Un gruppo di attivisti per i diritti digitali su impulso di Centro Hermes ha promosso il progetto MonitoraPA per verificare con una scansione automatica la presenza di Google Analytics sui siti istituzionali delle pubbliche amministrazioni italiane reperiti dagli open data resi disponibili da AgID, con l’invio di una diffida qualora ne sia riscontrata la presenza. La diffida è inviata all’URP dell’ente pubblico, e indirizzata all’attenzione del Responsabile della protezione dei dati.
Il testo della diffida è quello che segue:
“Alla Att.ne del DPO (Responsabile Protezione Dati) dell’Ente.
Diffida per per l’illecito utilizzo di Google Analytics su c_l751, in violazione del Regolamento generale sulla protezione dei dati personali 2016/679 (GDPR)
Spett.le Ente,
siamo un gruppo di hacker italiani, attiviste e attivisti, cittadine e cittadini attenti alla privacy ed alla tutela dei diritti cibernetici del nostro Paese: https://privacy.g0v.it
Abbiamo rilevato che il vostro Ente utilizza Google analytics (GA) nel suo sito […], nonostante sia ormai pacifico che questo strumento non sia conforme ai principi del GDPR in ordine al trasferimento transfrontaliero di dati personali.
L’utilizzo di GA è infatti stato ritenuto illecito dall’EDPS, con riguardo al trattamento dei dati operato dal Parlamento europeo, dall’Autorità di controllo austriaca e da ultimo da quella francese (si veda in sintesi https://noyb.eu/en/edps-sanctions-parliament-over-eu-us-data-transfers-google-and-stripe).
Riteniamo che il mantenimento, da parte dell’Ente, di un trattamento di dati personali così evidentemente illecito, che comporta un ingiustificato e massivo trasferimento transfrontaliero di dati personali, riguardante tutti gli utenti del sito www.nomesito.ext.it , costituisca una grave violazione che debba immediatamente cessare.
Invitiamo pertanto a voler immediatamente provvedere alla rimozione di GA e di qualsiasi altro strumento di analytics o tracking che produca effetti analoghi.
La suddetta violazione, imputabile al Vs. Ente nome dell’Ente, quale titolare del trattamento, in persona del legale rapp.te pro tempore […] espone l’Ente stesso alle sanzioni amministrative pecuniarie previste dall’art. 83 del GDPR.
La presente viene inviata in via informativa, proprio al fine di consentire una rapida rimozione di Google Analytics, rimandando a quanto raccomandato dalla Agenzia per l’Italia Digitale Web Analytics Italia https://www.agid.gov.it/design-servizi/web-analytics-italia
Il resoconto complessivo delle Pubbliche Amministrazioni in violazione, con particolare riguardo a quelle che non avranno provveduto alla tempestiva rimozione di GA, verrà pubblicato come report e inviato come segnalazione al Garante per la Protezione dei Dati e al Difensore Civico Digitale.”
Gli attivisti agiscono in risposta a due principali tematiche. Innanzitutto, in ragione del riscontro di una violazione del GDPR dall’utilizzo di Google Analytics in seguito alle conseguenze della sentenza Schrems II, per cui venuto meno il Privacy Shield e in seguito ad alcuni reclami promossi da noyb, il trasferimento dei dati negli Stati Uniti svolto dal servizio è stato dichiarato come illecito da alcune autorità di controllo europee ma tutt’ora non dal Garante Privacy che anzi nel rilasciare le linee guida cookie non ha affrontato questa tematica. Seconda, ma non meno importante, la promozione tramite attivismo di un indirizzo per strategia digitale del Paese coerente con le indicazioni dell’AgID e, auspicabilmente, verso il raggiungimento di una posizione di non-dipendenza tecnologica.
Certamente, un’azione che non può lasciare indifferenti. La speranza è che però si vada ben oltre la questione di Google Analytics e si voglia cogliere l’occasione per parlare di adeguatezza della PA digitale. Ad esempio, guardando anche all’applicazione delle misure minime di sicurezza, obbligatorie da ben 3 anni prima della sentenza Schrems II. O magari attenzionando maggiormente le selezioni di fornitori, fra cui senz’altro rilevano anche quanti forniscono i servizi della funzione di Responsabile della protezione dei dati e l’inquadramento di questi ruoli di controllo.
E anche nel caso in cui si nutrano dubbi circa l’iniziativa, la reazione è comunque lecita e soprattutto positiva in quanto va ad alimentare il dibattito sulla cultura digitale. Ciò che non giova invece è l’assenza di reazione, nelle sue varie declinazioni: silenzio, l’ipse dixit (o anche: argomentum ab auctoritate) o l’applauso per partito preso.
In questi casi, viste anche le criticità di efficienza e sicurezza che oramai quasi quotidianamente possiamo riscontrare, il silenzio è tutt’altro che oro. Basta però che la parola non giaccia serva di qualche narrazione, ma sappia produrre effetti concreti.
