Si può usare Google analytics?
Accolgo il solito invito di Leuca e pongo la mia domanda alla comunità. Non sono riuscito a partecipare al Webinar Usabilità a parole, e quindi la mia domanda non ho avuto occasione di porla a Simone Rinzivillo devo porta qui:
Una PA può usare Google Analytics?
La gestione di cookies e l'archiviazione dei dati sui server Google (in cloud e chissà dove) sono compatibili con le nostre norme sulla privacy?
Qualcuno si è posto la questione? Come l'ha risolta?
41 risposte
Domanda piuttosto ampia.. risposta complessa ;-) Potrebbe essere il titolo di un convegno...Esistono delle norme del codice privacy che disciplinano i cookie (tipologia, limiti etc..). Per quanto rigaurda i dati, bisogna prima chiarire di che tipo di dati si tratta: se sono dati comuni è un conto, se sono sensibili o super sensibili è un altro. Solo un esempio: alcuni dati nn possono essere trasferiti all'estero; quando sono nella nuova, i dati in realtà dove sono? Se il dato viene frammentato/segmentato, il divieto opera ugualmente? Lo so che nn ho risposto, ma nn credo che sia possibile con un "semplice" commento...
Cmq non tutti si fanno questa e simili domande, rischiando parecchio IMHO. Un paio d'anni fa ho partecipato ad un incontro proprio su questi temi ed ora sto provando a scrivere un ebook su questi temi con l'aiuto di un responsabile dei sistemi informativi di un'amministrazione di medie dimensioni: organizziamo qualcosa?
Rispondere è complicato, ma la risposta deve essere una di questa due
Diciamo che potremmo specificare meglio la domanda, e a seconda dei casi, dar risposte nette, ma non possono essere diverse da si e no.Concordi?
La questione è delicata perchè, ho appena assistito ad un webinar dove spiegano come usare GA alle PA. Ma se una PA non può usarlo: allora va configurato come istigazione a delinquere!?! ;-)
C'è chi dice che si può e lo fa, vedi L'Agenzia per la diffusione delle tecnologie per l'innovazione ma qui da noi non la pensano allo stesso modo. Mi piacerebbe arrivare a una risposta certa, come lo sarebbe la legge sulla privacy.
risposte certe in ambito giuridico in Italia? E con una legge? No perdonami: se vuoi ti posso dare delle risposte indicative con un certo tasso di certezza, ma domani potrebbero essere cambiate. La certezza del diritto è una tendenza. Se quindi prendiamo il tutto in termini assolutamente relativi ti posso dare delle indicazioni ;-)
L'istigaizone a delinquere nn c'è solo per - credo e spero - non c'era volontà.. forse chi ha detto che si può fare non si è posto troppi problemi? Era un giurista? Con formazione specifica? Ha argomettao? Anch'io ho assitito a qualcosa di simile al tuo webinar e sono impallidito: quando ho chiesto se mi potessero certificare (clausola contratuale) dove fossero i dati, mi hanno risposto: non so di preciso dove sono.. Ho replicato: quindi nn poss escludere che siano all'estero.. Risposta: Certo!
Andiamoci a leggere l'art. 45 del t.u. e poi riflettiamo.
Art. 45. Trasferimenti vietati
1. Fuori dei casi di cui agli articoli 43 e 44, il trasferimento anche temporaneo fuori del territorio dello Stato, con qualsiasi forma o mezzo, di dati personali oggetto di trattamento, diretto verso un Paese non appartenente all'Unione europea, è vietato quando l'ordinamento del Paese di destinazione o di transito dei dati non assicura un livello di tutela delle persone adeguato. Sono valutate anche le modalità del trasferimento e dei trattamenti previsti, le relative finalità, la natura dei dati e le misure di sicurezza.
Non è proprio risolutvo: qual è un livello di tutela adeguato? Per nn parlare dell'ultima parte .
Per essere chiari io dati sensibili all'estero (extra UE).. nn li metterei, ma io ho una bassa propensione al rischio (questione di psicolgia: è un tratto caratteriale) quindi nella mia professione nn uso cloud pubblici per i dati sensibili. Qualun'altro lo fa: o ha una maggiore propensione al rischio, o non si pone tante domande, o si è dato risposte dievrse dalle mie. Per questo ci dovremmo confrontare con calma e non scambiarci solo messagi "al volo"...
Scusa ancora se nn riesco ad aiutarti: l'elefante ce lo possiamo anche mangiare,.. ma facendolo a piccoli pezzi..non tutto insieme..
Ciao a tutti, da poco tempo seguo la direzione web e social del Comune di Napoli.
Google analytics è stato attivato da diverso tempo senza alcun problema, i dati sono monitorati dal gruppo di lavoro interno e non divulgati all'esterno. L'Assessorato alla Comunicazione partecipa al tavolo di lavoro interno, utilizzando i dati del traffico come feed di intelligence, al fine di leggere i bisogni dei cittadini e costruire soluzioni concrete e visibili di concerto con tutta la macchina amministrativa.
Da una settimana abbiamo cominciato una primissima sperimentazione del protocollo eGlu (fase conoscitiva) e prossimamente, al rilascio della seconda versione, partiremo con una sperimentazione ufficiale, sperando di poter porre in essere correttivi documentandoli adeguatamente.
Anche se non ho risposto adeguatamente alla domanda, vi invito a riflettere sul fatto che i dati registrati da analytics sono privi di riferimenti personali e non sono riconducibili a dati sensibili.
Buon lavoro a tutti.
Art. 122 codice privacy:
Come viene usato in concreto GA? Il fatto che i dati siano anonimi, esclude la riconducibilità ad un soggetto identificabile? Io sono un anonimo che si collega ad un sito con un certo IP statico, che si trova in una certa zona geografica (si trova la regione/provincia con una certa facilità...); dal traffico si scopre che quando utilizzo GoogleMap inizio sempre da un certo comune; da elenchi pubblici (elenco telefonico e albi ordini professionali) si scopre che in quel comunue ci sono 100 professionisti; dal traffico si scopre che cerco notizie in tema di diritto del'ICT: se metto tutti e 100 i nomi in Google scopro che c'è un avvocato che ha un blog in cui si parla di diritto dell'ICT....
Sarò paranoico, ma da quando ho installato Do Not Track Me ho scoperto un sacco di siti che mi tracciano e sto inizando a contestare l'uso dei cookie senza il mio consenso...
Probabilmente di paranoici come me ce ne sono pochi (non pochissimi, comunque...): ma credo che aumenteranno sempre di più, tra gli avvocati, i cittadini, i magistrati.
Ripeto è anche una questione di risk management:
e se il risultato è accettabile, proseguo, altrimenti mi fermo. A me per esempio un rischio dell' 1% di dover pagare una sanzione amministrativa di xxx euro mi sta bene, procedo; se il rischio fosse quello di dover affrontare un processo penale o di beccarmi una condanna, magari quell' 1% di rischio lo percepisco in maniera diversa. Se poi invece di 1 fosse 5%.. ci starei ancora più attento...
Tutto questo solo per parlare di GA; ma se parliamo di dati nella nuvola il discorso cambia notevolmente: vogliamo parlare di dati archiviati o backuppati nella nuvola? Dati dell'anagrafe? O della posta_cloud in cui si trattano dati sensibili? Io ho sentito ad un convegno di una ASUR che usava il cloud: nn ho ben capito che dati ci mettesse, ma qualche dubbio mi è rimasto..ed anche il mio amico informatico che mi sedeva a fianco era perplesso ed anche il dirigente dei sistemi informativi che gli stava vicno nn era tranquillo.. Ma si sa: il paranoico ha amici paranoici ;-)
Buon w/e a tutti.
Grazie, è proprio il tipo di risposta che volevo. Mi piacerebbe che ci fosse uno scambio tra esperti (giuristi) ma anche così è molto illuminante.Comunque aspettiamo, non si sa mai.
Mi pare di capire:
diciamo che, non si dovrebbe usare, perchè la privacy non viene totalmente tutelata, e la legge non completamente rispettata. Diciamo anche che il rischio di contestazioni è basso.
Solo alcuni paranoici, tendenzialmente avvocati, potrebbero decidere di fare causa. Ma diciamo anche che se sono abbastanza paranoici, probabilmente si sono attrezzati con DoNotTrackMe (appena installato e appena scopeerto che questo sito mi traccia! :-) . Io conosco altri paranoici, o meglio, gente che si è stancata di farsi tracciare, che si attezza allo stesso modo.
Chi è consapevole, si protegge, chi è inconsapevole, magari non ne sente nemmeno l'esigenza, e magari pubblica e rende pubblici su facebook o youtube le foto o il video del figlio di 2 anni mentre gli fa il bagnetto.
Quindi non si può, ma è tollerato. Meglio Piwik OWA o AWStats, o qualcosa comunque in cui i dati, restano sui server della PA.
Seriverebbe proprio un cloud pubblico e a norma. Possibile che nessun fornitore italiano si sia attrezzato? Mi sembra così strano
A me nn sembra strano ;-)
Come si dice, la domanda.. crea l'offerta.. Se nessuno si lamenta o riflette, paradossalmente si finirebbe per offrire un servizio non richiesto.. Le norme sono sono una delle caratteristcihe del prodotto/servizio; anche se nn dovrebbe essere così..in un mondo ideale: le norme andrebbero rispettate sempre ed a prescindere. Il cloud a buon mercato, non offre molte garanzie legali...Dubito però che in molti siano disposti a spendere di più, per un pericolo che non è grande..
La maggior parte delle persone nn si preoccupa della propria privay, pensa ancora che esistano servizi _gratis_ invece pagano, magari indirettamente o senza pensarci troppo, con i propri dati...
E' una questione di conoscenza e di cultura.
Io sto per inizare una procedura a tutela di un cliente al quale sono stati inviati SMS promozionali di un servizio a pagamento sul proprio cellulare da parte di un Comune. Come fa il Comune ad avere il cellulare del cliente (che non lo ha mai conferito spontaneamente)? Dov'è l'informativa? E il consenso? Non parliamo certo di un danno clamoroso, ma è diventata una "questione di principio": il Comune fa orecchie da mercante, non vuole nemmeno trattare una cifra (..da offrire in beneficienza...).
