Seleziona una pagina
 

lettera aperta agli utilizzatori di Google Analytics

da | Lug 6, 2022 | Testi ironici di teoria utile

Signore e signori, diciamocelo: qui è un gran casino e ci è già venuto mal di testa, sia che facciamo i DPO sia che facciamo i webmaster. Figuriamoci il mal di testa di chi invece è il proprietario dei siti web!

Ci scrivo in merito all’idea che mi sono fatta della faccenda di Google Analytics e già che ci sono rispondo alle tante domande che mi sono arrivate sul tema “la richiesta di Federico Leva”.

I temi sono due, ed il primo è molto più importante del secondo, ma giusto per essere “Chiara”, parto dalla coda.

La mail di Federico Leva sta imperversando sul web e sta facendo molto rumore, ciò non di meno va trattata né per più nè per meno di ciò che è: una richiesta di esercizio dei diritti degli interessati. 

Per quanto riguarda invece Google Analytics, invece, la faccenda è più seria ma ve lo dico dopo.

Il signor Federico Leva (che se cercate ha un viso, un lavoro e una casa al fresco) ha chiesto la cancellazione dei suoi dati dai tracciamenti sui nostri siti web. Questo signore ha il pieno e sacrosanto diritto di farlo (anche se ci ha inondato le caselle di posta) , quindi l’obbligo di chi ha ricevuto la sua mail è di darvi seguito (cancellando i suoi dati dalla dashboard di GA) e dargli conferma per iscritto. 

La conferma (o le domande per identificare il suo client ID) può essere spedita da chiunque, ma io penso, ammesso che vi interessi, che sia meglio rispettare la vostra “procedura di gestione dell’esercizio dei diritti degli interessati”, formalizzata o meno, che dovreste avere se volete rispettare una derrata di requisiti del GDPR (più o meno gli articoli dal 13 al 22).

Potete anche far rispondere il DPO, visto che siamo qui per questo (essere il punto di contatto degli interessati e proteggere i loro interessi dovrebbe essere il nostro primo oggetto di attenzione e missione, anche se i clienti pensano che “gli interessati che palle” e che noi dobbiamo lavorare per “parargli il culo”).

Il signor Leva dice che vi da 31 giorni, ma vi ricordo che il GDPR dice “senza ingiustificato ritardo” (quindi è il caso di porsi il problema in tempi ragionevolmente rapidi).

Aggiungo a scanso di equivoci che anche se decideste di “spegnere” GA, Google non cancella i dati in automatico senza una vostra richiesta, quindi l’operazione di cancellazione dei dati del signor Leva va fatta lo stesso.

Per capire come individuare il soggetto nella dashboard, un esperto (Matteo Flora) dice che bisogna trovare il “client ID” che è riportato nel file txt rilasciato da GA sui dispositivi di Leva. Ho parlato con diversi tecnici che confermano che, se Leva non ci ha mandato il client ID (in una seconda tornata di email lo ha fatto), bisogna scrivergli per chiederglielo (questo perchè il client ID cambia da sito a sito e da user a user, quindi se Leva ha mandato 100mila email… deve rispedire 100mila client ID!!!) 

Se poi vogliamo parlare di questo simpatico signore… discutiamone pure… A me sembra un emulatore del signor Schrems con minore eleganza e maggiore arroganza, a tratti mi fa sorridere e a tratti mi fa incazzare perchè è a quelli che fanno il mio mestiere che ha rovinato le giornate di recente. Qualunque cosa ne pensiate, però, ricordatevi che il signor Leva è una persona, ed è di persone che si occupa il GDPR.

Per quanto riguarda invece Google Analytics la faccenda è più seria, e il Provvedimento del Garante, suffragato dalla sua (assurda) campagna mediatica, sta mettendo a dura prova chi il mio mestiere lo vuol fare sul serio tenendo in considerazione anche quello che dice l’articolo 24 (che parla anche di equilibrio costi/benefici).

Il 9 giugno 2022 il Garante per la Protezione dei Dati ha emesso un Provvedimento nel quale formalizza le ragioni per cui l’uso di GA sui siti web (versione gratuita, non meglio specificata, giusto per essere vaghi e carogne quanto basta) genera un trasferimento illecito di dati personali verso gli Stati Uniti. 

Non sto a farvi la sintesi del Provvedimento (l’ho letto dieci volte per essere sicura), ma vi dico che: 

  • il moto dell’autorità è stato reattivo (in risposta ad un reclamo) e puntuale (verso un solo titolare del trattamento … poveretti, mi fanno una pena…)
  • il provvedimento ammonisce e non sanziona la povera azienda che ha il sito online, intimandogli di conformarsi entro 90 giorni.

