Google Analytics è un tema caldo nelle comunità italiane della privacy e del marketing. A giugno il Garante per la protezione dei dati personali (GPDP) ha emesso una sentenza contro GA e ha annunciato indagini sull'uso dello strumento sia tra le aziende che tra le pubbliche amministrazioni.
Ma c'è dell'altro: Il gruppo di hacktivisti MonitoraPA ha inviato migliaia di e-mail per chiedere alle amministrazioni di abbandonare sia GA che Google Fonts.
Inoltre, hanno inviato avvisi simili ai siti web dei partiti politici italiani. Inoltre, hanno inoltrato migliaia di richieste di accesso alle scuole italiane, richiedendo informazioni sul trattamento dei dati degli studenti. Allo stesso tempo, l'attivista italiano Federico Leva ha inviato innumerevoli e-mail ai siti web italiani utilizzando GA per ottenere la cancellazione dei suoi dati personali. Tutte queste richieste sono supportate da azioni legali.
È difficile capire cosa stia succedendo e quali siano le implicazioni, ecco perché siamo qui per fare chiarezza. (Nota: alcuni dei link nei testi che seguono sono solo in italiano, poiché per alcuni dei nostri argomenti non c'è copertura internazionale).
- Cosa c'è di sbagliato in Google Analytics?
- Monitora PA e la sua campagna contro Google Analytics
- Pensieri finali
Immergiamoci!
Cosa c'è di sbagliato in Google Analytics?
Abbiamo già scritto ampiamente sui problemi di conformità di Google Analytics, quindi ecco un breve riassunto:
Nel 2020, la sentenza Schrems II ha stabilito che il quadro giuridico statunitense non poteva fornire una protezione sufficiente per i dati europei a causa dell'invasività delle pratiche di sorveglianza degli Stati Uniti.
Poco dopo la sentenza Schrems II, l'ONG austriaca per la tutela della privacy noyb ha presentato 101 reclami sui trasferimenti di dati in uno sforzo strategico per spingere le autorità di protezione dei dati ad applicare rigorosamente la sentenza Schrems II. Le autorità di protezione dei dati hanno coordinato il loro approccio ai reclami a livello europeo e, di conseguenza, quattro autorità di protezione dei dati si sono finora pronunciate contro l'uso di Google Analytics (il DSB austriaco, il CNIL francese, il GPDP italiano e il Garante per la protezione dei dati finlandese). Anche il Datatilsynet norvegese ha seguito questa strada, sebbene la sua decisione sia solo preliminare. Inoltre, l'autorità danese ha abbracciato la stessa posizione degli altri in un comunicato stampa.
È probabile che altre autorità di protezione dei dati adottino posizioni simili in futuro. La CNIL e il GPDP sono DPA rispettate e influenti, ed è probabile che altre seguano il loro esempio.
In una notizia più recente, la Commissione europea e la Casa Bianca hanno recentemente concordato un nuovo quadro per il trasferimento dei dati. Tuttavia, il nuovo quadro appare ancora problematico per alcuni aspetti e sarà sicuramente contestato dalla CGUE. Per questo motivo, il futuro dei trasferimenti transatlantici di dati è ancora incerto.
Monitora PA e la sua campagna contro Google Analytics
Come abbiamo detto, la DPA austriaca, francese, italiana e danese sono tutte sulla stessa lunghezza d'onda per quanto riguarda i trasferimenti di dati. Tuttavia, la situazione italiana è un po' particolare. Il cittadino italiano Federico Leva e il gruppo Monitora PA hanno inoltrato migliaia di richieste relative a GA, minacciando azioni legali.
Le richieste di rimozione di Monitora PA
Poco prima che il GPDP decidesse sulla prima denuncia di GA, il gruppo di hacktivisti Monitora PA (monitoraggio della pubblica amministrazione) ha inoltrato migliaia di e-mail in cui chiedeva alle amministrazioni pubbliche di smettere di usare Google Analytics e Google Fonts e minacciava azioni legali davanti al GPDP.
La campagna è stata accolta con qualche critica, ma finora ha funzionato. Fabio Pietrosanti, membro di Monitora PA, ha riferito che sono state contattate quasi 8.000 amministrazioni e più di 3.000 hanno smesso di usare GA.
Le richieste di accesso di Monitora PA
Monitora PA ha anche richiesto a migliaia di scuole informazioni relative al loro trattamento dei dati. Più precisamente, ha richiesto l'accesso a diversi documenti che le scuole hanno l'obbligo di conservare ai sensi del GDPR e del diritto amministrativo italiano.
L'obiettivo di Monitora PA è valutare la conformità alle norme sulla protezione dei dati ed eventualmente avviare azioni legali contro le violazioni. Questa iniziativa non riguarda strettamente le GA o i trasferimenti di dati. Tuttavia, essi fanno parte del quadro, poiché Monitora PA richiede la valutazione dell'impatto del trasferimento per ogni scuola, tra gli altri documenti.
L'esecuzione di una TIA è uno degli obblighi dell'esportatore di dati1. Le TIA sono anche il luogo in cui vengono elencate le misure di salvaguardia supplementari per i trasferimenti di dati e ne viene esaminata l'efficacia. Molte scuole si affidano agli strumenti di Google e ai software di altre grandi aziende tecnologiche, ed è difficile pensare che tutte abbiano implementato misure di salvaguardia efficaci. In effetti, alcune scuole non hanno un quadro chiaro di come vengono trattati i dati degli studenti, tanto per cominciare.
