French data protection watchdog: Tweaking Google Analytics won’t make it legal
The use of Google’s web analytics tool does not comply with the General Data Protection Regulation (GDPR), the EU data protection law, despite the guarantees offered by the digital giant and the precautions website publishers can take when using the tool, CNIL said in a Q&A published on Tuesday (7 June) on its website. The clarification comes after the agency sent out formal notices to a series of companies in February after it decided data transfers to the US via Google Analytics were illegal. The watchdog’s decision in February, which came one month after its Austrian counterpart issued a similar decision, follows the EU Court of Justice invalidating the so-called “Privacy Shield” – an agreement between the EU and the US on data processing – in July 2020. [...] # An unambiguous ‘no’ In the meantime, France’s data protection authority has been keen to set the record straight. In response to the Q&A question asking whether it is “possible to configure the Google Analytics tool in such a way as not to transfer personal data outside the European Union,” the CNIL responded with an unambiguous “no”. Google confirmed to the French body that all data collected by Google Analytics is indeed hosted on US soil. “Even in the absence of a transfer, the use of solutions proposed by companies subject to non-European jurisdictions is likely to pose difficulties in terms of access to data,” the authority also states. Google proposed additional guarantees like anonymisation and encryption but none have been deemed satisfactory by the CNIL. On anonymisation, CNIL acknowledges that Google offers an IP address anonymisation feature. Still, it does not apply to all transfers, and Google could not demonstrate that such anonymisation occurred before being transferred to the US. According to the CNIL, using unique identifiers is not sufficient either, as their use can be identified through their association with other data. Well aware that Google Analytics is not the only solution offered by Google to companies, the data watchdog notes that “these services, which are widely used in France, can allow the IP address to be cross-checked and thus trace the browsing history of the majority of Internet users on a large number of sites.” The CNIL also addressed the encryption solutions proposed by Google, saying they were ineffective due to Google offering and conserving encryption keys, allowing it to access personal data if it so wishes. Companies wishing to keep using the tool need explicit consent from the individuals concerned. https://www.euractiv.com/section/data-protection/news/french-watchdog-tweaki... Ad oggi, la stragrande maggioranza delle risposte che abbiamo ricevuto dalle PA che abbiamo contattato con Monitora PA, contiene rigraziamenti. Tuttavia una dozzina sostiene che l'anonimizzazione di Google Analytics garantisce una protezione sufficiente agli utenti. A questi DPO / Titolari del trattamento non rispondiamo. Lo spiegheranno al Garante della Privacy su nostra segnalazione. Giacomo
Grazie Giacomo! quindi è confermato, ANCORA, che usare i servizi Google non rispetta il GDPR; adesso senza dubbio qualcuno interverrà! :-O Giacomo Tesio <giacomo@tesio.it> writes: [...]
“Even in the absence of a transfer, the use of solutions proposed by companies subject to non-European jurisdictions is likely to pose difficulties in terms of access to data,” the authority also states.
questo conferma quanto già sottolineato più volte da Giacomo (et al?) non vale mica solo per Google Analytics, neh! [...]
According to the CNIL, using unique identifiers is not sufficient either, as their use can be identified through their association with other data.
[...]
Well aware that Google Analytics is not the only solution offered by Google to companies, the data watchdog notes that “these services, which are widely used in France, can allow the IP address to be cross-checked and thus trace the browsing history of the majority of Internet users on a large number of sites.”
intitolato "sulla anonimità farlocca dei (meta)dati"
The CNIL also addressed the encryption solutions proposed by Google, saying they were ineffective due to Google offering and conserving encryption keys, allowing it to access personal data if it so wishes.
oh, chi l'avrebbe mai detto?!? :-O [...]
Ad oggi, la stragrande maggioranza delle risposte che abbiamo ricevuto dalle PA che abbiamo contattato con Monitora PA, contiene rigraziamenti.
ottimo segnale, grazie dell'informazione! ... pensa come a volte basta confrontarsi civilmente per riuscire a comprendersi, ma perché altre iniziative simili non sortiscono effetto, allora? penso per esempio alla mancata applicazione dell'art 68 del CAD di cui si è parlato ampiamente in un thread; mi auto-cito: https://server-nexa.polito.it/pipermail/nexa/2021-May/021342.html ci sono state (almeno) due iniziative: - LugBZ (2021-04-20): https://www.lugbz.org/provincia-la-valutazione-comparativa-non-e-facoltativa... - ILS (2020-12): https://www.ils.org/2020/12/20/formati-digitali-esposto-corte-conti.html è il 10 Giugno 2022 e siamo ancora in attesa di una necessaria pronuncia della Corte dei Conti, attendiamo pazientemente
Tuttavia una dozzina sostiene che l'anonimizzazione di Google Analytics garantisce una protezione sufficiente agli utenti.
