Google e la conformità al GDPR

Il caso della Diffida per violazione del GDPR per utilizzo Google Analytics su sito istituzionale



Recentemente l’attenzione dei Garanti Privacy europei si sta concentrando sulle attività di trattamento di dati personali attraverso i cookies con decisioni certamente rilevanti per tutte le aziende e le pubbliche amministrazioni.

Il particolare interesse rispetto a questa tematica è stato sollecitato dai numerosi reclami inviati da NOYB – organizzazione senza scopo di lucro fondata dall’attivista Maximilian Schrems (già noto per aver dato origine alle famosissime sentenze Schrems), la quale – in maniera massiva – ha inviato reclami a tutte le autorità europee, segnalando che l’utilizzo dei cookies del pacchetto “Google Analytics” violi il GDPR.

Tra le prime autorità a pronunciarsi vi è il Garante Austriaco che ha – con una decisione netta e interessante – ritenuto che l’uso dei cookies Google Analytics da parte di un fornitore di un sito web austriaco violasse il GDPR.

Gli avvoltoi iniziano a volteggiare


La notizia è stata subito cavalcata da diverse “organizzazioni” più o meno credibili, che hanno prontamente inviato email intimidatorie a enti pubblici, comuni e scuole:

Leggi fac simile di diffida

Alla Att.ne del DPO (Responsabile Protezione Dati) dell’Ente.

Diffida per per l’illecito utilizzo di Google Analytics su istsc_XXXXXXX, in violazione del Regolamento generale sulla protezione dei dati personali 2016/679 (GDPR)

Spett.le Ente,

siamo un gruppo di hacker italiani, attiviste e attivisti, cittadine e cittadini attenti alla privacy ed alla tutela dei diritti cibernetici nel nostro Paese: https://privacy.g0v.it

Abbiamo rilevato che il vostro Ente utilizza Google analytics (GA) nel suo sito www.dominio, nonostante sia oramai pacifico che questo strumento non sia conforme ai principi del GDPR in ordine al trasferimento transfrontaliero di dati personali.

L’utilizzo di GA è infatti stato ritenuto illecito dall’EDPS, con riguardo al trattamento dei dati operato dal Parlamento europeo, dall’Autorità di controllo austriaca e da da ultimo da quella francese (si veda in sintesi https://noyb.eu/en/edps-sanctions-parliament-over-eu-us-data-transfers-google-and-stripe).

Riteniamo che il mantenimento, da parte dell’Ente, di un trattamento di dati personali così evidentemente illecito, che comporta un ingiustificato e massivo trasferimento trasfrontaliero di dati personali, riguardante tutti gli utenti del sito, costituisca una grave violazione che debba immediatamente cessare.

Invitiamo pertanto a voler immediatamente provvedere alla rimozione di GA e di qualsiasi altro strumento di analytics o tracking che produca effetti analoghi.

La suddetta violazione, imputabile al Vs. Ente, quale titolare del trattamento, in persona del legale rapp.te pro tempore NOME DEL DS espone l’Ente stesso alle sanzioni amministrative pecuniarie previste dall’art. 83 del GDPR.

La presente viene inviata in via informativa, proprio al fine di consentire una rapida rimozione di Google Analytics, rimandando a quanto raccomandato dalla Agenzia per l’Italia Digitale Web Analytics Italia: https://www.agid.gov.it/it/design-servizi/web-analytics-italia

Il resoconto complessivo delle Pubbliche Amministrazioni in violazione, con particolare riguardo a quelle che non avranno provveduto alla tempestiva rimozione di GA, verrà pubblicato come report e inviato come segnalazione al Garante per la Protezione dei Dati e al Difensore Civico Digitale.

Comunicazioni e diffide di questo genere hanno valore quasi nullo, dal momento che il mittente non ha dichiarato la propria identità e non è quindi identificabile e rintracciabile.

Conviene tuttavia che la scuola risponda tramite PEC, per poter dimostrare, in caso di improbabili futuri contenziosi, di essere comunque intervenuta per verificare la segnalazione.

