NEWS

Benvenuto, Ospite
Nome utente: Password: Ricordami
  • Pagina:
  • 1
  • 2
  • 3

ARGOMENTO:

UTILIZZO GOOGLE ANALYTICS NELLE P.A. 2 Anni 6 Mesi fa #1790

  • Lorenzo Baldanello
  • Avatar di Lorenzo Baldanello
  • Offline
  • Messaggi: 27
Molto interessante come osservazione.
In effetti il caso in questione non può prescindere da una analisi più generale sui cookies e puo'essere anche occasione per le pa, di rivedere il proprio stato di compliance. E qui emergono anche le differenze tra gli enti che si avvalgono di professionisti validi (che si pongono delle domande come in questo spazio) e quelli che invece affidano la gestione della privacy a chiunque chieda un minor compenso o a soggetti interni che nulla sanno di privacy .
E questo non e'un problema solo del pubblico. Nella mia oramai ventennale esperienza nella materia sia in Italia che in Europa e fuori Europa, ho notato spesso questo aspetto. Chi realmente si occupa di privacy, analizza ogni richiesta con lo spirito di critica costruttiva ma consapevole di poter giustificare le proprie scelte fatte non a caso, ma in seguito ad un ragionamento tecnico giuridico.
Ma per fortuna ci sono anche enti e società che invece comprendono come la privacy possa essere un valore aggiunto e validi professionisti come quelli con cui ho avuto il piacere di interagire in questo scambio di opinioni.

Una buona serata a tutti

Si prega Accedi o Crea un account a partecipare alla conversazione.

UTILIZZO GOOGLE ANALYTICS NELLE P.A. 2 Anni 6 Mesi fa #1785

  • Sabrina Bambagioni
  • Avatar di Sabrina Bambagioni
Ho letto i vari post di questo dibattito, e li trovo molto utili. Però vorrei fare una riflessione: a seguito del fiume di PEC che sono state inviate ci troviamo a discutere sull'utilizzo di Google Analitycs sui siti della pubblica amministrazione come se fosse l'unico problema che hanno. Ma in realtà, come si può osservare agevolmente molti siti della PA non hanno neanche adeguati livelli di sicurezza (una buona parte gira ancora su protocollo non sicuro "http" e non "https"), e non sono conformi neppure nella gestione dei cookie, in quanto spesso non ci sono i banner per avvisare l'utilizzo di GA o di altre techiche di profilazione tramite terze parti che richiederebbero di informare l'utente e chiedergli il consenso, oppure viceversa c'è il banner che indica l'uso dei cookie ma non vi sono. Senza dimenticare che il 71% delle sanzioni per violazioni del GDPR provengono proprio dalla pubblica amministrazione. A mio avviso, tutto ciò rileva che i siti della PA non hanno il singolo problema di Google Analitycs, ma sono lo specchio della noncuranza complessiva rispetto alla sicurezza dei dati e alla tutela della privacy degli utenti, per cui il problema è molto più ampio.

Si prega Accedi o Crea un account a partecipare alla conversazione.

UTILIZZO GOOGLE ANALYTICS NELLE P.A. 2 Anni 6 Mesi fa #1784

  • Lorenzo Baldanello
  • Avatar di Lorenzo Baldanello
  • Offline
  • Messaggi: 27
Grazie a Lei per l'interessante dibattito.

Si prega Accedi o Crea un account a partecipare alla conversazione.

UTILIZZO GOOGLE ANALYTICS NELLE P.A. 2 Anni 6 Mesi fa #1783

  • Alessio Breccia
  • Avatar di Alessio Breccia Autore della discussione
  • Offline
  • Messaggi: 6
Direi perfetto e chiarissimo. Grazie mille per il contributo.

Si prega Accedi o Crea un account a partecipare alla conversazione.

