MonitoraPA: un osservatorio per misurare il rispetto del GDPR sui siti della PA

MonitoraPA: un osservatorio per misurare il rispetto del GDPR sui siti della PA

In questi ultimi giorni, sta facendo parlare di sé una nuova iniziativa – chiamata MonitoraPA – promossa dal Centro Hermes per la Trasparenza e i Diritti umani digitali e da Copernicani, con il coinvolgimento attivo di associazioni della società civile, professionisti, cittadini ed attivisti impegnati nell’ambito della privacy.

Cos’è MonitoraPA

Iniziamo a capire da dove parte l’iniziativa e quali sono i motivi che hanno portato questo gruppo di persone a fare qualcosa di concreto: sono ancora troppi i siti web delle PA italiane che non rispettano a pieno quanto previsto dal Regolamento Generale per la Protezione dei Dati Personali (GDPR), diffondendo dati personali dei cittadini e permettendone la manipolazione politica e commerciale.

Per questo motivo, il progetto MonitoraPA intende verificare, attraverso uno strumento automatico, quali siti/portali della PA utilizzano Google Analytics e con quali modalità, inviando una PEC ai responsabili (titolari del trattamento, DPO, ecc.) del sito stesso chiedendo la rimozione dello snippet di tracciamento.

Questo è l’unico motivo di preoccupazione? Sicuramente no: a seguire ci saranno infatti ulteriori sviluppi del progetto, che potranno portare ad analizzare altre situazioni non in regola o borderline (ad esempio anche l’utilizzo di Google reCAPTCHA, Google Fonts o i pixel di tracciamento di Facebook potrebbero avere gli stessi problemi in termini di trasferimento dei dati personali degli utenti).

Cos’è Google Analytics

Google Analytics è un servizio gratuito che consente di monitorare il comportamento di un utente su un sito web e di analizzare le statistiche sui visitatori, fornendo informazioni e strumenti analitici di base scopi di marketing.

La prima considerazioni che voglio fare è legata proprio alla gratuità dello strumento. C’è un vecchio adagio nel mondo del marketing che dice:

Se un prodotto è gratis, allora il prodotto sei tu.

Google è un’entità commerciale, non è una ONLUS: lo scopo di Google è fare business e guadagnare denaro (per inciso, scopo più che lecito).

Un prodotto come Google Analytics costa parecchi soldi, sia come investimento per lo sviluppo, sia per la manutenzione. Come è possibile che tutto ciò possa essere regalato? Semplice: Google ha interesse a raccogliere dati degli utenti dei siti web, in modo tale da sfruttare questi dati principalmente per questioni legate alla rivendita dei dati, nell’ambito della pubblicità online.

Quindi, tutto il sistema è basato su questo assunto: io Google ti regalo un prodotto, ma tu che lo utilizzi sul tuo sito mi regali i dati dei tuoi visitatori. Ed è proprio qui nasce l’enorme problema della privacy e del trattamento dei dati personali dei cittadini, soprattutto quando questi dati provengono da siti istituzionali e non da siti commerciali.

Perché l’uso di Google Analytics è importante su siti istituzionali?

Forse ti starai chiedendo: cosa cambia tra il suo utilizzo in un sito classico e l’uso in un sito istituzionale? Sebbene entrambe le casistiche (sito istituzionale e sito commerciale) debbano sottostare alle regole imposte dal GDPR, a mio parere nel caso di un sito istituzionale diventano rilevanti due fattori:

  • la possibilità di scelta
  • il fatto che la PA deve dare l’esempio

L’utente può scegliere se usare un sito della PA?

Parliamo di consapevolezza e possibilità/capacità di scegliere. Sapendo che c’è un software che traccia ogni mio movimento su un sito commerciale o su un blog o su un sito informativo (e questo lo devo sapere quando entro nel sito, grazie alle informative/policy che obbligatoriamente devono essere presenti) potrei anche scegliere di non continuare la navigazione.

Ma se, come cittadino, ho bisogno di una informazione o di un servizio che viene erogato dal sito del mio comune, o della mia regione, o di un certo ministero, è molto probabile che io non sia su quel sito per scelta, ma per una necessità ben precisa. E molto probabilmente non potrò avere alternative per fruire di quel certo servizio online, perché una PA non ha un concorrente che fornisce lo stesso servizio, magari con più attenzione verso i temi della gestione dei dati personali.