Vale la pena ricordare che la DPA danese ha recentemente ordinato alle scuole del comune di Helsingor di licenziare Google Workplace a causa dei trasferimenti di dati richiesti negli Stati Uniti. Alla luce di questo precedente, le richieste di accesso di Monitora PA potrebbero innescare un'indagine sull'utilizzo del software Google e di altri strumenti nelle scuole italiane.
Lo "speciale elettorale" di Monitora PA
A settembre, Monitora PA ha avviato un'altra campagna. Il gruppo ha scoperto che numerosi siti web di partiti politici italiani utilizzavano Google Analytics e Google Fonts e ha chiesto loro di interrompere l'uso di questi strumenti. Monitora PA ha poi presentato una denuncia contro 47 siti web che continuavano a utilizzare GA o GF.
Il tracciamento degli utenti sui siti web delle associazioni politiche è molto problematico. Lo scandalo di Cambridge Analytica dovrebbe ricordarci il potenziale impatto delle pratiche di privacy sulla politica dei Paesi democratici. Inoltre, da un punto di vista strettamente legale, i dati raccolti potrebbero rivelare le opinioni politiche di un utente, che si qualificano come dati sensibili ai sensi del GDPR2 - come ha sottolineato Monitora PA nella sua denuncia.
Le e-mail di Federico Leva
Nel corso dell'estate, l'attivista Federico Leva ha inoltrato migliaia di e-mail a siti web italiani che utilizzano GA, richiedendo la cancellazione dei propri dati personali. Ha affermato che l'uso di GA comporta trasferimenti illegali di dati e che il trattamento dei suoi dati personali per l'analisi web è illegale. Come Monitora Pa, il signor Leva minaccia azioni legali se il responsabile del trattamento non soddisfa le sue richieste.
Critiche
Come abbiamo detto, le campagne di Monitora PA e del signor Leva hanno suscitato reazioni polarizzate nelle comunità legali e della privacy. Le critiche contro queste campagne sono riassunte in un recente documento: una lettera di notifica al GPDP italiano contro Monitora PA e Federico Leva, firmata da numerosi avvocati italiani sotto il coordinamento dell'avvocato Andrea Lisi.
La lettera denuncia che lo spamming di e-mail allarmistiche è un modo improprio per promuovere un'agenda di attivismo altrimenti legittima. Da un punto di vista strettamente legale, la lettera sostiene che queste massicce campagne e-mail possono violare alcune disposizioni del GDPR. La lettera sostiene inoltre che Monitora PA e il signor Leva stanno abusando dei loro diritti ai sensi del GDPR, in quanto li esercitano per attivismo piuttosto che per proteggere la loro privacy.
Ma per quanto ne sappiamo, Monitora PA non ha mai esercitato alcun diritto3 ai sensi del GDPR, il che ha senso dal momento che non ne ha alcuno, tanto per cominciare4. Per quanto riguarda il sig. Leva, l'avvocato e membro del GPDP Guido Scorza ha chiarito in un'intervista che il sig. Leva sta legittimamente esercitando il suo diritto alla cancellazione ai sensi del GDPR e che le sue richieste devono quindi essere accolte. Naturalmente, la posizione dell'avvocato Scorza non riflette necessariamente quella del GPDP, ma è un indizio del fatto che eventuali reclami del signor Leva saranno probabilmente presi sul serio.
Pensieri finali
Le e-mail di Monitora PA e Federico Leva hanno seminato il panico. La minaccia di un'azione legale dietro le loro richieste è reale, ma non ci aspettiamo di vedere una denuncia per ogni singola violazione - il GDPD non potrebbe gestire così tanti casi. Con ogni probabilità, solo le violazioni più gravi saranno portate all'attenzione del GPDP.
A prescindere dalla loro natura controversa, il dibattito suscitato da queste campagne è salutare e si spera che attiri l'attenzione sulle implicazioni per la privacy delle operazioni quotidiane di trattamento dei dati nelle organizzazioni private e pubbliche. Questo è un fatto positivo.
La privacy è un diritto umano e le DPA europee stanno finalmente mostrando i denti vietando Google Analytics nel suo stato attuale.
Non solo Google Analytics non opera nel rispetto della legge, ma non contribuisce nemmeno a creare un web indipendente e favorevole ai visitatori dei siti web. E perché dovrebbero? Guadagnano miliardi grazie al monitoraggio degli utenti di Internet.
Noi di Simple Analytics crediamo che non sia necessario tracciare gli utenti di Internet o raccogliere dati personali per ottenere le informazioni di cui si ha bisogno. Crediamo nella creazione di un web indipendente che sia amichevole per i visitatori del sito. Se questo concetto vi convince, non esitate a provarci.
#1 I TIA non sono menzionati nel GDPR, ma la CGUE ha affermato nella causa Schrems II che il titolare del trattamento deve verificare "se la legislazione del paese terzo di destinazione garantisce una protezione adeguata (...) dei dati personali" (par. 134). [^2]: Art. 9(1) GDPR. 9(1) GDPR. Il trattamento dei dati sensibili è soggetto a regole più severe rispetto alle regole generali per il trattamento dei dati personali ai sensi del GDPR. [^3]: Le e-mail inoltrate alle pubbliche amministrazioni sono reperibili qui e su altri siti web italiani, e i diritti degli interessati non sono mai menzionati. Per quanto riguarda le richieste di Monitora PA alle scuole, si tratta di una forma di accesso civico ai sensi del diritto amministrativo italiano (art. 5, comma 2, d. lgs. 33/2013, poi modificato dall'art. 6, d. lgs. 33/2013). 33/2013, poi modificato dall'art. 6(1) d. lgs. [^4]: Monitora PA non è una persona fisica e quindi non è un soggetto interessato. Si vedano le definizioni di "dati personali" e "interessato" di cui all'art. 4(1) GDPR.