Ciao Giovanni e Nexa, mi scuso per il delay (ed il modo discontinuo con cui in questo periodo riesco a seguire gli interessantissimi dibattiti sulla mailing-list). On Fri, 10 Jun 2022 17:02:14 +0200 380° wrote:
“Even in the absence of a transfer, the use of solutions proposed by companies subject to non-European jurisdictions is likely to pose difficulties in terms of access to data,” the authority also states.
questo conferma quanto già sottolineato più volte da Giacomo (et al?)
non vale mica solo per Google Analytics, neh!
Naturalmente no! Ad oggi, 21 PA ci hanno risposto di aver rimosso Google Analytics (talvolta allegando screenshot della dashboard in cui cancellavano la sottoscrizione al servizio) pur avendolo ancora sul sito. A tutte abbiamo risposto con indicazioni specifiche su dove trovarlo (ed, laddove fattibile via mail, su come rimuoverlo). Per 3 di queste 21 PA, Google Analytics veniva introdotto da Google Tag Manager, un aggregatore di JS fornito da Google. A queste 3 PA abbiamo provato a chiarire che GTM, oltre ad essere il servizio da cui rimuovere GA, produce di per sé un trasferimento di dati personali dei visitatori verso Google privo di una base giuridica, sin dalla prima richiesta HTTP.
According to the CNIL...
Per chi fosse interessato, abbiamo pubblicato una traduzione italiana (ovviamente non ufficiale) delle FAQ del CNIL: https://monitora-pa.it/2022/06/14/faq-cnil.html Le risposte ad alcune domande sono cristalline ed inequivocabili: - Le clausole contrattuali standard e le garanzie aggiuntive possono consentire l'utilizzo di Google Analytics? https://monitora-pa.it/2022/06/14/faq-cnil.html#05 - È possibile configurare lo strumento Google Analytics in modo da non trasferire dati personali al di fuori dell'Unione Europea? https://monitora-pa.it/2022/06/14/faq-cnil.html#06 - Ci sono sufficienti garanzie aggiuntive per continuare a utilizzare lo strumento Google Analytics da solo? https://monitora-pa.it/2022/06/14/faq-cnil.html#09 - I titolari del trattamento possono adottare un approccio basato sul rischio, tenendo conto della probabilità delle richieste di accesso ai dati? https://monitora-pa.it/2022/06/14/faq-cnil.html#13
... pensa come a volte basta confrontarsi civilmente per riuscire a comprendersi, ma perché altre iniziative simili non sortiscono effetto, allora?
Onestamente, non lo so. Ho delle ipotesi, ma non ho modo di verificarle. Una delle caratteristiche peculiari di Monitora PA è certamente quella di essere _anzitutto_ una comunità hacker. La nostra "do-ocracy" come l'ha chiamata in un intervista Fabio, è davvero molto spinta: _solo_ chi fa, decide cosa fare. E questo spiazza molti, dentro e fuori la nostra comunità. Molte gerarchie comuni fuori da Monitora PA, anche se basate sulla effettiva competenza, vengono messe sistematicamente in discussione. E questo semplicemente perché non puoi dire ad un hacker "è così perché io sono un esperto della materia e te lo dico io". O megli: puoi, ma è il modo migliore per costringerlo a costringerti a spiegare, sin dalle fondamenta della tua disciplina, il tuo ragionamento mettendo in discussione ogni singolo passaggio logico poco chiaro. E questo approccio può produrre tensioni con chi non c'è ancora abituato. Analogamente, verso l'esterno, avere a che fare con hacker che non fanno defeacement, non sottraggono dati, non diffondono ransomware e non chiedono riscatti, ha spiazzato moltissime PA. Qualcuna avrà certamente rimpianto i riscatti! :-D Un'altra spiegazione del nostro successo l'ha ipotizzata Marco Ciurcina https://www.cybersecurity360.it/legal/privacy-dati-personali/monitorapa-prim... Monitora PA gioca bene con "il grigio" del diritto. E' probabile che sia vero, sebbene le molte risposte di ringraziamento che stiamo ricevendo (qualcuna l'abbiamo pubblicata, anonima, qui: https://monitora-pa.it/2022/06/12/una-passeggiata-tra-i-fiori.html ) mi fa pensare che in realtà ci sia una sensibilità molto più diffusa di quanto si immagini sul tema fra le persone che lavorano nella PA. Ciò che manca, forse, è la piena consapevolezza dei gravissimi danni che gli strumenti di Google causano ai cittadini ed alla società. Per questo credo che la maggioranza di quelli che ci rispondono, ci ringraziano: abbiamo aperto loro gli occhi su un problema serio. E d'altro canto, è probabile che ci sia un forte bias di selezione nelle risposte che riceviamo. Chi non condivide i nostri obbiettivi, perché non li comprende o perché scientemente _vuole_ favorire la sorveglianza Google, non ci risponde.
