Sono felici i ranocchi al sole, si crogiolano, si scaldano e mettono a frutto lo sforzo di essere riusciti a salire su una foglia galleggiante. Peccato che, come spesso accade, basta un soffio di vento, tenue come un dubbio, basta una piccola onda, armoniosa come la razionalità, per destabilizzare tutto e causare gelidi bagni e gracidii infastiditi.
Forse questo non è ancora del tutto evidente ma quella piccola onda, provocata dal lancio del sasso, sta per diventare uno Tsunami.
Il progetto Monitora PA (https://privacy.g0v.it/) ha agitato le acque nella pubblica amministrazione semplicemente partendo dalla constatazione che… la PA non rispetta le regole che si è data.
Forse questo sembra normale in un paese dove il Diritto, ed in particolare le norme in materia di protezione dei dati personali, sono paragonate a fisime, ma di normale c’è ben poco.
Cosa è stato osservato? Quale tabù è stato infranto?
In realtà, è bastato accedere come utenti ad alcuni siti web della pubblica amministrazione per rendersi conto che sono largamente in uso i codici di Google Analytics: un diffuso sistema per monitorare il traffico di rete, visualizzare coloratissimi grafici e curiosare morbosamente nelle abitudini e nei comportamenti dei visitatori.
Quello che non è noto agli utilizzatori è il fatto che Google Analytics “regala” queste fantastiche dashboard, tanto care ai dirigenti con ambizioni di influencer, ma in cambio acquisisce e si tiene una mole di dati personali dieci volte superiore a quelli necessari per generare le statistiche visibili all’utilizzatore stesso. Questi dati ulteriori sono utilizzati da Google per fini propri e in una giurisdizione che favorisce, di fatto, qualsiasi tipo di trattamento, prescindendo dal consenso, dall’informativa e dal rispetto delle garanzie imposte dal GDPR e dalla direttiva E-Privacy.
Rimanendo su metafore etologiche, Monitora PA potrebbe essere quel battito di ali di farfalla che farà cambiare molte cose in robusti palazzi istituzionali, spacciandoli come un uragano.
Il progetto parte con l’analisi di una moltitudine di siti web ricavandone dati allarmanti. Il seguito è già parzialmente definito, le rispettive PA sono state avvisate di ciò che, con tutta evidenza, è una palese violazione del GDPR, sono state invitate a provvedere e, entro qualche settimana, saranno sottoposte a nuovi accessi. Il passo successivo sarà una segnalazione formale al Garante per segnalare i siti inadempienti per permettere le opportune verifiche.
E’ meraviglioso ciò che accade quando le persone si accorgono di contare più di chi le rappresenta o amministra. Non tanto guardando alle persone, quanto piuttosto osservando le più disparate reazioni di chi, tranquillo come un ranocchio al sole, viene bruscamente riportato alla realtà.
Quando ho letto i dettagli del progetto mi sono compiaciuto per l’iniziativa, ho iniziato a fantasticare sui possibili risvolti pratici e mi sono dispiaciuto di non essere uno dei membri attivi del gruppo di lavoro.
Forse questa velata amarezza mi ha spinto a prendere i dati (pubblicati da MonitoraPA) e fare qualche piccola elaborazione e considerazione. In realtà, non ho fatto altro che riordinare i dati e rileggere il tutto con gli occhi di DPO.
Già, perché questo sono, questo so fare e questo è il filtro con il quale leggo la realtà che mi circonda.
Ciò su cui desidero soffermarmi è il fatto che alcuni codici GA si ripetono più volte.
Teoricamente, ogni gestore di siti web, ottiene da Google il proprio codice GA, da assegnare ad uno o più siti, per qualificare i dati dei visitatori e generare statistiche e analisi comportamentali.
Il fatto che alcuni codici GA si ripetano due o tre volte e siano comuni a siti affini (stesso istituto, stesso ente, plessi della medesima direzione didattica, ecc) non deve stupire ed è decisamente normale.
