Federico Leva: come rispondere alla mail sull’uso illegittimo di Analytics?

Condividi su:

Facebook
Twitter
LinkedIn
WhatsApp

Il team di Bryan vuole sensibilizzare i suoi clienti e i suoi lettori sul provvedimento del 23 Giugno scorso da parte del Garante della Privacy Italiano a sfavore del’uso di Google Analytics a causa del trasferimento dei dati negli Usa senza adeguate garanzie. Riportiamo di seguito un articolo esplicativo e ben realizzato da parte dei colleghi di Tag Manager italia per spiegare come rispondere e come muoversi se si dovesse ricevere la prima comunicazione di avvertimento da un certo Federico Leva.

Dall’articolo del 6 luglio 2022: “Cosa fare con la mail di Federico Leva? È necessario rispondere? E se sì, come?” realizzato da Tag Manager Italia.

Uso illegittimo di Analytics, perchè?

Molto probabilmente nei giorni scorsi sarà capitato anche a te (o ai tuoi clienti) di ricevere una email inviata da un certo “Federico Leva” con oggetto: “Uso illegittimo di Google Analytics: richiesta di rimozione ex art. 17 GDPR“. 

Vediamo insieme di cosa si tratta.

testo email Federico Leva richiesta cancellazione dati personali Google Analytics

In seguito al provvedimento del Garante italiano dello scorso 23 Giugno, l’email in questione è stata inviata da una persona fisica (Federico Leva, un italiano residente a Helsinki) tramite lo script open source sviluppato dal movimento “Monitora PA” che permette l’invio automatico a centinaia di migliaia di professionisti e aziende che hanno installato Google Analytics sul proprio sito web.

Lo script in questione, sviluppato in Python, verifica l’esistenza della libreria di gtag.js , la quale può essere utilizzata anche per altri scopi e non solo per Google Analytics. È quindi probabile che qualcuno abbia ricevuto la segnalazione relativa a GA senza che questo sia effettivamente installato e presente nel sito oggetto della segnalazione.

In breve, nell’email Federico Leva richiede la cancellazione dei propri dati personali da Google Analytics.

Il ruolo del DPO aziendale

Si tratta di una richiesta legittima che qualsiasi utente può fare per la tutela dei propri dati personali, come previsto dalla normativa GDPR europea. Non è rilevante il mezzo con cui è stata inviata la richiesta (email normale, PEC, messaggio SMS, lettera cartacea, raccomandata, bigliettino, etc).

Di conseguenza, il DPO dell’azienda (o il referente privacy se il DPO non è stato nominato) è obbligato a rispondere entro 30 giorni dalla ricezione dell’email stessa.

In caso di mancata risposta e sempre secondo la normativa in materia, Federico Leva potrà segnalare il tuo sito web e inviare un reclamo al Garante della Privacy, indipendentemente che tu abbia Google Analytics installato o meno.

Attenzione: il termine di legge entro cui devi rispondere è 30 giorni, e non 31 giorni come indicato da Federico Leva all’interno dell’email che ha inviato.

La buona notizia è che rispondere in maniera opportuna a questa email è molto facile. 

Come rispondere alla mail di Federico Leva

Ecco il nostro consiglio su come procedere:

  • Rispondi via email alla richiesta. Non utilizzare il modulo linkato all’interno della mail (che tra le altre cose non è più funzionante perché è stato bannato dal servizio di survey).
    • Se il contatto email di Federico Leva non è indicato all’interno della mail che ti ha inviato, puoi trovare il suo contatto diretto all’interno del suo sito web personale (cerca il suo nome e cognome su Google)
  • Chiedi che ti vengano inviate tutte le informazioni necessarie per procedere alla cancellazione dei dati personali. Nello specifico le informazioni da richiedere sono le seguenti:
    • Il suo indirizzo IP esatto
    • la data e l’ora della sua visita più recente sul tuo sito web
    • il valore “Client ID” dei cookie di Google Analytics chiamato _ga (il valore dovrebbe essere simile a questo: GA1.1.834041420.1636040627)
    • altri identificativi esibiti da Google relativi alla sua visita più recente sul tuo sito web

Ecco un fac-simile della risposta da inviare alla mail di Federico Leva:

Buongiorno Federico,

per dare seguito alla tua richiesta avente per oggetto “Uso illegittimo di Google Analytics: richiesta di rimozione ex art. 17 GDPR” e riferita al sito “NOMESITO.IT” abbiamo bisogno di conoscere le informazioni tecniche necessarie ad identificare le visite menzionate nella tua richiesta.

Siamo quindi a chiederti i dati di cui affermi di essere in possesso (l’indirizzo IP esatto, la data e ora della visita più recente, nonché i cookie e altri identificativi esibiti da Google in corrispondenza della stessa) e, in particolare, il valore “Client ID” dei cookie di Google Analytics (_ga).

In mancanza di queste informazioni siamo impossibilitati ad eseguire la procedura di cancellazione dati utente su Google Analytics.

In attesa di una sollecita risposta, ti ringraziamo in anticipo per la collaborazione.

Prima di inviare

Prima di inviare l’email di risposta, ricordati di sostituire NOMESITO.IT con il vero nome del dominio del tuo sito, ad esempio termotecnicafumagalli.it oppure stivalistupendi.it e così via. 

Una volta che Federico Leva ti invierà il suo Client-ID, ecco come devi procedere per rimuoverlo dal tuo Google Universal Analytics:

  • Nel menù vai su Audience (Pubblico in italiano) e poi User Explore (Esplorazione utente)
procedura rimozione client-ID Google Universal Analytics menu User Explorer
  • Filtra per la data che ti è stata indicata 
  • Filtra per il codice Client ID che ti è stato fornito (es: 794280273.1649928808)
procedura rimozione client-ID Google Universal Analytics filtro client-ID
  • Entra nel dettaglio e clicca il pulsante delete users che trovi in fondo alla pagina
procedura rimozione client-ID Google Universal Analytics bottone cancellazione utente
  • Clicca su OK nel messaggio di conferma
procedura rimozione client-ID Google Universal Analytics conferma cancellazione utente

Se stai usando Google Analytics 4, ho descritto la procedura dettagliata per rimuovere il Client-ID all’interno del Capitolo 10 del mio nuovo manuale Google Analytics 4 per chi inizia.

Nota: questa news è stata redatta in collaborazione con il team di Polimeni.legal, che è lo studio legale di riferimento in materia di diritto di Internet, Copyright e GDPR.  Da qualche giorno, a seguito della decisione del Garante, abbiamo posto in essere una collaborazione con  gli avvocati Antonino Polimeni e Angela Lo Giudice e gli altri membri del team Polimeni, che ringrazio di cuore: sono bravissimi, super-esperti e ci aiutano a capire la parte “legalese” delle vicende legate alla GDPR.