L’11 maggio scorso 7.833 PA che utilizzavano Google Analytics hanno ricevuto una PEC che le invitava a rimuovere il noto servizio di analisi del traffico web fornito gratuitamente da Google. La PEC è il primo atto dell’iniziativa MonitoraPA, promossa da un gruppo di persone che si qualificano “hacker” ed è supportata dal Centro Hermes per la Trasparenza e i Diritti umani digitali e da Copernicani.
Lo scopo dichiarato del progetto è quello di promuovere la democrazia della società cibernetica; tra l’altro, realizzando strumenti d’analisi automatizzata dei sistemi informativi, puntati inizialmente sulle pubbliche amministrazioni per sensibilizzarle al rispetto dei diritti dei cittadini ed alla protezione dei loro dati personali. MonitoraPA parte da Google Analytics perché, dicono, il servizio non rispetta i diritti degli utenti in quanto implica il trasferimento dei loro dati in violazione del GDPR.
In effetti, nei mesi passati le Autorità Garanti francese e austriaca hanno preso posizione contro l’uso di Google Analytics; nello stesso senso si è espresso anche il Garante per la Protezione dei Dati Europeo (l’EDPS, che controlla il trattamento dei dati personali realizzato dalle istituzioni UE). S’inizia a temere che anche il Garante per la Protezione dei Dati Italiano possa, prima o poi, seguirne le orme. Ma perché, cosa c’è che non va nell’uso di Google Analytics?
Localizzazione dei dati tra sovranità digitale e indipendenza tecnologica: l’inizio di una nuova era
Indice degli argomenti
Google Analytics, il nodo del trasferimento dati
Non va il trasferimento dei dati personali negli Stati Uniti d’America che viene realizzato utilizzando Google Analytics. Infatti, anche se si configura il servizio perché proceda all’oscuramento di una parte dell’indirizzo IP dell’utente, questa operazione viene realizzata solo dopo che l’IP, con i dati di navigazione dell’utente, sono arrivati a destinazione, e quindi è difficile escludere che si configuri un trattamento di dati personali.
Eppure, solo pochi anni fa, nel 2014, il Garante per la Protezione dei Dati Italiano indicava l’oscuramento di una parte dell’indirizzo IP come una misura virtuosa da adottare per ridurre il potere identificativo dei cookie e quindi alleggerire gli obblighi da rispettare per usare cookie di profilazione di terze parti (come appunto Google Analytics). Quindi molti si erano “abituati” a pensare che l’oscuramento di una parte dell’IP mettesse al sicuro da problemi.
Cos’è cambiato nel frattempo
All’origine di tutto stanno le sentenze della Corte di Giustizia dell’Unione Europea cd. “Schrems” che annullano le decisioni di adeguatezza del trasferimento di dati personali negli Stati Uniti adottate dalla Commissione dell’Unione Europea: la prima del 2015 e la seconda del 2020. Le norme USA che consentono la sorveglianza di massa degli stranieri (i non cittadini USA, compresi gli europei) violano i diritti fondamentali. Pertanto, il trasferimento dei dati personali negli USA non è “adeguato”: la Commissione UE ha preso un abbaglio dichiarando il contrario (per ben 2 volte: speriamo che questa volta il detto “non c’è 2 senza 3” venga smentito..).
In particolare, la sentenza “Schrems II” del 6 luglio 2020 dichiara la nullità del cd. “Privacy Shield”: il Comitato europeo per la protezione dei dati (EDPB) nella sua Raccomandazione 1/2020 sulle misure da adottare per trasferire dati fuori dall’UE che pubblica il 10 novembre 2020, precisa che si possono trasferire dati personali negli USA utilizzando altre basi legali (come le clausole contrattuali tipo) ma solo adottando idonee misure supplementari (come per esempio la criptazione dei dati personali) di modo che non sia possibile utilizzare i dati personali in violazione dei diritti degli utenti al di fuori dell’UE.
Poi, il 10 giugno 2021, sono arrivate le nuove linee guida del Garante italiano su cookie ed altre tecniche di tracciamento che non prendono posizione riguardo la legittimità del trasferimento dei dati personali fuori dall’UE: il trattamento di favore per l’oscuramento di una parte dell’IP finisce definitivamente in archivio. Oggi, per chi segue da vicino l’evoluzione del quadro normativo e giurisprudenziale, è difficile non vedere il rischio che il Garante Italiano si allinei a quello Francese o Austriaco.
Gli impatti per la PA
È quindi comprensibile l’incredibile risultato ottenuto da MonitoraPA: in sole 2 settimane dall’invio della PEC, il 45% circa delle pubbliche amministrazioni che hanno ricevuto la segnalazione hanno rimosso Google Analytics. Com’è possibile? Perché la campagna di comunicazione mediatica volta a dileggiare e screditare la campagna MonitoraPA ed a distrarre rispetto alla sostanza dei suoi scopi non ha funzionato? Per trovare una spiegazione, si può utilizzare il filtro della bandiera del diritto che, come noto, è bianca, nera e grigia: bianco si può, nero no, grigio forse. Com’è anche noto, la parte più importante del lavoro sul diritto è il grigio, perché sul grigio si può lavorare. La campagna MonitoraPA ha lavorato in modo straordinariamente efficace sul grigio del diritto.
Fino a prima dell’invio della PEC, i funzionari pubblici incaricati del trattamento dei dati personali e i DPO delle pubbliche amministrazioni si potevano gongolare pacificamente (a volte anche inconsapevolmente) nella paludata e nebbiosa tranquillità che dà pensare che “ci sono problemi ben più importanti di cui occuparsi; figurarsi se qualcuno si preoccupa di Google Analytics..”.
La PEC, molto banalmente, ha posto implicitamente i funzionari responsabili di fronte alla domanda giusta: “sei sicuro che Google Analytics rispetta il GDPR?”. La risposta è, ovviamente, “no”: qualunque consulente o responsabile della protezione dei dati, posto di fronte a questa domanda, non può che rispondere “no”. A meno di svolgere un’approfondita analisi e adottare idonee misure supplementari (come indica l’EDPB).
Conclusione
Ricevendo l’inevitabile risposta, il funzionario pubblico incaricato di gestire il trattamento dei dati personali dell’ente prende consapevolezza di rischiare una sanzione. La scarsa propensione al rischio, la semplicità con la quale si può rimuovere il problema ed eludere il rischio (basta eliminare alcune righe di codice dal sito) nonché la visibilità che ha ricevuto la campagna MonitoraPA (anche grazie ai molti che l’hanno dileggiata, screditata e sminuita) ha fatto il resto.
La logica conseguenza è stata la rimozione di Google Analytics da molti siti internet delle pubbliche amministrazioni.
