MAGGIOLI EDITORE - La Gazzetta degli Enti Locali

Google Analytics: dopo il provvedimento del Garante Privacy che cosa succede ora sui siti delle pubbliche amministrazioni?
I martedì della cybersecurity/ Le domande principali da porsi e le azioni da intraprendere

di LUISA DI GIACOMO*

Come ormai ben noto, con un recentissimo provvedimento, il Garante per la Protezione dei Dati Personali, ha scatenato un “terremoto” nel web, affermando che tutti i siti web pubblici e privati che utilizzano il servizio Google Analytics o servizi analoghi, senza le garanzie previste dal Regolamento UE 679/2016 (GDPR), violano la normativa sulla protezione dei dati perché trasferiscono negli Stati Uniti i dati degli utenti. Il trasferimento dei dati negli USA, in attesa di un accordo reale e concreto con l’Unione Europea, è considerato pericoloso in materia di data protection, in quanto la normativa federale statunitense permette alle Autorità Pubbliche, in nome della sovraordinata sicurezza nazionale, di accedere senza limitazione ai dati personali di chiunque, ivi compresi quelli che vengono trasferiti dall’Europa. Era solo questione di tempo, dopo la sentenza Schrems II (C-311/18 del 16 luglio 2020), la nota pronuncia con la quale la Corte di Giustizia Europea invalidava il privacy shield, e la decisione dell’Autorità per la Protezione dei Dati Personali austriaca, che nel dicembre scorso affermava che l’utilizzo del servizio Google Analytics fornito da Google LLC non risulta conforme al GDPR.

Non solo: come moltissimi uffici delle PA ben sanno, negli ultimi sei mesi, presso gli uffici di piazza Venezia, si è letteralmente riversata una pioggia di segnalazioni e ricorsi, principalmente ad opera di una nota associazione di attivisti, NOYB (None of your business, letteralmente “non sono affari tuoi”), che fa capo ad un “certo” Maximilien Schrems (l’omonimia non è un caso) che denunciavano l’illecito utilizzo di Analytics sui siti di oltre 7.000 pubbliche amministrazioni, ed altrettanti DPO hanno ricevuto PEC e segnalazioni da parte di Titolari spaventati, che chiedevano come comportarsi e come e se modificare il proprio sito istituzionale.

Dopo tutto questo il Garante italiano si è infine pronunciato, richiamando l’attenzione di tutti i gestori italiani di siti web, pubblici e privati, sull’illiceità dei trasferimenti effettuati verso gli Stati Uniti attraverso Google Analytics e concedendo 90 giorni per regolarizzare la situazione.

L’Autorità ha fondato la propria decisione su una serie di osservazioni:

  1. Google raccoglie, mediante cookies trasmessi al browser degli utenti, informazioni relative alle modalità di interazione di questi ultimi con il sito web, con le singole pagine e con i servizi proposti;
  2. I dati raccolti consistono in: identificatori online unici che consentono sia l’identificazione del browser o del dispositivo, sia del gestore stesso del sito (attraverso l’ID account Google); indirizzo, nome del sito web e dati di navigazione; indirizzo IP del dispositivo utilizzato dall’utente; informazioni relative al browser, al sistema operativo, alla risoluzione dello schermo, alla lingua selezionata, a data e ora della visita al sito
  3. La cosiddetta anonimizzazione dell’IP costituisce, di fatto, solo una pseudonimizzazione, in quanto il troncamento dell’ultimo ottetto di numeri non impedisce a Google di re-identificare l’utente, tenuto conto delle informazioni complessivamente dalla stessa detenute su chiunque interagisca nel web.
  4. Sussiste, inoltre, in capo a Google, la possibilità, qualora l’interessato abbia effettuato l’accesso al proprio profilo Google, di associare l’indirizzo IP ad altre informazioni aggiuntive già in suo possesso, in modo da ricreare un profilo completo dell’utente.
  5. Sussiste, dunque, una violazione, da parte del sito che utilizza Analytics, del principio di accountability, dal momento che il Titolare non ha adottato le misure tecniche ed organizzative necessarie per assicurare il corretto trattamento dei dati personali.

Che fare dunque?

