Ci sono delle volte che anche le profetesse come Cassandra vengono colte di sorpresa.
È infatti accaduto proprio oggi che, leggendo un articolo impeccabilmente redatto, e dati gli autori non poteva essere che così (la “scena” italiana è incredibilmente piccola), Cassandra rimanesse stupefatta del contenuto, e passasse immediatamente a confezionare questo suo “Lampo”.
Google Analytics, PA fuori legge? Niente panico: ecco cosa sta succedendo
Cassandra, infatti, che dopo il suo lavoro di profetessa ama indossare i giorni pari i panni del vecchio hacker ed i dispari quelli di attivista dei diritti civili, conosce personalmente e stima molto tutti, ma davvero tutti, i protagonisti di questa piccola vicenda.
Perciò, pur sorpresa, anzi in un certo senso costernata, cercherà di raccontare la cosa con il massimo equilibrio, senza fare però sconti a nessuno, per magari essere costruttivamente utile ad un riavvicinamento delle posizioni dei protagonisti.
Riassumiamo all’estremo la questione.
Il “caso” Google Analytics
Tutti i siti che frequentiamo, più sono utili e più ne sono ammorbati, contengono “traccianti” di vario tipo, che comunicano a varie aziende ed organizzazioni i dati di navigazione, del computer, e talvolta financo dei movimenti del mouse.
Dati che sono in generale, a meno di difficile dimostrazione contraria, dati “personali”.
Tra questi traccianti si distingue, per diffusione ed invasività, Google Analytics, che viene usato da quasi tutti gli amministratori dei siti per analizzare il comportamento degli utenti (e fin qui ci potrebbe stare) ma essendo gestito da Google fornisce gli stessi dati anche ad una azienda che della manipolazione e rivendita dei dati fa il suo business principale, in maniera (ahimè) legale, e nell’indifferenza totale (ahimè, ahimè) della grandissima parte degli utenti.
Ci starebbe anche, perché in cambio gli utenti che lo desiderano ricevono servizi gratuiti, e quindi il do-ut-des esiste. Si tratta però di vedere se è anche legale.
Già, perché da quando esiste il GDPR, e sono state emesse un paio di sentenze (troppo lunghe da spiegare) in ambito UE, mandare dei dati personali in giro, particolarmente fuori dall’UE, particolarmente negli Stati Uniti, è diventato contrario ai principi fondanti del GDPR, quindi illegale salvo prova contraria.
Google Analytics e i siti della Pubblica amministrazione
E se può essere accettato, magari solo per un periodo, che i siti commerciali non si adeguino, anche perché dietro si gioca una montagna di miliardi, i siti della pubblica amministrazione, che non devono fare profitti e devono stare attentissimi a rispettare la legge ed i diritti dei cittadini, certamente non devono usare Google Analytics.
Le cose non vanno purtroppo in questa direzione; per una serie di noiose questioni tecniche, che esulano completamente dagli intenti di questo articolo, moltissimi siti della pubblica amministrazione usano lo stesso Google Analytics, spesso per semplice trascuratezza.
Non è nemmeno tutta colpa loro, anche Google ci mette molto del suo per farlo succedere, e d’altra parte, non a caso ha smesso da tempo di utilizzare l’antico motto “Don’t be evil”.
È accaduto quindi che alcuni hacker, decisamente competenti, decisamente etici, e decisamente identificabili, si sono accorti che la pubblica amministrazione ha molto virtuosamente preparato un oggetto, che consente di fare le stesse cose di Google Analytics senza mandare in giro i dati degli utenti, e lo ha reso disponibile in maniera totalmente gratuita.
Si sono anche accorti che sempre la pubblica amministrazione ha messo a disposizione di tutti molti dati di interesse pubblico, compreso l’elenco dei circa 24.000 siti ufficiali delle pubbliche amministrazioni.
La segnalazione del problema
È scattata immediatamente una molla, che Cassandra capisce nel profondo; perché non scrivere un software che scorresse uno ad uno i siti dell’elenco, controllasse se usano Google Analytics, in caso positivo prelevasse l’indirizzo di email del protocollo informatico, e facesse pervenire al DPO od al legale rappresentante della pubblica amministrazione una cortese ma decisa segnalazione PEC che molto virtuosamente evidenzia il potenziale problema?