Paranoico il cliente? Paranoico io?
Gli strumenti di analisi, lo dice la parola stessa "analisi" offrono un dettaglio statistico delle attività: Esame accurato, studio particolareggiato, indagine: a. della situazione •loc. cong. testuale in ultima a., in definitiva, in conclusione, alla fin fine;
A me pare che come tutti gli strumenti, informatici o meno, dipenda molto dal metodo e dall'uso che se ne fa; anche l'acqua calda può essere pericolosa se vi immergi un neonato, anche un coltello per la bistecca può arrecare danno se lanciato contro il proprio direttore, ma la domanda come sempre è: cui prodest? a chi giova, perchè farlo? inoltre si ricordi sempre: "La protezione del dato è, e deve essere, commisurata al valore del bene che si intende proteggere...", questo i legali dovrebbero saperlo...
Quindi la tutela andrebbe concessa solo se il dato è trattato per certi fini e non per altri? A me nn sembra che la legge (le leggi..) siano così "finalistiche".. Certo il reato del 167 codice privacy - solo per fare un esempio - è a dolo specifico (danno altrui o vantaggio proprio), ma alter forme di tutela non sono così "mirate". La resonsabilità civile (ed il correlativo danno non patrimoniale) scatta anche senza dolo, cioè per semplice colpa, ossia per scarsa diligenza, imperizia o imprudenza.
Va poi aggiungiunto che il 2050 c.c. (richiamato espressamente dall'art. 15 codice privacy) inverte l'onere della prova: non sono io danneggiato (soggetto tracciato pe rimanere in tema di GA) a dover dimostrare la tua negligenza, ma tu danneggiate a dover dimostrare di aver fatto tutto il possibile per eviatre il danno. Sarà piuttosto difficile provare quest'ultima circostanza se ad esempio sono state ignorate le norme sui cookies...non è stata resa l'informativa o sono state strutturate le tracce digitali...
Magari bisognerebbe fare un caso concreto e poi parlarne, altrimenti se ognuno ha intesa un esempio dievrso .. è ovvio che si giunge a conclusioni diverse..
Parliamo di GA? Ok: quali dati trattiamo?, come?, sono aggregati?, sono incrociati (o lo possono.. eseere..)? con cosa? a che fine?
Non so quel virgolettato alla fine del commento a cosa si riferisce (un pricipio? una sentenza? una legge? un parere?), ma IMHO c'è da temere piuttosto il contrario ;-)
Quando parliamo di persona, siamo ai vertici della gerarchia delle fonti: per fortunta abbiamo una Costituzione nata sulle ceneri della Seconda Guerra Mondiale che mette la tutela della persona prima degli interessi patrimoniali e molte altre norme di legge rispettano (e devono rispettare) tale struttura. Non si tratta di valori economici che possono essere freddamente comparati su un piano solo economico, a mio avviso. La libertà dell'uno, finisce dove inizia il diritto dell'altro: puoi usare GA (è una libera scelta), ma ciò non deve arrecare danno ai navigatori. La parola magica credo si trasparenza: se mi tracci, dimmelo e dimmi pure come e perché. Qual è il problema? Perdere tempo a fare l'informativa? Certo ci vuole del tempo, delle conoscenze, forse dei costi: ma se nn li vuoi affrontare, bisogna considerare che forse un domani potresti avere dei problemi.
Andrea Buti. "quoto"
Il Cloud sviluppato dai privati con supporto del pubblico (e viceversa), e da mettere a disposione delle P.A. (con costi ridicoli) già c'è e lo utilizziamo (almeno noi) dal 2011.. il problema, come sempre, è la volontà di estensione di realtà già presenti.. il riuso (non solo del software ma anche delle esperienze vincenti) esiste oramai da lustri, è la volontà che ancora manca..
Se interessa (davvero), sentiamoci, facciamo un tavolo di lavoro, un incontro, parliamone... sul tema il silenzio è assordante
Ho la sensazione che la questione dati di Analytics sia sopravvalutata.
A parte la competenza occorrente alla lettura dei dati, nella realtà non è possibile rintracciare le persone e avere accesso a dati sensibili.
Avete mai visto i dati di Analytics?
Quoto Josè. Lo uso da 4 anni per il nostro portale, su cui pubblico mensilmente le statistiche. Sarà vero che posso conoscere anche il modello di cellulare utilizzato, ma non dispongo di dati "sensibili" degli utenti connessi. I dati relativi agli accessi ad ogni modo posso recuperarli con altro software, anche freeware, ma risalire all'identità dei singoli utenti, per se possibile, rientra in quel "carnet" di reati ascritti al C.P.P. e al C.P.C. Come detto poco sopra, è le modalità con cui usi i dati che costituisce possibile violazione, non il dato in se..
A me invece pare che sia sottovalutata ;-) Non è necessario rintracciare le persone o trattare dati sensibili. Basta molto meno: certo nn scattano reati (com il 167) , ma sanzioni amministrative si (omessa informativa e forse omessa notifica..)
Mettiamo i dati GA in relazione all'art. 122 del codice e vediamo cosa viene fuori:
Non è scritto da nessuna parte che questi disposizioni valgono solo per il contraente/utente già identificato, quindi valgono per tutti i contraenti/utenti anonimi (la legge nn usa la definizione "interessato".. )
A conferma l'art. 4, comma 2, del codice definisce utente e contraente come segue:
Teoricamente dovrei poter usare senza consenso (ma con apposita informativa) i cookies di sessione ed anche i performance cookie e per qualcuno anche i functionality cookie (credenziali di login da nn digitare ogni volta). Sarebbero vietati quelli targeting o advertising e quelli che tracciano.
Cmq in italiano "per archviare informazioni" usato nell'art. 122 è talmente ampio da ricomprendere (rigidamente e formalmente, benisteso, ma tant'è...) qualsiasi cookie, giacchè anche il più semplice di essi archvia informazioni...tranne quelli "strettamente necessari", ma quali sono questi?
Francamente mi pare eccessivamente sopravvalutata la questione. La navigazione internet lascia le medesime tracce di una passeggiata per le strade cittadine eppure nessuno si sogna di chiederci il consenso ogni volta che saliamo sul bus o entriamo dal panettiere. (Oddio forse qualche consorzio sta per farlo mentre parliamo eheh)...
Ottimo esempio quello della passeggiata per la via pubblica: è proprio lo stesso che è stato fatto ad un convegno (http://socialmediaweek.org/blog/event/la-cookie-law-direttiva-ue-introdo...) in cui c'erano tra i relatori i (miei) colleghi Guido Scorza e Carlo Blengino e moderava Luca De Biase, forse paranoici quanto me.. ;-)
Il problema non nasce quando vai a spasso per la città (pubblica via, autobus o nei negozi), ma quando qualcuno cominicia a seguirti o pedinarti (sempre nella pubblica via..) e quindi sa dove vai a fare la spesa, cosa compri e magari ti segue sino al portone di casa o controlla fino a che ora guardi la TV...
Quand'è che comincia lo "stalking" digitale?
Visto che tanto già mi sono dichiarato paranoico... mi viene da pensare a quella scena di Minority report in cui al nostro "utente/contraente" viene mostarta la pubblicità personalizzata con un ologrammi sulle pareti. Fantascienza? Mica tanto... E se nn cominciamo a preoccuparci della privacy ora, sarà difficile farlo (anche culturalmente) quando ci saremo assuefatti a cookie & Co...
Andrea Buti scrive:
... a meno che non si consideri la diffusione capillare di telecamere di sorveglianza, che, pur segnalate, ormai "illuminano" anche le adiacenze di private abitazioni, non più solo di banche, esercizi commerciali et similia...
IMHO inizia nel momento in cui qualcuno usa le informazioni da noi disseminate, più o meno volontariamente, per contattarci in maniera indesiderata e non smette nemmeno dopo un nostro perentorio invito a farlo
sarò paranoico al cubo, a me viene in mente Nemico pubblico ç__ç
Premesso che personalmente ho un bassissimo livello di attenzione alla privacy, inversamente proporzionale all'apprezzamento nei confronti della condivisione e della partecipazione, devo dire che ho molto apprezzato i diversi contributi a questo topic.
Mi sembra che gradualmente il confronto si sia spostato su annotazioni di tipo "antropologico" più che informatico e web-oriented. Aggiungo allora la mia.
Nell'immaginario collettivo internet e la tecnologia che lo presiede, poichè non sono alla portata e nella conoscenza di tutti (digital divide, linguaggio per iniziati, etc. etc.) evocano dinamiche che ricordano quelle magiche, in cui un ristretto numero di adepti si riunisce per fare chissà cosa di pericoloso a danno di chissà chi. E quando saltano fuori episodi riconducibili ad un cattivo uso del mezzo (google analytics è solo un mezzo), sono solo una conferma del pensiero negativo.
Due le strade possibili: informazione all'utenza e trasparenza dei processi, oltretutto come PA siamo anche "costretti" a percorrerle.
Il senso a mio parere rientra nello scenario d'uso e nelle finalità. Perché leggiamo i dati di analytics? Perché intendiamo, prima di eseguire test di usabilità, capire qualcosa in più sugli utenti, al fine di migliorare la qualità e l'organizzazione dei contenuti del sito per garantire una maggiore comprensione e fruibilità degli stessi, che dovrebbe essere una missione e aiutare lo sviluppo della value proposition di ogni PA che intende migliorare i servizi e il rapporto con i cittadini.
Per questo lo facciamo.
