Signore e signori, diciamocelo: qui è un gran casino e ci è già venuto mal di testa, sia che facciamo i DPO sia che facciamo i webmaster. Figuriamoci il mal di testa di chi invece è il proprietario dei siti web!
Ci scrivo in merito all’idea che mi sono fatta della faccenda di Google Analytics e già che ci sono rispondo alle tante domande che mi sono arrivate sul tema “la richiesta di Federico Leva”.
I temi sono due, ed il primo è molto più importante del secondo, ma giusto per essere “Chiara”, parto dalla coda.
La mail di Federico Leva sta imperversando sul web e sta facendo molto rumore, ciò non di meno va trattata né per più nè per meno di ciò che è: una richiesta di esercizio dei diritti degli interessati.
Per quanto riguarda invece Google Analytics, invece, la faccenda è più seria ma ve lo dico dopo.
Il signor Federico Leva (che se cercate ha un viso, un lavoro e una casa al fresco) ha chiesto la cancellazione dei suoi dati dai tracciamenti sui nostri siti web. Questo signore ha il pieno e sacrosanto diritto di farlo (anche se ci ha inondato le caselle di posta) , quindi l’obbligo di chi ha ricevuto la sua mail è di darvi seguito (cancellando i suoi dati dalla dashboard di GA) e dargli conferma per iscritto.
La conferma (o le domande per identificare il suo client ID) può essere spedita da chiunque, ma io penso, ammesso che vi interessi, che sia meglio rispettare la vostra “procedura di gestione dell’esercizio dei diritti degli interessati”, formalizzata o meno, che dovreste avere se volete rispettare una derrata di requisiti del GDPR (più o meno gli articoli dal 13 al 22).
Potete anche far rispondere il DPO, visto che siamo qui per questo (essere il punto di contatto degli interessati e proteggere i loro interessi dovrebbe essere il nostro primo oggetto di attenzione e missione, anche se i clienti pensano che “gli interessati che palle” e che noi dobbiamo lavorare per “parargli il culo”).
Il signor Leva dice che vi da 31 giorni, ma vi ricordo che il GDPR dice “senza ingiustificato ritardo” (quindi è il caso di porsi il problema in tempi ragionevolmente rapidi).
Aggiungo a scanso di equivoci che anche se decideste di “spegnere” GA, Google non cancella i dati in automatico senza una vostra richiesta, quindi l’operazione di cancellazione dei dati del signor Leva va fatta lo stesso.
Per capire come individuare il soggetto nella dashboard, un esperto (Matteo Flora) dice che bisogna trovare il “client ID” che è riportato nel file txt rilasciato da GA sui dispositivi di Leva. Ho parlato con diversi tecnici che confermano che, se Leva non ci ha mandato il client ID (in una seconda tornata di email lo ha fatto), bisogna scrivergli per chiederglielo (questo perchè il client ID cambia da sito a sito e da user a user, quindi se Leva ha mandato 100mila email… deve rispedire 100mila client ID!!!)
Se poi vogliamo parlare di questo simpatico signore… discutiamone pure… A me sembra un emulatore del signor Schrems con minore eleganza e maggiore arroganza, a tratti mi fa sorridere e a tratti mi fa incazzare perchè è a quelli che fanno il mio mestiere che ha rovinato le giornate di recente. Qualunque cosa ne pensiate, però, ricordatevi che il signor Leva è una persona, ed è di persone che si occupa il GDPR.
Per quanto riguarda invece Google Analytics la faccenda è più seria, e il Provvedimento del Garante, suffragato dalla sua (assurda) campagna mediatica, sta mettendo a dura prova chi il mio mestiere lo vuol fare sul serio tenendo in considerazione anche quello che dice l’articolo 24 (che parla anche di equilibrio costi/benefici).
Il 9 giugno 2022 il Garante per la Protezione dei Dati ha emesso un Provvedimento nel quale formalizza le ragioni per cui l’uso di GA sui siti web (versione gratuita, non meglio specificata, giusto per essere vaghi e carogne quanto basta) genera un trasferimento illecito di dati personali verso gli Stati Uniti.
Non sto a farvi la sintesi del Provvedimento (l’ho letto dieci volte per essere sicura), ma vi dico che:
- il moto dell’autorità è stato reattivo (in risposta ad un reclamo) e puntuale (verso un solo titolare del trattamento … poveretti, mi fanno una pena…)
- il provvedimento ammonisce e non sanziona la povera azienda che ha il sito online, intimandogli di conformarsi entro 90 giorni.
Questo non vuol dire che il Garante ha emesso un Provvedimento Generale che ordina la sospensione dei flussi verso un destinatario, come avrebbe potuto (o forse dovuto?) fare ai sensi dell’art. 58 comma 2 lettera j) del Regolamento, ma la campagna mediatica in corso (cavalcata dalla stessa autorità) dichiara qualcosa di molto simile, quindi ignorarla non è responsabile.
