Nelle scorse settimane, tante pubbliche amministrazioni sono state colpite da uno stato di “agitazione digitale” e hanno preso a occuparsi mai come prima del proprio sito web e degli annessi “traccianti”.
Tutto è stato innescato da un “minaccioso” messaggio PEC che le ha raggiunte, intimando di “provvedere immediatamente alla rimozione dal proprio sito di Google Analytics (GA) e di ogni altro analogo strumento di analytics o tracking”.
Una provocazione alla quale va riconosciuto il merito di aver aiutato a far affiorare una diffusa e sostanziale difficoltà delle pubbliche amministrazioni: la complessiva mancanza di consapevolezza, conoscenza e sensibilità (“awareness”) rispetto all’ecosistema digitale.
Google Analytics, PA fuori legge? Niente panico: ecco cosa sta succedendo
Le violazioni contestate nel messaggio
Il messaggio-diffida, trasmesso da “un gruppo di attiviste e attivisti attenti alla privacy”, contestava la “violazione” costituita dall’utilizzo di uno strumento (GA) da ritenersi “pacificamente” non conforme ai principi del GDPR, preannunciando segnalazioni al Garante e conseguenti inevitabili sanzioni per il malcapitato ente. Il merito della questione è stato discusso in modo doppiamente puntale, tempestivo e preciso, da Carola Caputo e Andrea Lisi, proprio su questa testata.
Il gruppo di attiviste/i informa di aver trasmesso il messaggio a quasi 8.000 pubbliche amministrazioni estratte da un dataset di circa 23.000 enti pubblici ottenuto consultando IPA, la banca dati pubblica dei riferimenti delle pubbliche amministrazioni. A tanta abbondanza non corrisponde però una simmetria informativa. Non è possibile, infatti, dall’indirizzo mittente del messaggio PEC (né di questo né di altri) risalire alla “persona fisica o giuridica” che l’ha trasmessa, come invece ci si aspetterebbe di poter fare magari utilizzando INI-PEC, il servizio pubblico che fornisce gli indirizzi dei professionisti e delle imprese presenti sul territorio italiano. Si tratta di uno dei tanti casi in cui un servizio pubblico di “directory” manca della funzione di “reverse look-up” (dal numero di telefono rintracciare l’abbonato, si sarebbe detto una volta).
Scorrendo le pagine web del gruppo (che pure, in qualche modo, fanno uso di traccianti, quelli buoni), se ne può approfondire la conoscenza e ci si imbatte così in un post dal titolo “Fuoco alle polveri!”. Il proclama è quanto mai allarmante (di questi tempi, poi!) e bene esprime l’energia con la quale il gruppo si dedica alla causa. Proseguendo la navigazione, si constata poi fra le FAQ che lo stesso gruppo mitiga il tono perentorio e inappellabile sull’illiceità di GA, ammettendo che in fondo poi non è sempre così.
L’impatto del messaggio nei meandri degli enti pubblici
Molto illuminante è il racconto di quello che il messaggio ha provocato nelle presidenze, nelle direzioni, negli uffici dei sindaci, ecc. di tanti enti. A parole come “diffida” e “sanzioni”, tra quelle “brandite” nel messaggio PEC, la pubblica amministrazione è altamente sensibile e queste parole hanno infatti prodotto il loro effetto. Per di più tanti sindaci, direttori, ecc., nell’occasione si sono ricordati di avere un DPO (“chissà che fine ha fatto il nostro…” si sono chiesti alcuni di loro). Ricorrendo al principio di precauzione, come in ogni caso analogo, il funzionario diligente si dà da fare per approfondire il merito della questione e per capire quanto sia concreta l’evenienza di una segnalazione al Garante. Questa andrebbe comunque affrontata, anche se risultasse infondata.
E allora, con o senza il conforto del DPO, arriva la decisione di rimuovere i traccianti dal sito a scanso di imprevedibili evoluzioni. In margine annotiamo che sarà davvero interessante apprendere se e quanto le “chiamate” da siti italiani (.it,.gov.it) a GA siano calate nell’ultima settimana. E confidiamo a tal fine in uno sforzo ulteriore del gruppo di attiviste/i nell’analisi dei dataset di Google.
