Nei giorni scorsi alcune PA hanno ricevuto una nuova comunicazione dalla comunità MonitoraPA, che ha preso di mira il ricorso a Web Analytics Italia per la gestione delle statistiche dei siti istituzionali.
La nuova comunicazione della comunità MonitoraPA, pervenuta tramite PEC alle PA utilizzatrici della piattaforma Web Analytics Italia, evidenzia una serie criticità legate allo strumento di gestione delle statistiche. Ma non è che l’intervento più recente, per cui è utile ripercorrere l’intera vicenda, per poi vedere cosa possono fare le PA che utilizzano Web Analytics Italia.
Nelle puntate precedenti
Per inquadrare chiaramente il contesto è bene fare un passo indietro: nel mese di maggio 2022 le PA che utilizzavano Google Analytics per la gestione delle statistiche di accesso del sito hanno ricevuto una diffida da parte della comunità Monitora PA che lamentava il trasferimento transfrontaliero dei dati di traffico degli utenti, in violazione alle prescrizioni del capo V del GDPR. Le indicazioni contenute nella diffida sono poi state indirettamente confermate dal Garante della Privacy, tramite un provvedimento nei confronti di una società che ricorreva ai medesimi strumenti.
Le PA destinatarie della comunicazione si sono trovate nella situazione di dover cambiare soluzione tecnologica per la gestione delle statistiche di navigazione internet del proprio portale. Fra le varie opzioni, una appariva come la più semplice e diretta: l’adesione a Web Analytics Italia (di seguito anche WAI), la piattaforma dedicata alle PA proprio per tale finalità. Una soluzione gratuita, di facile attivazione e compliant con il Piano Triennale per l’Informatica nella Pubblica Amministrazione, che appunto tracciava la rotta verso una soluzione nazionale per la gestione delle statistiche dei siti web pubblici.
Una soluzione apparentemente win-win, dove tutte le parti in causa avrebbero vinto: le PA avrebbero utilizzato una soluzione rispettosa delle prescrizioni di legge e AgID (ente coordinatore del progetto Web Analytics Italia) avrebbe accelerato sensibilmente il processo di adesione a tale soluzione.
Purtroppo il diavolo è nei dettagli: la massiccia adesione all’iniziativa ha portato ad un carico di lavoro abnorme per l’infrastruttura preesistente (il numero di adesioni si è praticamente decuplicato in pochi giorni), il che ha reso necessario il potenziamento repentino della stessa. Per sopperire velocemente alle nuove necessità computazionali, il progetto WAI è dovuto migrare su infrastruttura Amazon Web Services (di seguito AWS). Questa scelta è appunto il nuovo obiettivo della più recente comunicazione della comunità MonitoraPA: il passaggio ad AWS, infatti, potrebbe comportare un nuovo trasferimento di dati in paesi extra-europei, senza le dovute garanzie di legge.
Cosa devono verificare le PA?
La prima cosa che devono fare le PA che hanno ricevuto la comunicazione di MonitoraPA è verificare, qualora non disponessero di tale informazione, se il proprio sito utilizza il servizio di WAI, in questo modo:
- posizionarsi sulla pagina del proprio sito in un punto senza link esterni e premere il tasto destro del mouse;
- tra le varie opzioni scegliere “Visualizza sorgente di pagina” (o “Visualizza Origine di pagina”, a seconda del browser)
- premere contemporaneamente CTRL-F per attivare la ricerca testuale
- ricercare il testo “analytics”
- se nella pagina si trova la stringa “webanalytics.italia.it” significa che il sito utilizza la piattaforma WAI
Cosa devono fare le PA che utilizzano Web Analytics Italia?
Innanzitutto niente panico: l’adesione alla soluzione WAI è lungimirante, gratuita e proiettata verso una visione di sviluppo nazionale ICT. Se c’è qualcosa da sistemare, il fornitore (AgID) provvederà.
È bene ribadire che il ricorso ad AWS non è necessariamente illegittimo (altrimenti lo sarebbero moltissime delle soluzioni SaaS utilizzate dalle Pubbliche Amministrazioni). Con i dovuti accorgimenti tecnici – ad esempio la cifratura dell’infrastruttura, come previsto nel caso d’uso 1 delle Raccomandazioni 01/2020 relative alle misure che integrano gli strumenti di trasferimento al fine di garantire il rispetto del livello di protezione dei dati personali dell’UE – la soluzione consentirebbe il ricorso ad infrastrutture AWS; in alternativa, esistono altri sistemi di mitigazione dei rischi che comporterebbero un’adeguata analisi della scelta effettuata da parte del gestore. Pertanto l’illegittimità segnalata in questo momento è solo presunta e comunque risolvibile.
Se un ente volesse effettuare un intervento cautelativo, potrebbe scrivere al gestore dell’infrastruttura segnalando la comunicazione ricevuta e chiedendo indicazioni sul da farsi (anche se è prevedibile che il gestore stesso interverrà per tranqullizzare le 2340 pubbliche amministrazioni allertate da MonitoraPA). I riferimenti di contatto a cui scrivere sono disponebili nella sezione privacy del sito Web Analytics Italia (sarebbe inoltre opportuno scrivere anche al Responsabile Protezione Dati).
Per informazioni sull’offerta di SI.net Servizi Informatici per accompagnarti nelle continue sfide legate alla trasformazione digitale, scrivi a comunicazione@sinetinformatica.it o telefona allo 0331.576848.
Per ricevere aggiornamenti sulle tematiche relative all’innovazione nell’ICT iscriviti alla nostra newsletter.
Segui SI.net anche su Twitter, Facebook, YouTube, LinkedIn, Telegram, Instagram