Approfondimento sulle diffide

La diffida è un atto privato che viene redatto e inviato dall’avvocato di un cliente e non ha nessun legame diretto con il tribunale, a differenza di altri atti giuridici. Come ci si deve comportare se si riceve questa lettera?

Il significato di diffida è un atto con cui una parte privata, attraverso il suo avvocato o in autonomia, invita un’altra parte a compiere un’azione o astenersi da un comportamento. La diffida può essere inviata in modo diverso, ma principalmente si avvale della posta raccomandata con ricevuta di ritorno e della posta elettronica certificata e deve contenere l’intimazione ad adempiere, l’indicazione di un termine adeguato e la dichiarazione che il contratto si intende risolto in caso di inadempimento.

Lo scopo principale della lettera di diffida è quello di sollecitare il destinatario a compiere o non compiere una determinata azione, inviandogli “un’ultima possibilità” prima di procedere con l’avvio di una causa o la richiesta di un decreto ingiuntivo.

La normativa relativa alla diffida ad adempiere è riportata nell’art. 1454 del Codice Civile e conferma che questa lettera può essere scritta sia da un avvocato che da una persone privata che ritiene di aver subito un torto. La corretta procedura di redazione della lettera di diffida è la seguente:

  • data e luogo;
  • generalità del mittente;
  • oggetto della lettera;
  • riportare in modo chiaro i motivi per cui si procede con la lettera;
  • definire le richieste specifiche rivolte al destinatario della diffida;
  • intimazione ad adempiere;
  • indicazione di un termine adeguato entro cui procedere che non può essere inferiore a 15 giorni;
  • avvertimento che il contratto sarà risolto in caso di inadempimento;
  • l’intenzione di prendere iniziative legali in caso di inadempimento per poi richiedere il risarcimento del danno eventualmente subito;

La diffida è un atto che non coinvolge un tribunale, ma viene redatto preferibilmente da un avvocato sulla base delle informazioni che gli ha consegnato il suo cliente o in modo autonomo dalla persona stessa che si considera lesa. Lo scopo principale è quello di dimostrare, in un eventuale futuro contenzioso, di aver manifestato chiaramente le proprie richieste alla controparte.

Un altro aspetto importante da tenere in considerazione è che la diffida, nonostante sia a tutti gli effetti una comunicazione ufficiale, non determina un effetto automatico allo scadere del tempo che è stato assegnato al destinatario per svolgere o non svolgere una azione.

Per le diffide ad adempiere, il Codice Civile ha stabilito un termine minimo di 15 giorni da assegnare alla controparte, ma in caso di una azione molto semplice questo termine può essere abbreviato o, in caso contrario, allungato. L’unico caso in cui una diffida produce un effetto immediato è quando c’è un contratto tra due soggetti in cui uno non ha svolto la propria prestazione: in questo caso il creditore dà al debitore un tempo massimo in cui adempiere all’azione non svolta.

In caso di ricezione di una diffida non è obbligatorio rispondere, ma è sempre positivo, se poi la situazione dovesse sfociare in un procedimento che coinvolge il tribunale, dimostrare al giudice di essersi difesi e di aver contestato le eventuali accuse. La soluzione migliore, qualora non si ritenga corretta la richiesta che si riceve con la diffida, è rispondere con la seguente formula standard: “Contesto integralmente quanto mi si chiede perché destituito di fondamento in fatto e in diritto”.

Nelle sezioni seguenti vedremo quali azioni conviene intraprendere per muoversi nel totale rispetto dei diritti dei cittadini.

Come rispondere?


Easyteam.org SRL consiglia di rispondere tramite PEC, utilizzando una formula e un linguaggio neutri.

Fac simile di risposta

Egregi signori,

L’Istituto Scolastico che rappresento contesta integralmente quanto si chiede, perché destituito di fondamento in fatto e in diritto.

La Vs. comunicazione di diffida manca delle generalità del mittente e anche il sito citato al suo interno non riporta tra i riferimenti di contatto gli indirizzi PEC da Voi menzionati nella Vs. diffida. L’Istituto Scolastico pertanto non può dirsi certo dell’identità del mittente della diffida, che risulta quindi destituita di ogni fondamento.

