Diffida violazione del GDPR per utilizzo Google Analytics sul sito istituzionale

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn
 

Nella giornata di ieri molte Pubbliche Amministrazioni hanno ricevuto una comunicazione in cui si evidenziava il ricorso, ritenuto illegittimo, a Google Analytics per il tracciamento della navigazione dei propri utenti.

Cerchiamo di capire la fondatezza di tale comunicazione e le possibili conseguenze.

La comunicazione utilizza toni terroristici, segnalando da parte dell’ente ricevente l’uso illegittimo dello strumento di tracciamento del traffico internet sul proprio sito di Google Analytics.

Al di là dei toni, il contenuto è corretto: infatti, visitando il sito indicato nella comunicazione, è pubblicato un interessante report in cui sono riportati, degli oltre 22.000 enti elencati, quali ricorrono a Google Analytics. Ancora più interessante è il fatto che il report sia il risultato di una rielaborazione automatica di un elenco di enti pubblici riportati nella sezione open data dell’Indice delle Pubbliche Amministrazioni. Si tratta quindi di un’analisi automatizzata dei siti delle PA finalizzata alla verifica dell’utilizzo di Google Analytics.

Se un ente ha ricevuto una comunicazione come quella riportata precedentemente, probabilmente il suo sito ricorre a Google Analytics. Per averne la certezza, può scaricare il report relativo al progetto Monitora PA e verificare se, nella riga relativa alla propria PA, nella colonna “web_test_metadata” compaia un codice UA-xxx (o altri codici similari), che sarebbe l’identificatore univoco impiegato da Google Analytics per l’ente.

Quali rischi corre un ente che utilizza Google Analytics?

Quanto affermato nella comunicazione è corretto: il rischio che Google Analytics trasferisca dati personali (gli indirizzi IP degli utenti lo sono) in paesi extra UE è concreto, con il conseguente rischio di sanzioni da parte del Garante della Privacy. La probabilità che questo accada è remota: oltre 7.000 enti versano in tale situazione, un ente potrebbe essere sanzionato solo in caso di reclamo al Garante da parte di un interessato, cioè di un soggetto di cui sono trattati i dati. Per contro, la segnalazione relativa a 7.000 situazioni di illegittimità effettuata da parte di un soggetto terzo (che si definisce “gruppo di hacker italiani”) ha un peso differente, seppur possa essere oggetto di attenzione.

Detto questo, la segnalazione ha una base di fondamento concreta e può essere un interessante spunto di miglioramento. Il ricorso a Google Analytics è piuttosto diffuso, poiché qualche anno fa era l’unico strumento efficace e gratuito per analizzare le statistiche di utilizzo del proprio sito. I tempi cambiano, gli strumenti evolvono e adesso  sono disponibili delle opzioni più attente al trattamento dei dati personali. Uno degli esempi più lampanti è segnalato anche dalla stessa comunità che ha avviato il progetto MonitoraPA, che consiglia di ricorrere al tool messo a disposizione da AgID. In altri casi, i provider dei siti utilizzano invece uno strumento di monitoraggio che raccoglie e analizza i dati direttamente su propri server, tramite strumenti gratuiti alternativi, come quello indicato al presente link.

Cosa deve fare un ente che ha ricevuto la comunicazione relativa a MonitoraPA?
  1. Niente panico, è una segnalazione mirata soprattutto a creare consapevolezza.
  2. Contattare il proprio fornitore del sito e chiedere conferma dell’eventuale utilizzo di Google Analytics.
  3. In caso affermativo segnalare la comunicazione, richiedendo il passaggio ad un tool alternativo di analisi statistica di navigazione.


 

Per informazioni sull’offerta di SI.net Servizi Informatici per accompagnarti nelle continue sfide legate alla trasformazione digitale, scrivi a comunicazione@sinetinformatica.it o telefona allo 0331.576848.

Per ricevere aggiornamenti sulle tematiche relative all’innovazione nell’ICT iscriviti alla nostra newsletter.

Segui SI.net anche su Twitter, Facebook, YouTube, LinkedIn, Telegram