penso per esempio alla mancata applicazione dell'art 68 del CAD di cui si è parlato ampiamente in un thread; mi auto-cito: https://server-nexa.polito.it/pipermail/nexa/2021-May/021342.html
Appena possibile cercherò di contattare il lug di Bolzano per chiedere maggiori informazioni sul processo che hanno adottato. E' una delle ipotesi sulle azioni che potremmo intraprendere a valle della segnalazione al Garante, in attesa che ci risponda: richiedere la valutazione comparativa che ha portato all'adozione di Google Analytics rispetto a Web Analytics Italia. Non è detto però che potremo farla massivamente, anche solo per poter gestire le molte risposte che riceveremo. Diversi DPO si sono resi disponibili sulla nostra chat ad aiutarci a vagliarle, ma le PA che hanno ancora GA sono oltre 3000. Anche distribuendo il carico fra tutti, 3000 valutazioni comparative sono troppe per essere gestite in un tempo ragionevole e senza errori. Il difensore civico potremmo anche contattarlo per segnalare il non aggiornamento dell'anagrafica degli Enti di AgID da parte di alcune migliaia di PA (PA che, non avendo aggiornato da anni il loro sito web in tale anagrafica, sono sfuggite al nostro monitoraggio... fin ora)
Attendiamo pazientemente anche la pronuncia del Garante della Privacy italiano
Beh, sicuramente non vorrà lasciare migliaia di Titolari sulle spine. In assenza di una legittimazione giuridica per il trasferimento, la presenza di Google Analytics sui siti web delle PA costituisce una grave violazione della riservatezza delle comunicazioni fra cittadini e PA. Ricordiamoci che abbiamo scuole, ospedali, asl e ministeri fra le PA ancora infette. Tale violazione della riservatezza costituisce, secondo noi, un grave data-breach. I Titolari ne sono venuti a conoscenza con la nostra segnalazione e devono porvi rimedio il prima possibile. E più tempo passa, più grave diventa la responsabilità dei Titolari stessi. Peraltro, alcune PA ci hanno scritto di aver chiesto loro stesse un giudizio al Garante che non ha ancora risposto. Comunque noi in realtà non attendiamo: una volta inviata la segnalazione riprenderemo con lo sviluppo del nuovo osservatorio e con il resto dei nostri hack https://monitora-pa.it/2022/05/30/ongoing-hacks-202206.html#oltre-google-ana... E poi c'è la questione di Halley Informatica & all, osservata da Christian Barnieri e che merita sicuramente una sé, sebbene questa volta le PA ed i titolari siano vittime, accanto ai cittadini: https://web.archive.org/web/20220521064756/https://bernieri.blogspot.com/202... Fare Politica è anzitutto FARE, prendersi cura della società cibernetica in cui viviamo per renderla veramente democratica. Chiunque voglia unirsi a noi, è il benvenuto. Siamo strambi, anomali, imprevedibili e inarrestabili... non "cattivi". Insomma... siamo hacker! ;-) Giacomo