La diffida stessa contiene poi diverse inesattezze, che ne annullano valore e contenuto: Google Analytics ad esempio consente, dalla dashboard di gestione, di configurare diversi livelli di anonimizzazione dei dati raccolti, e può quindi essere ricondotto a una configurazione GDPR Compliant. L’eventuale non aderenza al GDPR non è tanto legata allo strumento utilizzato, come da voi rilevato, ma piuttosto da una sua non corretta configurazione.

Il nostro Istituto ha da sempre tenuto nella massima considerazione tutti i risvolti legati ai trattamenti di dati personali di chiunque visiti la scuola o il sito Istituzionale. Anche questa volta, come sempre in passato, l’Istituto ha preso seriamente la diffida e a seguito della Vs. comunicazione abbiamo avviato un protocollo di verifiche strutturali del sito.
Già da inizio anno è attivo un sistema di Cookie Policies che consente all’utente di impostare le proprie preferenze sulla registrazione di dati personali tramite cookies: le impostazioni di default delle nostre cookies policies attivano solamente i cookies strettamente funzionali a garantire la corretta fruizione del sito. Da questi cookies sono ovviamente esclusi i cookies di Google Analytics, che devono quindi essere manualmente attivati a parte.

Una verifica con strumenti di terze parti (es: https://www.cookiebot.com/en/ ) ci ha permesso di appurare che di default sul nostro sito istituzionale “Personal data is transmitted to ‘adequate countries’ only (GDPR)“.

Continueremo a implementare una corretta gestione dei dati personali in tutti i sistemi informatici intestati alla scuola e sarà nostra cura avviare un’indagine per verificare che l’attuale configurazione di Google Analytics sia completamente GDPR compliant.

La risposta può essere inoltrata via PEC agli indirizzi specificati nel corpo della diffida.

Come agire?


La comunicazione in sé, come detto in precedenza, non ha alcun valore, ma solleva una questione importante e spesso inosservata: esiste una normativa di riferimento che impone numerosi standard e numerosi accorgimenti ai siti web delle Pubbliche Amministrazioni.

Le scuole sono tutte a norma? Sono in possesso di un sito web che rispecchia tutti i requisiti richiesti?

Come sempre, consigliamo cautela nell’agire e invitiamo a consultare il proprio DPO e il proprio Amministratore di Sistema prima di attivare un qualsiasi tipo di risposta tecnica.

Un buon piano di risposta dovrebbe secondo noi contemplare:

  • analisi dell’utilizzo dei cookies nel sito istituzionale: occorre verificare quali e quanti plugin fanno uso di cookies, che tipo di cookies vengono impostati e che tipo di impatto hanno sui dati dei visitatori
  • implementazione di un sistema di consenso all’uso dei cookies, che deve mostrarsi automaticamente al visitatore e permettere a quest’ultimo di scegliere le proprie impostazioni, a seconda del tipo di cookie e di dato coinvolto
  • riconfigurazione degli strumenti di Google Analytics per raggiungere la totale aderenza al GDPR
  • verifica della corretta configurazione tramite strumenti di analisi dei siti web
  • verifica della rispondenza del sito a tutti i requisiti delle linee guida AgID per i siti delle pubbliche amministrazioni
  • redazione di relazioni su tutti i punti precedenti

Ogni fase richiede competenze specifiche interdisciplinari! Per evitare di vanificare tutto il lavoro a causa di sviste, consigliamo di affidarsi sempre a professionisti riconosciuti e certificati nel settore.

Easyteam.org SRL in aiuto delle scuole!


Easyteam.org SRL, grazie all’alta specializzazione raggiunta dal proprio personale, può affiancare gli Istituti Scolastici in tutte le delicate fasi del processo di analisi e di verifica fornendo:

  • report su ogni fase della verifica
  • suggerimenti e soluzioni per correggere gli eventuali problemi rilevati

Aggiornamento del 13/05/2022


A conferma della nostra visione e della nostra interpretazione, in data 13/05/2022 è uscita una circolare dell’USP Milano che cita copincollandoli alcuni punti della nostra comunicazione e che, sostanzialmente, conferma la linea suggerita da Easyteam.org SRL.

