Italia (accessibile qui e qui) dove è stato postato il link ad un topic simile.
Non esattamente: il problema è avere server accessibili da società soggette ad una normativa incompatibile con i diritti umani.
L’EDPB è cristallino in proposito (pagina 19 delle succitate raccomandazioni ):
It stems from the analysis made by the authorities that
the sole use of a CSP that is part of a multinational group
subject to third country laws may result in the concerned
third country laws also applying to data stored in the EEA .Possible requests would in this case be addressed
directly to the CSP within the EEA and would concern data
present in the EEA and not data already undergoing transfer.In this context, the controller/CSP would therefore not necessarily
have made the assessment of this legal framework with a view
to apply the relevant safeguards.The analysis of all the elements that may lead to different situations
and different violations of the aforementioned relevant provisions
of the GDPR in respect of the processing carried out by the processor
(acting as an autonomous controller under Article 28(10) of the GDPR
when it acts in violation of the instructions of the controller) and/or
by the public authority itself if appropriate instructions are not
provided according to Article 28(3) of the GDPR or a processor
not providing appropriate safeguards as required by Article 28(1)
of the GDPR is engaged.
In altri termini, come scrivemmo già molto tempo fa, la posizione fisica dei server che contengono i dati è irrilevante laddove chi controlla anche solo la distribuzione degli aggiornamenti del software che accede a quei dati è sottoposto a normative liberticide quali quelle statunitensi post 11-settembre.
1 Mi Piace