Smette di essere normale che il medesimo codice GA sia ripetuto 20 - 40 - 100 - 1000 volte su siti di enti che non hanno nulla in comune, almeno all’apparenza.
Cosa dire di quei codici GA ripetuti migliaia di volte in migliaia di siti completamente eterogenei?
Gli occhi del DPO, allenati a riconoscere sia la malizia che l’ignoranza, intravedono un’ombra, un sospetto che, con pochi click, si palesa in tutta la sua portata: i codici GA ripetuti molte volte sono, con tutta probabilità, attribuiti a PROVIDER attivi nei servizi offerti alla PA. Quanto meno, sono attribuiti a soggetti terzi all’ente utilizzatore del sito.
In pratica, ignoti malfattori, probabilmente Hacker con la felpa ed il cappuccio, o forse i fornitori che hanno venduto i siti di enti locali, comuni, istituti scolastici, RSA, ecc, hanno inserito il proprio codice per ricevere le statistiche dettagliate di uso dei siti dei propri clienti/bersagli.
Quegli stessi dati che lusingano i sindaci, i dsga, i dirigenti della PA, promettendo istogrammi colorati e contatori di visite giornaliere degni di un trapper, sono contemporaneamente dati assai remunerativi sia per Google che per i provider. Basti pensare quanto possa essere desiderabile poter profilare un visitatore che genera dati di traffico di un hospice, di una scuola primaria, di un piccolo comune a vocazione turistica.
Purtroppo queste banali considerazioni non sono evidenti a chi dovrebbe proteggere quegli stessi dati dall’uso che terzi possano volerne fare, con il pessimo risultato di diventare complici dei peggiori e più invasivi trattamenti ai danni di ignari cittadini.
Spoiler: non finirà bene.
Tornando all’analisi dei dati, emergono alcuni codici ripetuti, non tantissimi per la verità, ma la quantità di siti coinvolti è preoccupante:
UA-76348362-1 Comune a 1335 siti
UA-98100247-1 Comune a 350 siti
UA-164699789-2 Comune a 85 siti
UA-37309701-1 Comune a 80 siti
UA-34776001-1 Comune a 54 siti
UA-7461716-1 Comune a 21 siti
UA-34412067-4 Comune a 20 siti
UA-58365471-1 Comune a 17 siti
UA-166283354-1 Comune a 13 siti
UA-57198021-1 Comune a 12 siti
UA-76516745-1 Comune a 10 siti
UA-7870337-1 Comune a 10 siti
UA-71629840-1 Comune a 7 siti
A questo punto, un DPO, pensando al proprio collega nominato DPO presso questi oltre 2.000 enti, alza gli occhi al cielo ed esclama: stercorem pro cerebro habeas!
Ma manteniamo la calma, andiamo con ordine e vediamo, uno per uno, di che cosa si tratta.
UA-76348362-1 comune a 1335 siti
Si tratta in massima parte di siti istituzionali di comuni sparsi in tutta Italia. Non mancano unioni consortili, scuole, RSA ed altri enti ma la massima parte sono Comuni.
Cosa condividono tutti questi enti?
Niente, se non il fornitore Halley Informatica (http://www.halley.it/home/hh/index.php)
L’azienda non si presenta bene perchè sul proprio sito (che lavora in HTTP e non in HTTPS) non rispetta le linee guida del Garante in materia di Cookie e tracciatori. L’informativa privacy racconta una storia che non ha nulla a che vedere con la realtà, parla di trattamenti che, con tutta evidenza, sono svolti in modo difforme da quanto descritto, non dice nulla sui tempi di retention, non parla di basi di legittimazione e, soprattutto, non parla affatto del trattamento che Halley fa dei dati di traffico generati dai 1335 siti venduti ai rispettivi clienti nella PA.
Visitando il sito Hally, oltre al protocollo HTTP, che gia da solo fa inorridire sotto il profilo della protezione dei dati perosnali, si viene letterlamente massacrati da 23 richieste di terze parti, praticamente una violenza di gruppo ai danni di ogni utente:
E tutto questo a fronte di una laconica informativa che pare non essersi accorta di nulla perchè racconta una bella storia di fantasia, bucolica e spensierata.
