Uso di Google Analytics invece di Matomo e privacy

Da tempo esiste https://webanalytics.italia.it/ (Web Analytics Italia o WAI), che è usato da https://www.governo.it/ e centinaia di altri siti. È basato sul software libero Matomo (ex Piwix) e ospitato da AgID. Com’è possibile allora che https://developers.italia.it/ usi Google Analytics? È imbarazzante.

È passato ormai quasi un anno dalla sentenza Shrems II Privacy Shield: le FAQ dell’EDPB sulla sentenza Schrems II. Disponibile la... - Garante Privacy ) ed è evidente che l’uso di Google Analytics è illegale, perché trasferisce dati in USA. Qualsiasi promessa di trattamento corretto e anonimo dei dati da parte di Google è solo una foglia di fico, perché non è verificabile, mentre è certo che NSA e amici hanno il potere e la capacità di costringere Google a condividere i dati personali prima che siano aggregati o eliminati.

Che cosa aspetta AgID a interrompere le violazioni privacy almeno nei servizi che gestisce direttamente?

3 Mi Piace

Notare che l’informativa privacy dice (Informativa sul trattamento dei dati personali):

  • Cookies analytics utilizzati per raccogliere informazioni, in forma aggregata, sul numero degli Utenti e su come gli stessi visitano il Sito. In particolare il Sito si avvale del servizio Google Analytics, la cui policy può essere visionata a questo link. Al fine di rispettare la privacy dei nostri Utenti, il servizio è utilizzato con la modalità “anonymizeIp” che consente di mascherare gli indirizzi IP degli Utenti che navigano sul Sito (maggiori informazioni sulla funzionalità si possono trovare a questo link). I dati sono raccolti all’unico fine di elaborare informazioni statistiche sull’uso del Sito e per verificare il corretto funzionamento dello stesso. I cookies non sono utilizzati per attività di profilazione dell’Utente.

Questo è meglio di niente però è irrilevante, perché gli indirizzi IP prima di essere anonimizzati raggiungono Google, quindi Google elabora in USA i dati personali dei soggetti italiani. Inoltre gli indirizzi IP sono solo uno fra tanti modi di identificare l’utente.

Il bello e’ che le varie linee guida sui servizi online della p.a. invitano a usare proprio webanaltics.italia (qualunque cosa sia).

Probabilmente qualcosa cambierà adesso che l’ulteriore (il terzo?) provvedimento correttivo del Garante per la protezione dei dati personali emesso nei confronti di PagoPA SpA e della sua app IO è balzato agli onori della cronaca perche’ inserito nell’affare piu’ nazionalpopolare di certificati verdi, spostamenti, viaggi all’estero e discoteche…

3 Mi Piace

Cambierà sì, perchè mi sa che al Garante si sono stufari di moral suasion e alla prossima cacciano giù una bella sanzione di qualche migliaia di eurini e poi si deve muovere la Corte dei Conti e la cosa diventa davvero sgradevole.
Per parte mia sorrido a vedere che “anche i ricchi piangono” ossia anche al Team devono rendersi conto quanto sia dura per un ente pubblico restare nella legalità e riuscire ad erogare un servizio efficiente. Che è facile parlare di cose smart e efficienti quando si è privati e certe regole per te non ci sono!!

1 Mi Piace

Il Piano Triennale teoricamente imporrebbe l’uso di webanalytics e l’hanno scritto loro. sono perplessa

2 Mi Piace

Ciao Federico e tutte/i,

grazie per aver sollevato la questione.

Stiamo seguendo da vicino gli sviluppi del progetto WAI, tuttora in Beta release (Web Analytics Italia - FAQ - Domande frequenti). Lo abbiamo testato con successo in diverse circostanze, come ad esempio sul sito https://come-partecipo.italia.it/. È già stato inserito anche su designers.italia.it e su developers.italia.it (qui la issue con il link al commit) ed è in programma, dopo un breve periodo di test, la rimozione degli altri strumenti di analytics esistenti. In ogni caso, come già trattato nel thread, Google Analytics è impostato per anonimizzare gli IP (developers.italia.it/google-analytics.html at master · italia/developers.italia.it · GitHub ) e per impedire l’incrocio dei dati (come indicato sulla privacy policy Privacy Policy ).

Ancora grazie e restiamo a disposizione.

Leonardo Favario
Dipartimento per la Trasformazione Digitale

Qualcosa si muove: Diffida per violazione del GDPR per utilizzo Google Analytics su sito istituzionale - n°18 da fpietrosanti

Molti utenti ci stanno segnalando la ricezione di questa email da parte di Federico Leva, inviata tramite limesurvey org, l’email con il testo che vi alleghiamo sotto fa pesantemente leva alle ultime notizie al riguardo dei trattamenti dei dati di google Analytics, ma cosa succede?