Questo non vuol dire che il Garante ha emesso un Provvedimento Generale che ordina la sospensione dei flussi verso un destinatario, come avrebbe potuto (o forse dovuto?) fare ai sensi dell’art. 58 comma 2 lettera j) del Regolamento, ma la campagna mediatica in corso (cavalcata dalla stessa autorità) dichiara qualcosa di molto simile, quindi ignorarla non è responsabile.

Qui mi viene una domanda…

Posto che mi chiedo come si faccia a conformarsi senza spegnere GA, ma cosa voleva fare davvero il Garante?

punirne uno per educarne centomila?
dare la responsabilità ai piccoli e grandi ma singoli utilizzatori del comportamento (scorretto) del provider piu’ grande del mondo?
fare politica internazionale sulle spalle dei contribuenti locali e minacciando la concorrenza?

…Per fortuna però le domande dopo che mi vengono, mi passano, e posso ricominciare a fare la noiosa consulente...

Per semplificare e rendere chiare le cose, vorrei precisare che non è che il trasferimento sia illegittimo dal 9 giugno: se lo è lo è sempre stato, come quello operato dal pixel di Facebook, di Twitter, di Instagram e via dicendo... Tutti i trasferimenti verso gli Stati Uniti senza garanzie idonee sono illegittimi da un paio d’anni (se vi ricordate la sentenza Schrems II del luglio 2020). 

Questo, in particolare, è un trasferimento perché Google Ireland include tra i suoi subprocessors Google LLC (negli Stati Uniti, appunto), ed è un trasferimento non legittimo perché le misure di sicurezza dichiarate da Google (tutta) non sono sufficienti per garantire il medesimo livello di protezione garantito (come ben sappiamo in triste teoria, almeno in Italia) dalla nostra normativa e dalla Carta dei Diritti dell’Uomo: le agenzie governative statunitensi possono accedere ai dati personali per supposte indagini antiterrorismo senza alcuna informazione agli interessati. Il fatto che i dati siano cifrati, infatti, non basta perché la chiave è in mano di Google (che può consegnare i dati a chi li chiede); la anonimizzazione non basta perché Google è in grado di re-identificare l’utente con altri strumenti.

Il che mi fa incazzare tantissimo perchè non capisco cosa c’entri il titolare del sito web col fatto che Google possa fare matching con dati che recupera direttamente dagli utenti che navigano loggati, però anche questo non mi è dato di chiederlo troppo ad alta voce.

Anche qui, di politica parliamo in separata sede, perché è chiaro che questa è una questione politica.

Finchè non ci sarà un nuovo accordo UE-USA che ci protegga dal FISA 702 o finchè i provider come Google non decideranno di fare le cose “come si deve” e quindi di avere aziende europee con dati in Europa che NON  vengano trasferiti a casa madre, la situazione non si risolverà (e non saranno i singoli titolari del trattamento di un povero sito web italiano a poter influire su questo tema).

Quindi? Che fare? Non ho la risposta esatta (come non ce la avevo dopo Schrems II).

Penso che quello che si debba fare è una analisi di impatto sul business con annessa valutazione del rischio.

A mio non tanto modesto parere, per tutti i siti web per cui GA è utilizzato “solo” e “davvero” solo a scopo statistico, che non hanno vere necessità di business collegate, val la pena di spegnerlo (e cancellare i dati raccolti fino ad ora), in attesa di capire cosa farà Google (io stessa l’ho tolto dai miei siti web ed era l’unico cookie che rilasciavo).

Il rischio di finire nell’occhio del ciclone è elevato, il beneficio di tenere GA acceso è trascurabile, il danno (anche in termini di tempo a gestire una istruttoria) che ne potrebbe derivare non è irrilevante e ci sono altri strumenti, meno potenti ma funzionanti, che possono fare lo stesso mestiere (ma attenzione che siano in UE).

Per gli altri invece, quelli che hanno GA integrato in soluzioni che sono business critical, non penso che si possa fare un ragionamento così. Bisogna analizzare l’impatto, sia dello “spegnere” che del “tenere acceso” Google Analytics, documentando come e perché si sceglie di ritenere il rischio, nell’attesa che Google si muova e si decida che se vuole vendere in UE deve conformarsi alle nostre regole.