UTILIZZO GOOGLE ANALYTICS NELLE P.A. 2 Anni 6 Mesi fa #1782

  • Lorenzo Baldanello
  • Avatar di Lorenzo Baldanello
  • Offline
  • Messaggi: 27
Buonasera
La problematica si inserisce chiaramente in quella più ampia delle conseguenze relative alla sentenza Schreems II, e la mail arrivata (che ho avuto occasione di leggere per alcuni miei clienti) ha un costrutto giuridico non errato ma che può essere ad oggi oggetto di interpretazione almeno in Italia.
L'uso di GA è finito nel mirino delle autorità Garanti Europee ed in particolar modo, dell'autorità Austriaca e di quella Francese.
In Italia il Garante non si è ancora espresso e l'unico documento da cui si potrebbero trarre delle indicazioni, seppur generiche, è quello relativo alle linee guida in materia di cookies.
La prima domanda da porsi è quindi se il sito è conforme a quanto indicato dalle linee guida. Per la parte di cookie di "analitycs", si ricorda che le linee guida forniscono interessanti considerazioni e una di queste è quella per cui l'anonimizzazione (con le specifiche caratteristiche indicate nelle linee) rende il cookie un cookie tecnico e che quindi, non necessita del consenso. E qui subentra anche una analisi che non può, a mio avviso, prescindere dal principio di minimizzazione. Mi serve realmente conoscere il dato personale per le statistiche che andrò a fare, o posso ottenere lo stesso risultato con dati anonimi?
Se la risposta è che lo stesso risultato si può ottenere con dati anonimi (ed è questo il caso più frequente) i cookies vanno anonimizzati.
Ma veniamo ora al nocciolo della questione. Una volta anonimizzati i cookies di GA, può l'ente ritenersi a posto?
L'Autorità Francese esprime dei dubbi in tal proposito affermando che "non è chiaro se
se l'anonimizzazione avviene prima del trasferimento o se l'intero indirizzo IP viene trasmesso agli Stati Uniti e abbreviato solo dopo il trasferimento".
Ma ancor più netta è la DSB Austriaca che, se nella prima decisione di gennaio sembrava far apparire che l'anonimizzazione era sufficiente per rendere legittimo l'utilizzo di GA, in una seconda decisione del 22/04/2022 afferma chiaramente che l'anonimizzazione da sola non è sufficiente e ciò in quanto "l'indirizzo IP completo viene elaborato sul server di Google LLC per un certo periodo di tempo, anche se molto breve. Questo breve periodo di trattamento dei dati è sufficiente per soddisfare i requisiti dell'articolo 4, paragrafo 2, del GDPR." E ancora afferma che "anche supponendo che l'indirizzo IP sia stato trattato solo da server nel SEE durante il periodo di tempo, si deve notare che google può comunque essere obbligato dai servizi segreti statunitensi statunitensi a consegnare l'indirizzo IP in base alla legge statunitense in materia".
Pertanto GA sarebbe comunque illegittimo.
Possono le linee guida gel Garante far propendere per una visione diversa della nostra Autorità?
Non si può averne certezza. Le linee guida infatti non parlano di GA ma in generale di analitycs.
Non affrontano quindi la tematica.
All'interno quindi di questa "mancata presa di posizione", sta al DPO e/o al consulente ai sensi del principio di accountability, prendere una decisione e motivarla in base ad una approfondita analisi tecnico giuridica che, qualora porti al mantenimento di GA seppur anonimizzato, possa essere portata al Garante in caso di contestazioni. Detta analisi non potrà prescindere dalle varie interpretazioni anche transnazionali (altri garanti comunque non si sono espressi) e dalle normative americane ed Europee, per trarre una conclusione che sia motivata e giustifichi la scelta.
Non da ultimo va tenuto in considerazione che UE e US stanno lavorando ad un nuovo accordo per la trasferibilità dei dati e si sperano a breve novità
Confidando di aver contribuito al dibattito.
Auguro una buona serata a tutti

L.B

Si prega Accedi o Crea un account a partecipare alla conversazione.

UTILIZZO GOOGLE ANALYTICS NELLE P.A. 2 Anni 6 Mesi fa #1781

  • Alessio Breccia
  • Avatar di Alessio Breccia Autore della discussione
  • Offline
  • Messaggi: 6
Forse per velocità nella risposta non mi sono spiegato bene.
Ga se trattano dati NON anonimi per forza di cosa non sono cookies tecnici e quindi necessitano di una base giuridica quale il consenso. E mi riferivo proprio a quello quando parlavo di consenso come deroga prevista dall'art. 49 nel caso di trasferimento fuori UE.
Spero di non essere stato frainteso.

Si prega Accedi o Crea un account a partecipare alla conversazione.

  • Pagina:
  • 1
  • 2
  • 3
Tempo creazione pagina: 0.280 secondi

Il presidente di Federprivacy a Rai Parlamento

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy