Schermata 2022-08-03 alle 11.22.38

GOOGLE ANALYTICS E FEDERICO LEVA

di Fabio Riva

Qualche settimana fa diverse agenzie di viaggio, tour operator, hotel (e non solo) hanno ricevuto una mail da parte di un ignoto personaggio, Federico Leva, che ha portato un certo scompiglio e non poche problematiche ai gestori di siti internet e professionisti del digital, che si sono trovati improvvisamente bombardati da chiamate e richieste di chiarimenti da parte di manager e titolare d’azienda in panico e confusi.

Forse sai già di cosa sto parlando perchè forse anche tu o la tua azienda siete entrati nel calderone di invii che Federico Leva ha fatto praticamente a mezza Italia.

Ho pensato di scrivere quindi questo articolo, dato la ridondanza che sta avendo nel mondo del digital e non solo.

Ma facciamo un passo indietro, riportando di seguito la mail che ha scatenato tutto questo pandemonio:



Da: F. L. (noreply@limesurvey.org)

Oggetto: Uso illegittimo di Google Analytics: richiesta di rimozione ex art. 17 GDPR

 

Spettabile titolare del trattamento dei dati personali, spettabile responsabile della protezione dei dati,

Vi scrivo in quanto utente del sito XXXX per richiedere la rimozione dei miei dati personali, in forza dell’art. 17 (“Diritto alla cancellazione”) del regolamento UE 2016/679. Vogliate cortesemente rispondere entro 31 giorni dalla ricezione della presente per confermare l’ottemperanza, come precisato di seguito.

Il vostro sito incorpora Google Analytics, che provvede a trasferire i dati personali di tutti i vostri visitatori a Google negli USA. Con provvedimento del 9 giugno 2022 (9782890), ciò è stato dichiarato illegittimo dall’Autorità Garante per la protezione dei dati personali, come annunciato nel comunicato stampa “Google: Garante privacy stop all’uso degli Analytics. Dati trasferiti negli Usa senza adeguate garanzie”. Il Garante «invita tutti i titolari del trattamento a verificare la conformità delle modalità di utilizzo di cookie e altri strumenti di tracciamento utilizzati sui propri siti web, con particolare attenzione a Google Analytics e ad altri servizi analoghi, con la normativa in materia di protezione dei dati personali», e fissa un termine di 90 giorni passati i quali procederà a ulteriori verifiche.

https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9782874 Guido Scorza, componente del Garante, ha ulteriormente illustrato il provvedimento nell’intervista con Matteo Flora “Google Analytics vietato – analizziamo il problema”. L’uso di Google Analytics è illegittimo anche in quanto ogni finalità legittima può essere soddisfatta da software libero ospitato in UE e atto a un corretto trattamento dei dati personali, come Matomo, Plausible Analytics o altri raccomandati dall’Autorità francese CNIL, mentre nessuna versione o configurazione di Google Analytics può garantire di non trattare i dati personali in modo illecito.

 

Alla luce di quanto sopra:

1) preciso che i dati personali oggetto della presente richiesta sono quelli derivanti dalla mia visita del vostro sito nei giorni scorsi, identificabili dal mio indirizzo IP (XXXX.x.y) e user-agent (“Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/76.0.3803.0 Safari/537.36”), e ogni dato connesso o derivante dagli stessi;

2) richiedo la cancellazione di tali dati personali dai sistemi informativi del vostro responsabile del trattamento e dagli eventuali backup e ovunque essi siano stati trasmessi a causa del vostro uso di Google Analytics, in quanto: a) tale trattamento è illecito e b) tali dati personali non sono necessari a eventuali finalità legittime, come sopra descritto; c) nella misura in cui il trattamento potesse eventualmente essere lecito in forza di un mio consenso, nego di aver prestato il mio informato e valido consenso, che in ogni caso revoco espressamente con la presente; d) qualora i dati fossero asseritamente trattati sulla base di un legittimo interesse, la presente assume valore di opposizione al trattamento oltre che di richiesta di cancellazione;

3) in particolare richiedo la rimozione di qualsiasi registro o copia dei dati personali di cui sopra da parte di Google e ogni altro responsabile di tale trattamento o altro soggetto che li abbia ricevuti, compresi tutti i dati inviati dal mio browser al momento della visita, nonché qualsiasi versione pseudonimizzata dei medesimi e qualsiasi dato aggregato riconducibile ai medesimi o ad altri miei dati personali, come la classificazione in coorti o qualsiasi tipo di identificativo univoco;

4) richiedo altresì, in forza dell’art. 18(1)(d) del regolamento 2016/679, di interrompere immediatamente ogni trattamento di tali dati personali connessi al mio uso passato e futuro del vostro sito, ad esempio provvedendo alla completa rimozione dallo stesso di Google Analytics (in qualsiasi versione e configurazione) e interrompendo ogni uso dei dati prodotti da Google in relazione agli utenti del vostro sito;

5) ove lo riteneste necessario, mi dichiaro disponibile a fornire ulteriori dati utili a identificarmi come la persona a cui fanno riferimento i dati personali di cui sopra, come l’indirizzo IP esatto e la data e ora della visita più recente, nonché i cookie e altri identificativi esibiti da Google in corrispondenza della stessa;

6) richiedo di rispondere a quanto sopra primariamente tramite il modulo collegato sotto, fornito tramite software libero LimeSurvey ospitato in UE (e rispettoso della privacy), entro 31 giorni dalla ricezione della presente; il mio indirizzo di posta elettronica per questa materia è domande@leva.li.

 

In fede,

Federico Leva

Helsinki, 30 giugno 2022

———————————————-

Modulo per la risposta:

https://domande.leva.li/111742?token=KWHgzQwl5fomcjV&lang=it

Correzione o rimozione dell’indirizzo di posta elettronica:

https://domande.leva.li/optout/tokens/111742?token=KWHgzQwl5fomcjV&langcode=it




Ovviamente dopo la ricezione di questa mail si è scatenato su tutti i forum e gruppi social un’agguerrita discussione, tra chi diceva che era un fake, chi diceva che era un tentativo di truffa o chi semplicemente ha deciso di ignorare e cestinare la mail. 

 

Ma perchè Federico Leva ha deciso di mandare a migliaia di mail questa comunicazione? E a cosa si riferisce di preciso?

Tralasciando le considerazioni personali che ognuno può fare riguardo la sua decisione, è necessario capire da dove parte tutta questa vicenda.



Il 23 giugno 2022 il garante della privacy italiano ha dichiarato “illegale” Google Analytics, dichiarando che “Il sito web che utilizza il servizio Google Analytics (GA), senza le garanzie previste dal Regolamento Ue, viola la normativa sulla protezione dei dati perché trasferisce negli Stati Uniti, Paese privo di un adeguato livello di protezione, i dati degli utenti. Il Garante ha evidenziato, in particolare, la possibilità, per le Autorità governative e le agenzie di intelligence statunitensi, di accedere ai dati personali trasferiti senza le dovute garanzie, rilevando al riguardo che, alla luce delle indicazioni fornite dall’EDPB (Raccomandazione n. 1/2020 del 18 giugno 2021), le misure che integrano gli strumenti di trasferimento adottate da Google non garantiscono, allo stato, un livello adeguato di protezione dei dati personali degli utenti.”

 

 (testo completo al link https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9782874).



Per chi non lo conoscesse, Google Analytics è uno strumento gratuito fornito da Google che viene installato nell’Header di un sito web per tracciare alcuni dati relativi alle visite al sito stesso, tra cui il numero di accessi al sito,  le pagine visitate e il tempo di permanenza sulle stesse, la provenienza delle persone (da ricerca organica piuttosto che a pagamento, dai social, ecc.) e raccoglie anche tutta una serie di dati più personali quali ad esempio fascia di età, sesso, luogo da cui viene effettuato l’accesso, dispositivo utilizzato, ecc.