Email da Federico Leva per la rimozione dei dati personali
Oggetto: Uso illegittimo di Google Analytics: richiesta di rimozione ex art. 17 GDPR Data: Wed, 29 Jun 2022 07:09:50 +0000 Mittente: Federico Leva noreply@limesurvey.org Rispondi-a: Federico Leva domande@leva.li Spettabile titolare del trattamento dei dati personali, spettabile responsabile della protezione dei dati, Vi scrivo in quanto utente del sito ………… per richiedere la rimozione dei miei dati personali, in forza dell’art. 17 (“Diritto alla cancellazione”) del regolamento UE 2016/679. Vogliate cortesemente rispondere entro 31 giorni dalla ricezione della presente per confermare l’ottemperanza, come precisato di seguito. Il vostro sito incorpora Google Analytics, che provvede a trasferire i dati personali di tutti i vostri visitatori a Google negli USA. Con provvedimento del 9 giugno 2022 (9782890), ciò è stato dichiarato illegittimo dall’Autorità Garante per la protezione dei dati personali, come annunciato nel comunicato stampa

“Google: Garante privacy stop all’uso degli Analytics. Dati trasferiti negli Usa senza adeguate garanzie”. Il Garante «invita tutti i titolari del trattamento a verificare la conformità delle modalità di utilizzo di cookie e altri strumenti di tracciamento utilizzati sui propri siti web, con particolare attenzione a Google Analytics e ad altri servizi analoghi, con la normativa in materia di protezione dei dati personali», e fissa un termine di 90 giorni passati i quali procederà a ulteriori verifiche. Guido Scorza, componente del Garante, ha ulteriormente illustrato il provvedimento nell’intervista con Matteo Flora “Google Analytics vietato – analizziamo il problema”. L’uso di Google Analytics è illegittimo anche in quanto ogni finalità legittima può essere soddisfatta da software libero ospitato in UE e atto a un corretto trattamento dei dati personali, come Matomo, Plausible Analytics o altri raccomandati dall’Autorità francese CNIL, mentre nessuna versione o configurazione di Google Analytics può garantire di non trattare i dati personali in modo illecito. Alla luce di quanto sopra: 1) preciso che i dati personali oggetto della presente richiesta sono quelli derivanti dalla mia visita del vostro sito nei giorni scorsi, identificabili dal mio indirizzo IP (51.158.x.y) e user-agent (“Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/76.0.3803.0 Safari/537.36”), e ogni dato connesso o derivante dagli stessi; 2) richiedo la cancellazione di tali dati personali dai sistemi informativi del vostro responsabile del trattamento e dagli eventuali backup e ovunque essi siano stati trasmessi a causa del vostro uso di Google Analytics, in quanto: a) tale trattamento è illecito e b) tali dati personali non sono necessari a eventuali finalità legittime, come sopra descritto; c) nella misura in cui il trattamento potesse eventualmente essere lecito in forza di un mio consenso, nego di aver prestato il mio informato e valido consenso, che in ogni caso revoco espressamente con la presente; d) qualora i dati fossero asseritamente trattati sulla base di un legittimo interesse, la presente assume valore di opposizione al trattamento oltre che di richiesta di cancellazione; 3) in particolare richiedo la rimozione di qualsiasi registro o copia dei dati personali di cui sopra da parte di Google e ogni altro responsabile di tale trattamento o altro soggetto che li abbia ricevuti, compresi tutti i dati inviati dal mio browser al momento della visita, nonché qualsiasi versione pseudonimizzata dei medesimi e qualsiasi dato aggregato riconducibile ai medesimi o ad altri miei dati personali, come la classificazione in coorti o qualsiasi tipo di identificativo univoco; 4) richiedo altresì, in forza dell’art. 18(1)(d) del regolamento 2016/679, di interrompere immediatamente ogni trattamento di tali dati personali connessi al mio uso passato e futuro del vostro sito, ad esempio provvedendo alla completa rimozione dallo stesso di Google Analytics (in qualsiasi versione e configurazione) e interrompendo ogni uso dei dati prodotti da Google in relazione agli utenti del vostro sito; 5) ove lo riteneste necessario, mi dichiaro disponibile a fornire ulteriori dati utili a identificarmi come la persona a cui fanno riferimento i dati personali di cui sopra, come l’indirizzo IP esatto e la data e ora della visita più recente, nonché i cookie e altri identificativi esibiti da Google in corrispondenza della stessa; 6) richiedo di rispondere a quanto sopra primariamente tramite il modulo collegato sotto, fornito tramite software libero LimeSurvey ospitato in UE (e rispettoso della privacy), entro 31 giorni dalla ricezione della presente; il mio indirizzo di posta elettronica per questa materia è domande@leva.li.

