NEWS

Le possibili soluzioni per i siti web della Pubblica Amministrazione che utilizzano ancora Google Analytics

Lo scorso anno il Garante per la protezione dei dati personali ha emanato apposite Linee guida sui cookie e altri strumenti di tracciamento, entrate in vigore a inizio di quest’anno. I cookie, citati nel considerando 30 del Regolamento UE 2016/679, “sono piccoli file di testo che il sito web invia al terminale dell'utente, ove vengono memorizzati per poi essere ritrasmessi al sito alla visita successiva” (AGID), permettendo il riconoscimento del dispositivo utilizzato (l’IP che è un dato personale) ma anche la conoscibilità di altre informazioni quali l’idioma utilizzato.

Per i siti web della Pubblica Amministrazione che utilizzano ancora Google Analitycs le soluzioni ci sono, e gratuite.

I cookie sono distinguibili in varie categorie: tecnici, di sessione, permanenti, di profilatura, tecnici, analitycs, di prima e terza parte. In particolare, i cookie tecnici consentono di effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell'informazione esplicitamente richiesto dal contraente o dall'utente a erogare tale servizio” (cfr. art. 122, comma 1 del Codice) e, come evidenzia il Garante, non necessitano di consenso ma che vanno comunque indicati nell’informativa.

Diverso il discorso per quelli che consentono la profilatura o gli analitycs per i quali, come specificato nelle Linee guida, deve essere data all’utente la possibilità di scegliere se accedere al sito senza accettare cookie diversi da quelli tecnici.

Di recente il Garante è intervenuto sulla questione dei cookie analytics, a conclusione di una istruttoria avviata sulla base di una serie di reclami e in coordinamento con altre autorità privacy europee. Il Garante ha dichiarato l’illiceità dell’utilizzo del servizio di Google Analytics in quanto i dati di traffico che vengono trattati tramite lo stesso, ancorché sia previsto il troncamento dell’indirizzo IP dell’apparato utilizzato, comunque conservano nel loro insieme la caratteristica di dato personale e, in quanto tale, non trasferibile negli Usa, le cui Autorità governative e agenzie di intelligence potrebbero accedere ai dati personali trasferiti senza le dovute garanzie, a seguito della sentenza della Corte di Giustizia dell'Unione Europea del 16 luglio 2020 (c.d. "Sentenza Schrems II") che ha invalidato la decisione di adeguatezza del Privacy Shield, adottata nel 2016 dalla Commissione europea.

Nel rimandare ai citati provvedimenti per gli aspetti più tecnici, giova rammentare che il Garante ha fatto riserva – scaduto il termine di 90 gg assegnato al primo Titolare destinatario di provvedimento ingiuntivo - “anche sulla base di specifiche attività ispettive, a verificare la conformità al Regolamento Ue dei trasferimenti di dati effettuati dai titolari”, e se vengono raccolti dati degli utenti che sono risultati trasferiti negli Usa ( cfr. Doc-Web 9782890 e Doc-Web 9782874).

Sulla questione merita segnalare che, sul versante della Pubblica Amministrazione, un servizio messo a disposizione dall’AGID permetterebbe un trattamento compliant dei dati in questione. Si tratta del portale Web Analytics Italia (WAI) che, a differenza ad es. di Google Analitycs, offre il totale controllo (e la proprietà) del dato raccolto e che utilizza di default il sistema di anonimizzazione dell'indirizzo IP degli utenti, con più immediate compliance al GDPR e tutela degli interessati.

Come indicato sul portale, WAI consente di: uniformare la raccolta di tali dati; semplificare l’accesso ai dati statistici e fornire strumenti ad hoc per agevolare la comprensione di tali informazioni, con l'obiettivo finale di ottimizzare in maniera continua l'esperienza utente. La piattaforma si avvale del sistema di raccolta e analisi dei dati Matomo, il cui codice sorgente è disponibile in un repository pubblico. Alcuni portali istituzionali già dichiarano il ricorso a WAI.

Anche in ambito europeo, esiste un sistema basato su Matomo, Europa Analytics di pertinenza della Commissione Europea.

Per la Pubblica Amministrazione è una occasione per irrobustire la struttura della protezione dei dati personali nel nostro Paese.

Note sull'Autore

Pasquale Mancino Pasquale Mancino

Componente del Gruppo di Lavoro per la privacy nella Pubblica Amministrazione. Nota: Le opinioni espresse sono a titolo esclusivamente personale e non coinvolgono l’Ente di appartenenza dell’autore

Prev Commercialisti: 'insufficienti gli adempimenti per la conformità al Gdpr'. Arriva la check-list gratuita a favore degli ordini locali
Next Approvato in via definitiva il Digital Markets Act: gli impatti sui trattamenti di dati personali

Il presidente di Federprivacy a Rai Parlamento

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy