In questi giorni avete sicuramente sentito parlare di FEDERICO LEVA, il suo nome è girato molto tra gli addetti del nostro settore assieme a MIGLIAIA e MIGLIAIA di email contenenti la richiesta di cancellazione dati inviate ad altrettante aziende Italiane. Di seguito il testo dell’email:

Oggetto: Uso illegittimo di Google Analytics: richiesta di rimozione ex art. 17 GDPR

Spettabile titolare del trattamento dei dati personali, spettabile responsabile della protezione dei dati,
Vi scrivo in quanto utente del sito xxxxxxxxxxx.xxx per richiedere la rimozione dei miei dati personali, in forza dell'art. 17 ("Diritto alla cancellazione") del regolamento UE 2016/679. Vogliate cortesemente rispondere entro 31 giorni dalla ricezione della presente per confermare l'ottemperanza, come precisato di seguito.
Il vostro sito incorpora Google Analytics, che provvede a trasferire i dati personali di tutti i vostri visitatori a Google negli USA. Con provvedimento del 9 giugno 2022 (9782890), ciò è stato dichiarato illegittimo dall'Autorità Garante per la protezione dei dati personali, come annunciato nel comunicato stampa "Google: Garante privacy stop all'uso degli Analytics. Dati trasferiti negli Usa senza adeguate garanzie". Il Garante «invita tutti i titolari del trattamento a verificare la conformità delle modalità di utilizzo di cookie e altri strumenti di tracciamento utilizzati sui propri siti web, con particolare attenzione a Google Analytics e ad altri servizi analoghi, con la normativa in materia di protezione dei dati personali», e fissa un termine di 90 giorni passati i quali procederà a ulteriori verifiche.
https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9782874
Guido Scorza, componente del Garante, ha ulteriormente illustrato il provvedimento nell'intervista con Matteo Flora "Google Analytics vietato - analizziamo il problema". L'uso di Google Analytics è illegittimo anche in quanto ogni finalità legittima può essere soddisfatta da software libero ospitato in UE e atto a un corretto trattamento dei dati personali, come Matomo, Plausible Analytics o altri raccomandati dall'Autorità francese CNIL, mentre nessuna versione o configurazione di Google Analytics può garantire di non trattare i dati personali in modo illecito.
Alla luce di quanto sopra:
1) preciso che i dati personali oggetto della presente richiesta sono quelli derivanti dalla mia visita del vostro sito nei giorni scorsi, identificabili dal mio indirizzo IP (51.158.x.y) e user-agent ("Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/76.0.3803.0 Safari/537.36"), e ogni dato connesso o derivante dagli stessi;
2) richiedo la cancellazione di tali dati personali dai sistemi informativi del vostro responsabile del trattamento e dagli eventuali backup e ovunque essi siano stati trasmessi a causa del vostro uso di Google Analytics, in quanto: a) tale trattamento è illecito e b) tali dati personali non sono necessari a eventuali finalità legittime, come sopra descritto; c) nella misura in cui il trattamento potesse eventualmente essere lecito in forza di un mio consenso, nego di aver prestato il mio informato e valido consenso, che in ogni caso revoco espressamente con la presente; d) qualora i dati fossero asseritamente trattati sulla base di un legittimo interesse, la presente assume valore di opposizione al trattamento oltre che di richiesta di cancellazione;
3) in particolare richiedo la rimozione di qualsiasi registro o copia dei dati personali di cui sopra da parte di Google e ogni altro responsabile di tale trattamento o altro soggetto che li abbia ricevuti, compresi tutti i dati inviati dal mio browser al momento della visita, nonché qualsiasi versione pseudonimizzata dei medesimi e qualsiasi dato aggregato riconducibile ai medesimi o ad altri miei dati personali, come la classificazione in coorti o qualsiasi tipo di identificativo univoco;
4) richiedo altresì, in forza dell'art. 18(1)(d) del regolamento 2016/679, di interrompere immediatamente ogni trattamento di tali dati personali connessi al mio uso passato e futuro del vostro sito, ad esempio provvedendo alla completa rimozione dallo stesso di Google Analytics (in qualsiasi versione e configurazione) e interrompendo ogni uso dei dati prodotti da Google in relazione agli utenti del vostro sito;
5) ove lo riteneste necessario, mi dichiaro disponibile a fornire ulteriori dati utili a identificarmi come la persona a cui fanno riferimento i dati personali di cui sopra, come l'indirizzo IP esatto e la data e ora della visita più recente, nonché i cookie e altri identificativi esibiti da Google in corrispondenza della stessa;
6) richiedo di rispondere a quanto sopra primariamente tramite il modulo collegato sotto, fornito tramite software libero LimeSurvey ospitato in UE (e rispettoso della privacy), entro 31 giorni dalla ricezione della presente; il mio indirizzo di posta elettronica per questa materia è domande@leva.li.
In fede, Federico Leva
Helsinki, 1º luglio 2022
----------------------------------------------
Modulo per la risposta:
https://domande.leva.li/111742?token=DtBtIAQxzbZsUvM&lang=it
Correzione o rimozione dell'indirizzo di posta elettronica:
https://domande.leva.li/optout/tokens/111742?token=DtBtIAQxzbZsUvM&langcode=it

Un po’ di chiarezza è necessaria.