Siccome la tutela del cittadino viene prima di tutto, bisognerebbe mettere da parte le paure e le paranoie e pensare al bene comune. Questo lo fa un amministratore onesto che si impegna nel suo piccolo per migliorare le cose. Oggi l'Italia è bloccata e strozzata tra mille burocrazie e la mancata assunzione di responsabilità da parte di chi ci amministra. Perciò l'invito è relativo all' analisi dei benefici reali e nell'esclusivo interesse dei beneficiari, mettendo da parte leggi e leggine che non servono a niente. Il dato è che usare analytics è estremamente utile se usato bene per capire se il nostro sito funziona, non lede alcun interesse ed è il primo passo per imparare a costruire tutti una PA in grado di dialogare con i cittadini. Il diritto alla completa informazione del cittadino è un diritto. Il dirigente che non si preoccupa di rendere le informazioni chiare al cittadino, restando bloccato con delle cose inutili, dovrebbe essere punito. Usate analytics e migliorate i siti delle PA. Avrete cittadini felici che vivono in un paese migliore.
quoto Josè..
Parrò menefreghista, ma sinceramente possono anche controllare quante volte vado in bagno.. non mi pare un grande problema per me.. al massimo lo sarà per loro.. essendo fortemente curioso "dell'infinitamente piccolo" rivelato dalla fisica quantistica non bado molto all'infinitamente grande della mia tazza del cexxo.. Dico ciò per "elevarmi" al "livello portineria", che poi è anche il mio status di quiescienza naturale..
:-)))))))
Ciao Marco. Non sembri menefreghista, credo sia giusto e sacrosanto che ognuno decida (e quindi scelga) che livello di privacy dedicare alle proprie azioni.
È invece menefreghista declinare un opinione circa problema come soluzione (o palliativo) dello stesso. La domanda da cui nasce questo thread è infatti posta da un punto di vista speculare al tuo. Non si chiede se all'utente interessa essere spiato in bagno, ma se un ente pubblico può permettersi di spiare cosa succede nel bagno dei suoi utenti.
L’esempio della toilette è una buona metafora, provo a declinarla con un esempio, molto generico, ma che spero aiuti a offrire un punto di vista differente.
Immaginiamo di dover andare nella toilette di un autogrill. Entriamo, ci caliamo le braghe, alziamo lo sguardo e troviamo una telecamera (occultata ma non troppo, proprio come i cookie o i track) che ci osserva. A questo punto la tua reazione sarà menefreghista: continui a sbrigare la faccenda, esci e te ne vai. Poi però arriva un altro utente, e si ripete la scena. Quest’altra persona, però, non accetta di buon grado la telecamera, trova un responsabile e gli chiede: A) Perché c’è una telecamera; B) Perché non è segnalata; C) Per quali finalità si svolge la registrazione
Quasi sicuramente il responsabile dirà che è per fini statistici, o di sicurezza, e che in ogni caso il video non sarà ceduto a terzi. Più o meno incazzato l’utente esce, accende l’auto e se ne va, mentre la telecamera all’esterno registra il numero di targa.
Immaginiamo che questo autogrill sia una società che oltre a gestire impianti su rete autostradale si occupi anche di pubblicità. Dopo una settimana l’utente che ha chiesto spiegazioni riceve la brochure di una clinica specializzata nell’allungamento del pene. Sul depliant campeggia la scritta: dall’infinitamente piccolo all’infinitamente grande il passo è infinitamente breve
Comunque dimentichi nel tuo esempio di sottolineare che se quel dato fosse stato raccolto con G.A. probabilmente avresti solo la lunghezza media dei peni ripresi all'autogrill, e non il nominativo del titolare del pene :-))) diciamo che tutto cio che stiamo dicendo qui è abbastanza corretto, però toglierei G.A. dalla discussione in quanto ad ogni modo non raccoglie mai dati che possano ricoondurre ai soggetti monitorati e quindi gli esempi sono fuorvianti. Pertanto rischiamo in linea di massima di avere tutti ragione e contestualmente tutti torto :-))))))
Se non vi spiace vorrrei avere la mia risposta.
E' obbligatorio per legge per una PA adottare adeguati sistemi di monitoraggio, e bisogna capire come fare. Qui parliamo di legge e dei suoi confini e non dovremmo parlare di opinioni, mentre è utile sapere che possiamo avere diverse interpretazioni.
Per me c'è una questione di opportunità: per assolvere un obbligo (devo monitorare) a costo zero, è probabile che possa usare GA, ma devo essere consapevole che sto regalando informazioni ad una società esterna che con quelle informazioni guadagna. E come si è detto all'inizio, devo essere anche pronto eventualmente a pagarne i prezzi. In un eventuale giudizio porterò le mie argomentazioni, quelle che sono emerse.
Io volevo fare chiarezza. Spesso sento parlare consulenti che propongono cose alle PA che per legge queste non possono usare. E spesso chi ascolta, non conosce perfettametne la legge, o come in questo caso, la legge ha delle interpretazioni.
Credo che chiunque dica a una PA di usare un sistema di web analytics dovrebbe dire che dovrebbe attivarne uno che risiede sui propri server, ma se non ce li ha, non ha le risorse o le competenze può eventualmente usare GA. In tutti i casi deve informare adeguatamente gli utenti sul sistema che li traccia.
Una informativa accettabile per una PA che vuole usare GA può essere quella dell'Agenzia per la diffusione delle tecnologie per l'innovazione
Corretto?
