Negli ultimi giorni moltissime aziende si sono ritrovate nella loro casella mail un messaggio proveniente da un certo Federico Leva che chiedeva la cancellazione dei suoi dati; ma andiamo con ordine.
Il tutto nasce da un provvedimento del Garante per la protezione dei dati personali con il quale viene dichiarato illegittimo il trattamento eseguito mediante uno dei più famosi e diffusi cookie, ossia Google Analytics (per approfondire l’argomento clicca qui).
A seguito di questa pronuncia, in molti hanno ricevuto una mail firmata da Federico Leva con la quale lo stesso chiedeva la cancellazione di tutti i suoi dati. Questo ha scatenato una serie di reazioni e domande abbastanza comuni in tutti i destinatari e che ora cercheremo di affrontare assieme.
Questo è il testo dell’email inviata da Federico Leva
Oggetto: Uso illegittimo di Google Analytics: richiesta di rimozione ex art. 17 GDPR
Data: Wed, 29 Jun 2022
Mittente: Federico Leva
Spettabile titolare del trattamento dei dati personali, spettabile responsabile della protezione dei dati, Vi scrivo in quanto utente del sito ……….. per richiedere la rimozione dei miei dati personali, in forza dell’art. 17 (“Diritto alla cancellazione”) del regolamento UE 2016/679. Vogliate cortesemente rispondere entro 31 giorni dalla ricezione della presente per confermare l’ottemperanza, come precisato di seguito. Il vostro sito incorpora Google Analytics, che provvede a trasferire i dati personali di tutti i vostri visitatori a Google negli USA. Con provvedimento del 9 giugno 2022 (9782890), ciò è stato dichiarato illegittimo dall’Autorità Garante per la protezione dei dati personali, come annunciato nel comunicato stampa:“Google: Garante privacy stop all’uso degli Analytics. Dati trasferiti negli Usa senza adeguate garanzie”. Il Garante «invita tutti i titolari del trattamento a verificare la conformità delle modalità di utilizzo di cookie e altri strumenti di tracciamento utilizzati sui propri siti web, con particolare attenzione a Google Analytics e ad altri servizi analoghi, con la normativa in materia di protezione dei dati personali», e fissa un termine di 90 giorni passati i quali procederà a ulteriori verifiche. https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9782874 Guido Scorza, componente del Garante, ha ulteriormente illustrato il provvedimento nell’intervista con Matteo Flora “Google Analytics vietato – analizziamo il problema”. L’uso di Google Analytics è illegittimo anche in quanto ogni finalità legittima può essere soddisfatta da software libero ospitato in UE e atto a un corretto trattamento dei dati personali, come Matomo, Plausible Analytics o altri raccomandati dall’Autorità francese CNIL, mentre nessuna versione o configurazione di Google Analytics può garantire di non trattare i dati personali in modo illecito. Alla luce di quanto sopra:
-
preciso che i dati personali oggetto della presente richiesta sono quelli derivanti dalla mia visita del vostro sito nei giorni scorsi, identificabili dal mio indirizzo IP (51.158.x.y) e user-agent (“Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/76.0.3803.0 Safari/537.36”), e ogni dato connesso o derivante dagli stessi;
-
richiedo la cancellazione di tali dati personali dai sistemi informativi del vostro responsabile del trattamento e dagli eventuali backup e ovunque essi siano stati trasmessi a causa del vostro uso di Google Analytics, in quanto: a) tale trattamento è illecito e b) tali dati personali non sono necessari a eventuali finalità legittime, come sopra descritto; c) nella misura in cui il trattamento potesse eventualmente essere lecito in forza di un mio consenso, nego di aver prestato il mio informato e valido consenso, che in ogni caso revoco espressamente con la presente; d) qualora i dati fossero asseritamente trattati sulla base di un legittimo interesse, la presente assume valore di opposizione al trattamento oltre che di richiesta di cancellazione;
-
in particolare, richiedo la rimozione di qualsiasi registro o copia dei dati personali di cui sopra da parte di Google e ogni altro responsabile di tale trattamento o altro soggetto che li abbia ricevuti, compresi tutti i dati inviati dal mio browser al momento della visita, nonché qualsiasi versione pseudonimizzata dei medesimi e qualsiasi dato aggregato riconducibile ai medesimi o ad altri miei dati personali, come la classificazione in coorti o qualsiasi tipo di identificativo univoco;
-
richiedo altresì, in forza dell’art. 18(1)(d) del regolamento 2016/679, di interrompere immediatamente ogni trattamento di tali dati personali connessi al mio uso passato e futuro del vostro sito, ad esempio provvedendo alla completa rimozione dallo stesso di Google Analytics (in qualsiasi versione e configurazione) e interrompendo ogni uso dei dati prodotti da Google in relazione agli utenti del vostro sito;
-
ove lo riteneste necessario, mi dichiaro disponibile a fornire ulteriori dati utili a identificarmi come la persona a cui fanno riferimento i dati personali di cui sopra, come l’indirizzo IP esatto e la data e ora della visita più recente, nonché i cookie e altri identificativi esibiti da Google in corrispondenza della stessa;
-
richiedo di rispondere a quanto sopra primariamente tramite il modulo collegato sotto, fornito tramite software libero LimeSurvey ospitato in UE (e rispettoso della privacy), entro 31 giorni dalla ricezione della presente; il mio indirizzo di posta elettronica per questa materia è domande@leva.li.