A questi DPO / Titolari del trattamento non rispondiamo. Lo spiegheranno al Garante della Privacy su nostra segnalazione.
Attendiamo pazientemente anche la pronuncia del Garante della Privacy italiano [...] Saluti, 380° -- 380° (Giovanni Biscuolo public alter ego) «Noi, incompetenti come siamo, non abbiamo alcun titolo per suggerire alcunché» Disinformation flourishes because many people care deeply about injustice but very few check the facts. Ask me about <https://stallmansupport.org>.
Ciao Giovanni e Nexa, mi scuso per il delay (ed il modo discontinuo con cui in questo periodo riesco a seguire gli interessantissimi dibattiti sulla mailing-list). On Fri, 10 Jun 2022 17:02:14 +0200 380° wrote:
“Even in the absence of a transfer, the use of solutions proposed by companies subject to non-European jurisdictions is likely to pose difficulties in terms of access to data,” the authority also states.
questo conferma quanto già sottolineato più volte da Giacomo (et al?)
non vale mica solo per Google Analytics, neh!
Naturalmente no! Ad oggi, 21 PA ci hanno risposto di aver rimosso Google Analytics (talvolta allegando screenshot della dashboard in cui cancellavano la sottoscrizione al servizio) pur avendolo ancora sul sito. A tutte abbiamo risposto con indicazioni specifiche su dove trovarlo (ed, laddove fattibile via mail, su come rimuoverlo). Per 3 di queste 21 PA, Google Analytics veniva introdotto da Google Tag Manager, un aggregatore di JS fornito da Google. A queste 3 PA abbiamo provato a chiarire che GTM, oltre ad essere il servizio da cui rimuovere GA, produce di per sé un trasferimento di dati personali dei visitatori verso Google privo di una base giuridica, sin dalla prima richiesta HTTP.
According to the CNIL...
Per chi fosse interessato, abbiamo pubblicato una traduzione italiana (ovviamente non ufficiale) delle FAQ del CNIL: https://monitora-pa.it/2022/06/14/faq-cnil.html Le risposte ad alcune domande sono cristalline ed inequivocabili: - Le clausole contrattuali standard e le garanzie aggiuntive possono consentire l'utilizzo di Google Analytics? https://monitora-pa.it/2022/06/14/faq-cnil.html#05 - È possibile configurare lo strumento Google Analytics in modo da non trasferire dati personali al di fuori dell'Unione Europea? https://monitora-pa.it/2022/06/14/faq-cnil.html#06 - Ci sono sufficienti garanzie aggiuntive per continuare a utilizzare lo strumento Google Analytics da solo? https://monitora-pa.it/2022/06/14/faq-cnil.html#09 - I titolari del trattamento possono adottare un approccio basato sul rischio, tenendo conto della probabilità delle richieste di accesso ai dati? https://monitora-pa.it/2022/06/14/faq-cnil.html#13
... pensa come a volte basta confrontarsi civilmente per riuscire a comprendersi, ma perché altre iniziative simili non sortiscono effetto, allora?
