Come sappiamo, nei primi mesi del 2022, il Garante Austriaco si è pronunciato in merito all’illegittimità dell’utilizzo di Google Analytics.
Sebbene il Garante italiano non si sia ancora pronunciato sulla tematica, molti altri garanti europei hanno seguito la scia del Garante austriaco.
https://www.compet-e.com/garante-austiaco-google-analytics-gdpr/
La mail di diffida alle PA
Moltissime Pubbliche Amministrazioni hanno ricevuto, nella giornata di giovedì 12 maggio 2022, una mail intimidatoria di diffida da un gruppo di hacker etici sulla presunta illegittimità dell’utilizzo di google analytics, per il fatto che le banche dati vengono trasmesse negli Stati Uniti il che violerebbe le disposizioni del GDPR, Regolamento UE 679/2016.
Con tale mail, il gruppo “invita” gli enti ad abbandonare Google Analytics se vogliono evitare una segnalazione al Garante per la protezione dei dati.
La comunicazione, sebbene non abbia alcun carattere di ufficialità, non provenendo da alcuna Autorità deputata ad effettuare tale tipo di controllo, è tuttavia assolutamente fondata.
Qui il testo:
Alla Att.ne del DPO (Responsabile Protezione Dati) dell’Ente.
Diffida per per l’illecito utilizzo di Google Analytics su *X_XXXXXXX*, in violazione del Regolamento generale sulla protezione dei dati personali 2016/679 (GDPR)
Spett.le Ente,
siamo un gruppo di hacker italiani, attiviste e attivisti, cittadine e cittadini attenti alla privacy ed alla tutela dei diritti cibernetici nel nostro Paese: https://privacy.g0v.it
Abbiamo rilevato che il vostro Ente utilizza Google analytics (GA) nel suo sito *www.dominio*, nonostante sia oramai pacifico che questo strumento non sia conforme ai principi del GDPR in ordine al trasferimento transfrontaliero di dati personali.
L’utilizzo di GA è infatti stato ritenuto illecito dall’EDPS, con riguardo al trattamento dei dati operato dal Parlamento europeo, dall’Autorità di controllo austriaca e da da ultimo da quella francese (si veda in sintesi https://noyb.eu/en/edps-sanctions-parliament-over-eu-us-data-transfers-google-and-stripe).
Riteniamo che il mantenimento, da parte dell’Ente, di un trattamento di dati personali così evidentemente illecito, che comporta un ingiustificato e massivo trasferimento transfrontaliero di dati personali, riguardante tutti gli utenti del sito, costituisca una grave violazione che debba immediatamente cessare.
Invitiamo pertanto a voler immediatamente provvedere alla rimozione di GA e di qualsiasi altro strumento di analytics o tracking che produca effetti analoghi.
La suddetta violazione, imputabile al Vs. Ente, quale titolare del trattamento, in persona del legale rapp.te pro tempore *Nome del Titolare* espone l’Ente stesso alle sanzioni amministrative pecuniarie previste dall’art. 83 del GDPR.
La presente viene inviata in via informativa, proprio al fine di consentire una rapida rimozione di Google Analytics, rimandando a quanto raccomandato dalla Agenzia per l’Italia Digitale Web Analytics Italia: https://www.agid.gov.it/it/design-servizi/web-analytics-italia
Il resoconto complessivo delle Pubbliche Amministrazioni in violazione, con particolare riguardo a quelle che non avranno provveduto alla tempestiva rimozione di GA, verrà pubblicato come report e inviato come segnalazione al Garante per la Protezione dei Dati e al Difensore Civico Digitale.
La PA ha davvero bisogno di Google Analytics?
Al di là della veridicità o meno della mail inviata, è assolutamente più importante chiedersi per quale motivo un Ente Pubblico utilizzi un prodotto come Google Analytics non essendo un soggetto che necessiti di analizzare il pubblico per pianificare piani di marketing e remarketing.
La stessa AGID, nel piano triennale per la transizione digitale, ha caldamente consigliato (nella linea d’azione CAP1.PA.LA01) di abbandonare Google Analytics per dotarsi di uno strumento ad hoc chiamato “Web Analytics Italia”.
Tale strumento è basato su Matomo Analytics, un software libero per fornire report dettagliati e in tempo reale sui visitatori di un sito web, fra cui i motori di ricerca di provenienza, parole chiave utilizzate, la lingua di utilizzo e le pagine più visitate. Matomo si identifica come alternativa a Google Analytics.
I punti di forza di Matomo Analytics
Il problema fondamentale di Google Analytics è da ricercare nel tema del trasferimento di dati extra UE.
Matomo è installato sul proprio server, quindi i dati sul traffico vengono memorizzati nel proprio database. Per questo, i dati sarebbero della proprietà dell’ente e non verrebbero trasferiti altrove.