Cosa fare con la email di Federico Leva
Se state leggendo questo articolo probabilmente avete ricevuto una email da un certo utente di nome Federico Leva che chiede di rimuovere i suoi dati dal vostro Google Analytics. L’inquietante oggetto della mail: “Uso illegittimo di Google Analytics: richiesta di rimozione ex art. 17 GDPR” è presagio di guai.
Una strana email dal mittente Federico Leva.
Non si tratta di una truffa online, infatti questo utente esiste realmente ed ha un suo sito internet. Si tratta di un attivista informatico che si è preso la briga di sollecitare centinaia di migliaia di proprietari di siti web a provvedere alla sostituzione di Google Analytics Universal vista la sua illegalità confermata con la nota del 23 Giugno del Garante sulla Privacy, che rimanda al precedente provvedimento del 9 giugno 2022.
In sintesi cosa dice il garante.
“Un sito web che utilizza il servizio Google Analytics (all’epoca si faceva riferimento a GA Universal), senza le garanzie previste dal Regolamento Ue, viola la normativa sulla protezione dei dati perché trasferisce negli Stati Uniti, (paese privo di un adeguato livello di protezione), i dati degli utenti”.
La trovata di Leva è dunque quella di informare il titolare del sito internet di averlo visitato nelle ore precedenti (appositamente) per richiedere la cancellazione dei suoi dati tramite la rimozione della classe di indirizzo IP fornito nella mail.
Tutto questo (non vedo altri reali motivi) solo per mettervi in difficoltà davanti al fatto compiuto di risolvere un problema di privacy che in realtà riguarda praticamente il 90% di tutti i siti commerciali in Europa e ancora nessuno sa bene come risolvere.
Forse però creando tale scompiglio sul web potrebbe aver violato lui per primo la GDPR, usando i dati degli utenti facendo SPAM, inviando decine di migliaia di e-mail con un programma di crawling senza aver direttamente fatto un ingresso nel vostro sito internet.
Prima di procedere, le informazioni fornite di seguito non devono essere considerate vincolanti o con un valore legale, si tratta solo di consigli che derivano dall’esperienza sul campo (visto che ci occupiamo di web marketing), per cui per maggiori informazioni e dettagli, l’ultima opinione spetterà sicuramente al vostro avvocato o consulente legale.
Cosa fare, rispondere o non rispondere a Federico Leva?
Molti hanno ritenuto la mail di questo fantomatico utente Federico Leva come semplice spam, soprattutto dopo aver visto che era impossibile rispondere tramite il form di richiesta di LimeSurvey che risulta ad oggi chiuso, forse uno stratagemma per non dover rispondere a nessuno?
No, è la stessa Lime Survey che ha bloccato l’account di Federico Leva per violazione dei termini e condizioni di utilizzo.
Purtroppo legalmente saremmo tenuti a dare ugualmente una risposta, visto che è nel pieno diritto dell’utente la richiesta di rimozione dei nostri dati secondo la GDPR, pertanto accontentiamolo, però dovremo usare la sua e-mail personale che viene fornita alla fine del testo e non rispondendo in reply perchè il mittente risulta ancora una volta: <noreply@limesurvey.org>
I dati che ci vengono forniti, tramite la classe ip 51.158.x.y citata nella mail non sono assolutamente sufficienti per procedere con la rimozione da Google Anlaytics, e poter così identificare l’utente da cancellare, infatti è necessario avere anche il codice di Google Client ID inserito nei cookie del browser al momento della visita.
Risposta via email consigliata.
Nella risposta dovremo pertanto richiedere all’utente il suo client_id , facendoci specificare anche il giorno e l‘ora della navigazione. Questo è il testo che consigliamo di inviare a tutti i nostri clienti che hanno già ricevuto la mail con la richiesta di rimozione (ricordiamo che non ci assumiamo nessuna responsabilità legale in merito, ma di farla supervisionare dal vostro avvocato).
“Egregio Sig. Federico Leva,
Ai sensi del Regolamento Europeo UE 2016/679 e in qualità di titolare del trattamento dati degli utenti che accedono al sito internet: [www.miowebsite.it] con l’esclusione dei link esterni, prendiamo atto della sua richiesta di cancellazione.
Il parziale indirizzo Ip da lei fornito non è sufficiente per completare l’operazione, con la presente, sono quindi a richiederLe di fornire il suo codice client_id di Google per rendere possibile la cancellazione dei dati relativi alla sua navigazione nel suddetto sito internet da Google Analytics Universal.
Per assicurare il buon esito dell’operazione di rimozione le chiedo di fornire anche la data e l’ora della sua navigazione, questo risulta necessario cosi da rendere più semplice l’identificazione e la cancellazione della sua sessione utente.
Inoltre la informiamo che anche in mancanza di una sua risposta, stavamo già predisponendo ugualmente, entro i termini di legge (90 gg. dal 23/06/22), alla completa dismissione di Universal Analytics 3 come da provvedimento del 9 giugno 2022 (9782890) del garante della privacy, di conseguenza tutti i dati acquisiti inclusi i Suoi, verranno cancellati automaticamente entro 30 giorni dalla presente compreso il suo accesso.
Distinti Saluti,
Titolare del trattamento :
Nome Cognome e Firma”
Passaggio successivo alla risposta, rimuovere Google Analytics.
Anche dopo aver risposto non siamo ancora in realtà a posto, visto che Google Analytics risulta effettivamente illegale perchè invia dati al di fuori dell’Unione Europea (come in realtà decine di altri servizi americani, ma questo è un altro discorso).
Se volete potete attendere la risposta dell’utente Federico Leva (sempre che sia in grado di fornire il client_id e la data di accesso). Ma la cosa più semplice e immediata, in ogni caso la prima cosa da fare, subito, senza attendere i 90 giorni è migrare a Google Analytics GA4, molto più in linea con le norme GDPR e cancellare completamente il vecchio Google Analytics Universal 3. Qui di seguito un mio articolo che ne parla: “Google Analytics diventa illegale” .
Mentre per chi volesse prendere tempo e dedicarsi alla cancellazione tramite i dati ricevuti, dovrà eseguire questi 2 passaggi.
- Con il client_id dell’interessato accedere al vostro Google Analytics nella sezione “Pubblico” cliccare su “Esplorazione Utente” cercando il client id che avete incollato.
- Accedere ai dettagli dell’utente e cliccare sul bottone in basso a sx “Elimina Utente”.
Nessuno sa ancora di preciso gli sviluppi legali nei prossimi mesi, ma sicuramente Google si saprà adattare e trovare un accordo con le autorità e il garante della privacy dell’Unione Europea per far si che il tracciamento con GA4 sia in linea con il GDPR, così da non rendere “illegali” milioni di siti che in ogni caso faranno fatica ad uniformarsi per molteplici ragioni, sia legali che tecniche.
Se vuoi avere un aiuto per il passaggio a Google Analytics GA4, un consulente web ti aiuterà ad ottimizzare il tuo sito.
>Chiama il numero: 348.5149590