Anche i siti realizzati non si presentano bene. Ho effettuato una analisi su un campione significativo e le lacune (in termini di requisiti GDPR - informativa, cookie banner, cookies presenti) sono palesi e costanti. A dirla tutta, non ne ho trovato uno che passerebbe un blando esame di conformità.
Le difformità sono sia nei contenuti che tecniche. ma questa è tutta un’altra storia.
Procedendo, si incontra
UA-98100247-1 comune a 350 siti
Qui il discorso si complica perchè l’utenza è decisamente orientata verso il mondo della scuola
Parliamo quindi di bambini, ragazzi, minorenni che devono collegarsi con il sito della propria scuola per accedere all’agenda degli eventi, per consultare il registro elettronico dei voti, scaricare dispense e compiti.
Se i dati generati dai siti dei comuni meritano protezione, i dati generati in ambito scolastico suscitano indignazione, allarme e senso di urgenza!
I bambini, ma santo Dio… un minimo di decenza, per carità!
La benevolenza che contraddistingue ogni DPO vacilla in questi casi e dopo pochi click pare lecito pensare che questo codice google analytics appartenga a Argoweb, scintillante prodotto sviluppato da Argo Software. L’alternativa potrebbe essere … una leggerezza di Argo nella selezione delle componenti del software. Come dicevo, la benevolenza, oggi, scarseggia.
Questo fornitore, specializzato effettivamente nel mondo della scuola, si presenta maluccio, con un cookie banner non rispondente alle linee guida del Garante. Propone, tanto per iniziare 11 tracker destinati al marketing, 3 di statistiche e 4 necessari. Si, si può formalmente non acconsentire, ma il pulsante non funziona. I cookie sono attivi ben prima dell’espressione del consenso o del diniego. Transeat sul fatto che non compare la X come opzione di chiusura del banner… tanto non funziona, è solamente un elemento cosmetico.
Mettendo per un momento in dubbio il banner (e l’informativa privacy), andando a verificare si nota facilmente che le chiamate esterne sono 111. Praticamente un assalto alla diligenza. Peccato che il visitatore del sito (bambini, ricordiamolo) sia il viaggiatore da depredare.
Visitando il sito dedicato al prodotto (www.argoweb.net) venduto alle scuole, non si può fare a meno di notare che sia privo delle basilari misure di protezione del traffico. Funziona in HTTP e non in HTTPS. Nel 2022, da parte di una software house, pare incongruo.
Detto questo, francamente, passa la voglia di andare oltre. Diciamo solo che il resto è coerente con il sito istituzione del produttore.
Una parola sull’informativa va spesa: non c’è. O meglio, è pubblicata, ma è priva di contenuti che descrivano i trattamenti effettivamente effettuati tramite il sito e non prende nemmeno in considerazione ciò che Argoweb fa sui siti dei propri clienti.
Procedendo:
UA-164699789-2 comune a 85 siti
Questo gruppo di siti sono tutti gestiti dalla Società ICT in house della Regione Friuli Venezia Giulia (INSIEL https://www.insiel.it/cms/). Molti degli enti servizi hanno nominato come DPO il medesimo fornitore: https://www.boxxapps.com
Non ho elementi per immaginare ciò che è successo dietro le quinte, ma lo spettacolo visibile da questa parte del palcoscenico sembra una commedia dell’assurdo:
il sito di insiel non usa HTTPS come modalità standard ma solo come opzione.
3 cookie di prima parte, alcuni dei quali con una durata decisamente ottimistica
e la bellezza di 62 cookies di parte terza. Il tutto imposto al visitatore ancora prima che lui possa manifestare consenso o dissenso. La natura di questi cookie è tutt’altro che tecnica, anzi, si tratta di servizi esterni per la monetizzazione del traffico, cosa che , come l'educazione raccomanda, dovrebbe essere consensuale. Che fisima questo GDPR che pretende la stessa cosa…
La cosa inaspettata è che sul sito di questo providere c’è di tutto ma non il medesimo codice GA presente in tutti i siti dei comuni friulani gestiti.
