google-analytics-pubbliche-amministrazioniLa vicenda di Google Analytics delle ultime settimane ha destabilizzato non poche aziende e Pubbliche Amministrazioni. Nell’incertezza più totale abbiamo cercato di riordinare i concetti e trovare insieme ad un esperto la migliore delle soluzioni disponibili al momento.

Cos’è Google Analytics e come funziona?

Google Analytics (GA) è un servizio di analisi web gratuito fornito dal motore di ricerca Google al fine di tracciare le attività dei visitatori di un sito web e offrire ai gestori dello stesso statistiche aggregate rispetto a una serie di informazioni: demografiche, economiche, tecniche e comportamentali.  Come meglio specifica Pietro Biase, informatico e attivista di Monitora PA:

“nel momento in cui quindi l’utente visita una pagina dotata di codice di tracciamento Google Analytics, viene automaticamente eseguita una parte di codice che trasferisce, tramite protocolli TCP/IP e HTTP, un certo numero di informazioni sui server di Google sufficienti ad identificare il visitatore nella maggior parte dei casi”.

Al riguardo il Garante per la privacy ha evidenziato che tra i molteplici dati raccolti figurino indirizzo IP del dispositivo dell’utente e informazioni relative al browser, al sistema operativo, alla risoluzione dello schermo, alla lingua selezionata, nonché data e ora della visita al sito web.

Perché Google Analytics rappresenta un rischio per i nostri dati personali?

Cominciamo da un elemento ormai indiscusso: Google Analytics non è GDPR compliant. La motivazione principe di quanto appena affermato è insita nel fatto che per Google è sempre possibile identificare i cittadini europei e tracciarne l’attività, le opinioni e gli interessi su tutti i siti web (e tutte le App) che utilizzino Google Analytics, per ricondurne poi le registrazioni all’identità personale.

Nell’elenco di cui al primo paragrafo relativo ai dati raccolti da Google Analytics si è fatta menzione dell’indirizzo IP (dato personale a tutti gli effetti). Ebbene, come afferma il Garante per la privacy, anche nel caso in cui l’indirizzo IP “fosse troncato non diverrebbe un dato anonimo, considerata la capacità di Google di arricchirlo con altri dati di cui è in possesso. Pertanto Google Analytics e altri servizi analoghi non sono GDPR compliant poiché non prevedono le garanzie stabilite dal Regolamento stesso e quindi violano la normativa vigente perché trasferiscono i dati degli utenti negli Stati Uniti, Paese attualmente privo di un adeguato livello di protezione.

Caffeina Media S.r.l.: caso tutt’altro che isolato

Con provvedimento del 9 giugno 2022 il Garante ha imposto a Caffeina Media S.r.l. (la quale gestisce alcuni siti web), di conformarsi al GDPR entro novanta giorni mediante l’adozione di adeguate misure relative all’attività di trasferimento dei dati. In caso contrario, si procederà con la sospensione dei flussi dei dati verso gli Stati Uniti.

Perché questo provvedimento non può essere considerato come caso isolato, ma deve essere inteso come raccomandazione estesa a tutte le aziende e le Pubbliche Amministrazioni che utilizzano in modo illecito Google Analytics? Poiché il Garante per la privacy, scaduti i 90 giorni stabiliti per la società destinataria del provvedimento, inizierà a verificare la conformità al GDPR dei trasferimenti di dati effettuati dai Titolari del trattamento. Ciò significa che i gestori dei siti web hanno tempo sino al 7 settembre 2022 per regolarizzarsi al fine di evitare sanzioni.

Soluzione Google Analytics 4? No, non è GDPR compliant

Google Analytics 4 è una non soluzione poiché, parimenti al suo predecessore Universal Analytics, trasferendo verso Google i dati personali degli utenti non può considerarsi riguardoso dei dettami privacy. Anche in questo caso il problema risiede nelle norme dell’ordinamento statunitense che assegnano alle agenzie governative poteri estremamente penetranti di accesso ai database detenuti da società stabilite negli Stati Uniti dovunque abbiano i server nel mondo. In sostanza, con Google Analytics varia la modalità di trasferimento dei dati personali, ma il problema di non riuscire a garantire una efficace anonimizzazione del dato persiste.

Quali soluzioni adottare?

Esistono diverse alternative open source a Google Analytics rispettose di quanto sancito dal GDPR. Peraltro, l’adozione di uno degli strumenti indicati di seguito permetterebbe ai Titolari del trattamento di continuare a beneficiare delle informazioni sui visitatori dei loro siti web senza violare i diritti dei cittadini.

Esaminiamo più nel dettaglio i software che aziende e Pubbliche Amministrazioni possono scegliere.

1. Plausible Analytics

Plausible è l’analisi web semplice e open source. Realizzato e ospitato nell’UE, alimentato da un’infrastruttura Eu cloud di proprietà europea, costa circa 5 euro al mese e consente di importare le statistiche di Google Analytics. Tutta la misurazione del sito viene effettuata in modo assolutamente anonimo e i cookie non vengono utilizzati e non vengono raccolti dati personali. Tutti i dati dei visitatori sono elaborati con server di proprietà e gestiti da società esclusivamente europee.

2. Matomo

Matomo è un servizio open source che può essere adottato da chi cerca un servizio di statistica completo e accurato quasi come Google Analytics, ma che non ricostruisce i dati anonimi in alcun modo. La prova è gratuita per 21 giorni e dopodiché diviene a pagamento scegliendo un piano con prezzi di circa 17 euro al mese. Anche Matomo consente di utilizzare i dati storici di Google Analytics poiché gli stessi possono essere importati direttamente sul servizio in oggetto.

3. Web Analytics Italia

Chiudiamo il cerchio con una soluzione specifica per i siti della Pubblica AmministrazioneWeb Analytics Italia è infatti una piattaforma che fornisce le statistiche in tempo reale dei visitatori dei siti della Pubblica Amministrazione, fornendo agli operatori dei report dettagliati. Il monitoraggio delle statistiche è gratuito.

Proposte queste alternative, si ribadisce il fatto che il Garante per la privacy non impedisce l’utilizzo di Google Analytics in quanto tale, bensì lo vieta in quanto trasferisce i dati degli utenti presso gli Stati Uniti con modalità contrarie a quanto previsto dal GDPR. Pertanto, software “alternativi” a Google Analytics, ma che effettuano le medesime attività, sono da considerarsi parimenti illeciti.

Come correttamente asserisce il direttore editoriale Matteo Bartocci de Il manifesto, “i dati sono i globuli rossi dell’economia di Internet, trasportano informazioni ed energia nella Rete: chi ne ha di più guadagna di più”. Per questo e per i sopra citati motivi è fondamentale valutare attentamente quali alternative possano considerarsi realmente idonee a sostituire Google Analytics.

La soluzione, come ricorda Guido Scorza del Consiglio del Garante della Privacy “non può essere né tecnica e neppure politica poiché il fatto è che serve un accordo capace di sanare la situazione venutasi a creare in seguito alla sentenza Schrems II, che ha annullato il Privacy Shield”. Accordo che, ad oggi, non esiste.

Un articolo della Dott.ssa Alessandra Totaro, Responsabile della Protezione dei Dati di diversi comuni italiani per conto della società di consulenza agli enti locali Pabli srl. Se l’ente locale per cui lavori non ha ancora incaricato un Data Protection Officer è arrivato il momento di farlo. Richiedi subito un preventivo scrivendo a info@pabli.it oppure compilando il form.

 


Fonte: Pabli srl