Google Analytics, PA fuori legge? Niente panico: ecco cosa sta succedendo

L’invito di un misterioso “gruppo di hacker italiani, attivisti e cittadini attenti alla privacy”, che invita i DPO degli enti pubblici a rimuovere con urgenza dai siti web istituzionali Google Analytics può essere un interessante spunto di riflessione ma non deve indurre a scelte non ponderate o non documentare con rigore

16 Mag 2022
Carola Caputo

avvocato, consulente di Studio Legale Lisi, esperta in diritto della protezione dei dati personali

Andrea Lisi

Coordinatore Studio Legale Lisi e Presidente ANORC Professioni

data dati sicurezza security white hackers

Nelle ultime ore, i DPO di diversi enti pubblici italiani hanno ricevuto un messaggio PEC da parte di “un gruppo di hacker italiani, attiviste e attivisti, cittadine e cittadini attenti alla privacy ed alla tutela dei diritti cibernetici nel nostro Paese”[1], con l’invito a rimuovere con urgenza dai siti web istituzionali Google Analytics, asserendone la “pacifica” non conformità ai principi del GDPR “in ordine al trasferimento transfrontaliero di dati personali”. La diffida è seguita dall’avvertimento che, in caso di inerzia, seguirà segnalazione al Garante per la Protezione dei Dati e al Difensore Civico Digitale.

Google Analytics e trasferimento dati extra UE: come adeguarsi alle pronunce delle Autorità austriaca e francese

La ritenuta illegittimità di Google Analytics deriverebbe dall’ “ingiustificato e massivo trasferimento transfrontaliero di dati personali” verso gli Stati Uniti, il cui regime giuridico, in seguito alla nota sentenza della Corte di giustizia dell’Unione europea (cd. “Schrems II”), che ha dichiarato l’invalidità del Privacy Shield, non garantisce un livello di protezione “sostanzialmente equivalente” a quello vigente all’interno dell’Unione Europea in conformità al GDPR.

Come strumento alternativo a Google Analytics, gli anonimi attivisti indicano la piattaforma Web Analytics Italia, come raccomandato – ma, se mai fosse il caso di rilevarlo, non imposto – da AgID nelle Linee guida di design per i servizi digitali della PA. Comunque, il passaggio verso soluzioni europee è del tutto condivisibile, sia chiaro, e l’adesione alla piattaforma Web Analytics Italia rappresenta senz’altro una scelta opportuna in termini di minimizzazione dei rischi legati al trasferimento dei dati in Paesi extraeuropei. Scelta opportuna, ma non obbligata ex lege.

Allo stesso modo, è giusto porsi con spirito critico di fronte agli strumenti offerti dai player internazionali, nelle cui mani viene spesso affidato con leggerezza il nostro patrimonio informativo pubblico (e privato).

Un problema di “metodo”

Il problema è il metodo utilizzato da questo gruppo di anonimi attivisti, di dubbia correttezza sotto più di un profilo[2], che rischia di indurre scelte affrettate e poco ponderate da parte dei DPO degli enti pubblici titolari del trattamento, che invece devono agire con prudenza, attenzione e documentando le proprie scelte in modo rigoroso.

WHITEPAPER
Valorizza i dati del tuo cloud e scopri i benefici per la tua azienda!
Big Data
Cloud

La lettura della normativa, è bene ricordarlo, non consente automatismi interpretativi, né impone scelte tecnologiche, in senso positivo o negativo. Nessuno strumento hardware o software è illegittimo o legittimo in re ipsa, secondo il GDPR. D’altra parte, le norme in materia di trattamento dei dati personali non hanno portata assoluta e convivono con altri sistemi normativi che consentono teoricamente l’utilizzo di strumenti come Google Analytics, tra i quali, ad esempio, l’articolo 7 del Codice dell’Amministrazione Digitale in ottica di analisi delle esigenze degli utenti, o la disciplina in materia di trasparenza, ai fini della pubblicazione delle statistiche di accesso ai siti web delle pubbliche amministrazioni.

In ossequio al principio di accountability, l’adeguatezza del livello di protezione assicurato da qualsiasi strumento tecnologico deve essere verificata e assicurata in modo attivo e continuo, attuando misure legali, tecniche e organizzative che ne garantiscano l’effettività e comprovando il rispetto dei principi di protezione dei dati personali, ovunque vengano trattati.