In fede, Federico Leva Helsinki, 29 giugno 2022 ———————————————- Modulo per la risposta: Correzione o rimozione dell’indirizzo di posta elettronica:

Cosa sappiamo ad oggi di questa email?
Mentre passa il tempo si aprono i contorni e secondo anche i commenti e le segnalazioni ricevute, ad oggi non risulta che il mittente abbia risposto direttamente a chi si è preso il rischio di compilare il questionario allegato dentro l’email.

Sicuramente non stiamo parlando di una pirlata di un ragazzino perché non è semplice organizzare un bot che visita milioni di siti web e ne carpisce le email per poi inviare in automatico essa, a meno che chi ha organizzato questo non abbia acquistato sul darkweb un database già pronto con email e siti web in modo da avere già tutto pronto.

Cosa fare con l’email di Federico Leva Helsinki?
Non essendoci il nome di chi richiede realmente la rimozione dei dati ed essendo l’email arrivata a tutto il web, il nostro consiglio non legale e da prendere con le pinze e cancellare l’email non compilando nulla.
Questa tipologia di email lascia il tempo che trova e le email ufficiali devono arrivare necessariamente tramite PEC, ovviamente il problema dei tracciamento cookie è reale ma non è compilando questo modulo che si risolverà.

Voi avete ricevuto questa email? fateci sapere nei commenti

Pubblicato in Notizie

27 pensieri su “Email da Federico Leva tramite limesurvey.org | cosa succede?”

Anonimo29 Giugno 2022
Abbiamo risposo a tono per far capire a questo attivista di godersi la giornata in altro modo.
Da una prima ricerca sul web abbiamo accertato che tale Federico prima di tutto esegue chiamate sui siti web delle sue “vittime” per poi inviargli la mail come da voi richiamata usando toni sicuramente fuori luogo (vero che il GDPR consente di richiedere cancellazione ecc ecc e che è diritto degli utenti essere tutelati e che gli operatori web si devono muovere su tale strada).

Di fondo, però:

  1. c’è che ad oggi non vi è alcuna espressione del garante che dichiari illecito l’uso di Analytics, di contro vi sono svariate guide che spiegano come poterlo usare ed in maniera totalmente conforme al GDPR – anonimizzato, slegato dagli altri servizi google ecc ecc. Se poi dovesse arrivare dal Garante l’ordine di non utilizzare Analytics, sicuramente tutti si metteranno in regola. Oggi c’è “solo” l’invito a verificare di utilizzarlo in conformità al GDPR.

  2. tale persona richiede di replicare compilando un form/sondaggio sul suo sito che poi inserisce in una sezione che lui chiama “Indagini GDPR”.

  3. il sito di questa persona è totalmente fuori regola ai sensi del GDPR anche solo per il fatto che qualsiasi persona che tratti dati personali di residenti nell’UE deve garantire la tutela di questi ultimi (nel suo sito non c’è informativa, non c’è nulla se non 4 parole in croce ed una foto)… non si sa come tratta i dati, per quali fini ecc ecc… è certo, però, che li tratti perché dalle email che manda vi è un richiamo al sondaggio con tanto di tag che lega la mail del destinatario alla mail da lui inviata al possibile fine di “creare” un suo “fascicolo indagine”.

La cosa che non capisce questo Federico è che così facendo sta incutendo terrore (basta leggere nei vari social cosa sta esplodendo in queste ore) ed a rischiare/violare la legge è lui.

Rispondi

Anonimo29 Giugno 2022
Ricevuta oggi. All’inizio mi sono un attimo preoccupato ma cercando su internet ho visto alcuni forum parlarne.
Se andate sul suo sito qualcosa dice ma info molto generiche.
Non sanno più cosa inventarsi…

Rispondi

francesco30 Giugno 2022
Noi abbiamo risposto al sondaggio indicando che non vi è alcun backup nei nostri sistemi e che ad ogni modo, analitycs, in attesa che il garante prenda nuovi provvedimenti, è stato disabilitato.

Rispondi

Carmine donato30 Giugno 2022
Francesco a te chiedera dei soldi…fai sapere.

Rispondi

Lorenzo1 Luglio 2022
Salve,
l’email è arrivata anche a me e sembra molto strana… da una ricerca ho visto che Federco Leva ha anche un sito
penso che molto probabilmente questo è quello originale mentre quello indicato nell’email è una copia illegale al quale è stato aggiunto un form per raccogliere dati in modo illecito…
voi cosa ne pensate?