Qui mi viene una domanda…
Posto che mi chiedo come si faccia a conformarsi senza spegnere GA, ma cosa voleva fare davvero il Garante?
punirne uno per educarne centomila?
dare la responsabilità ai piccoli e grandi ma singoli utilizzatori del comportamento (scorretto) del provider piu’ grande del mondo?
fare politica internazionale sulle spalle dei contribuenti locali e minacciando la concorrenza?
…Per fortuna però le domande dopo che mi vengono, mi passano, e posso ricominciare a fare la noiosa consulente...
Per semplificare e rendere chiare le cose, vorrei precisare che non è che il trasferimento sia illegittimo dal 9 giugno: se lo è lo è sempre stato, come quello operato dal pixel di Facebook, di Twitter, di Instagram e via dicendo... Tutti i trasferimenti verso gli Stati Uniti senza garanzie idonee sono illegittimi da un paio d’anni (se vi ricordate la sentenza Schrems II del luglio 2020).
Questo, in particolare, è un trasferimento perché Google Ireland include tra i suoi subprocessors Google LLC (negli Stati Uniti, appunto), ed è un trasferimento non legittimo perché le misure di sicurezza dichiarate da Google (tutta) non sono sufficienti per garantire il medesimo livello di protezione garantito (come ben sappiamo in triste teoria, almeno in Italia) dalla nostra normativa e dalla Carta dei Diritti dell’Uomo: le agenzie governative statunitensi possono accedere ai dati personali per supposte indagini antiterrorismo senza alcuna informazione agli interessati. Il fatto che i dati siano cifrati, infatti, non basta perché la chiave è in mano di Google (che può consegnare i dati a chi li chiede); la anonimizzazione non basta perché Google è in grado di re-identificare l’utente con altri strumenti.
Il che mi fa incazzare tantissimo perchè non capisco cosa c’entri il titolare del sito web col fatto che Google possa fare matching con dati che recupera direttamente dagli utenti che navigano loggati, però anche questo non mi è dato di chiederlo troppo ad alta voce.
Anche qui, di politica parliamo in separata sede, perché è chiaro che questa è una questione politica.
Finchè non ci sarà un nuovo accordo UE-USA che ci protegga dal FISA 702 o finchè i provider come Google non decideranno di fare le cose “come si deve” e quindi di avere aziende europee con dati in Europa che NON vengano trasferiti a casa madre, la situazione non si risolverà (e non saranno i singoli titolari del trattamento di un povero sito web italiano a poter influire su questo tema).
Quindi? Che fare? Non ho la risposta esatta (come non ce la avevo dopo Schrems II).
Penso che quello che si debba fare è una analisi di impatto sul business con annessa valutazione del rischio.
A mio non tanto modesto parere, per tutti i siti web per cui GA è utilizzato “solo” e “davvero” solo a scopo statistico, che non hanno vere necessità di business collegate, val la pena di spegnerlo (e cancellare i dati raccolti fino ad ora), in attesa di capire cosa farà Google (io stessa l’ho tolto dai miei siti web ed era l’unico cookie che rilasciavo).
Il rischio di finire nell’occhio del ciclone è elevato, il beneficio di tenere GA acceso è trascurabile, il danno (anche in termini di tempo a gestire una istruttoria) che ne potrebbe derivare non è irrilevante e ci sono altri strumenti, meno potenti ma funzionanti, che possono fare lo stesso mestiere (ma attenzione che siano in UE).
Per gli altri invece, quelli che hanno GA integrato in soluzioni che sono business critical, non penso che si possa fare un ragionamento così. Bisogna analizzare l’impatto, sia dello “spegnere” che del “tenere acceso” Google Analytics, documentando come e perché si sceglie di ritenere il rischio, nell’attesa che Google si muova e si decida che se vuole vendere in UE deve conformarsi alle nostre regole.
In questa seconda ipotesi, certamente, bisogna quantomeno assicurarsi che:
- la versione di GA installata sia GA4 (Google dichiara che la nuova proprietà ha nuovi controlli per la privacy, può avere funzionalità cookieless e utilizza gli eventi anziché le sessioni )
- il banner e l’informativa resa agli utenti siano efficaci (no rilascio del cookie analitico senza consenso) e onesti (quindi diamo evidenza del trasferimento così l’interessato lo sa)
- tutti gli altri strumenti e plugin che rilasciano cookies di profilazione siano analogamente configurati (ricordiamoci che stiamo parlando di trasferimento extra UE, non di demonizzazione della profilazione).
Spero di aver fatto ordine nelle tante chiacchiere disordinate che ci sono sul web in questo momento, anche se non ho risposte certe e sono ben contenta di ricevere commenti, spunti, idee per arricchirmi (possibilmente niente insulti ma potrei capire…)
0 commenti