Cos’è WAI (Web Analytics Italia)
Web analytics Italia – WAI- è un sistema di raccolta e analisi dei dati web basato sul software Matomo, fornito direttamente da AgID, Agenzia per l’Italia Digitale. Questa piattaforma nazionale è utilizzabile dalle pubbliche amministrazioni per osservare l’andamento dei visitatori connessi ai loro siti web.
L’utilizzo di questa piattaforma ha avuto un enorme consenso da moltissime pubbliche amministrazioni, tanto che l’hardware dedicato al servizio non era stato dimensionato rispetto alle esigenze della PA italiana. A seguito della difficoltà di gestione del numero elevato di richieste pervenute, AgiD ha, inizialmente, interrotto la possibilità di registrarsi al servizio.
In passaggio ad Amazon Web Services
AgId, per far fronte all’eccessivo carico, ha utilizzato i server di Amazon Web Service, società oltreoceano che è controllata dalla statunitense Amazon. Nonostante ciò, l’uso dei servizi di AWS ha presentato notevoli problemi di trasferimento transfrontaliero, come nel caso di Google Analytics.
In questo frangente, AgId detiene la responsabilità morale dei trasferimenti verso Amazon Web Service, avvenuto in modo trasparente per le PA, attraverso il reindirizzamento del dominio ingestion.webanalytics.italia.it verso i server di Amazon su cui era già stato predisposto Matomo.
Invece, basandosi sulla normativa GDPR, la responsabilità legale dei trasferimenti è del Titolare del Trattamento (o del suo legale rappresentante qualora si tratti di una Pubblica Amministrazione). Il GDPR dichiara che i dati personali del Trattamento possono essere trattati dal Responsabile del Trattamento – in questo caso AgID- solo ed esclusivamente secondo le condizioni prescritte dal Titolare del Trattamento. Difatti, quest’ultimo deve essere certo che tutti i Responsabili e/o Subresponsabili del Trattamento rispettino, in maniera conforme, la normativa e diritti fondamentali di tutti gli interessati.
Le dichiarazioni di Amazon
Nel documento “AWS Data Processing Addendum” che integra l’AWS Customer Agreement, Amazon dichiara esplicitamente di rispettare le normative statunitensi cui Amazon Web Services, Inc (parte dell’accordo, come indicato in premessa) è sottoposta:
- al punto 1.4, chiarendo che ogni sottoscrittore rispetterà “tutte le leggi, le regole e i regolamenti ad esso applicabili e per esso vincolanti”
- al punto 3, chiarendo che “AWS non accederà, utilizzerà o rivelerà a terze parti i dati del cliente eccetto che per rispettarle la legge o un ordine valido e vincolante di un’agenzia governativa.”. Inoltre AWS dichiara che “se costretta a rivelare dati del cliente ad una agenzia governativa, AWS darà al cliente una ragionevole notifica della richiesta […] a meno che ciò non sia vietato dalla normativa in questione.”
La “normativa in questione” è costituita dal combinato disposto fra FISA 702, l’Executive Order 12333 e il CLOUD Act, ovvero le leggi statunitensi che hanno costretto la Corte di Giustizia Europea a riconoscere l’invalidità del Privacy Shield a causa della palese violazione dei diritti umani dei cittadini europei.
Tali normative infatti costringono le aziende statunitensi a fornire, a qualsiasi agenzia governativa che ne faccia richiesta, accesso ai dati dei cittadini europei, ovunque si trovino, segretamente e senza nemmeno l’autorizzazione di un Magistrato (ovvero senza alcuna garanzia per le vittime di tale accesso illecito).
Amazon dunque, esattamente come Google e come Microsoft, dichiara espressamente di rispettare la normativa statunitense che ne rende incompatibili i servizi con la protezione dei dati personali dei cittadini europei.
Il ruolo di MonitoraPA
Monitora PA è un osservatorio gestito da volontari che si premura di verificare i trasferimenti di dati degli utenti (ossia i cittadini che accedono ai servizi della PA italiana) verso aziende straniere (tipicamente USA).
A partire dal mese di giugno, Monitora PA ha informato diverse pubbliche amministrazioni circa il presunto trasferimento di dati all’estero.
Le pubbliche amministrazioni, d’altro canto, si sono ritrovate fra l’incudine e il martello: da una parte Monitora PA che minaccia di segnalare al Garante l’utilizzo di uno strumento non conforme, dall’altra AgID che mette a disposizione uno strumento consigliato inoltre nel Piano Triennale per la PA.
Le dichiarazioni di AgID
In seguito alle successive segnalazioni di presunti trasferimenti di dati personali verso nazioni extraeuropee, AgID oggi dichiara e conferma che il servizio offerto è vigente alla normativa europea in materia di protezione dei dati personali. Questa conferma deriva dall’adozione di tecniche di anonimizzazione, in quanto i dati analitici acquisiti attraverso la piattaforma WAI non consentono di identificare e/o rendere identificabile una persona fisica in modo diretto o indiretto.
Web Analytics Italia | Agenzia per l’Italia digitale (agid.gov.it)
L’obbiettivo del comunicato diffuso da AgID è quello di rassicurare sia le pubbliche amministrazioni sia i cittadini che la piattaforma WAI opera in modo pienamente conforme a quanto previsto dal GDPR.