Nota: questa news è stata redatta in collaborazione con il team di Polimeni.legal, che è lo studio legale di riferimento in materia di diritto di Internet, Copyright e GDPR. Da qualche giorno, a seguito della decisione del Garante, abbiamo posto in essere una collaborazione con gli avvocati Antonino Polimeni e Angela Lo Giudice e gli altri membri del team Polimeni, che ringrazio di cuore: sono bravissimi, super-esperti e ci aiutano a capire la parte “legalese” delle vicende legate alla GDPR. Ti parlerò a breve di loro in un’altra news!
Molto probabilmente nei giorni scorsi sarà capitato anche a te (o ai tuoi clienti) di ricevere una email inviata da un certo “Federico Leva” con oggetto: “Uso illegittimo di Google Analytics: richiesta di rimozione ex art. 17 GDPR“.
Vediamo insieme di cosa si tratta.
In seguito al provvedimento del Garante italiano dello scorso 23 Giugno, l’email in questione è stata inviata da una persona fisica (Federico Leva, un italiano residente a Helsinki) tramite lo script open source sviluppato dal movimento “Monitora PA” che permette l’invio automatico a centinaia di migliaia di professionisti e aziende che hanno installato Google Analytics sul proprio sito web.
Lo script in questione, sviluppato in Python, verifica l’esistenza della libreria di gtag.js , la quale può essere utilizzata anche per altri scopi e non solo per Google Analytics. È quindi probabile che qualcuno abbia ricevuto la segnalazione relativa a GA senza che questo sia effettivamente installato e presente nel sito oggetto della segnalazione.
In breve, nell’email Federico Leva richiede la cancellazione dei propri dati personali da Google Analytics.
Si tratta di una richiesta legittima che qualsiasi utente può fare per la tutela dei propri dati personali, come previsto dalla normativa GDPR europea. Non è rilevante il mezzo con cui è stata inviata la richiesta (email normale, PEC, messaggio SMS, lettera cartacea, raccomandata, bigliettino, etc).
Di conseguenza, il DPO dell’azienda (o il referente privacy se il DPO non è stato nominato) è obbligato a rispondere entro 30 giorni dalla ricezione dell’email stessa.
In caso di mancata risposta e sempre secondo la normativa in materia, Federico Leva potrà segnalare il tuo sito web e inviare un reclamo al Garante della Privacy, indipendentemente che tu abbia Google Analytics installato o meno.
Attenzione: il termine di legge entro cui devi rispondere è 30 giorni, e non 31 giorni come indicato da Federico Leva all’interno dell’email che ha inviato.
La buona notizia è che rispondere in maniera opportuna a questa email è molto facile.
Ecco il nostro consiglio su come procedere:
Rispondi via email alla richiesta. Non utilizzare il modulo linkato all’interno della mail (che tra le altre cose non è più funzionante perché è stato bannato dal servizio di survey).
Se il contatto email di Federico Leva non è indicato all’interno della mail che ti ha inviato, puoi trovare il suo contatto diretto all’interno del suo sito web personale (cerca il suo nome e cognome su Google)
Chiedi che ti vengano inviate tutte le informazioni necessarie per procedere alla cancellazione dei dati personali. Nello specifico le informazioni da richiedere sono le seguenti:
Il suo indirizzo IP esatto
la data e l’ora della sua visita più recente sul tuo sito web
il valore “Client ID” dei cookie di Google Analytics chiamato _ga (il valore dovrebbe essere simile a questo: GA1.1.834041420.1636040627)
altri identificativi esibiti da Google relativi alla sua visita più recente sul tuo sito web
Ecco un fac-simile della risposta da inviare alla mail di Federico Leva:
Buongiorno Federico,
per dare seguito alla tua richiesta avente per oggetto “Uso illegittimo di Google Analytics: richiesta di rimozione ex art. 17 GDPR” e riferita al sito “NOMESITO.IT” abbiamo bisogno di conoscere le informazioni tecniche necessarie ad identificare le visite menzionate nella tua richiesta.
Siamo quindi a chiederti i dati di cui affermi di essere in possesso (l’indirizzo IP esatto, la data e ora della visita più recente, nonché i cookie e altri identificativi esibiti da Google in corrispondenza della stessa) e, in particolare, il valore “Client ID” dei cookie di Google Analytics (_ga).
