Non so se avete visto la notizia. In pratica noyb (di cui vedere il link in calce) ha fatto più di 400 ricorsi presso vari garanti europei contro alcune aziende precise che usavano google analytics sul loro sito web (in Italia 4 se non erro).
Per ora il garante si è espresso su una di queste 4 e ha dichiarato che deve rimuoverlo entro 90 giorni, poiché il suo uso viola la legge sulla privacy[¹]. Ho visto un video dove uno del board del garante della privacy (se non ho capito male sono 4-5 persone in tutto) ha spiegato bene la faccenda: * non è vietato l'uso di google analytics * l'uso che ne fa quell'azienda è illegale perché sono inviati dati personali negli USA * potrebbe esistere una modalità d'uso che non viola la privacy, ma questo non è compito del garante nel trovarlo e indicarlo, loro valutano solo i casi "contestati"... magari google metterà fuori una versione successiva che non ha questi problemi * l'anonimizzazione o il "taglio" parziale dell'IP non è sufficiente * una società come google che ha molti dati di tutti gli utenti è in grado di individuare chi è l'utente e quindi anche un anonimizzazione ulteriore potrebbe non essere sufficiente * è strano che tutti i garanti europei si siano espressi nello stesso modo o non si sono ancora espressi con i vari casi d'uso analizzati e "informalmente" ha indicato che probabilmente non c'è una modalità d'uso "legale" * la problematica non è solo di google analytics, ma anche di altri "elementi" traccianti (per esempio in Germania stanno analizzando i font sempre di google) * in questo caso, dove i dati trattati erano dati personali comuni e il sito era un sito di notizie generiche non è stata data sanzione. Più grave sarebbe stato se il sito trattava dati sensibili, come ad esempio il cittadino che entra nel suo fascicolo sanitario online. Da quello che ho capito io ogni DPA deve valutare i suoi casi specifici e adeguarsi, in base a questo caso "base". Se non ho capito male i 90 giorni sono per tutti i siti italiani e poi inizieranno i controlli, con rispettive verifiche. Purtroppo nei punti salienti la connessione era ballerina... e non ho capito questo punto. Nel secondo filmato[²] che completa il primo ci sono due avvocati che parlano anche di possibili soluzioni, ma che in pratica dicono cose interessanti come: se usi un servizio di una società che ha sede legale non UE (es: USA) o se tale società è controllata da una società che ha sede legale non UE (es: USA), allora per la legislazione vigente in tale "sede legale" (es: USA) può essere lecito chiedere i dati personali presenti su quel servizio e nel caso USA non deve neanche essere informato il detentore di quei dati... La soluzione proposta è l'uso di matomo. So che la commissione europea ha istituito una commissione per valutare queste casistiche e avere un unico "verdetto" a livello europeo. Però per ora non si è espressa. Gli USA e la UE hanno dichiarato di aver una bozza di accordo che sostituirà quello invalidato grazie a noyb. Però noyb ha già preparato una lettera che evidenzia dei punti che sono contrari alla normativa sulla privacy e già si dice che se anche fosse approvato tale bozza di accordo è probabile che verrà subito resa invalida per l'appello che verrà presentato da noyb. Poi ho visto che c'è anche questo filmato[4] che non ho ancora visto e anche qui dovrebbe partecipare un membro del board del garante della privacy. In ogni caso grazie a noyb Ciao Davide [¹] https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9782874 [²] https://www.youtube.com/watch?v=Dz_lIYXUhFU [³] https://www.youtube.com/watch?v=Q981BTuaEoQ [4] https://www.youtube.com/watch?v=0Oi19LWyv1Q -- La mia privacy non è affar tuo https://noyb.eu/it