Rispondi

sam1 Luglio 2022
Ragazzi ma di cosa stiamo parlando??? a parte che analytics può essere impostato per non tracciare l’ip di connessione, in più un banner funzionante blocca i cookies fino ad esplicito consenso. Nel momento in cui si da il consenso si accetta la profilazione UA o GA.
Non compilate nulla.

Rispondi

Walter1 Luglio 2022
Il ragazzo (che poi ha 33 anni) non si rende conto che sta finendo per essere collegato su larga scala ad attività dubbie, se non illecite sulla rete, quindi rovinare – in ogni caso – la sua reputazione, che invece sembra buona sino ad oggi….
Bisognerebbe che un’istituzione, un’azienda gli scrivesse per farlo riflettere.

Rispondi

Anonimo1 Luglio 2022
Abbiamo risposto a questo Federico, per sicurezza abbiamo deciso di chiedere a Google la cancellazione dei dati acquisiti nell’ultimo periodo.

Ovviamente abbiamo evitato di rispondere all’interrogatorio via form, a nostro parere immotivato e anomalo, rimandando una stringata risposta alla mail indicata.

Non si capisce se sia un’attivista o se sia un approccio commerciale scorretto.

Rispondi

xxx1 Luglio 2022
Come avete chiesto la rimozione dei dati a Google?

Rispondi

LG1 Luglio 2022
Ricevuta anche noi e inviata risposta.
Il problema però è realmente titanico. Mi spiego meglio, non c’e’ solo il problema di google analytics, ma tantissimi siti usano i google font, gmail, gdrive, facebook, linkedin (Leva ha un account li), amazon e i suoi servizi sia di acquisto che di cloud e alla via così.
Ogni cosa ha un suo problema di dato in quanto servizio e di dato in quanto log. Anche l’invio di una e-mail da google a questo leva è registrata sia che esista, che non esista, …

In questa ottica, Google analytics è solo la punta dell’iceberg.

G ci mette 1 secondo a spostare tutto in EU e a continuare quello che sta facendo.
Aspettiamo o cosa facciamo, chiudiamo tutto?

LG

Rispondi

Enrico1 Luglio 2022
In giornata odierna è arrivata anche a me e come prima cosa ho fatto una ricerca e son capitato qua, vedo che però non sono l’unico.
Considerato il fatto che io come diceva Sam ho importato google analytics per non vedere gli utenti effettivi non avrei neanche modo di rintracciarlo.
Lo uso per vedere solo quanti utenti hanno fatto l’accesso e pochi altri dati.
Provvederò comunque a fare una segnalazione alla polizia postale della mia zona vediamo se faranno qualche intervento.

Rispondi

Daniele Sbarri1 Luglio 2022
Penso che questo tipo sia un fanatico, scrive e manda le sue e mail senza verificare se il sito utilizza Google Analytics Universal 3 oppure GA4 che anonimizza gli IP, pertanto è perfettamente legale.

Rispondi

Alessandro1 Luglio 2022
Spero ne parlino sempre più persone, certi comportamenti sembrano essere quelli di un mitomane.

  1. il suo sito (che ha carattere di promozione commerciale) non ha nemmeno il banner per i cookie, nemmeno per informare che usa cookie tecnici (che comunque scarica sul tuo pc e senza richiesta di consenso), né provvede una seppur minima privacy policy
  2. il modulo che raccoglie dati non ha ugualmente banner per i cookie
  3. il modulo si compila su server Limesurvey, che sostiene essere “rispettoso della privacy”. Dominio -li, spazio extra-UE :slightly_smiling_face:
  4. non solo, la legal notice è la seguente: “Questo sondaggio è configurato per non salvare i referrer, indirizzi IP o altri dati di navigazione di chi lo compila, ma preserva la data di invio del modulo e l’indirizzo di posta elettronica connesso al codice di invito inviato allo stesso.” cioè non conserva l’IP, rispettando la privacy, ma l’indirizzo e-mail… no comemnt
  5. limesurvey usa Google Analytics
    E altre amenità…
    Non so se ridere o piangere. Ennesimo truffaldino, che poi magari si propone di risolvere il problema, o cavaliere dell’armata Brancaleone per i diritti sul web?
    Meglio si dia una calmata, comunque

Rispondi

anonimo1 Luglio 2022
Segnalo di aver ricevuto l’email in discorso venerdì 01/07/2022 15:19. Per scrupolo ho dedicato del tempo ad approfondimenti. Ritengo, sulla base di diverse considerazioni, di aver perso del tempo ed ahimè come si dice il tempo è denaro…

Rispondi

il moralizzatore1 Luglio 2022
Cancellato, messo tra gli indesiderati e se lo incoccio fisicamente gli cancello i dati di persona.

