Seleziona una pagina
 

lettera aperta agli utilizzatori di Google Analytics

da | Lug 6, 2022 | Testi ironici di teoria utile

Signore e signori, diciamocelo: qui è un gran casino e ci è già venuto mal di testa, sia che facciamo i DPO sia che facciamo i webmaster. Figuriamoci il mal di testa di chi invece è il proprietario dei siti web!

Ci scrivo in merito all’idea che mi sono fatta della faccenda di Google Analytics e già che ci sono rispondo alle tante domande che mi sono arrivate sul tema “la richiesta di Federico Leva”.

I temi sono due, ed il primo è molto più importante del secondo, ma giusto per essere “Chiara”, parto dalla coda.

La mail di Federico Leva sta imperversando sul web e sta facendo molto rumore, ciò non di meno va trattata né per più nè per meno di ciò che è: una richiesta di esercizio dei diritti degli interessati. 

Per quanto riguarda invece Google Analytics, invece, la faccenda è più seria ma ve lo dico dopo.

Il signor Federico Leva (che se cercate ha un viso, un lavoro e una casa al fresco) ha chiesto la cancellazione dei suoi dati dai tracciamenti sui nostri siti web. Questo signore ha il pieno e sacrosanto diritto di farlo (anche se ci ha inondato le caselle di posta) , quindi l’obbligo di chi ha ricevuto la sua mail è di darvi seguito (cancellando i suoi dati dalla dashboard di GA) e dargli conferma per iscritto. 

La conferma (o le domande per identificare il suo client ID) può essere spedita da chiunque, ma io penso, ammesso che vi interessi, che sia meglio rispettare la vostra “procedura di gestione dell’esercizio dei diritti degli interessati”, formalizzata o meno, che dovreste avere se volete rispettare una derrata di requisiti del GDPR (più o meno gli articoli dal 13 al 22).

Potete anche far rispondere il DPO, visto che siamo qui per questo (essere il punto di contatto degli interessati e proteggere i loro interessi dovrebbe essere il nostro primo oggetto di attenzione e missione, anche se i clienti pensano che “gli interessati che palle” e che noi dobbiamo lavorare per “parargli il culo”).

Il signor Leva dice che vi da 31 giorni, ma vi ricordo che il GDPR dice “senza ingiustificato ritardo” (quindi è il caso di porsi il problema in tempi ragionevolmente rapidi).

Aggiungo a scanso di equivoci che anche se decideste di “spegnere” GA, Google non cancella i dati in automatico senza una vostra richiesta, quindi l’operazione di cancellazione dei dati del signor Leva va fatta lo stesso.

Per capire come individuare il soggetto nella dashboard, un esperto (Matteo Flora) dice che bisogna trovare il “client ID” che è riportato nel file txt rilasciato da GA sui dispositivi di Leva. Ho parlato con diversi tecnici che confermano che, se Leva non ci ha mandato il client ID (in una seconda tornata di email lo ha fatto), bisogna scrivergli per chiederglielo (questo perchè il client ID cambia da sito a sito e da user a user, quindi se Leva ha mandato 100mila email… deve rispedire 100mila client ID!!!) 

Se poi vogliamo parlare di questo simpatico signore… discutiamone pure… A me sembra un emulatore del signor Schrems con minore eleganza e maggiore arroganza, a tratti mi fa sorridere e a tratti mi fa incazzare perchè è a quelli che fanno il mio mestiere che ha rovinato le giornate di recente. Qualunque cosa ne pensiate, però, ricordatevi che il signor Leva è una persona, ed è di persone che si occupa il GDPR.

Per quanto riguarda invece Google Analytics la faccenda è più seria, e il Provvedimento del Garante, suffragato dalla sua (assurda) campagna mediatica, sta mettendo a dura prova chi il mio mestiere lo vuol fare sul serio tenendo in considerazione anche quello che dice l’articolo 24 (che parla anche di equilibrio costi/benefici).

Il 9 giugno 2022 il Garante per la Protezione dei Dati ha emesso un Provvedimento nel quale formalizza le ragioni per cui l’uso di GA sui siti web (versione gratuita, non meglio specificata, giusto per essere vaghi e carogne quanto basta) genera un trasferimento illecito di dati personali verso gli Stati Uniti. 

Non sto a farvi la sintesi del Provvedimento (l’ho letto dieci volte per essere sicura), ma vi dico che: 

  • il moto dell’autorità è stato reattivo (in risposta ad un reclamo) e puntuale (verso un solo titolare del trattamento … poveretti, mi fanno una pena…)
  • il provvedimento ammonisce e non sanziona la povera azienda che ha il sito online, intimandogli di conformarsi entro 90 giorni.