In mancanza di queste informazioni siamo impossibilitati ad eseguire la procedura di cancellazione dati utente su Google Analytics.
In attesa di una sollecita risposta, ti ringraziamo in anticipo per la collaborazione.
—
Prima di inviare l’email di risposta, ricordati di sostituire NOMESITO.IT con il vero nome del dominio del tuo sito, ad esempio termotecnicafumagalli.it oppure stivalistupendi.it e così via.
Cosa devi fare se Federico Leva risponde alla tua mail
Una volta che Federico Leva ti invierà il suo Client-ID e la data e l’ora della sua visita più recente sul tuo sito web dovrai:
Rimuovere il Client-ID (e fare degli screenshot)
Inviare una email di risposta dichiarando che hai cancellato i suoi dati dal tuo Google Universal Analytics (GA3) coma da sua richiesta (e mettici pure gli screenshot)
Compilare il registro delle richieste dell’interessato con la sua richiesta e relativa gestione (questo te lo dice la GDPR vedi link: www.garanteprivacy.it/home/faq/registro-delle-attivita-di-trattamento 🙂 ) Se NON SAI cos’è questo punto ti consiglio caldamente di valutare una consulenza con uno studio legale, perché significa che sei già fuori normativa GDPR (ti consiglio lo studio Polimeni Legal)
Ecco come devi procedere per rimuovere il suo Client-ID dal tuo Google Universal Analytics:
Nel menù vai su Audience (Pubblico in italiano) e poi User Explore (Esplorazione utente)
Filtra per la data che ti è stata indicata
Filtra per il codice Client ID che ti è stato fornito (es: 794280273.1649928808)
Entra nel dettaglio e clicca il pulsante delete usersche trovi in fondo alla pagina
Clicca su OK nel messaggio di conferma
Se stai usando Google Analytics 4, ho descritto la procedura dettagliata per rimuovere il Client-ID all’interno del Capitolo 10 del mio nuovo manuale “Google Analytics 4 per chi inizia“.
“Cosa faccio se non trovo il Client ID che mi ha inviato o se ho già eliminato la mia proprietà di Google Universal Analytics (GA3)?”
Se non trovi il Client-ID nella data che Federico Leva ti ha indicato ti consiglio, per essere sicuro, di fare una ulteriore verifica aumentando il range di date di 3 o 4 giorni rispetto alla data che ti ha segnalato.
Quindi, ad esempio, impostare il range di date 3 giorni prima e 3 giorni dopo la data indicata da Federico Leva.
Se anche facendo questa verifica non dovessi trovare il suo Client-ID, oppure se hai già cancellato la tua proprietà di GA3 (ma perché mi chiedo io) ecco cosa ti consiglio di fare:
ti basterà rispondere dicendo che il suo Client-ID non è presente e probabilmente non è mai stato salvato in GA (è tecnicamente possibile) quindi confermi che non hai i suoi dati personali in GA3
gli dichiari che non avete più accesso alla proprietà di GA3 del vostro sito web semplicemente perché avete già fatto la richiesta di rimozione (compresi tutti i dati storici della proprietà).
Ciao Matteo,
con tutto questo caldo ci sarà qualche eventuale sconto sul libro!?!? Dai il caldo da alla testa a tutti !!! 🙂 Magari la parte marketing inventa una bella fresca promo estiva 🙂 ciaoo e grazie davvero per il tuo prezioso aiuto
Matteo Zambon
08 08 2022
Ciao Marco, lo sconto c’era qualche mese fa al WMF 2022. Ti consiglio di prenderlo lo stesso 🙂
Una curiosità, visto che il buon Federico si è messo di buona Leva a scansionare e mandare anche nomi a dominio con redirect e relativa email, posso chiedere il suo documento di identità per verificare la sua vera identità? E’ il caso?
Poi, visto che ha mandato email a tutte le caselle di posta elettronica di un determinato dominio, ad eccezione di quella riportata nel documento della privacy da utilizzare proprio in questi casi, posso considerare la sua richiesta non valida?
