Pochi giorni fa Monitora PA, il collettivo di attivisti che scrutina l’operato delle pubbliche amministrazioni italiane, ha segnalato a quelle che utilizzano la piattaforma Web Analytics Italia (WAI) il fatto che questa trasferirebbe dati personali negli Stati Uniti in violazione del GDPR.
Cos’è successo dopo e quali scenari si profilano?
Le denunce di Monitora PA
Stando alle comunicazioni ricevute da molte pubbliche amministrazioni nei giorni scorsi Web Analytics Italia, il servizio lanciato da AgID proprio per far fronte alle necessità delle Pubbliche Amministrazioni italiane di monitorare rispettivi siti in conformità con il GDPR, specie considerando che le alternative sono fornite da compagnie USA con gli annessi problemi di trasferimento dati negli Stati Uniti e le varie censure dei Garanti nazionali.
Secondo Monitora PA il trasferimento dati avviene attraverso un fornitore di servizi di cui si serve AgID per offrire il servizio WAI alle varie pubbliche amministrazioni che vi aderiscono.
In particolare si tratta di Amazon Web Services (AWS) che, sebbene a quanto consta localizza i server offerti ad AgID su suolo europeo, è comunque soggetta alle pertinenti discipline statunitensi (una su tutte il c.d. Cloud Act) ed offre i propri servizi sulla base di una nomina a responsabile in cui non offre tutele agli utenti europei diverse dalle clausole contrattuali standard (non sono quindi previste quelle garanzie supplementari richieste dalla normativa per un valido trasferimento dati lungo l’asse dell’Atlantico).
Secondo Monitora PA la piattaforma WAI, che raccoglie (e anonimizza) l’IP dell’utente oltre ad altri dati per generare una referenza statistica univoca per i siti che aderiscono, tratterebbe così dati illecitamente nel trasferirli in USA (anche solo in potenza).
È peraltro appena il caso di segnalare che il servizio WAI da principio veniva offerto su server UE, è solo di recente che AgID si è rivolta (per tramite di un fornitore) a AWS.
Monitora PA si rivolge, con le proprie segnalazioni, ai titolari del trattamento (e quindi in buona sostanza alle amministrazioni che utilizzano WAI), perché si tratta dei soggetti che sono tenuti a far rispettare il GDPR sia quando trattano i dati “in proprio” che quando li trattano tramite un responsabile esterno (o, in questo caso, tramite un sub-sub-responsabile come AWS), ma è chiaro che l’obiettivo sia mettere pressione ad AgID affinché non si rivolga a fornitori USA per questi servizi.
La risposta di AgID
La risposta di AgID non si è fatta attendere anche se, per ora, è affidata ad un comunicato non molto diffuso e che lascia ancora spazio a dubbi.
In particolare, AgID difende Web Analytics Italia (WAI) senza smentire esplicitamente che alcuni dati vengano trasferiti dalla piattaforma verso paesi extraeuropei, ma concentrandosi più sulla natura di tali dati che, a detta dell’Agenzia, non possono essere considerati personali e/o risulterebbero comunque anonimi.
AgID in particolare afferma, sovrapponendo a dire il vero in maniera un po’ a-tecnica il concetto di dati “non personali” tout-court e di dati anonimizzati, che: “i dati analitici acquisiti mediante WAI non identificano o rendono identificabile, direttamente o indirettamente, una persona fisica; in considerazione dell’applicazione di tecniche di anonimizzazione, si assicura la piena conformità alla normativa sopra richiamata.”
Ne segue la rassicurazione a tutte le pubbliche amministrazioni che usano WAI circa il fatto che la piattaforma sarebbe conforme al GDPR.
I problemi che nascono dalla risposta di AgID
Due sono gli ordini di problemi che nascono dalla risposta di AgID.
In primo luogo, dobbiamo stabilire se WAI raccoglie dati personali.
WAI raccoglie dati personali
Stando alla privacy policy presente sul sito della piattaforma “Il progetto WAI non raccoglie dati personali, ad eccezione dell’indirizzo IP per il quale è prevista l’anonimizzazione”.
La risposta, quindi, è affermativa e spinge a domandarci quando avviene questa anonimizzazione.
La questione riecheggia infatti il problema, già affrontato dal Garante italiano nel decidere circa l’utilizzabilità di Google Analytics, di dove avviene l’anonimizzazione del dato, ovvero se prima del trasferimento in USA o successivamente.
Se quindi l’uso di Google Analytics 4 è lecito se, come suggerito dalla CNIL (l’Autorità Garante francese), si adottano alcuni accorgimenti tecnici (frapporre al server Google negli Stati Uniti un server proxy proprietario il quale, se localizzato in Europa e correttamente impostato, non consente il trasferimento dei dati identificativi degli utenti in USA), allo stesso modo dovrebbe essere per WAI.
Il problema è che nel caso in esame la visita al sito web della pubblica amministrazione che utilizza WAI porta l’utente a “dialogare” direttamente con un server Amazon il che rende sicuramente necessario chiarire quando interviene questa anonimizzazione del dato e se in qualche modo questa avviene prima della trasmissione dei dati ad Amazon.
