Ciao.
Vorrei chiedervi. Questi casistiche secondo la legge italiana in particolare col C.A.D. sono considerati legali o illegali ?
Un sito web comunale viene venduto come soluzione informatica libera ma include all’interno google analytics.
Un sito web comunale viene venduto come soluzione informatica libera ma fa uso di google analytics scaricando lo script da remoto (cioè all’interno della pagina c’è qualcosa come <script src="https://google.com/google-analytics.js" />
Un sito web comunale viene venduto come soluzione informatica libera ma fa uso di font remoti
Un sito web comunale utilizza dei cookie (inutili) di terze parti
Non conosco le leggi al riguardo, ma come cittadino mi fa molto arrabbiare che in un rapporto tra me e la mia pa sia sempre coinvolta una azienda, perdipiù estera, che può tracciare me e tutti i miei concittadini.
Come aggravante, la PA non se me fa un accidenti di analytics: non è che devono incrementare le vendite, se gli serve feedback ne ricevono a tonnellate dai cittadini e lo ignorano regolarmente.
Se c’e’ una Cookie Policy e c’e’ l’elenco dei cookie traccianti, e’ perfettamente legale.
La legge impone di informare l’utente, non di non tracciarlo.
Detto questo, si puo’ certamente invitare il comune in oggetto ad aderire alla piattaforma Web Analytics Italia (che altro non e’ che una istanza Matomo gestita dal Dipartimento per l’Innovazione).
Interessante anche vedere se il tracciamento è compatibile con il GDPR. Caso banale: se un url contiene dati personali nel percorso o nei parametri, il suo tracciamento verso gli usa costituisce sicuramente una violazione.
Ulteriore estensione: se un utente è loggato su google, dove tiene suoi dati personali, e visita un sito della pa che usa analytics, google completa i dati personali di cui è già in possesso con la cronologia di navigazione in quel particolare sito.
Il sito della PA contribuisce all’esportazione di dati potenzialmente sensibili (come la consultazione di pagine relative al reddito, al sindacato, all’orientamento sessuale, alla religione, etc) verso un terzo che può identificare direttamente il visitatore e associarli a lui, rendendoli sensibili a tutti gli effetti.
Volendo esagerare, questa pagina del garante cita anche il solo indirizzo IP come dato personale…