Questo non vuol dire che il Garante ha emesso un Provvedimento Generale che ordina la sospensione dei flussi verso un destinatario, come avrebbe potuto (o forse dovuto?) fare ai sensi dell’art. 58 comma 2 lettera j) del Regolamento, ma la campagna mediatica in corso (cavalcata dalla stessa autorità) dichiara qualcosa di molto simile, quindi ignorarla non è responsabile.

Qui mi viene una domanda…

Posto che mi chiedo come si faccia a conformarsi senza spegnere GA, ma cosa voleva fare davvero il Garante?

punirne uno per educarne centomila?
dare la responsabilità ai piccoli e grandi ma singoli utilizzatori del comportamento (scorretto) del provider piu’ grande del mondo?
fare politica internazionale sulle spalle dei contribuenti locali e minacciando la concorrenza?

…Per fortuna però le domande dopo che mi vengono, mi passano, e posso ricominciare a fare la noiosa consulente...

Per semplificare e rendere chiare le cose, vorrei precisare che non è che il trasferimento sia illegittimo dal 9 giugno: se lo è lo è sempre stato, come quello operato dal pixel di Facebook, di Twitter, di Instagram e via dicendo... Tutti i trasferimenti verso gli Stati Uniti senza garanzie idonee sono illegittimi da un paio d’anni (se vi ricordate la sentenza Schrems II del luglio 2020). 

Questo, in particolare, è un trasferimento perché Google Ireland include tra i suoi subprocessors Google LLC (negli Stati Uniti, appunto), ed è un trasferimento non legittimo perché le misure di sicurezza dichiarate da Google (tutta) non sono sufficienti per garantire il medesimo livello di protezione garantito (come ben sappiamo in triste teoria, almeno in Italia) dalla nostra normativa e dalla Carta dei Diritti dell’Uomo: le agenzie governative statunitensi possono accedere ai dati personali per supposte indagini antiterrorismo senza alcuna informazione agli interessati. Il fatto che i dati siano cifrati, infatti, non basta perché la chiave è in mano di Google (che può consegnare i dati a chi li chiede); la anonimizzazione non basta perché Google è in grado di re-identificare l’utente con altri strumenti.

Il che mi fa incazzare tantissimo perchè non capisco cosa c’entri il titolare del sito web col fatto che Google possa fare matching con dati che recupera direttamente dagli utenti che navigano loggati, però anche questo non mi è dato di chiederlo troppo ad alta voce.

Anche qui, di politica parliamo in separata sede, perché è chiaro che questa è una questione politica.

Finchè non ci sarà un nuovo accordo UE-USA che ci protegga dal FISA 702 o finchè i provider come Google non decideranno di fare le cose “come si deve” e quindi di avere aziende europee con dati in Europa che NON  vengano trasferiti a casa madre, la situazione non si risolverà (e non saranno i singoli titolari del trattamento di un povero sito web italiano a poter influire su questo tema).

Quindi? Che fare? Non ho la risposta esatta (come non ce la avevo dopo Schrems II).

Penso che quello che si debba fare è una analisi di impatto sul business con annessa valutazione del rischio.

A mio non tanto modesto parere, per tutti i siti web per cui GA è utilizzato “solo” e “davvero” solo a scopo statistico, che non hanno vere necessità di business collegate, val la pena di spegnerlo (e cancellare i dati raccolti fino ad ora), in attesa di capire cosa farà Google (io stessa l’ho tolto dai miei siti web ed era l’unico cookie che rilasciavo).

Il rischio di finire nell’occhio del ciclone è elevato, il beneficio di tenere GA acceso è trascurabile, il danno (anche in termini di tempo a gestire una istruttoria) che ne potrebbe derivare non è irrilevante e ci sono altri strumenti, meno potenti ma funzionanti, che possono fare lo stesso mestiere (ma attenzione che siano in UE).

Per gli altri invece, quelli che hanno GA integrato in soluzioni che sono business critical, non penso che si possa fare un ragionamento così. Bisogna analizzare l’impatto, sia dello “spegnere” che del “tenere acceso” Google Analytics, documentando come e perché si sceglie di ritenere il rischio, nell’attesa che Google si muova e si decida che se vuole vendere in UE deve conformarsi alle nostre regole.