In questa seconda ipotesi, certamente, bisogna quantomeno assicurarsi che:

  • la versione di GA installata sia GA4 (Google dichiara che la nuova proprietà ha nuovi controlli per la privacy, può avere funzionalità cookieless e utilizza gli eventi anziché le sessioni )
  • il banner e l’informativa resa agli utenti siano efficaci (no rilascio del cookie analitico senza consenso) e onesti (quindi diamo evidenza del trasferimento così l’interessato lo sa)
  • tutti gli altri strumenti e plugin che rilasciano cookies di profilazione siano analogamente configurati (ricordiamoci che stiamo parlando di trasferimento extra UE, non di demonizzazione della profilazione).

Spero di aver fatto ordine nelle tante chiacchiere disordinate che ci sono sul web in questo momento, anche se non ho risposte certe e sono ben contenta di ricevere commenti, spunti, idee per arricchirmi (possibilmente niente insulti ma potrei capire…)

You May Also Like…

Bocconi a cartoni?!

La mia Università ha preso una multa, ma brutta brutta, brutta proprio. Più brutta per la reputazione che per l'importo, che di per sè probabilmente per una macchina da soldi come la Bocconi è sopportabilissimo. E' "lo sfregio" che trovo particolarmente imbarazzante,...

0 commenti

Invia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

#comeunainformativa#

concisa, trasparente, intelligibile, semplice e Chiara

B86CDDD9-AA99-4ED4-ABE5-A4870105C83E_1_105_c
10006083_10204660300400194_6325890572134401797_o-1-1
f2e50901-a74a-473f-8bf2-30bdf107866c-1-1
F8984A9A-4B02-4E38-B15E-1FFF809CA533_1_105_c-1-1
5A4B92B8-3299-4186-BAD5-5699134764C5_1_105_c-1-1
D21E2F49-021A-479F-9B11-71750CF99CF3_1_105_c-1-1

Leggi un post a caso!

talis pater, talis filia

Avevo vent'anni forse, secondo anno al DES, facevo la brillante alla Bocconi coi miei colleghi geni che prendevano sempre voti altissimi e la mia testa volava tra 'scrivo libri' e 'dove vado stasera'. Per quanto credessi di sforzarmi, non mi rendevo bene conto di cosa...

Deliverables

Diceva un mio compagno di università, al secolo Gianluca D. (se mi autorizza, sarà taggato), che il lavoro del consulente è lineare: produce slide a mezzo di slide. Come pensavamo sofisticato, noi del DES della Bocconi... Pensavo non sapesse di che parlava, poi ho...

Un Vero Sistema Qualità

Ora di pranzo, mi suona il cellulare. È un cliente che conosco da una vita, abbiamo fatto un sacco di cose assieme. ‘Ciao Dottoressa’ *Ciao Ingegnere!* ‘Senti, ci ho pensato su: hai ragione tu. Certifichiamoci ISO 9000’. Mi siedo, è meglio. Dopo sette anni che si...

Mi ha chiamata, stamattina, un RGQ

Mi ha chiamata, stamattina, un RGQ. Scusa? Mi ha chiamata, stamattina, un RGQ. Sa l'ha ciamà cus'e`? Un Responsabile del Sistema di Gestione per la Qualità. Ah beh, sì beh, cünta su... Avrei voglia di ricamare tutto il post sulle note di 'Ho visto un re', giusto per...

Frattali di SLA, matrici di metriche

Gennaio, fa davvero freddo. E stamattina non ho proprio voglia di uscire. Devo, però: una settimana fa mi ha chiamata un cliente dicendomi che ha un problema gravissimo e urgentissimo. E coi superlativi assoluti i clienti ci san davvero fare. Contratto nuovo, problema...

Le origini del cambiamento

Mi chiamo Annarella, ho quarantacinque anni, lavoro qui da più di venti, a due passi da casa. Ogni tanto mi sembra che l'azienda sia diventata la famiglia: son stata assunta dall'Ingegnere quando ero giovanissima e, come lui stesso diceva, non sapevo neanche...

Esplora il blog

Su di me

OLYMPUS DIGITAL CAMERA
081B7F82-3522-4D1F-95C9-AE3DD8883853_1_105_c
168980_1739107990282_5690240_n
180615_1739107830278_1312776_n
217943_4146273367912_379519022_n
389071_3894149904983_1094047988_n
423892_3230411951949_1828327562_n
561028_3339040027583_1641457904_n
1441533_10205520031292929_3582566704537519490_n
15727347_10210178170063487_2545053087441484216_n
44019711-C758-423E-972A-8C080C178949_1_105_c
120175075_10220932663119092_5780439823649154081_n
259869031_10223535325704030_6123869307689241603_n
C7FFB9E7-634A-4EC1-B484-0258E1306733_1_105_c
previous arrow
next arrow