Potrebbe persino sorgere il dubbio che il codice GA sia incluso nel format (nel modello) in uso e replicato per la massima parte dei siti, magari inserito da chi ha disegnato il sito. Il provider potrebbe essersi limitato ad acquistare il template, senza verificarlo, utilizzandolo verso i propri cleinti.
Sicuramente questa è una verifica da fare.
In ogni caso, i comuni friulani appoggiati a insiel incorporano nei propri siti il medesimo codice GA.
UA-37309701-1 comune a 80 siti
Altre 80 scuole, istituti, direzioni didattiche, tutte accomunate dal fatto di inviare i dati di traffico dei rispettivi siti a… non si sa. Il collettore delle statistiche, in questo caso, diventa ancora più opaco.
Tutti i siti sono basati su un progetto open: i siti sono realizzati su modello della comunità di pratica PORTEAPERTESULWEB https://www.porteapertesulweb.it
Personalmente sono un fautore delle iniziative di questo tipo. Il mio consiglio, in questo caso, è di guardarci dentro con attenzione, analizzare il codice del modello proposto dalla community perchè, forse, è una polpetta avvelenata.
Il codice GA è preimpostato. Alcune scuole probabilmente se ne sono accorte e lo hanno cambiato. Troppo poche purtroppo.
Sempre di bambini stiamo parlando. Le finalità didattiche dovrebbero essere contemperate con la sicurezza dei dati. Per quanto sia affascinante produrre un sito in classe, forse, si potrebbe realizzare un blog, un diario, un album di fumetti online, magari un ricettario… non è una buona idea realizzare il sito istituzionale della scuola (con tanto di registro elettronico) in modo dilettantisco.
Infatti, una delle cose brutte che potrebbero accadere, oltre a trovare la polpetta avvelenata del codice GA, potrebbe riguardare la monetizzazione del traffico.
Come dicevo, sono i dati dei bambini, dei ragazzi… e tramite alcuni di questi siti sono raccolti, profilati, venduti, condivisi, monetizzati. Dubito che il Garante possa essere concorde con questa finalità, sia il Garante dell’Infanzia, sia il Garante Privacy.
UA-34776001-1 comune a 54 siti
I numeri si assottigliano, per fortuna non sono più migliaia o centinaia di siti. Tuttavia, anche in questo caso, 54 siti sono depredati dei dati di traffico per uso libero e disinibito da parte di ignoti.
o meglio, qui l’ignoto è esplorabile e un nome ricorrente salta agli occhi:
“Sito realizzato da WebGov su modello dalla comunità di pratica Porte aperte sul web nell'ambito del progetto Un CMS per la scuola https://www.sarete.net/
Che dire, posso solo sorridere quando, visitando il sito di questo provider di servizi dedicati alla scuola, compare questo avviso:
Utilizziamo i cookie per essere sicuri che tu possa avere la migliore esperienza sul nostro sito. Se continui ad utilizzare questo sito noi assumiamo che tu ne sia felice.Ok
Veramente: un sorriso, una pacca sulla spalla e una sonora risata sono l’unica reazione che riesco a pensare ed esprimere.