In questa seconda ipotesi, certamente, bisogna quantomeno assicurarsi che:

  • la versione di GA installata sia GA4 (Google dichiara che la nuova proprietà ha nuovi controlli per la privacy, può avere funzionalità cookieless e utilizza gli eventi anziché le sessioni )
  • il banner e l’informativa resa agli utenti siano efficaci (no rilascio del cookie analitico senza consenso) e onesti (quindi diamo evidenza del trasferimento così l’interessato lo sa)
  • tutti gli altri strumenti e plugin che rilasciano cookies di profilazione siano analogamente configurati (ricordiamoci che stiamo parlando di trasferimento extra UE, non di demonizzazione della profilazione).

Spero di aver fatto ordine nelle tante chiacchiere disordinate che ci sono sul web in questo momento, anche se non ho risposte certe e sono ben contenta di ricevere commenti, spunti, idee per arricchirmi (possibilmente niente insulti ma potrei capire…)

You May Also Like…

Bocconi a cartoni?!

La mia Università ha preso una multa, ma brutta brutta, brutta proprio. Più brutta per la reputazione che per l'importo, che di per sè probabilmente per una macchina da soldi come la Bocconi è sopportabilissimo. E' "lo sfregio" che trovo particolarmente imbarazzante,...

0 commenti

Invia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

#comeunainformativa#

concisa, trasparente, intelligibile, semplice e Chiara

B86CDDD9-AA99-4ED4-ABE5-A4870105C83E_1_105_c
10006083_10204660300400194_6325890572134401797_o-1-1
f2e50901-a74a-473f-8bf2-30bdf107866c-1-1
F8984A9A-4B02-4E38-B15E-1FFF809CA533_1_105_c-1-1
5A4B92B8-3299-4186-BAD5-5699134764C5_1_105_c-1-1
D21E2F49-021A-479F-9B11-71750CF99CF3_1_105_c-1-1

Leggi un post a caso!

giorno cinque, fermo immagine

C'eran quelli che speravano nelle buone notizie. E invece no... ce n'è ancora qualcuna di cattiva prima del gran finale col botto. Raccontare questa storia è come ascoltare un pezzo dei Chemical Brothers a tutto volume in una stanza vuota: solo a pensarci si buca il...

Note di pubblica utilità su DAD e FAD

Ho letto diversi articoli di recente, ricevuto telefonate di allievi, colleghi e amici che avevano domande su cosa bisogna fare in questa benedetta didattica a distanza per essere conformi con tutti gli anagrammi di GDPR e AgID, compreso "gierredipi". Ho capito, dalle...

Se questo è un attivista

Mi sembra di essere tornata indietro a tre mesi fa, travolta dalle telefonate e dalle email, sommersa dalle condivisioni di post sui social di questi esperti, sedicenti esperti, semi esperti, ominicchi e quaquaraquà. L'unica cosa che è cambiata è il nome del tizio che...

BCMP: non è l’acronimo di una parolaccia alla Jannacci ed è solo la prima puntata

Questa estate un cliente che lavora nella tecnologia mi ha chiesto del supporto per redigere quello che in gergo si chiama un Business Continuity Management Plan, da fare perché è obbligato da un cliente. Ci credono poco, come tutti. In fondo, a cosa serve la...

Disorganigrammi

Guardavo, oggi, come una slide può rappresentare una perfetta disorganizzazione. Ci si può mettere una storia secolare, una azienda redditizia, un settore merceologico a margine alto e certo: la disorganizzazione è figlia di se stessa e partorisce solo gemelli...

Incentivi all’occupazione

Azienda in crescita, bisogno di lavoro, pochi soldi da investire. Come fare? Raccogliendo le iniziative ministeriali, per esempio. Caro cliente, che ti conosco da tanti anni e da tanti anni mi chiami, quando hai un problema da risolvere... stavolta ho un vantaggio io...

Esplora il blog

Su di me

OLYMPUS DIGITAL CAMERA
081B7F82-3522-4D1F-95C9-AE3DD8883853_1_105_c
168980_1739107990282_5690240_n
180615_1739107830278_1312776_n
217943_4146273367912_379519022_n
389071_3894149904983_1094047988_n
423892_3230411951949_1828327562_n
561028_3339040027583_1641457904_n
1441533_10205520031292929_3582566704537519490_n
15727347_10210178170063487_2545053087441484216_n
44019711-C758-423E-972A-8C080C178949_1_105_c
120175075_10220932663119092_5780439823649154081_n
259869031_10223535325704030_6123869307689241603_n
C7FFB9E7-634A-4EC1-B484-0258E1306733_1_105_c
previous arrow
next arrow