Il Garante per la Protezione dei dati Personali e il provvedimento su Google Analytics

Dopo i colleghi austriaci e francesi, anche il nostro Garante della Privacy si è espresso sul caso di Google Analytics, con il provvedimento numero 224 del 9 giugno 2022, ma reso noto solo il giorno 27 giugno 2022.

Il provvedimento porta finalmente un po’ di luce nella vicenda e contiene alcune linee di comportamento, che potranno sicuramente aiutare ad orientarsi nella vicenda, i cui capitoli precedenti possono essere letti qui:

• GOOGLE E LA CONFORMITÀ AL GDPR – IL CASO DELLA DIFFIDA PER VIOLAZIONE DEL GDPR PER UTILIZZO GOOGLE ANALYTICS SU SITO ISTITUZIONALE
• LA PAGLIUZZA E LA TRAVE NEGLI OCCHI DI CHI PREDICA BENE E RAZZOLA MALE

Numerosi DPO si sono subito buttati sulla notizia, chiedendo alle scuole assistite di rimuovere immediatamente Google Analytics dai propri siti istituzionali.

Ma le cose stanno proprio così?

Secondo i consulenti di Easyteam.org SRL le cose vanno lette un po’ più in profondità, con la giusta dose di onestà intellettuale e senza gridare immediatamente “al lupo al lupo” .

il provvedimento del garante si riferisce a un caso molto specifico: quello del magazine online caffeinamagazine.it, che:

• chiede la registrazione ai suoi visitatori e offre la possibilità di registrarsi tramite gli account personali Google o Facebook
• è un sito a scopo di lucro e quindi non equiparabile ai siti istituzionali delle scuole
• solo quando si sono verificate le condizioni di registrazione e di login tramite account Google o Facebook fa scattare un trattamento dati che il garante ha ritenuto illecito.

La condizione di un sito istituzionale scolastico è estremamente differente: la scuola non richiede la registrazione dei visitatori, né tantomeno fornisce la possibilità di registrarsi al sito tramite gli account personali Facebook e/o Google. Secondo i consulenti di Easyteam.org SRL queste condizioni fanno si che il provvedimento del Garante non sia applicabile al caso degli istituti scolastici, o quantomeno che non sussista una diretta estensione implicita del provvedimento ai siti scolastici.

Riteniamo quindi che la questione meriti quantomeno un approfondimento, interrogando gli uffici del Garante e/o attendendo ulteriori provvedimenti.

Easyteam.org SRL ritiene che la questione d Google Analytics non sia da prendere alla leggera, ma crede anche che non si debba cedere all’isteria, soprattutto in un momento in cui le istituzioni stanno mettendo sul piatto ingenti fondi per ammodernare la presenza su web delle Pubbliche Amministrazioni, con tempi e paletti ben definiti.

Tecnicamente, la rimozione di Google Analytics non è semplice come si potrebbe pensare: non si tratta di “accendere o spegnere” un bottone, come abbiamo letto in alcune comunicazioni di DPO, ma occorre verificare il CODICE:

• Del template utilizzato
• Di tutti i plugin utilizzati dal sito

L’attivazione di Google Analytics può infatti avvenire in due modaliltà:

1. tramite l’attivazione, da parte del Webmaster, delle funzionalità di analisi del traffico e la registrazione del sito sulla piattaforma di Google Analytics. Questa è la modalità più semplice da affrontare: è sufficiente andare sulla piattaforma di Google Analytics e de-registrare il sito della scuola dal monitoraggio (Vedi qui le istruzioni di Google)
2. tramite l’inclusione del codice di Google Analytics in un plugin. Supponiamo ad esempio che lo sviluppatore di quel bellissimo plugin che abbiamo trovato per gestire le fotogallery abbia deciso che vuole tenere traccia di quanto e come viene usato il suo plugin, e che abbia quindi inserito nel codice del plugin dei richiami a Google Analytics. Attivando il plugin attiveremmo anche, a nostra insaputa, un tracciamento Google Analytics

Ecco quindi che ripulire completamente un sito da Google Analytics può diventare oneroso e anche complicato, se non si hanno le giuste conoscenze tecniche.

Anche per questi motivi il PNRR 1.4.1 spinge a utilizzare il Modello di sito scolastico di AgID, che ha un codice molto controllato già all’origine, e fornisce una serie di linee guida che, se lette e comprese, limitano di molto la possibilità di servirsi di “qualsiasi plugin ci piaccia”, riducendo quindi al limite la possibilità di imbattersi in Google Analytics o altri strumenti contrari al GDPR.

Il termine di 90 giorni imposto dal Garante a caffeinemagazine.it è secondo noi da leggersi come riferito a una società privata che trae profitto dal proprio sito web.

Nel caso di un sito istituzionale, per definizione non a scopo di lucro, l’unico termine temporale che secondo noi fa fede è quello imposto dalle scadenze del finanziamento PNRR, a cui invitiamo ad aderire senza indugi.

Che fare, quindi?

Nell’improbabile caso in cui alla scuola arrivi una richiesta di rimozione di Google Analytics da parte del Garante della Privacy, riteniamo che una prima risposta potrebbe toccare questi punti:

• la scuola è consapevole del problema legato a Google Analytics e dei risvolti che ha sulla privacy dei visitatori del proprio sito
• la scuola ha aderito alla richiesta di finanziamento del PNRR 1.4.1 e sta sviluppando, nei tempi previsti dalla Misura 1.4.1, un nuovo sito istituzionale che risolverà alla radice il problema, andando ad adottare esclusivamente strumenti caldeggiati da AgID
• la scuola sta impegnando risorse per il lancio del nuovo sito istituzionale e chiede quindi di rivalutare il tempo individuato dal Garante per la rimozione di Google Analytics
• la scuola, al termine dei lavori legati al PNRR 1.4.1 sarà chiamata a produrre una Dichiarazione di conformità, che includerà la descrizione di tutte le misure intraprese per l’applicazione di quanto richiesto dal Garante della Privacy