Solo per aumentare il buonumore generale, riporto lo screenshot dell’informativa privacy e della cookie policy presenti sul sito:
Sotto i 50 conviene sintetizzare…
UA-7461716-1 comune a 21 siti
Non trovo dati utili per formulare ipotesi
UA-34412067-4 comune a 20 siti
Siti realizzati tramite la piattaforma CKUBE di CSC s.c.s https://www.coopcsc.it/
UA-58365471-1 comune a 17 siti
RSA probabilmente consorziate
UA-166283354-1 comune a 13 siti
Il sito istituzionale dei comuni pugliesi è realizzato da Parsec 3.26 S.r.l. https://www.parsec326.it/
UA-57198021-1 comune a 12 siti
Siti gestiti da LEPIDA spa https://www.lepida.net/
UA-76516745-1 comune a 10 siti
Siti gestiti da LEPIDA spa https://www.lepida.net/
UA-7870337-1 comune a 10 siti
Siti gestiti da Weebly, alcuni ordini professionali e clienti sparuti
UA-71629840-1 comune a 7 siti
Non trovo dati utili per formulare ipotesi
Pensando al GDPR…
Non voglio entrare in dettagli o tecnicismi ma alcune considerazioni devono essere espresse per comprendere la portata di ciò che ho descritto nei paragrafi precedenti.
Un comune, una scuola, una RSA, un qualsiasi ente della pubblica amministrazione, è un TITOLARE DEL TRATTAMENTO.
Significa che è il destinatario della massima parte dei compiti che il GDPR prevede, deve sapere ciò che fa con i dati (da dove arrivano, come li tratta, con chi li condivide) deve rendere conto del proprio operato.
In tre parole, il titolare deve GOVERNARE I DATI PERSONALI.
Questo principio si applica a tutti i dati, inclusi quelli generati dal proprio sito web.
Attenzione, per la PA il sito web è un preciso obbligo di legge. Il Sito del piccolo Comune irpino non è un atto di coraggio del sindaco che, con scarse risorse, vuole dare servizi ai cittadini. C’è una legge, il sito è obbligatorio, ogni ente della PA lo deve avere e deve rispondere a determinati requisiti, avere certi contenuti e, con ottica da DPO, il trattamento sottostante si basa sulla propria funzione istituzionale e sull’assolvimento di un obbligo di legge. Nella PA i siti web non sono riconducibili al legittimo interesse di promuovere la propria immagine, né hanno natura contrattuale verso i clienti…
Per questo introdurre i codici di Google Analytics è difficilmente giustificabile.
Questo Titolare, come è naturale che sia, si può appoggiare a dei provider, dei fornitori, dei consulenti, ma non si distacca dal proprio ruolo. Il provider deve dare alla PA ciò che la PA chiede.
Spesso, i bandi e gli affidamenti sono scritti maluccio ma anche questo è un tema che grava sulle spalle del titolare.
Il titolare è tenuto a saper fare bene il proprio mestiere. Se sbaglia ne deve rispondere.
Anche sbagliare provider configura una responsabilità del titolare perchè la scelta, la selezione, la verifica dei requisiti tecnico professionali compete unicamente al titolare. Si chiama Culpa in Eligendo.
Nella massima parte dei casi che ho descritto, il provider si comporta in modo inatteso, sorprendente, ma facilmente verificabile e riconoscibile dal Titolare.
Come è possibile che non si siano accorti che tutti i dati del traffico sono dirottati e condivisi (probabilmente da anni) con soggetti estranei all’ente, per finalità non istituzionali, usati a scopo di luco, marketing, profilazione, ecc. ?
Come è possibile essersi appoggiati a provider non in grado di dare spiegazioni su situazioni macroscopicamente difformi da ciò che la norma chiede?
Come è possibile che un provider abbia potuto fare i propri comodi senza ricevere precise istruzioni dal titolare?
Queste sono tutte domande che auspico vengano poste dal Garante alle PA interessate perché, voglio ricordarlo, la responsabilità del titolare è grante e non si scansa facendo firmare una letterina di manleva.
Naturalmente, questo non è tutto ciò che ci si può aspettare.
Il Garante potrebbe rivolgere una serie di domande anche ad altri soggetti e ne ho giustappunto in mente un paio:
I provider…
Ciascuno di questi provider dovrebbe spiegare, al garante ma anche ai cittadini coinvolti che hanno visitato questi siti, perché ha inserito un codice GA nelle pagine web.
