Se nei giorni scorsi hai ricevuto anche tu una mail con oggetto “Uso illegittimo di Google Analytics: richiesta di rimozione ex art. 17 GDPR”, inviata da un certo Federico Leva, non andare nel panico.
In questo articolo ti spiegheremo di cosa si tratta, se e come rispondere e come comportarsi in casi simili. In seguito al provvedimento del Garante della Privacy dello scorso 23 giugno, potrà capitare, infatti, di ricevere altre mail con richieste analoghe.
Il caso
La mail in questione richiama la decisione del Garante della Privacy di vietare l’uso di Google Analytics in Italia e no, non si tratta di una mail truffaldina. Sebbene effettuata con modalità non necessariamente corrette, la richiesta di Federico Leva è assolutamente legittima.
Il testo della mail recita:
Spettabile titolare dei trattamento dei dati personali, spettabile responsabile della protezione dei dati,
Vi scrivo in quanto utente del sito _______ per richiedere la rimozione dei miei dati personali, in forza dell’art. 17 (“Diritto di cancellazione”) del regolamento UE 2016/679. Vogliate cortesemente rispondere entro 31 giorni dalla ricezione della presente per confermare l’ottemperanza, come precisato di seguito.
Il vostro sito incorpora Google Analytics, che provvede a trasferire i dati personali di tutti i vostri visitatori a Google negli USA. Con provvedimento del 9 giugno 2022 (9782890), ciò è stato dichiarato illegittimo dall’Autorità Garante per la protezione dei dati personali, come annunciato nel comunicato stampa “Google: Garante privacy stop all’uso degli Analytics. Dati trasferiti negli USA senza adeguate garanzie”.
Il Garante “invita tutti i titolari del trattamento a verificare la conformità delle modalità di utilizzo di cookie e altri strumenti di tracciamenti utilizzati sui propri siti web, con particolare attenzione a Google Analytics e ad altri servizi analoghi, con la normativa in materia di protezione dei dati personali”, e fissa un termine di 90 giorni passati i quali procederà a ulteriori verifiche.
La mail continua chiedendo la rimozione dei propri dati e di eventuali backup, ma tanto basta per comprendere la richiesta: Federico Leva chiede la rimozione dei propri dati da Google Analytics.
È necessario rispondere? Sì, sei obbligato a rispondere alla richiesta entro 30 giorni dalla ricezione (e non 31 come indicato nella mail). In caso contrario Federico Leva potrà segnalare il tuo sito al Garante della Privacy. Come rispondere? Vediamolo.
Come rispondere alla mail di Federico Leva
Come già detto, la richiesta di Federico Leva è legittima e va quindi esaudita. Per prima cosa, ti consigliamo di rispondere via mail e non utilizzando il modulo che trovi linkato nella richiesta. In questo modo avrai una copia della risposta salvata, oltre al fatto che il link sopra citato non risulta più funzionante, poiché chiuso.
Per poter ottemperare alla sua richiesta, devi essere in possesso di tutte le informazioni necessarie. Nella mail di risposta chiedi quindi che ti vengano forniti:
- il suo indirizzo IP;
- data e ora dell’ultimo accesso al tuo sito;
- il suo CLIENT_ID.
Una volta ricevute queste informazioni è possibile rimuovere il richiedente da Google Analytics. Ecco come fare.
Come rimuovere Federico Leva da GA
La procedura è molto semplice. Per quanto riguarda Universal Analytics, i passaggi da effettuare sono:
- accedi ad Universal Analytics;
- dal menù seleziona Audience (Pubblico);
- dal sottomenù seleziona User Explorer (Esplorazione utente);
- scegli la data del suo ultimo accesso;
- effettua una ricerca con il suo CLIENT_ID;
- clicca il pulsante delete user (elimina utente).
Mentre per GA4:
- accedi a GA4;
- dal menù selezione Explore (Esplora);
- scorri le opzioni finché non trovi Esplorazione utente e clicca;
- imposta la data del suo ultimo accesso;
- seleziona l’utente che ha effettuato la richiesta;
- cliccare il simbolo del cestino per eliminare l’utente.
Perché Federico Leva ha inviato questa mail?
Interrogato sull’argomento Federico Leva, attivista, sviluppatore e consulente IT, ha risposto:
Non è un mistero che non sia un fan di Google Analytics. Sono stato sorpreso positivamente dal provvedimento del Garante, che ha detto di concedere 90 giorni di tempo alle persone per svegliarsi e poi si vedrà cosa fare.
Molte persone non sanno che Google Analytics è in contrasto con il GDPR e per questo ho avuto questa idea: ho pensato banalmente di informare le persone di questo provvedimento.
Per questo ho inviato la famosa mail: le persone possono sapere che potranno esercitare i loro diritti. La richiesta di rimozione mi è sembrata abbastanza pacifica.
Lo scopo pare quindi essere informativo ma altri utenti, messi a conoscenza della questione, potrebbero seguire il suo esempio e inviare mail con richieste analoghe ai gestori di siti che hanno visitato.
Ora sai cosa rispondere.