Uno strumento che la maggior parte dei siti internet possiede e che è davvero prezioso per le aziende, in quanto tiene traccia di quello che accade nel proprio sito e se la strategia digital che è stata messa in atto sta funzionando o meno.



Quindi secondo il garante della privacy il problema legato al mancato rispetto delle normative europee (nel GDPR) è il fatto che i dati vengono “trasferiti” sui server di Google ovvero in america. Questo accadrebbe sia nella versione Universal Analytics sia nella versione più recente Google Analytics 4.

E qui sorge quindi la prima domanda, ovvero: cosa è necessario fare a seguito della sentenza del garante? Sembra che per essere a norma che il GDPR sia necessario eliminare dal proprio sito internet Google Analytics (qualsiasi versione sia installata), andando a sostituirlo con altri sistemi di tracciamento che hanno i server in Europa (ad esempio Mamoto). In attesa di chiarimenti da parte del garante e di una eventuale contromossa da parte di Google il consiglio è quello di rivolgersi ad un legale, magari specializzato in digital e in GDPR.

 

E per quanto riguarda invece Federico Leva?

Nella sua mail ci invia una serie di richieste precise:

 

  • richiede la cancellazione di tutti i suoi dati personali trattati con GA ed eventualmente salvati in eventuali backup, salvati da responsabili del trattamento come ad esempio Google;
  • viene richiesto di interrompere da subito ogni trattamento dei suoi dati personali raccolti nel passato e in futuro

 

Il GDPR prevede che chiunque può richiedere la cancellazione dei propri dati personali al titolare del trattamento di un sito web. La richiesta può essere inviata alla mail indicata nella privacy policy (che ogni sito web deve possedere) che quindi deve essere verificata periodicamente. Deve inoltre essere data risposta entro 30 giorni dalla ricezione della mail. In caso di mancata risposta entro 30 giorni a una richiesta di cancellazione dei dati, si è passibili di una sanzione da parte del Garante della Privacy. 

 

La richiesta quindi di Federico Leva di cancellare i propri dati è un diritto contenuto nel GDPR. 

Non è quindi possibile ignorare la risposta, ma sarebbe indicato procedere alla cancellazione dei suoi dati come da lui richiesto. Per fare questo probabilmente sarà necessario richiedergli maggiori specifiche relative all’accesso al tuo sito. Successivamente alla cancellazione dei sui dati personali bisogna procedere a notificare la cancellazione a Federico stesso.



Questo articolo è stato scritto solo a fini di aggiornamento e NON sostituisce una consulenza legale sul come procedere in modo corretto.



Tornando al problema di Google Analytics c’è invece chi dice che con Google Analytics 4, tramite alcune impostazioni specifiche di configurazione, è possibile ovviare al problema. 

Parliamo della possibilità di utilizzare un server proxy proprietario a monte del server proxy nativo in Google Analytics, ossia un server intermediario localizzato in Europa su cui far giungere i dati degli utenti. Questo, secondo alcuni, porterebbe a rispettare la richiesta del Garante. 

 

E’ importante inoltre sottolineare che ciò che viene contestato a Google Analytics, ossia la potenziale violazione alle condizioni di legittimità del trasferimento di dati al di fuori dell’Europa, è – con buona probabilità – una caratteristica comune a centinaia (o più probabilmente migliaia) di software di utilizzo comune nell’ambito del web marketing e del web hosting.

Se quindi il Garante decidesse di procedere in questa direzione, anche altri software (es. Facebook Ads, Google Ads, YouTube Ads, oltre a diversi software per l’invio di newsletter) rientrerebbero nell’illegalità.

Questo provocherebbe un danno enorme non solo alle aziende che lavorano nel digital, ma anche a tutte le aziende che fatturano tramite la vendita online (vedi gli e-commerce).

 

E’ quindi necessario attendere aggiornamenti in merito e cercare di rimanere informati tramite le fonti ufficiali (quali il sito del garante: https://www.garanteprivacy.it/home)

 

Questo articolo è stato scritto solo a fini di aggiornamento e NON sostituisce una consulenza legale sul come procedere in modo corretto.