Sarebbe anche opportuno conoscere i criteri di anonimizzazione utilizzati da AgID, in quanto oltre all’IP (che poi viene anonimizzato, forse con eliminazione dell’ultimo ottetto dell’indirizzo?) vengono raccolti altri dati (come preferenze di lingua sistema operativo, data e ora della visita) che, se utilizzati in coordinato con un IP non adeguatamente anonimizzato potrebbero comunque consentire l’individuazione del visitatore.
In buona sostanza sarebbe opportuno che AgID scendesse nel dettaglio rispetto a quanto già fatto nel comunicato precisando almeno questi aspetti ai titolari del trattamento (ovvero le PA che usano il servizio) che verosimilmente le chiederanno maggiori rassicurazioni (ed alle quali AgID potrà anche produrre copia della DPIA effettuata in relazione al trattamento tramite WAI).
Il ruolo di AgID ai fini della normativa privacy
In secondo luogo, dobbiamo capire il ruolo di AgID ai fini della normativa privacy.
Delineato il quadro sembrerebbe ritagliata sull’Agenzia la “casacca” del responsabile esterno ai sensi del GDPR. Il problema è che non è dato rinvenire tra la documentazione presente sul sito della piattaforma e in sede di adesione delle singole amministrazioni una qualsivoglia nomina a responsabile esterno di AgID.
All’utente sono presentate unicamente delle stringate note legali relative al servizio, in cui si ribadisce che la piattaforma è in beta, senza riferimenti privacy che vadano oltre al rimando all’informativa.
In veste di responsabile esterno AgID è tenuta ai sensi dell’art. 28 par. 2 GDPR a non ricorrere ad altro responsabile esterno salvo previa autorizzazione scritta del Titolare. Se è vero che nei termini legali di WAI è indicato che Web Analytics Italia è ospitato presso i servizi di riferimento dell’Accordo Quadro Public Cloud IaaS e PaaS (e che AWS è ad oggi partner dell’aggiudicatario), è anche vero che la normativa non consente ai responsabili adottare un approccio così flessibile.
Possibili scenari
Riepilogando le posizioni delle parti, abbiamo da un lato Monitora PA che lamenta il fatto che AgID tratta dati personali (IP ed altri dati) tramite la piattaforma WAI e si serva, nell’ambito di un progetto nato per risolvere i problemi di trasferimento dati extra UE delle nostre amministrazioni, di un fornitore statunitense (che pur localizza i dati su suolo italiano).
AgID si difende invece affermando che in sostanza non tratta dati personali (o quantomeno non li affida ad AWS).
In mezzo a questo braccio di ferro si trovano i poveri titolari del trattamento (ovvero le singole PA) che erano convinti di aver agito virtuosamente nello scegliere un servizio promosso dalla massima autorità italiana nel settore della digitalizzazione e che ora si trovano invece loro malgrado coinvolte in una bagarre di cui avrebbero volentieri fatto a meno.
Al netto dell’estremo zelo di Monitora PA (che di fatto in questa sede segnala un trasferimento di dati che ben difficilmente potrebbe impensierire gli utenti, considerando i limitati dati trattati, le tecnologie di anonimizzazione e crittografia, e gli obiettivi perseguiti da norme come il Cloud Act) la violazione del GDPR (se AgID non interviene con dei chiarimenti più dettagliati) sembrerebbe sussistere e questo impone una reazione, che sia un dettagliato chiarimento sul perché i dati gestiti dal sistema WAI su AWS non sono dati personali, o che sia un “ritorno” ad un fornitore europeo selezionato dal database della Agenzia per la cybersicurezza nazionale nel caso in cui questo chiarimento non possa essere fornito.
Inoltre, e in ogni caso, AgID dovrà predisporre anche a sua tutela una valida “auto-nomina” a responsabile esterno nel concedere accesso alla piattaforma WAI, o prepararsi ad esaminare quelle che, verosimilmente, gli sottoporranno i vari titolari che si sono rivolti al servizio che offre.
Cosa possono fare le pubbliche amministrazioni che hanno ricevuto la comunicazione di Monitora PA?
La segnalazione da parte di Monitora PA, come detto, ad oggi non appare del tutto infondata. Una segnalazione di questo tipo, pur seriale e strumentale, ad avviso di chi scrive non può essere ignorata quando consente di far emergere un problema reale.
Ove AgID non dovesse chiarire ulteriormente la propria posizione il suggerimento per tutelare le Amministrazioni è quello di veicolare una richiesta di dettaglio ad AgID (in una alla richiesta di formalizzare il rapporto titolare/responsabile fra le parti), sospendendo se del caso l’utilizzo di WAI in caso di mancato riscontro. C’è però da augurarsi che non ci sia la necessità di arrivare a questo e che AgID risolva la problematica con la reattività e trasparenza che l’hanno già in altre occasioni contraddistinta.
Si ringrazia l’Ing. Alessandro Bonaccorso di Monza per i preziosi spunti.