Leggi la comunicazione dell’USP Milano

Ai dirigenti delle istituzioni scolastiche statali della Città Metropolitana di Milano

E’ stata ricevuta segnalazione che ad alcune scuole è giunta una email dall’oggetto “Diffida per violazione del GDPR per utilizzo Google Analytics”, che intima alla scuola stessa di rimuovere gli strumenti di Google Analytics dal sito (servizio di “web analytics” gratuito fornito da Google che consente di analizzare statistiche dettagliate sui visitatori di un sito web), perché non sarebbero conformi al GDPR e alla normativa vigente (General Data Protection Regulation, in italiano Regolamento generale per la protezione dei dati, regolamento europeo del 4 maggio 2016, entrato in vigore il 25 maggio 2017, recepito in Italia con il decreto legislativo 10 agosto 2018, n. 101), e minaccia di allertare il Garante per la protezione dei dati personali e il difensore civico per il digitale di AgID (Agenzia per l’Italia Digitale, Ente pubblico istituito con decreto legge 22 giugno 2012, n. 83), in caso di mancata rimozione.
Mittente è un non meglio precisato “gruppo di hacker italiani, attiviste e attivisti, cittadine e cittadini attenti alla privacy ed alla tutela dei diritti cibernetici nel nostro Paese”, legati al dominio https://privacy.g0v.it/.

Innanzitutto si segnala che il dominio in argomento non è gov.it, ma gZEROv.it, dunque non si tratta di un dominio governativo, ma che vorrebbe apparire tale.

Sul sito in argomento si afferma che sarebbe stato “realizzato il “progetto MonitoraPA”, un vero e proprio osservatorio automatizzato”, che il software eseguirebbe “svariati controlli automatici di conformità al GDPR sui siti web delle Pubbliche Amministrazioni” e infine che “Viene arricchito il dataset Agid-iPA Enti con le informazioni del monitoraggio: web_test_result (0 o 1) web_test_metadata (Identificato Google Analytics) web_test_date (data del test) web_test_time (ora del test).”, lasciando intendere che i mittenti siano gli autori dei dataset realizzati invece da AGID: https://indicepa.gov.it/ipa-dati/dataset/enti

In caso di ricezione (o anche in caso si volesse cautelarsi, prima di un’eventuale ricezione), si invita, prima di mettere in atto qualsiasi risposta tecnica, a consultare il proprio DPO (Data Protection Officer, in italiano Responsabile della protezione dei dati personali) e il proprio Amministratore di Sistema, per procedere alle seguenti verifiche e ad altre da loro suggerite:

  • analisi dell’utilizzo dei cookies nel sito della scuola (quali e quanti plugin fanno uso di cookies, che tipo di cookies vengono impostati e quale impatto hanno sui dati dei visitatori)
  • se non già esistente, implementazione di un sistema di consenso all’uso dei cookies, che, per essere a norma, deve mostrarsi automaticamente al visitatore e permettergli di scegliere le proprie impostazioni, a seconda del tipo di cookie e di dato coinvolto
  • riconfigurazione degli strumenti di Google Analytics o di altro servizio utilizzato, per raggiungere la piena aderenza al GDPR
  • verifica della corretta configurazione tramite strumenti di analisi dei siti web
  • verifica della rispondenza del sito a tutti i requisiti delle linee guida AgID per i siti delle pubbliche amministrazioni (https://www.agid.gov.it/it/linee-guida)
  • predisposizione di report su ogni attività di controllo svolta da tenere agli atti della scuola

Si ricorda infine che questo ufficio già in data 19 aprile 2021 con nota 4792, che si allega in copia per comodità, aveva segnalato la piattaforma AgID denominata Web Analytics Italia, progettata proprio per offrire strumenti di monitoraggio gratuiti e piena aderenza al GDPR.

Cordiali saluti

Silvia Salomone
Segreteria Dirigente

Post simili