Ho letto con molto interesse la discussione, e credo di comprendere la posizione di Jacopo.
Non conosco bene le normative, per cui non posso dire se inviare dati ad un ente esterno sia o meno in linea con le norme. Secondo me, nel caso si utilizzino GA o altri sistemi di Java script che fanno "uscire" i dati degli utenti, comunicare agli utenti che i loro dati di navigazione sono monitorati ai fini statistici tramite servizi esterni è una cosa di buon senso.
Comunque nel caso che l'utilizzo di sistemi "non proprietari" di analytics fosse poco in linea con le norme, ci sono delle soluzioni open, per esempio Awstats (http://www.awstats.org/). So che è un progetto open, ma ovviamente va studiato ed installato nel server. Non lo ho mai utilizzato, ancora, ma questa (o strumenti simili) potrebbe essere una soluzione alternativa a GA.
Se può essere utile: esistono 2 strumenti open,che sono ad un ottimo livello, simile a quello di GA.
Nessuno dei due è perfettamente a norma sull'accessibilità, ma visto che noi per svariati motivi, abbiamo deciso di adottare Piwik, siamo intervenuti nel progetto, stiamo dando il nostro contributo e quindi lo abbiamo fatto un po' deviare. Oggi l'accessiblità è nella roadmap e messa in milestones da qui a 3 mesi.
Se altre amministrazioni che magari usano OWA fanno lo stesso, avremo due prodotti gratuiti, di alto livello, a norma di sicurezza e accessibilità e che risolvono le questioni di privacy.
quoto Livio. Il mio "menefreghismo" non è riferito al thread che invece apprezzo (altrimenti stavo altrove), piuttosto è una reazione all'impossibilità intrinseca di dare una risposta alla problematica. Possiamo speculare su qualsiasi normativa, ma tecnicamente sai meglio di me che non vi sono grandi "buchi" normativi. L'unica possibilità che abbiamo è quella di garantire, a chi vede "realmente" violata la propria privacy, un percorso di tutela giuridica. E quindi torniamo al primi post in cui sostenevamo: il problema non sono i dati che vengono raccolti ed analizzati, ma come vengono analizzati e l'uso della reportistica che "nasce" da tali dati.
Mi sembra che questa discussione si stia dipanando su due piani diversi:
Io la penso come De Gregori: legge e giustiza siano cose diverse. Detto questo volevo apportare un contributo sugli aspetti giuridici lasciando poi il resto all'etica e morale ci ciascuno. Non consiglierei a nessuno, tuttavia, di sperare che un eventuale giudice individui lo stesso buon senso o la stessa giustizia che noi abbiamo immaginato: il diritto serve (per questioni di ordine pubblico) a rendere oggettivo ciò che nasce soggettivo. Ovvio che nell'operare questa trasformazine si scontenti qualcuno..
Può piacerci o meno, ma va rispettato: possiamo ritenere pure le leggi sulla privacy delle boiate eccessive, ma finchè ci sono vanno rispettate.
Poi Il diritto è talvolta può scendere nella burocrazia e nel formalismo.. E' per questo che cerco di andarci con i piedi di piombo...
Ripeto comunque una cosa: anche se i dati sono anonimi, per la lege non fa differenza!! Tornando all'esempio, per far scattare l'illecito NON è necessario che il "proprietario" del membro sia identificato o identificabile . E' illecita l'attività di per sè solo e perché mancano l'informativa e il consenso. Tutto qua.
Venendo alla domanda di Jacopo sull'informativa resa dall'Agenzia; ho qualche perplessità:
Domanda A) Io non ho capito: mi tracciano o no? Al punto 1 sembra di si, ma la punto due invece no...
Domanda B) Questo equivale a quel "monitorare" che la legge (art. 122) vuol vietare? E chi lo farebbe Google o l'Agenzia?
Domanda C) Di fatto è adotato un sistema opt-out, giacché se vuoi, puoi disabilitare i cookies, ma fino ad allora il sito li ha utilizzati.. quindi oltre all'informativa imprecisa, mi sembra che anche il consenso non sia del tutto libero. Oltre che paranoico sarò anche iper_pignolo, ma vorrei che appena accedo al sito mi comparisse una finestra in cui mi venisse resa un'informativa più chiara e che vi fosse un pulsante o simili per iniziare la navigazione. Ci sono siti (pochi, ma che significa?) che lo fanno.. non è una cosa impossibile o costosa: è solo volontà e consocenza...
Le leggi andranno rispettate ma è anche vero che le leggi per gli uomini le scrivono gli uomini e quindi possono essere discusse, criticate e modificate/abolite. Applicare una norma alla cieca è un concetto dietro al quale si nasconde il burocrate ed il pavido. Non si eseguono semplicemente gli ordini impartiti da terzi, ma si valutano e, se del caso, si eseguono. La cieca obbiedienza non mi pare abbia portato a grandi risultati in passato e le fesserie rimangono tali a prescindere dalla bocca da cui escono.
Le leggi degli uomini restino agli uomini (leggi anche "date a Cesare quel che è di Cesare e a Dio quel che è di Dio").