Partiamo dai presupposti fondamentali in merito a quest’email e più in generale a questo caso di cui si discute molto e che sta facendo impazzire le aziende Italiane:

• NON è una truffa e NON si tratta SPAM: la richiesta è perfettamente lecita perché non fa altro che esercitare un diritto, anzi due, previsti dall’attuale norma in riferimento al trattamento dei dati personali GDPR. Il primo si riferisce alla richiesta di accesso ai dati registrati dal titolare del trattamento ed il secondo (oggetto della richiesta dell’email) alla loro cancellazione
• Il messaggio NON deve essere per forza veicolato via PEC: è un utente fisico ad inoltrare una richiesta legittima e nella quale fa valere un suo diritto per cui è un obbligo di legge rispondere ed ottemperare a quanto richiesto come previsto dalla norma vigente. L’utente privato non è tenuto ad avere una PEC per cui è sufficiente un indirizzo mail ordinario di qualsiasi tipo
• FEDERICO LEVA esiste davvero ed è vivo e vegeto e non un personaggio inventato come in alcuni casi è stato detto
• NON è possibile intercettare solo i suoi dati per poterli rimuovere dato che le informazioni non permetto di identificarlo univocamente per cui serve richiedere altre informazioni necessarie tra cui il client_id di Google Analytics.
• E’ OBBLIGATORIO rispondere. Come indicato nel primo punto sta esercitando semplicemente i suoi diritti.

Qualche errore da Federico Leva è stato comunque commesso…

Prima di capire come comportarsi facciamo presente anche quanto siano evidenti alcuni errori commessi proprio da Federico Leva in questa sua operazione che potrebbero invalidare la sua richiesta:

• Google Analytics fornisce gli strumenti per eliminare i dati richiesti ma la mail di Federico Leva NON contiene tutti i parametri necessari a farlo. Viene indicata solo una parte dell’indirizzo IP del visitatore per cui non è possibile identificarlo, è necessario invece avere il Client ID di Google Analytics che identifica univocamente l’utente e permette la rimozione esclusivamente dei suoi dati oltre ad altri dati necessari all’identificazione. II dati si recuperano facilmente per cui bisogna richiederli e Federico Leva dovrà necessariamente fornirli per permettere la rimozione dei dati come da sua stessa richiesta.
• Viene utilizzata una piattaforma online LimeSurvey con una form da compilare per ottenre le risposte e probabilmente anche un sistema di caricamento massivo di dati in una piattaforma esterna ed è possibile che in questa mole di dati ci siano anche delle informazioni illegittime senza autorizzazione espressa per cui si ritrova lui stesso in una situazione a rischio (a meno che non li abbia controllati uno per uno… ma risulta difficile pensarlo data la mole di decine se non centinaia di migliaia di dati). Non a caso la piattaforma LimeSurvey l’ha bannato quasi immediatamente per cui noterete inoltre che i link forniti per rispondergli non sono più attivi.
• Come indicato nel punto precedente è piuttosto difficile pensare che ogni singola email sia stata inviata una alla volta per cui è inimmaginabile anche che ogni sito web sia stato visitato singolarmente da Federico Leva, è ovvio quindi che sia stato utilizzato un software automatico e se la visita è stata fatta da un robot allora non si può parlare di dati personali attribuibili a persona fisica….. Ma anche in questo caso viene da chiedersi: perché rischiare?

Di fatto, al di la dei dettagli appena descritti, la richiesta è lecita e per evitare rischi va gestita.

Cosa fare quindi?

E’ sufficiente scrivergli entro 31 giorni dalla ricezione dell’email chiedendo alcuni dati così una volta ricevuti (ammesso risponda alle decine se non centinaia di migliaia di email che effettueranno questa richiesta) sarà possibile cancellare i dati richiesti attraverso la semplice procedura di Google Analytics descritta di seguito. Per aver certezza dei dati eliminati è bene richiedere, oltre al client_id di Google Analytics anche la data e ora dell’ultima visita al sito incriminato, l’indirizzo IP completo, i cookie e gli altri identificativi esibiti da Google durante la medesima visita.

NON bisogna rispondere direttamente all’email ricevuta perché viene indicata come un’email noreplay per cui non verrebbe da lui ricevuta e NON vanno compilate le form indicate perché, per i motivi indicati nei punti precedenti, la piattaforma li ha prontamente disabilitati. Bisogna quindi rispondere con una classica email all’indirizzo indicato alla fine del messaggio per cui a domande@leva.li

Un esempio d’email che si potrebbe inviare è la seguente:

"Spett.le Federico Leva,
in qualità di titolare del trattamento dati degli utenti che navigano il mio website MIOSITOWEB.IT prendo atto della sua richiesta con oggetto “Uso illegittimo di Google Analytics: richiesta di rimozione ex art. 17 GDPR”
Sono quindi a chiederLe di fornirmi il client_id di Google Analytics, data e ora dell’ultima visita, l’indirizzo IP completo, i cookie e gli altri identificativi esibiti da Google durante la medesima visita cosi che sia possibile cancellare tutti i dati relativi alla sua navigazione sul mio website dalla piattaforma Google Analytics stessa. Senza tutte queste informazioni potremmo non essere in grado di eliminare da Google Analytics tutti i dati richiesti nella sua email.
Cordiali Saluti

Mario rossi”

Successivamente, per evitare d’incappare nuovamente in una situazione simile, sarà necessario adoperarsi nel più breve tempo possibile a dismettere Google Analytics 3 (conosciuto anche come Universal Analytics) dal sito web identificato nell’email di Federico Leva.

Nel momento in cui riceverete il client_id (sempre se lo riceverete) sarà sufficiente richiedere l’eliminazione dei dati da Google Analytics secondo le semplici procedure indicate di seguito:

• Accedere a Google Analytics
• Entrare nella sezione Pubblico -> Esplorazione utente

• Filtrare per l’intervallo adeguato che possa contenere i dati della visita
• Filtrare per il client_id fornito da Federico Leva

• Accedere ai dettagli
• Cliccare il bottone ‘Elimina Utente’ e successivamente confermare

Hai bisogno di una consulenza per capirne di più?

Contattaci qui