La PA deve dare l’esempio

Per ultimo voglio citare il caso a mio avviso più importante: la PA (quindi lo stato) deve dare l’esempio e mettere in atto comportamenti super partes al di sopra di ogni sospetto. Lo stato emana delle leggi, a cui tutti i cittadini si devono attenere: come può essere accettabile che una PA (quindi lo stato, in una delle sue declinazioni PA centrale, PA locale, ecc.) utilizzi uno strumento su cui non c’è il 100% di sicurezza sul fatto che tratti i dati personali dei suoi cittadini onorando le leggi/raccomandazioni dello stato stesso o leggi/raccomandazioni a livello europeo?

Perché l’analisi di MonitoraPA è partita proprio da Google Analytics?

L’European Data Protection Board (EDPB), ha dichiarato che Google Analytics, se non adeguatamente configurato, lede i diritti degli utenti ed espone l’Ente che lo utilizza a sanzioni anche pesanti (vedi punto 2 nei prossimi paragrafi).

Inoltre, a livello europeo, ci sono ulteriori elementi che dovrebbero portare a una seria riflessione sull’utilizzo di questo strumento.

Il primo è l’approvazione del regolamento EU 2016/679 GDPR, che evidenzia una incompatibilità di Google Analytics con la normativa stessa, in termini di trattamento e trasferimento dei dati personali.

A questo si aggiungono due ulteriori avvenimenti rilevanti:

  1. alcuni garanti europei, specificatamente quello francese e austriaco, hanno emesso pronunciamenti nei quali viene dichiarato esplicitamente e senza lasciare dubbi che l’utilizzo di Google Analytics, se non opportunamente configurato, è illecito secondo quando previsto dal garante privacy europeo (EDPS)
  2. La sentenza C-311/18 (Schrems II), risalente oramai a due anni fa (16 luglio 2020), ha invalidato il trattato internazionale Privacy Shield, sottoscritto tra EU e USA, e che copriva e normava il trasferimento dei dati dei cittadini europei verso gli Stati Uniti. In base a questa sentenza, il 10 novembre 2020, il Comitato europeo per la protezione dei dati (EDPB) ha pubblicato le raccomandazioni sulle misure che governi e imprese devono adottare per integrare gli strumenti di trasferimento dei dati fuori dello Spazio Economico Europeo (SEE), al fine di garantire il rispetto della normativa UE sulla protezione dei dati. L’EDPB ha anche esplicitato che, nel caso di trasferimento, debba essere obbligatorio fare una valutazione, specifica caso per caso, dell’adeguatezza del trasferimento.

Dove finiscono i dati personali raccolti da Google Analytics?

Ma perché c’è questo problema di trasferimento dati? Cosa fa Google Analytics di così illecito? Per rispondere a queste domande bisogna entrare in dettagli tecnici, che cercherò di spiegare in modo fruibile da tutti (dovendo, purtroppo, semplificare alcuni passaggi).

Iniziamo col vedere quali informazioni personali vengono trasferite a Google: tra le tante, le più rilevanti sono l’indirizzo IP del tuo computer, la data e ora della visita, quale browser stai usando, su quale sistema operativo e molte altre.

Molti pensano che il solo fatto di indicare che si vuole anonimizzare l’IP del visitatore sia sufficiente ad impedire il tracciamento; nella realtà dei fatti Google stesso dichiara (qui) che l’anonimizzazione/mascheramento dell’indirizzo IP avviene “non appena è possibile”, ovvero quando il dato è oramai arrivato sui server di Google. Esiste dunque un momento in cui tecnicamente Google viene a conoscenza del dato non anonimizzato, fornendo dunque la possibilità di intercettare l’informazione nel caso in cui questa venisse richiesta un’agenzia governativa USA (ad esempio nei termini del Cloud Act) o da un soggetto terzo.

Forse ora ti starai chiedendo perché sia così importante “nascondere” quei quattro strani numerini che compongono un indirizzo IP (che ha una forma tipo 192.161.46.25). Ebbene, l’indirizzo IP è considerato un vero e proprio dato personale (come il tuo nome, il tuo cognome, il tuo indirizzo o il tuo numero di telefono), perché a partire da questa informazione è possibile identificare precisamente, tramite strumenti informatici, non solo il dispositivo ma anche la persona che ne fa uso attraverso il c.d. fingerprinting. Per questo motivo l’indirizzo IP è così importante ed è sottoposto alle tutele del GDPR per i cittadini europei.

