Paid – Google Analytics e le indicazioni della CNIL

17 Giugno 2022 by - generali

In Italia un gruppo di attivisti sta mettendo sotto osservazione l’uso di Google Analytics nei siti degli enti pubblici, non tutti (sono escluse le scuole attualmente).

Rispetto alle indicazioni pre GDPR (si poteva usare Google anonimizzato), oggi l’indirizzo è cambiato per via della Schrems II.

Ecco perchè il tema traccianti / cookies riguarda anche il traffico di rete che gira tramite aziende con sede anche negli USA, che per il cloud Act hanno il dovere di consentire ai organi americani, senza bisogno di giudice, di controllare i dati personali di chiunque.

Nel testo riservato agli abbonati in straordinaria sintesi i punti che servono nel lavoro quotidiano di chi lavora sul web, app e servizi online, anche saas, sia come titolare che dpo, installatore o anche gestore.

Segue anche l’elenco degli adempimenti per provare l’accountabilità, la conformità alla normativa.

Perchè Google ?

Google ha accesso a tutte le attività svolte su un computer. Tramite gli aggiornamenti di Chrome sa quando un computer viene acceso e con quale ip.

A quel punto la navigazione online proveniente dallo stesso ip puo’ essere meglio associata al singolo.

Ecco che le analitiche che a noi restituiscono pagina e poco altro, per Google significa molto di piu’, significa poter tracciare tutta l’attività.

Google aggiungi numerosi traccianti in tanti prodotti gratuiti e a pagamento online.

Anonimizzare le statistiche e’ poco rilevante.

Come si traccia online

Uso tracciamento indipendentemente da profilazione: sono entrambi trattamento non funzionali ad un risultato, ad una prestazione negoziato con il visitatore del sito o dell’app.

Si traccia tramite:

  • cookies
  • sqllist e i db presenti nei browser
  • le cdn ai font di Google
  • le cdn a librerie jquery, css o js
  • tramite traffico di rete (gestione dei domini fatti girare dagli USA)
  • tramite server posizionati in Europa o negli USA ma gestiti da società con una sede negli USA

Intendiamoci: sono attività possibili anche in Europa, ma quelle negli USA, scoperte da autorizzazione per la sentenza Schrems II, rende IL TITOLARE responsabile dell’uso di strumenti forniti da fornitori che non puo’ controllare.

Recentemente anche il titolare e’ stato ritenuto responsabile per non aver fornitore istruzioni alla società di sviluppo.

Quali adempimenti ?

C’e’ poco da fare per aggirare il divieto: gli adempimenti sono notevoli

Bisogna:

  • incaricare e mansionare il fornitore
  • fare il backup delle soluzioni informatiche e testi adottati non per backup ma per documentare l’adempimento
  • redigere preliminarmente una analisi sommaria dei rischi
  • minimizzare i dati in modo piu’ stringente
  • crittare i dati personali prima di inviarli (si veda condanna Bocconi)

L’alternativa, informatica e’ di:

  • rimuovere i pixel retargeting
  • rimuovere i tag manager
  • rimuovere i google analytics
  • rimuovere ogni collegamento con gli USA.

Probabilmente concorderete con me che fermare:

  • cloudflare
  • hosting provider (che usano strutture informatiche USA senza dichiararlo)
  • cookiebot, prima danese, ma da quando assorbito da azienda USA ogni consenso privacy passa da un ping inviato ad ogni accesso negli USA. Quindi vietato da una sentenza

puo’ costituire una caccia alle streghe nella quale le DPA, data privacy authorities, per ora cercano di non multare sempre. Le autorità europee si stanno muovendo insieme, ma con i piedi di piombo per un problema che, visto coerentemente, dovrebbe vietare l’utilizzo di ogni smartphone, tablet, windos, mac e talune distribuzione di Linux. Gli stessi Nokia hanno introdotto su symbian delle app di Google non rimuovibili.

La soluzione ?

Inserire software hostato in Europa da aziende europee senza l’aiuto di azienda americane.

I costi di ricerca salgono.