Tecnicamente, questo corrisponde a inserire un tracciatore in grado di registrare e trasmettere ogni dettaglio del traffico, costituito ovviamente da dati personali dei visitatori, con il provider e con terzi.
Quali trattamenti sono stati effettivamente posti in essere con quei dati?
La risposta a questa domanda, in ogni caso, sarà mai esaustiva perché il rischio va ben oltre a ciò che è stato effettivamente fatto ed abbraccia anche tutto ciò che si sarebbe potuto teoricamente fare.
Di sicuro, è stata fatta una cosa un po’ particolare: condividere i dati con google
Google…
già, google. In tutto questo, Google rischia di uscirne come una verginella, incolpevole di ciò che altri, cattivoni, fanno con i suoi sistemi, probabilmente in violazione di T&C precisissimi.
Su questo aspetto io sarei cauto e penso che anche Google debba prepararsi a rispondere ad alcune domande. Tecnicamente è facile individuare gli abusi dei codici GA.
Il fatto che arrivi traffico da 1300 siti differenti, dovrebbe far insospettire anche la più tonta delle intelligenze artificiali. Avendo gli strumenti per monitorare l’uso dei codici GA, perché Google ha permesso che si generasse un tale flusso di dati senza indagare o porre una domanda all’utilizzatore?
Nel caso in cui un Titolare non faccia bene il proprio mestiere dovrà risponderne al 100%
Se il provider, senza guida, senza indicazioni e, in ultima analisi, lasciato libero ed incontrollato, si comporta male, tornerà a rispondere il Titolare, al 100%
Se il titolare ha fatto bene la sua parte e il Provider ha agito nell’ombra… questo si trasformerà in un nuovo ed autonomo titolare. Il provider si trasformerà in un titolare e dovrà rispondere in prima persona dei trattamenti effettuati per propri fini.
Tuttavia, se il comportamento del provider è riconoscibile, evidente agli occhi di un titolare coscienzioso, allora la situazione potrebbe complicarsi e le responsabilità potrebbero essere meno nette e arrivare a coinvolgere tutti gli attori di questa commedia.
Nel merito, soprassedendo per un momento sul fatto che questi trattamenti non siano conformi al GDPR rispetto ad un entre della PA, occorre stigmatizzare un elemento dirimente:
il fatto che un terzo stia acquisendo i dati di Google Analytics è un trattamento che deve…
essere descritto nell’informativa, spiegando come minimo le finalità, la base di legittimazione, il tempo di conservazione
effettuato solo con il consenso dell’utente… almeno, pare, così prescrive il Garante.
Ho letto fantasiose interpretazioni e atteggiamenti possibilisti sul fatto che questo trattamento possa non essere completamente illecito. Ciascuno ha certamente diritto ad avere un’opinione, ma per non farsi male, tendenzialmente, è meglio avvicinarsi alle posizioni del Garante, almeno parlando di protezione dei dati personali. Tempo, purtroppo, che queste fantasiose posizioni siano dettate, più che dalla conoscenza della materia, dal malcelato tentativo e desiderio di giustificare i pareri o le approvazioni rilasciate a enti ed istituzioni clienti.
Rivolgo un pensiero finale anche agli enti della PA che, ignari di tutto ciò, si sono appoggiati al provider che gli è stato consigliato dal cugggino che conosce internet.
Signori, Dottori… per favore, metteteci la testa!
Scorrendo i siti incriminati, ho trovato informative vuote, informative standard da compilare con tutte le XXXXXXXX nei campi ancora intonsi, informative immacolate con virginali spazi bianchi ____________, ho trovato informative con riferimenti di leggi abrogate da più di 20 anni ed altre stupidaggini che fanno inorridire.
Nella PA è obbligatorio nominare un DPO. Fatelo, ma fatelo bene. Soprattutto, fatelo lavorare.
Il costo per l’erario è il medesimo sia se il sito viene personalizzato con i contenuti appropriati e necessari, sia che rimanga identico alla versione demo, uguale per tutti gli enti del regno e buono per tutte le stagioni.