È sperabile che il funzionario non si fermi al “provvedimento di rimozione di GA”, ma prosegua nel riesame dei traccianti.
In effetti è disponibile una significativa alternativa a GA, suggerita dallo stesso messaggio PEC e promossa da AGID. Si tratta di Web Analytics Italia, una piattaforma che produce in tempo reale statistiche e report dettagliati sull’utilizzo dei siti della pubblica amministrazione.
Nelle stesse ore il DPO attento avverte un altro rischio e approfitta dell’occasione offerta dal messaggio PEC che ha reso più attenti e reattivi i suoi assistiti. Con approccio più generale chiede agli enti pubblici che assiste di rispondere serenamente e senza ansia ad alcune domande: sapete dire se il vostro sito fa uso di Google Analytics? avete modo di verificarlo (attraverso i vostri collaboratori, i vostri webmaster)? Pur se con qualche esitazione, diverse pubbliche amministrazioni riescono a rispondere. Ma poi restano smarrite se le domande incalzano: nel caso stiate utilizzando Google Analytics, che uso fate dei dati raccolti sul vostro sito? Allontanandosi dalla questione specifica dei traccianti, le confuse o mancate risposte diventano disarmanti quando le domande diventano basilari: quanti siti avete “riconducibili” al vostro ente? Riuscite ad elencarli? Tante pubbliche amministrazioni rispondono con difficoltà a domande di questo tipo. Alcune stentano persino a elencare i servizi on-line (non i siti) che offrono ai propri cittadini-utenti. Molte dimenticano le pagine, i profili, gli account che hanno attivato sui diversi social network.
Le PA e la mancanza di awareness
Con questo approccio, il messaggio PEC del gruppo di attiviste/i diventa una salutare provocazione: più che “fuoco alle polveri”, un sasso nello stagno. Una provocazione, come detto, che ha evidenziato la mancanza di awareness delle PA rispetto all’ecosistema digitale.
Tante delle inadempienze (e violazioni) sul piano specifico relativo al GDPR delle pubbliche amministrazioni, nei loro procedimenti amministrativi e nei connessi trattamenti di dati personali, possono essere ricondotte proprio alla scarsa consapevolezza sui trattamenti stessi, sugli strumenti di trattamento, sulla titolarità dei dati, sui rapporti con i responsabili, sui diritti degli interessati. E se estendiamo la riflessione oltre l’orizzonte specifico della protezione dei dati personali, non è difficile collocare la scarsa “awareness” fra gli ostacoli più ardui per le pubbliche amministrazioni nel percorso verso l’invocata e decisiva transizione digitale.
Dalla sua entrata in vigore, il GDPR offre in modo sistematico, e talvolta come in questo caso ineludibile, occasioni e spunti per riflessioni e possibilmente interventi nei processi di digitalizzazione. Ad esempio, nel caso discusso, quanto può tornare utile il registro dei trattamenti, uno degli istituti cardine del GDPR, come mappa della propria presenza on-line nel quale la pubblica amministrazione può, anzi dovrebbe, annotare i propri siti web, pagine, profili, account social, compresi i traccianti? Per gli stessi motivi il DPO risulta prezioso nei processi legati alla transizione digitale, con il suo ruolo terzo e in dialettica con i suoi assistiti che richiama ad adempimenti nella sfera digitale continuamente nuovi, di fatto contribuendo all’evoluzione anzi alla transizione digitale. Ecco un benefico effetto collaterale del GDPR da non sciupare: costringendo al perseguimento della conformità (“compliance”) esso costituisce un potente stabilizzatore nei processi di transizione digitale.
Conclusioni
L’urgenza di dare corso alla digitalizzazione della pubblica amministrazione trova tutti d’accordo, con articolate analisi e proposte su principi, scenari, visioni. Affinché la transizione digitale della pubblica amministrazione, e non solo di quella, diventi efficienza e velocità, cioè produttività, occorre andare oltre e mettere in pratica (“a terra”, diremmo oggi), anche con l’aiuto del GDPR, azioni concrete e sostenibili che incidano in modo permanente sui processi operativi cioè sul modo di lavorare di centinaia di migliaia di funzionari pubblici. Diversamente, i fondi del PNRR si esauriranno e poco o nulla resterà in termini di produttività.