Onestamente, non lo so. Ho delle ipotesi, ma non ho modo di verificarle. Una delle caratteristiche peculiari di Monitora PA è certamente quella di essere _anzitutto_ una comunità hacker. La nostra "do-ocracy" come l'ha chiamata in un intervista Fabio, è davvero molto spinta: _solo_ chi fa, decide cosa fare. E questo spiazza molti, dentro e fuori la nostra comunità. Molte gerarchie comuni fuori da Monitora PA, anche se basate sulla effettiva competenza, vengono messe sistematicamente in discussione. E questo semplicemente perché non puoi dire ad un hacker "è così perché io sono un esperto della materia e te lo dico io". O megli: puoi, ma è il modo migliore per costringerlo a costringerti a spiegare, sin dalle fondamenta della tua disciplina, il tuo ragionamento mettendo in discussione ogni singolo passaggio logico poco chiaro. E questo approccio può produrre tensioni con chi non c'è ancora abituato. Analogamente, verso l'esterno, avere a che fare con hacker che non fanno defeacement, non sottraggono dati, non diffondono ransomware e non chiedono riscatti, ha spiazzato moltissime PA. Qualcuna avrà certamente rimpianto i riscatti! :-D Un'altra spiegazione del nostro successo l'ha ipotizzata Marco Ciurcina https://www.cybersecurity360.it/legal/privacy-dati-personali/monitorapa-prim... Monitora PA gioca bene con "il grigio" del diritto. E' probabile che sia vero, sebbene le molte risposte di ringraziamento che stiamo ricevendo (qualcuna l'abbiamo pubblicata, anonima, qui: https://monitora-pa.it/2022/06/12/una-passeggiata-tra-i-fiori.html ) mi fa pensare che in realtà ci sia una sensibilità molto più diffusa di quanto si immagini sul tema fra le persone che lavorano nella PA. Ciò che manca, forse, è la piena consapevolezza dei gravissimi danni che gli strumenti di Google causano ai cittadini ed alla società. Per questo credo che la maggioranza di quelli che ci rispondono, ci ringraziano: abbiamo aperto loro gli occhi su un problema serio. E d'altro canto, è probabile che ci sia un forte bias di selezione nelle risposte che riceviamo. Chi non condivide i nostri obbiettivi, perché non li comprende o perché scientemente _vuole_ favorire la sorveglianza Google, non ci risponde.
penso per esempio alla mancata applicazione dell'art 68 del CAD di cui si è parlato ampiamente in un thread; mi auto-cito: https://server-nexa.polito.it/pipermail/nexa/2021-May/021342.html
Appena possibile cercherò di contattare il lug di Bolzano per chiedere maggiori informazioni sul processo che hanno adottato. E' una delle ipotesi sulle azioni che potremmo intraprendere a valle della segnalazione al Garante, in attesa che ci risponda: richiedere la valutazione comparativa che ha portato all'adozione di Google Analytics rispetto a Web Analytics Italia. Non è detto però che potremo farla massivamente, anche solo per poter gestire le molte risposte che riceveremo. Diversi DPO si sono resi disponibili sulla nostra chat ad aiutarci a vagliarle, ma le PA che hanno ancora GA sono oltre 3000. Anche distribuendo il carico fra tutti, 3000 valutazioni comparative sono troppe per essere gestite in un tempo ragionevole e senza errori. Il difensore civico potremmo anche contattarlo per segnalare il non aggiornamento dell'anagrafica degli Enti di AgID da parte di alcune migliaia di PA (PA che, non avendo aggiornato da anni il loro sito web in tale anagrafica, sono sfuggite al nostro monitoraggio... fin ora)
Attendiamo pazientemente anche la pronuncia del Garante della Privacy italiano
Beh, sicuramente non vorrà lasciare migliaia di Titolari sulle spine. In assenza di una legittimazione giuridica per il trasferimento, la presenza di Google Analytics sui siti web delle PA costituisce una grave violazione della riservatezza delle comunicazioni fra cittadini e PA. Ricordiamoci che abbiamo scuole, ospedali, asl e ministeri fra le PA ancora infette. Tale violazione della riservatezza costituisce, secondo noi, un grave data-breach. I Titolari ne sono venuti a conoscenza con la nostra segnalazione e devono porvi rimedio il prima possibile. E più tempo passa, più grave diventa la responsabilità dei Titolari stessi. Peraltro, alcune PA ci hanno scritto di aver chiesto loro stesse un giudizio al Garante che non ha ancora risposto. Comunque noi in realtà non attendiamo: una volta inviata la segnalazione riprenderemo con lo sviluppo del nuovo osservatorio e con il resto dei nostri hack https://monitora-pa.it/2022/05/30/ongoing-hacks-202206.html#oltre-google-ana... E poi c'è la questione di Halley Informatica & all, osservata da Christian Barnieri e che merita sicuramente una sé, sebbene questa volta le PA ed i titolari siano vittime, accanto ai cittadini: https://web.archive.org/web/20220521064756/https://bernieri.blogspot.com/202... Fare Politica è anzitutto FARE, prendersi cura della società cibernetica in cui viviamo per renderla veramente democratica. Chiunque voglia unirsi a noi, è il benvenuto. Siamo strambi, anomali, imprevedibili e inarrestabili... non "cattivi". Insomma... siamo hacker! ;-) Giacomo
participants (2)
-
380° -
Giacomo Tesio