Google Analytics e siti delle Pubbliche Amministrazioni: cosa sta succedendo?
Qualche giorno fa tutti gli Enti pubblici italiani hanno ricevuto un’email (PEC) da parte di un fantomatico “gruppo di hacker italiani, attivisti e cittadini attenti alla privacy”. Nell’email si denuncia la violazione dei protocolli della privacy per l’utilizzo di Google Analytics quale sistema di monitoraggio dei siti web istituzionali, intimando di disinstallarlo al più presto dai siti pubblici delle P.A.
Ma cosa c’è di vero e cosa rischiano davvero gli Enti?
Cos’è Google Analytics?
Google Analytics è un servizio di web analytics gratuito fornito da Google che consente di analizzare delle dettagliate statistiche sui visitatori di un sito web. Si tratta del servizio di statistiche di gran lunga più diffuso online, da anni utilizzato in tantissimi siti web di ogni tipo, compresi quelli delle P.A.
Perché Google Analytics violerebbe le regole GDPR europee?
La ritenuta illegittimità di Google Analytics deriverebbe dall’ “ingiustificato e massivo trasferimento transfrontaliero di dati personali” verso gli Stati Uniti, il cui regime giuridico non garantisce un livello di protezione “sostanzialmente equivalente” a quello vigente all’interno dell’Unione Europea in conformità al GDPR. Nel 2022 ci sono stati diversi pronunciamenti a livello europeo che hanno dichiarato che nonostante l’anonimizzazione, i cookie di Google Analytics non possono essere considerati prettamente tecnici, quindi andrebbero disabilitati di default e abilitabili solo dall’utente dall’apposita sezione del cookie wall. Il garante della privacy austriaco, in particolare, ha confermato la violazione del Regolamento generale sulla protezione dei dati (GDPR) dell’Unione europea da parte di un sito web austriaco in seguito all’utilizzo di Google Analytics per monitorare l’utilizzo del sito da parte degli utenti. Secondo il garante della privacy e delle libertà digitali in Francia, inoltre, Google Analytics mette a rischio i dati personali degli utenti perché viola le regole GDPR europee.
Cosa rischiano gli Enti?
Innanzitutto, bisogna chiarire che, Ad oggi, i Garanti dei Paesi europei che si sono espressi sulla questione, come la francese CNIL e l’austriaco DSB, pur sottolineando l’inadeguatezza di Google Analytics rispetto al livello di protezione assicurato dal GDPR, non hanno elevato sanzioni di nessun tipo. D’altra parte la diffida inviata da “un misterioso “gruppo di hacker italiani, attivisti e cittadini attenti alla privacy” non può rappresentare una segnalazione valida, non avendo alcun carattere di ufficialità, e non provenendo da alcuna Autorità deputata ad effettuare tale tipo di controllo. È ovvio che la posizione di Google Analytics resta critica, e non tanto per il presunto trasferimento di dati personali verso uno stato non europeo, quanto per il rifiuto di rispondere in maniera chiara alle diverse richieste di chiarimento inviate da mesi dalle diverse autorità europee in materia di privacy.
Come bisogna comportarsi?
Al di là del polverone suscitato dalla email inviata dal “gruppo di hacker” e da ingiustificati allarmismi, rendersi indipendenti da Google Analytics, per un sito web pubblico, è di certo un proposito positivo, anche perché oggi esistono alternative praticabili e in grado di garantire sia le funzionalità di rilevamento di dati sul traffico, sia di rispettare in maniera più stringente la normativa in materia di privacy e trattamento dei dati personali. A questo scopo, AgID ha suggerito (e non imposto) nel Piano triennale dell’informatica 2021-2023 il sistema Web Analytics Italia (https://webanalytics.italia.it/), una piattaforma di analisi e monitoraggio di dati, del tutto simile a Google Analytics. Questa piattaforma è riservata esclusivamente alle Pubbliche amministrazioni italiane, quindi per potersi registrare alla piattaforma occorre che un referente di un’amministrazione avvii la procedura di registrazione del sito istituzionale, accedendo alla piattaforma tramite una identità SPID.
Se hai bisogno di supporto nell’installazione di Web analytics Italia o nella valutazione della conformità del tuo sito alla normativa GDPR, contattaci.