Giovedì scorso, 12 maggio, molti enti pubblici italiani, tra cui comuni e scuole, hanno ricevuto una e-mail inviata da “un gruppo di hacker italiani, attiviste e attivisti, cittadine e cittadini attenti alla privacy ed alla tutela dei diritti cibernetici nel nostro Paese” che denuncia l’uso di Google Analytics – il servizio di web analytic gratuito fornito da Google – come non corrispondente ai requisiti del GDPR, Il regolamento generale sulla protezione dei dati.

IL TESTO DELLA E-MAIL

“Abbiamo rilevato che il vostro Ente utilizza Google analytics (GA) nel suo sito xxxxxx, nonostante sia oramai pacifico che questo strumento non sia conforme ai principi del GDPR in ordine al trasferimento transfrontaliero di dati personali.

L’utilizzo di GA è infatti stato ritenuto illecito dall’EDPS, con riguardo al trattamento dei dati operato dal Parlamento europeo, dall’Autorità di controllo austriaca e da ultimo da quella francese (si veda in sintesi EDPS sanctions Parliament over EU-US Data Transfers to Google and Stripe).

Riteniamo che il mantenimento, da parte dell’Ente, di un trattamento di dati personali così evidentemente illecito, che comporta un ingiustificato e massivo trasferimento trasfrontaliero di dati personali, riguardante tutti gli utenti del sito xxxxx, costituisca una grave violazione che debba immediatamente cessare.
Invitiamo pertanto a voler immediatamente provvedere alla rimozione di GA e di qualsiasi altro strumento di analytics o tracking che produca effetti analoghi.

La suddetta violazione, imputabile al Vs. Ente Comune di xxxxx, quale titolare del trattamento, in persona del legale rapp.te pro tempore xxxxxxx espone l’Ente stesso alle sanzioni amministrative pecuniarie previste dall’art. 83 del GDPR.

La presente viene inviata in via informativa, proprio al fine di consentire una rapida rimozione di Google Analytics, rimandando a quanto raccomandato dalla Agenzia per l’Italia Digitale Web Analytics Italia Web Analytics Italia|Agenzia per l’Italia digitale

Il resoconto complessivo delle Pubbliche Amministrazioni in violazione, con particolare riguardo a quelle che non avranno provveduto alla tempestiva rimozione di GA, verrà pubblicato come report e inviato come segnalazione al Garante per la Protezione dei Dati e al Difensore Civico Digitale”.

Di cosa si tratta?

Come spiegato da Lentepubblica.it, questa e-mail non ha alcun carattere di ufficialità, anche perché “le comunicazioni ufficiali arrivano esclusivamente da AgID che è deputata in primo ordine a coordinare e a vigilare sulle amministrazioni nel percorso di attuazione del Piano Triennale per l’informatica della Pubblica amministrazione”.

Quindi, anche se la e-mail raccomanda di non utilizzare Google Analytics, “non esiste una disposizione specifica in tal senso”. Infatti, “la scelta del sistema di web analytics rimane a discrezione del Responsabile della Transizione Digitale dell’Ente”. La questione, insomma, è legata alla trasmissione dei dati verso server fuori dall’Unione Europea, nello specifico verso gli USA, che potrebbero non essere del tutto conformi al GDPR ma si attende una pronuncia dall’Agenzia per l’Italia Digitale (AgID) e dal Garante italiano.

Tuttavia, l’AgID raccomanda ai gestori dei siti web della pubblica amministrazione di utilizzare ‘Web Analytics Italia‘, che è in versione beta: “piattaforma che offre le statistiche in tempo reale dei visitatori dei siti della Pubblica Amministrazione, fornendo agli operatori dei report dettagliati”. E funziona così: “I dati sono raccolti ed elaborati dalla piattaforma centralizzata Web Analytics Italia (WAI). WAI ospita i dati statistici dei siti web delle PA italiane aderenti al progetto”. Lo scopo è aiutare “le amministrazioni a comprendere il comportamento degli utenti online, con l’obiettivo di fornire ai cittadini siti e servizi via via più efficaci e inclusivi”.

Per utilizzare WAI bisogna avviare la procedura di registrazione dal sito istituzionale, accedendo alla piattaforma tramite un’identità SPID, come spiegato qui.