L’invalidità del Privacy Shield

L’invalidità del Privacy Shield, oltretutto, non comporta affatto una preclusione assoluta al trasferimento di dati personali verso gli Stati Uniti, che può basarsi su uno degli strumenti di trasferimento elencati all’art. 46 del GDPR o su una delle deroghe previste dall’art. 49 dello stesso Regolamento. Lo stesso Comitato Europeo per la protezione dei dati[3] ha indicato ai titolari del trattamento una serie di misure supplementari su cui fare affidamento per portare il livello di protezione dei dati trasferiti in Paesi extra UE allo standard di equivalenza essenziale richiesto dalla normativa europea, ribadendo che, in ogni caso, il principio di accountability richiede una vigilanza continua del livello di protezione dei dati personali, che va verificato in concreto e con riguardo al contesto specifico del trattamento.

D’altra parte, non è detto che il passaggio a Web Analytics Italia garantisca pienamente i diritti degli interessati. Come assicurare, ad esempio la corretta conservazione dei dati già acquisiti tramite Google Analytics?[4]

Ad oggi, i Garanti dei Paesi europei che si sono espressi sulla questione, come la francese CNIL e l’austriaco DSB, pur sottolineando l’inadeguatezza di Google Analytics rispetto al livello di protezione assicurato dal GDPR, non hanno elevato sanzioni pecuniarie[5]. Altre Autorità, come il Garante spagnolo e quello lussemburghese, invece, non hanno preso posizione sulla questione.

Un problema di natura politica

Si tratta, chiaramente, di un problema di natura politica. Siamo in attesa della formalizzazione – che si auspica quanto più celere possibile – del Trans-Atlantic Data Privacy Framework, l’accordo tra Unione Europea e USA, destinato a sostituire il Privacy Shield, come recentemente annunciato con dichiarazione congiunta della Presidente Commissione europea e del Presidente degli Stati Uniti.

A prescindere da questo nuovo accordo, comunque, il passaggio a soluzioni italiane o europee, magari open source, rimane un’opportunità da valutare. Ovvio che questa scelta non deve essere la conseguenza dell’imperativo invito proveniente da un imprecisato “gruppo di hacker“, che va accolto con favore, se serve a sollecitare una riflessione in punto di diritto su argomenti poco dibattuti. Ma un DPO non deve, e non può, basare le proprie scelte sul senso di urgenza indotta da condizionamenti esterni, che porta, spesso, a commettere errori più gravi di quelli a cui si vorrebbe porre rimedio (ammesso che di errori si tratti). È essenziale, invece, valutare con calma, sviluppare scelte ponderate e documentare con rigore, in linea con lo spirito del GDPR.

Note

  1. È quantomeno singolare, peraltro, che da questo messaggio PEC non si evinca in maniera trasparente l’identità dei sedicenti “attivisti”, che sarebbero legati al Centro Hermes per la Trasparenza e i Diritti umani digitali e alla ONLUS Copernicani. Resta il fatto che una pubblica amministrazione non può avviare procedimenti sulla base di comunicazioni che non hanno provenienza certa e, in questo caso, è lecito nutrire più di una perplessità sulla possibilità di considerare il mittente del messaggio PEC come un soggetto identificato o identificabile, tale da soddisfare – ad esempio – gli articoli 45 e 65 del CAD.
  2. A parte i toni censori utilizzati dagli attivisti, che si ergono a severi tutori della legalità, suscita qualche dubbio il sistema di notifica massiva e automatizzata, al limite dello spamming, impiegato per l’invio dei messaggi di diffida, come pure la minacciata pubblicazione in automatico delle risposte ricevute dai DPO, in piena trasgressione delle norme in materia di liceità del trattamento, che si vorrebbero tutelare.
  3. Si fa riferimento, in particolare, alle Raccomandazioni 1/2020 sulle misure che integrano gli strumenti di trasferimento per garantire il rispetto del livello di protezione dei dati personali dell’UE, adottate il 10 novembre 2020.
  4. Del resto, lo si ricorda, la cancellazione di un dato è trattamento e – se quel trattamento è legittimo – la dismissione frettolosa di Google Analytics con conseguente raccolta e utilizzo dei dati trattati (ad esempio per pubblicare le statistiche dell’amministrazione trasparente richieste da ANAC, come spesso accade) rischia di poter essere valutato un illegittimo trattamento.
  5. Allo stesso modo, la decisione del Garante Europeo per la protezione dei dati, richiamata nella missiva degli attivisti, non prevede misure sanzionatorie, limitandosi a rivolgere un rimprovero nei confronti del Parlamento europeo.
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
Salute digitale
Formazione
Analisi
Sostenibilità
PA
Sostemibilità
Sicurezza
Digital Economy
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articolo 1 di 4