Discutiamo e critichiamo le leggi quanto vogliamo, ma nn c'è "l'obiezione di coscienza" o la "disobbedienza civile" che ci permettono di decidere quali leggi seguire e quali no..o scegliere i casi..
Modificarle o abolirle è possibile, ma nn per noi: fintanto che son in vigore, io - da mero operatore giuridico - nn posso che suggerirne il rispetto.
Ed anche nell'incertezza quale è quella in tema di cookie law.. ci andrei cauto; poi ognuno è libero di fare diversamente ;-)
Approfitto delle competenze, per fare lo stesso tipo di domanda, ma su altri servizi online.
Potrei aprire un'altra domanda, ma non vorrei perdervi. Magari lo faccio dopo.
Esempio:
Si possono usare servizi come Mailchimp per gestire una newsletter di una PA?
Alcuno problemi, questi sistemi li risolvono, perchè l'informativa e il consenso per l'iscrizione sono ovviamente necessari e si potrebbe pure informare dei cookies e dell'attività di spionaggio che fa questo tipo di servizio.
Ma da quanto ho letto qui, resterebbe la questione di dove risiedono i dati.
Sarebbe un ostacolo?
Le loro policy sarebbero sufficienti?
http://mailchimp.com/legal/privacy/
Ciao Jacopo,
io uso MailChimp per gestire le newsletter della PA per cui lavoro e consiglierei l'impiego di questo strumento a tutti i colleghi :)
Per quanto riguarda i cookies (sui pc di chi riceve la newsletter) il sistema non li utilizza: inserisce invece un codice di tracciamento che si integra con Google Analytics. Gli unici cookies utilizzati sono pertanto quelli sul PC di chi amministra il sistema, crea la newsletter, gestisce i contatti, etc.
Sui dati il paragrafo interessante delle Privacy Policy di MailChimp e' il "9. Your Distribution Lists".
Inoltre nei Terms of Service il paragrafo "19. Compliance with Laws", riferendosi a chi come noi operan nella European Economic Area (EEA), specifica che:
A me pare un bell'esempio legale di scaricabarile, che se non altro rimette nelle mani della PA diritti e doveri sui dati degli iscritti. Piacerebbe anche a me ricevere un parere legale su questo.
Ti dirò, a pelle, il fatto che mailchimp tracci se ho aperto il messaggio o l'ho inoltrato e quando e a quanti, mi sembra un pelo invasivo, e direi peggio dei cookies: per questo chiedevo lumi e se la cosa va chiaramente esplicitata.
Poi il fatto che il tracciamento si integri con GA, la vedo pure peggio, per come tirava il vento della discussione.
Per chiudere, il fatto che le email tutti i dati sul tracciamento stiano in Georgia mi lascia ancora più perlplesso e quel che leggo nel pezzo che hai riportato, mi pare che peggiori le cose (es. che una Pa trasferisca di sua volontà i dati e dia espresso consenso a Mailchimo di trattarli ecc ecc.)
Poi concordo sul fatto che è un sistema ottimo, e che non hai modo di usarlo se non trasferendogli il diritto ad usare, conservere, ... gli indirizzi e tutto il resto. Ma sono dubbioso: si potrà fare?
Lascio ovviamente la parola agli esperti...
Sono molto interessato anche io al parere legale, in modo da poter eventualmente adeguare gestione utenti e comunicazioni attraverso MailChimp!
"parere legale" è un termine un po' impegnativo ;-)
Per un paio di ragioni:
Un conto è scrivere su un forum, attingendo semplicemente alle conoscenze - incidentalmente - già possedute, un conto è organizzare un lavoro che comporta:
Si tratta quindi di un lavoro a tutti gli effetti che dovrebbe meritare un corrispettivo.
Io comprendo benissimo le esigenze di contenimento delle spese, specie in ambito p.a.; qualche anno fa proposi questa cosa un po' innovativa (a mio modo di vedere): http://www.igniteitalia.org/2010/07/andrea-buti-il-diritto-al-cucchiaio/
Per quanto si possa parlare male degli avvocati, un'attività come quella che ho indicato sopra richiede qualche ora ed anche solo parametrandoci - con tutto il rispetto beninteso - alla tariffa oraria di un idraulico o di un tecnico informatico saremmo nell'ordine di alcune centinaia di euro . A tal proposito, io penso che la "specializzazione" (non riconsociuta espressamente dalla legge, ma in qualche modo documentabile via CV) è in grado di migliorare le performance del professionista. Alcuni (molti?) avvocati nn stanno dietro a questioni come privacy e ICT e quindi se dovessero affrontare temi come quelli proposti qui, dovrebbero costruirsi una conoscenza di base: ciò comporterebbe un maggior numero di ore per rendere il parere. Chi invece è "un po' più" o "molto" al dentro degli stessi temi, potrebbe rispondere al quesito impiegando meno tempo, con conseguente riduzione dei costi per il cliente.
Se poi lo stesso quesito interessa più clienti contemporaneamente è chiaro che il costo complessivo potrebbe essere (con)diviso. Immagino - non mi viene in testa un termine migliore sul momento.. - a qualcosa che assomigli ad una "consulenza 2.0", basata sulla condivisione di interessi, esigenze e risorse.