Rispondi

Luigi1 Luglio 2022
Ciao Ragazzi, ma io ho impostato sul mio analytics

ga(‘set’, ‘anonymizeIp’, true);

Quindi di fondo ho anonymizeIp, in teoria anche se la sua mail fosse vera non può farmi nulla, no?

Rispondi

anon1 Luglio 2022
Qualcuno ha un testo ‘standard’ da copincollare in risposta a questo deficiente?

Rispondi

Andrea1 Luglio 2022
io ho provato a chiedergli lumi su linkedin

Rispondi

Peter1 Luglio 2022
Anche a me è arrivata oggi

Rispondi

Veniero1 Luglio 2022
Ho scritto all’help center di lime survey segnalando che, come dai loro termini e condizioni:
– c’è un uso improprio, vale a dire un uso non a scopo di indagine

Vi consiglio di fare altrettanto.

Rispondi

Peter1 Luglio 2022
Qualcuno può dirmi come disabilitare Google Analytics? Grazie

Rispondi

Massimiliano1 Luglio 2022
Ciao a tutti.
L’e-mail in questione è arrivata anche a me, solo che io non utilizzo Analytics. Inoltre, dal nostro sito web, è chiaramente possibile eliminare in autonomia ogni iscrizione (newsletter esempio) o verificare in piena autonomia che dati sono stati raccolti.
Essendo un gestionale e-commerce i dati vengono usati solo per preparare i documenti di trasporto e fatturazione.
Presumo che questa e-mail serva per raccogliere dati o – in futuro – venga chiesto un pagamento o qualcosa di simile. Chissà…

Rispondi

Luca1 Luglio 2022
un mio cliente l’ha ricevuto, anche a me è sembrato strano il suo comportamento, e temo che se rispondessimo al questionario daremmo il là per una truffa.
I dati relativi li ritrovo nei logs, ma potrebbe essere anche una sorta di bot che fa scansioni per siti italiani alla ricerca all’interno dell’Html del tag di Google Analytics. Ad esempio il nostro è stato visitato alle 2 del mattino, chi è quel pazzo che va a farsi visite in siti istituzionali a quell’ora?
Ormai internet è una babele di truffatori.

Rispondi

Zumme1 Luglio 2022
Parlato con avvocato. Non rispondete ala mail, rispondere equivale a leggere. Se la comunicazione venisse fatta tramite PEC o raccomandata rispondere entro o 30 gg. Questo è il presupposto pr arrivare anche davanti ad un giudice con una prerogativa di causa nulla. Il Sig. Federico leva inoltre dovrebbe registrare l’invio di una sua mail da un indirizzo di posta personale. L’utilizzo di liste di distribuzione potrebbe essere invalidato. Il condizionale viene usato in quanto nella dichiarazione del garante a cui fa riferimento la mail si motivano cause conformi a cui Google dovrebbe rispondere. L’accesso ai dati in caso di IP anonimizzato non è disponibile. Rispondere equivarrebbe ad una presa visione. In caso di causa legale potrebbe giocare a vostro sfavore.

Rispondi

Alf1 Luglio 2022
Se è legittima la richiesta di rimozione dei dati personali, non è tollerabile che tale richiesta venga accompagnata da suggerimenti sull’utilizzo di questa o quell’altra applicazione a sfavore di analytics, altrimenti sembra una campagna di marketing, anche per l’utilizzo improprio di uno strumento per i sondaggi. Nella migliore delle ipotesi potrebbe trattarsi di una goffa e molesta campagna di sensibilizzazione per favorire l’utilizzo di strumenti open source e attenti alla privacy degli utenti.

Rispondi

mario1 Luglio 2022
Ciao a tutti,
visto che il sito di questo celeberrimo Federico Leva non è in nessun modo tutelato da GDPR, la cosa migliore da fare è aprire la casella di posta, fare click su “nuova mail”, incollare ciò che a scritto lui a voi e inviarglielo di rimbalzo.

Rispondi

Massimiliano2 Luglio 2022
Ho ricevuto nuovamente la Sua e-mail, questa volta su un nostro sito web che “redirect” su un altro nostro sito web. Questo per farvi capire che non c’è alcuna logica in queste e-mail, essendo l’indirizzo web citato nella e-mail ricevuta totalmente “vuoto” e privo di contenuti (essendo, appunto, un redirect su altro dominio).
Inoltre, io NON uso Analytics, quindi penso sia solo SCA/SPAM. Vedremo…