La pioggia di segnalazioni di NOYB degli ultimi mesi ha avuto, se non altro, il merito di sollevare un polverone in merito alla consapevolezza degli Enti Pubblici sull’utilizzo dei dati al proprio interno.
Giustamente, non appena ricevute le PEC, i Data Protection Officer sono stati allertati, ma non sempre le risposte alle domande sollevate hanno avuto il pregio di evidenziare l’accountability del Titolare (la PA titolare del sito) e l’approccio di data protection by design e by default richiesti dal Regolamento UE per la Protezione dei Dati Personali.
Innanzi tutto è bene sapere che una alternativa a Google Analytics per le PA esiste: AgID nelle proprie “Linee guida di design per i siti internet e i servizi digitali della PA” da tempo suggerisce di sostituire Google Analytics con Web Analytics Italia, una versione open source italiana. Su questa il Garante non si è ancora pronunciato, ma per lo meno possiamo dire di essere sicuri che non vi siano trasferimenti dati verso Paesi extra UE.
Qualcuno sostiene che non sia la stessa cosa, perché nessuno servizio analogo a Google Analytics agisce come l’originale, ma la vera domanda è: che cosa fa Google Analytics?
Interrogate sulla “strategia web” utilizzata sui propri siti, duole constatare che le PA coinvolte si sono dimostrate davvero poco preparate.

Le domande principali da porsi

Sapete dire se il vostro sito fa uso di Google Analytics? GA è un tracciatore, un cookie che può essere utilizzato per “mappare” le attività che vengono svolte dagli utenti del sito, in modo anonimo (o presunto tale, visto che il Garante ha confermato che in verità non è anonimo per niente). Ma se questo servizio si rivela fondamentale per i siti aziendali, che di tracking e pubblicità vivono, siamo sicuri che per un sito “istituzionale” sia davvero utile conoscere queste informazioni? Da grandi data base derivano grandi responsabilità per i Titolati, e gli Enti Pubblici non fanno eccezione.
Potete verificare la presenza di GA sui vostri siti? Qui basta chiamare il webmaster, la persona o l’agenzia che ha materialmente creato il sito e rispondere, ma anche in questo caso si brancola nel buio: mancano le nomine a responsabile esterno del trattamento, ad amministratore di sistema, ed anche gli interrogati spesso non hanno contezza precisa del perché sul sito ci siano gli Analytics.
Perché usate GA? Che utilizzo fate dei dati raccolti sul vostro sito? Quanti sono i siti riconducibili al vostro Ente? E i profili social?
Da qui in poi la consapevolezza della PA rispetto al mondo digitale si perde in un rivolo di rimandi e rimpalli.
Dunque il problema per gli Enti locali non è (almeno non solo) usare o meno Google Analytics.
Il problema è accrescere la formazione e la consapevolezza sui trattamenti, sugli strumenti di trattamento, sulla titolarità dei dati, sui rapporti con i responsabili, sui diritti degli interessati: in pratica sull’impianto stesso del GDPR e della sicurezza informatica.
Perché il processo di digitalizzazione delle PA ed i fondi del PNRR passano da qui: dalla opportunità di sfruttare il GDPR come spunto per un ripensamento globale della propria strategia informatica e di data protection, prima che i fondi stessi si esauriscano senza lasciare traccia.
Proprio in quanto obbligatorio per non incappare in sanzioni, il processo di vera transizione digitale passa proprio attraverso la compliance: dal ruolo di un DPO che sia realmente un ausilio prezioso e non solo una facciata, alla redazione di registro dei trattamenti completo ed accurato, dalla redazione di procedure all’adozione di buone prassi, questo è il momento per le PA di adottare azioni concrete nel campo della digitalizzazione (una chimera troppo spesso solo sventolata a parole, ma poco concretamente nei fatti) per il miglioramento della produttività degli Enti ed influire così in maniera positiva e concreta non solo sul lavoro di centinaia di migliaia di funzionari pubblici, ma sull’intero funzionamento della macchina statale.

L’AUTORE

* Luisa Di Giacomo è avvocato da oltre quindici anni, dal 2012 è consulente privacy presso diverse aziende nel nord Italia e dal 2018 ricopre l’incarico di DPO presso diverse Pubbliche Amministrazioni (Comuni, Enti di ricerca, Enti socio assistenziali) e società private. Dal 2022 fa parte del pool di consulenti esperti in Data Protection Law istituito presso l’European Data Protection Board.
Formata nell’ambito del diritto civile e commerciale, negli ultimi dieci anni si è dedicata in via esclusiva al diritto di internet, delle nuove tecnologie, della protezione dei dati personali e della cybersecurity.
Ha svolto periodi di studio e di lavoro all’estero, è docente e formatore per Maggioli spa, responsabile della sezione cybersecurity del portale diritto.it, redattrice per la Gazzetta degli Enti Locali.
Parla inglese e francese a livello madrelingua, ed ha una discreta conoscenza dello spagnolo e del portoghese.
Ama scrivere narrativa e dedicarsi all’attività di formazione in aula e online.
Le piace definirsi Cyberavvocato.

www.lagazzettadeglientilocali.it