Spero di non essere finito OT...
P.S. Solo come informazione generale: le tariffe per le parcelle degli avvocati sono state abrogate e la regola è che il compenso è liberamente contrattabile (esistono dei parametri nel caso in cui non ci sia questo contratto o si debba pagare l'avvocato della controparte: http://www.altalex.com/index.php?idnot=67105#par4)
Avevo dimenticato di entrare nel merito di Mailchimp.. sorry...
Nella loro privacy segnalano:
La regola gerale sarebbe: visto l'email è una specie di cartolina.. in troppi la possono leggere, quindi se vuoi trafserire informazioni riservate nndoversti usare MailChimp.
Questo però sposta i termini della questione, almeno in ottica di legge italiana; il nostro diritto tutela il dato anche se comune e non solo se confidenziale..
Inoltre l'art. 43 del codice dettaglia l'ipotesi trasferimento dati all'estero extra UE (se i server stanno in Georgia). Ora l'indirizzo email è sicuramente un dato personale: non sarà sensibile né confidenziale, ma per la nostra legge, all'estero può andare solo in ipotesi ben delineate: valutate le vostre realtà e verificate se tutto corrispone:
Quindi minimo, occorre il consenso, ma nn basta: se nn ricorre una delle necessità indicate, non mi pare sia possibile.
Solo per scrupolo ho buttao giù due dati (ricerca per estremo mirata sull'art. 43) e nn ho trovato sentenze sul punto: nel dubbio che si fa?
Cercando tra le risorse elettroniche mi son usciti questi risultati:
Per vedere se c'è qualcosa che possa fare al caso nostro, occorrerebbe consultarli (col rischio di nn torvare nulla..)
non so se il tuo buffet assomigli a questo self service http://www.avvo.com/ o questo http://www.legalclick.it/it/ o altri del genere ma in ogni caso hai ragione:
non è una questione da forum, se a rispondere è un professionista.
La domanda in realtà era diretta ad altre PA che qui leggono e partecipano, e in seconda battuta aperta al confronto con esperti come te:
c'è qualcuno che usa questi software e ha valutato seriamente ed ha un parere legale di livello professionale?
Beh l'idea è simile; se guardi tuttavia si tratta di una s.r.l. che fa riferimento ad avvocati che non vengono menzionati. Non ho elementi per dubitare che poi il parere venga reso effettivamente da un avvocato che ci metterà la firma, resta che dall'esterno non sai con che tipo di professionalità hai a che fare.
Io ritengo che la specializzazione (più di fatto e sul campo che formalmente..) in questi settori sia importante, ma non è solo questo. Immagniamo che un parere costi 500 euro per un cliente e che questo cliente abbia bisogno (considerate le legg in Italia e in Europa) di 5-10 pareri in un anno: sono 2.500-5.000 euro. Le risorse economiche nn ci sono ed ognuno si arrangia (in Italia c'è da dire che siamo bravissimi in questo e lo dico senza scherno) come può: ma se quello stesso parere, invece, interessasse, tal quale senza differenze in punto di fatto, più clienti, non si potrebbe dividere tra questi clienti il costo? Il professionista rende in realtà 1 solo parere e quindi va pagato solo per questo che però accontenta più clienti.
10 clienti che "comprano" lo stesso parere pagano un decimo, 20 clineti pganao un ventesimo e così via. Se pensiamo a quante PA potrebbero essere interessate alla questione di cui stiamo parlando, il parere costerebbe una sciocchezza...
Certo che però mettersi a lavorare su un parere che nessuno ti ha chiesto, rischia di farti lavorare a vuoto: la vita è davvero paradossale a volte! Ci saranno decine di interessati a questa cosa, ma non riusciamo - credo - a raggiungere la massa critica per iniziare....
Mi viene in mente la teoria dei giochi in cui c'è il costante dilemma tra il competere ed il cooperare con il risultato, che di fatto, tutti prendono la decisone più sfavorevole: il professionista perde l'occasione di parcella ed i clienti di ottenere un parere al prezzo di un caffè o di una pizza.
Eppure questa situazione nel mondo del web potrebeb trovare un'altro trattamento.
Qualcuno ha voglia di provare? Magari facendo un altro post, perché mi pare che stiamo uscendo dal seminato ;-)
L'ufficio Comunicazione multimediale ed Internet dell'Agenzia delle Entrate usa Webtrends, i dati raccolti sono archiviati sui server di Sogei che è la società informatica partner tecnologico del Ministero delle Finanze e della stessa Agenzia.
Con quel che costa? E che aspettate a cambiare! ;-)
PS
Spero che non vi basiate sui log, noi abbiamo avuto grosse sorprese pasando ad altri sistemi di analisi.
Buongiorno,
per quanto riguarda i cookies, nella speranza di fare cosa gradita, condivido uno stralcio di un corso tenuto dal sottoscritto.
https://www.dropbox.com/s/wp8b24d88q45mxl/Corso%201.pdf
Saluti
Avv. Noce