Cosa devo fare se ricevo la mail di Federico Leva?
In questi giorni moltissimi utenti stanno ricevendo una email da parte di un certo “Federico Leva” con oggetto: “Uso illegittimo di Google Analytics: richiesta di rimozione ex art. 17 GDPR”.
Questa email è stata effettivamente inviata da una persona fisica (Federico Leva, italiano residente a Helsinki), attivista per i diritti della privacy degli utenti online.
Ha utilizzato un sistema di invio automatico, uno script open source sviluppato dal movimento “Monitor PA”, che ha inviato il suo messaggio a centinaia di migliaia di professionisti e aziende che hanno installato Google Analytics sul proprio sito web, o meglio che abbiano presente nel codice del sito la libreria gtag.js (che serve anche per altri scopi, non solo per GA).
In sostanza Federico Leva richiede la cancellazione dei propri dati personali da Google Analytics.
Nonostante inizialmente possa sembrare spam, si tratta invece di una richiesta legittima che qualsiasi utente può fare per la tutela dei propri dati personali come previsto dalla normativa GDPR europea.
Di conseguenza, il DPO dell’azienda (o il referente privacy se il Data Protection Officer non è stato nominato) è obbligato a rispondere entro 30 giorni dalla ricezione dell’email stessa (e non 31 come indicato da Leva nel suo messaggio).
In caso di mancata risposta il sig.Leva potrà segnalare il sito web inviando un reclamo al Garante della Privacy, indipendentemente dal fatto che Analytics sia effettivamente installato o meno sul sito web.
La buona notizia è che basta rispondere in maniera opportuna a questa email appena arriva (o comunque entro il termine di 30 giorni).
—————————
COME RISPONDERE:
• Non utilizzare i link all’interno della email ma rispondere al messaggio come a una mail normale.
• Nel caso la normale risposta non mostrasse un indirizzo valido, bisogna rispondere a [email protected]
• Vanno richieste tutte le informazioni necessarie per procedere alla cancellazione dei dati personali. Nello specifico vanno richiesti il suo indirizzo IP esatto, la data e l’ora della sua visita più recente al sito web, il valore “Client ID” dei cookie di Google Analytics chiamato _ga, altri identificativi esibiti da Google relativi alla sua visita più recente sul sito web.
Ecco un fac-simile della risposta (modificare NOMESITO.IT con il proprio sito web):
Buongiorno Federico,
Per dare seguito alla tua richiesta avente per oggetto “Uso illegittimo di Google Analytics: richiesta di rimozione ex art.17 GDPR” e riferita al sito “NOMESITO.IT” abbiamo bisogno di conoscere le informazioni tecniche necessarie ad identificare le visite menzionate nella tua richiesta.
Siamo quindi a chiederti i dati di cui affermi di essere in possesso (l’indirizzo IP esatto, la data e l’ora della visita più recente, nonché i cookie e altri identificativi esibiti da Google in corrispondenza della stessa) e, in particolare, il valore “Client ID” dei cookie di Google Analytics (_ga).
In mancanza di queste informazioni siamo impossibilitati ad eseguire la procedura di cancellazione dati utente su Google Analytics.
In attesa di una tua sollecita risposta, ti ringraziamo in anticipo per la collaborazione.
—————————
Una volta ricevuta la risposta da Federico Leva con il suo Client-Id bisognerà procedere con la rimozione dei dati da Google Analytics (sia Universal per chi ancora lo utilizza che su GA4)
Liberamente ispirato all’articolo di Matteo Zambon – Tag Manager Italia e massimo esperto di Google Analytics in Italia.