Quante sono le PA non in regola, secondo i risultati dell’analisi di MonitoraPA

Al momento della scrittura di questo articolo, secondo il sito ufficiale dell’iniziativa MonitoraPA, ci sono circa 8000 siti (7833 per la precisione, su un totale di circa 23000 oggetto di analisi) che stanno utilizzando Google Analytics e che quindi hanno ricevuto la PEC con la richiesta di rimozione. La lista completa dei siti analizzati e dei risultati può essere liberamente scaricata da questo link (attenzione: verrà eseguito il download di un file .zip di 12 Mb).

Questo significa che le PA devono rimuovere Google Analytics? Diciamo che non sono obbligate a farlo se rispondono ai requisiti indicati a livello europeo e dal garante per la protezione dei dati personali italiano. Nella pratica potrebbero continuare ad utilizzarlo nel caso in cui riuscissero a mettere in campo le adeguate misure tecniche supplementari previste: a questo link e a questo link, in inglese, puoi trovare i dettagli su cosa andrebbe fatto e come.

Se la PA che ospita Google Analytics sul proprio sito non fosse in grado di implementare le misure tecniche supplementari, l’alternativa è di eliminare completamente la tracciatura degli utenti oppure è possibile utilizzare lo strumento raccomandato da AGID, ovvero Web Analytics Italia. Web Analytics Italia, così come Google Analytics, è una piattaforma che offre le statistiche in tempo reale dei visitatori dei siti della Pubblica Amministrazione, fornendo agli operatori dei report dettagliati.

Dopo l’attività di monitoraggio e di segnalazione di MonitoraPA , se nelle prossime settimane dovessero ancora essere presenti gli snippet di Google Analytics sui siti presi in esame, il progetto MonitoraPA vuole:

  • Procedere con un esposto al Difensore Civico Digitale affinché intervenga in relazione al rispetto art. 68 del CAD
  • Procedere con un esposto al Garante per la Protezione dei Dati Personali italiano per violazione del GDPR (rif. EDPS/Francia/Austria)

Infine, è utile segnalare che sulla base dei dati analizzati da MonitoraPA è emerso che un gran numero di siti della PA condividono lo stesso codice di tracciamento di Google Analytics, andando ad invalidare o comunque limitando l’utilizzo pratico dello strumento, che registrerà il traffico proveniente da un gran numero di siti nella stessa dashboard. In questo articolo potrai trovare un’ottima analisi di quanto è stato rilevato.

Le reazioni

Le reazioni alla ricezione della PEC di segnalazione da parte del progetto MonitoraPA sono state diverse, seppur – almeno al momento – l’approccio più diffuso sembra essere quello di attendere ulteriori sviluppi e, forse, attendere un pronunciamento formale ed ufficiale del Garante per la Protezione dei Dati Personali italiano.

Il Garante per la Protezione dei Dati Personali

Nonostante siano passati due anni dalla sentenza Schrems II e nonostante il fatto che due Garanti europei si siano espressi con un pronunciamento negativo, il Garante per la Protezione dei Dati Personali italiano non ha mai esplicitato una posizione chiara e definitiva.

Certo sarà difficile per il Garante per la Protezione dei Dati Personali italiano dare una lettura opposta ai suoi colleghi austriaci e francesi, screditandoli o esprimendo un pronunciamento diametralmente opposto rispetto alla liceità dell’utilizzo di Google Analytics.

I DPO (Data Protection Officer)

Il DPO, Data Protection Officer (in italiano RPD, Responsabile della Protezione dei Dati) è una figura introdotta dal GDPR e che ha la funzione di affiancare titolare, addetti e responsabili del trattamento affinché conservino i dati e gestiscano i rischi seguendo i princìpi e le indicazioni del Regolamento europeo.

Il DPO è quindi un consulente tecnico e legale, con potere esecutivo. Infatti, il suo ruolo è doppio, perché non solo consiglia e sorveglia, ma funge anche da tramite fra l’organizzazione e l’autorità. I suoi compiti sono indicati in maniera puntuale nel GDPR all’articolo 39 e sono essenzialmente tre:

  1. informare
  2. sorvegliare
  3. cooperare

Al momento non risultano evidenze di particolari azioni da parte dei DPO in seguito alla ricezione della PEC di diffida dall’utilizzo di Google Analytics, ma eventuali risultati saranno più evidenti quando verranno eseguite le prossime scansioni ed analisi dei siti web.