Google Analytics nella PA: MonitoraPA invia la segnalazione al Garante per la protezione dei dati

Google Analytics nella PA: MonitoraPA invia la segnalazione al Garante per la protezione dei dati

Nella giornata di oggi, gli attivisti di MonitoraPA hanno inviato formalmente una segnalazione al Garante per la Protezione dei dati personali, chiedendo di valutare il trattamento dei dati personali svolto da 3230 pubbliche amministrazioni e di esprimersi per quanto riguarda la legittimità dell’utilizzo di Google Analytics (GA) sui siti istituzionali di comuni, province e aziende partecipate.

La segnalazione riguarda 3230 siti web di altrettante pubbliche amministrazioni che ad oggi, hanno scelto di continuare ad utilizzare Google Analytics (e di conseguenza inviare fuori dall’Unione Europea i dati personali dei cittadini) nonostante le 2 comunicazioni PEC ricevute da MonitoraPA nelle quali si segnalava l’utilizzo e si spiegavano i motivi per cui, secondo gli scriventi, tale prodotto non va utilizzato (anche ai fini dell’emanazione dei provvedimenti di cui all’art. 58 del GDPR)

Il progetto è stato lanciato ufficialmente più di un mese fa (ne parlo in questo articolo), e in questo periodo sono stati molti i titolari del trattamento in seno alle pubbliche amministrazioni che hanno scelto di eliminare Google Analytics dal sito web della propria istituzione.

Infatti, a inizio maggio erano più di 8000 le pubbliche amministrazioni con GA: mentre alla data odierna risultano essere poco più di 3200. Un risultato ottenuto con la corretta argomentazione delle proprie istanze e che è “costato” a MonitoraPA solo l’invio di un paio di PEC automatizzate (oltre al tempo investito pro-bono dagli attivisti per il progetto).

Diverso invece l’impatto sulle PA che hanno ricevuto la segnalazione: a seconda della complessità dei singoli siti e delle competenze interne delle singole istituzioni sono stati necessari interventi più o meno lunghi (il tempo di intervento dipende della tecnologia con cui è stato implementato il sito web, si va da pochi minuti a qualche ora di lavoro) o – in alcuni casi – l’intervento di fornitori esterni per l’implementazione della rimozione dello snippet GA.

In un’ottica costruttiva e proattiva, nello stesso periodo gli attivisti di MonitoraPA si sono anche spesi per supportare tecnicamente le pubbliche amministrazioni che ne hanno fatto richiesta, segnalando le soluzioni più idonee. Il gruppo Telegram dell’iniziativa vede infatti la partecipazione di hacker, avvocati, DPO e rappresentanti tecnici o fornitori della PA che in questo mese hanno chiesto chiarimenti sul miglior modo di rendersi compliant al GDPR, anche in base alle recenti sentenze a livello europeo e ai pareri del garante per la protezione dei dati di Austria e Francia.

Il parere del garante per la protezione dei dati francese è l’ultimo in ordine di tempo ad essere stato emesso: il 10 febbraio 2022 infatti la CNIL (Commission Nationale de l’Informatique et des Libertés) ha ammonito diverse organizzazioni a mettersi in regola rispetto all’uso di Google Analytics, a causa del trasferimento di dati negli Stati Uniti senza garanzie sufficienti per i diritti degli utenti europei. A questo link puoi trovare la traduzione delle domande e delle risposte in rferimento alle diffide della CNIL relativamente all’uso di Google Analytics.