E perché non preannunciare che l’anno prossimo, a malincuore ed utilizzando lo stesso metodo, verranno rilevati i siti che non si sono adeguati, e che verrà inviata una ulteriore PEC, questa volta di segnalazione al Garante della Privacy, perché valuti, come suo dovere, se sia necessario prendere provvedimenti?
E perché non realizzare questo in completa trasparenza, con software FOSS, qui pubblicato in rete ed a disposizione di tutti?
Detto fatto, il gruppo ha scelto un nome, realizzato un suo sito e via!
Un’iniziativa virtuosa
Allora, data tutta questa virtuosità ben sottolineata, perché l’articolo di cui sopra, pur privo di errori e pieno di osservazioni interessanti e competenti, trasuda fastidio quasi da ogni frase, e fa il possibile per non raccontare l’iniziativa, non citare gli autori, metterne in dubbio la competenza e pretendere di non conoscere le due notissime associazioni legalmente riconosciute che supportano l’iniziativa?
Si tratta di informazioni che tutti gli “addetti ai lavori” della scena italiana conoscono, e che qualsiasi curioso può comunque individuare con due click.
Avrebbe potuto piuttosto segnalarla come iniziativa virtuosa, magari facendone notare dei difetti, meglio se realmente esistenti e non supposti e che certamente possono esistere, cogliendo lo spirito collaborativo dell’iniziativa e rispondendo così in modo totalmente costruttivo.
Avrebbe potuto essere come quest’altro articolo. Magari addirittura senza nemmeno considerarle delle “diffide”, visto che in sostanza solo di “segnalazioni alle persone addette” si tratta.
Questo, a parere di Cassandra, è necessario perché l’esercizio di un diritto, sancito in maniera adamantina dalla legge, non richiede necessariamente al cittadino la stessa autorevolezza del DPO o del professionista; il cittadino può anche sbagliare nella segnalazione, e la pubblica amministrazione deve semplicemente rispondergli spiegando dove sbaglia.
Sarebbe persino ammissibile, ma non auspicabile, il silenzio.
Non è invece auspicabile limitarsi a esibire fastidio o a una critica sterile al “metodo”.
Ed è addirittura fuori luogo anche solo ipotizzare il “fumus” dell’illegalità.
Il metodo è a scelta del cittadino, visto che, fintanto che rispetta le leggi, non è tenuto al livello di competenza di un addetto ai lavori, e ad usare “metodi” più ufficiali o competenti di altri.
Chi si è sentito infastidito?
Andreottianamente si potrebbe pensare che, poiché i siti che apparentemente hanno questo “problema” sono ben 8000, e quindi quasi tutte le pubbliche amministrazioni e quasi tutti i DPO d’Italia hanno ricevuto forse una, magari una decina di queste PEC, qualcuno si sia sentito infastidito.
Magari troppo tirato per la giacchetta. Non abbia magari inteso, solo questa volta, che di una richiesta di ordinario e dovuto intervento si trattava. Di un circolo virtuoso di collaborazione.
Ma le cose non stanno certamente così, perché sia i dipendenti delle pubbliche amministrazioni, in particolare i DPO, ma anche il Garante ed il difensore civico digitale, stanno lì e sono pagati anche per gestire queste segnalazioni, contribuendo a risolvere gli eventuali problemi esistenti, e ovviamente lo sanno benissimo.
Ed allora non resta che concludere che sia tutto un involontario malinteso.
Che forse una comunicazione destinata ad un ambito strettamente professionale tra DPO, non sia stata riletta nello spirito di un normale, ancorché molto digitale, cittadino, e sia poi stata pubblicata senza considerarne l’effetto su un pubblico più vasto.
Se è così, dopo aver chiarito per quanto possibile la vicenda ed esposto il proprio pensiero (Cassandra inclusa), nessuno certamente si offenderà, tutti amici (o nemici) come prima, e la prossima vota tutti faranno ancora meglio.
Questo è l’auspicio che, dopo aver raccontato questa peculiare vicenda a tutti, od almeno ai suoi 24 inossidabili lettori, Cassandra si sente di indirizzare a tutti.
E se lo auspica Cassandra …