Non ci focalizzeremo più di tanto su Federico Leva, in primis perché non si rende conto del danno che crea alla società per l’esercizio di un suo diritto.
Ma è una truffa?
Prima di tutto chiariamo subito che no, non è una truffa o un messaggio da considerare solo come spam. Anzi è un messaggio da prendere in considerazione in quanto è la richiesta di un utente di esercitare i diritti che la normativa di settore gli riconosce. Essa, infatti, è una richiesta fatta da una persona fisica che realmente esiste, Federico Leva (ma c’è anche chi pensa sia un nome di fantasia generato da chissà quale algoritmo/software).
La richiesta andava fatta a Google?
Va precisato poi, che l’esercizio dei diritti va posto in essere nei confronti del Titolare del trattamento, ossia il proprietario di un determinato sito web; quindi, non si può chiedere all’utente di scrivere a Google per avanzare le sue richieste di esercizio dei diritti dal momento che Google è un mero Responsabile (questo è specificato anche nel contratto che si sottoscrive per usufruire dei servizi Google).
Sono obbligato a rispondere?
Assolutamente sì, lui infatti è un utente che sta esercitando i diritti che una norma gli riconosce, non farlo potrebbe essere controproducente dal momento che l’art. 12 par. 3 prevede che il titolare debba fornire un riscontro circa l’andamento dell’istanza ricevuta da parte dell’interessato senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento. Tale termine può essere prorogato di due mesi, se necessario, tenuto conto della complessità e del numero delle richieste, informando in ogni caso di tale proroga.
Serve la PEC?
Anche il fatto che la richiesta non provenga da un indirizzo di posta elettronica certificata (PEC) non invalida la richiesta stessa poiché non è previsto nessun obbligo nei confronti di un normale cittadino di avere un indirizzo PEC.
Posso rimuovere solo i suoi dati?
La risposta è positiva, Google Analytics infatti prevede la possibilità di procedere alla cancellazione dei dati dei singoli utenti. Chiaramente è una procedura magari sconosciuta ai più ma non per questo irrealizzabile (vedremo qui di seguito come fare).
Devo risponde mediante Limesurvery?
No, nonostante nella sua richiesta Federico inviti ad utilizzare questa piattaforma, il Titolare non è obbligato a farlo e può usare tranquillamente la mail peraltro indicata nel testo della richiesta (domande@leva.li)
Chiariti i dubbi, passiamo alle soluzioni.
Chiedere il Client ID
Quello che forse è il problema o forse errore commesso da Federico Leva è l’aver indicato il suo indirizzo IP ma non il Client ID. Quest’ultimo, infatti, è un dato fondamentale per poter assecondare le richieste fatte, dal momento che per procedere alla cancellazione è necessario accedere a: Google Analytics selezionare la voce “audience” e poi “user explorer” qui, infatti, è possibile cercare l’utente mediante il suo Client ID ed una volta trovato ed aperto si possono cancellare tutti i dati a lui riferiti.
Procedere alla cancellazione
Quello che ormai è ovvio è il fatto che sarà necessario dar corso alla richiesta ricevuta e procedere quindi con la cancellazione dei dati di Federico Leva.
Rimuovere Google Analytics 3
Se il vostro sito utilizza questa versione di cookie può essere una buona idea rimuoverlo. Ciò non tanto per la richiesta di Federico, ma alla luce della pronuncia del Garante in relazione alla tutela dei dati offerta da GA3 in quanto non in linea con il GDPR; nel termine dei 90gg previsti dal provvedimento.
Google Analytics 4
Ad oggi anche questo servizio potrebbe non essere in linea con la norma di settore, pertanto, si sconsiglia di farlo. Si tenga conto che anche GA4 è coinvolto in una serie di procedimenti presso i Garanti europei e nella fattispecie quello francese si è già espresso sull’argomento in modo molto sentenzioso.
Per una consulenza in merito potete contattarci in orario ufficio da lunedì a sabato al numero 0171.1836507 oppure 339.7982768
o inviando una richiesta via e-mail a info@ariaudo.eu