Grazie a tutti
Matteo Zambon
08 08 2022
Ciao Luciano, senti un legale potrebbe essere una soluzione per capire se è veramente lui o un altro 🙂
Ciao Matteo,
grazie della preziosa guida.
Ma il il registro delle richieste non è obbligatorio solo se si hanno più di 250 dipendenti?
Grazie
Matteo Zambon
05 08 2022
Ti riporto la FAQ che trovi al link
In particolare, in ambito privato, i soggetti obbligati sono così individuabili:
In particolare, in ambito privato, i soggetti obbligati sono così individuabili:
– imprese o organizzazioni con almeno 250 dipendenti;
– qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti che possano presentare un rischio – anche non elevato – per i diritti e le libertà dell’interessato;
– qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti non occasionali;
– qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti delle categorie particolari di dati di cui all’articolo 9, paragrafo 1 RGPD, o di dati personali relativi a condanne penali e a reati di cui all’articolo 10 RGPD.
Ciao!
Anche ad un mio cliente è arrivata la simpatica mail del Leva, a cui abbiamo risposto ed è arrivata quindi la risposta con i dati richiesti.
Abbiamo cancellato i dati, fatto gli screenshot, disinstallato GA Universal ed installato Analytics 4 ma poi non mi è proprio chiara la questione della compilazione del “…registro delle richieste dell’interessato con la sua richiesta e relativa gestione…”
Scarico il pdf di cui al link, ok, ma poi cosa devo scriverci?
Devo inviarglielo?
Grazie per tutto l’aiuto che fornisci!
Ciao
Stefano
Matteo Zambon
05 08 2022
Devi annotare la sua richiesta e cosa avete fatto 🙂 Ti consiglio di valutare un supporto legale (consiglio Polimeni Legal) 😉
Ciao Matteo,
nella controrisèposta non è chiaro per me il punto 3 :
Compilare il registro delle richieste dell’interessato con la sua richiesta e relativa gestione (questo te lo dice la GDPR vedi link: http://www.garanteprivacy.it/home/faq/registro-delle-attivita-di-trattamento )
Puoi spiegarlo meglio ?
GRAZIE
Paolo
Matteo Zambon
05 08 2022
Ciao Paolo, ho appena aggiunto una nota (fai refresh). Se non sai cos’è significa che hai (anche) altri problemi relativi alla GDPR 🙂
È un documento che la GDPR ti dice di avere per registrare tutte le attività del trattamento dei dati che la tua azienda gestisce.
Ciao Matteo,
devo dire che nemmeno io trovo quell’ID sul nostro GA3. Dici di aver scritto nell’articolo cosa fare in questo caso, ma non riesco a trovare questo passaggio… sarà la stanchezza del venerdì? 😀
Volevo anche cercare l’ID in GA4 e ho sotto mano il tuo libro, ma non ho capito come si ricerca un ID specifico nel report Esplorazione Utente.
Insomma, disperazione totale!
Daniela
05 08 2022
uh, ora l’ho visto… giuro che poco fa non c’era, possibile?!
Matteo Zambon
05 08 2022
Si l’ho appena aggionrato (visto la serie di commenti sul tema 🙂 )
Scusa Matteo, il tuo libro ce l’ho sotto mano, ma non trovo indicazioni su come si cerca o filtra uno specifico ID nel report Custom User Explorer… Vedo una lista fino a 500 righe di valori come quello indicato da Federico Leva (10 cifre, punto, 10 cifre). Ma non vedo proprio come cercare un valore specifico.
Matteo Zambon
08 08 2022
Ciao Daniela, non c’è un filtro al momento disponibile. Ti consiglio di usare il cerca del browser (CTRL+F se usi chrome da windows).
Fammi sapere 🙂
Daniela
08 08 2022
Ciao Matteo,
sì, avevo già fatto in quel modo, andando a vedere 500 righe per volta (comodo… Grazie, GA4) 🙂
Temevo che mi sfuggisse una cosa così banale come la ricerca, ma per fortuna non ero io. Grazie ancora!
Buongiorno,
abbiamo ricevuto risposta dal sig. Federico Leva in data 03 agosto (ci fornisce la data della visita e il valore di alcuni dei cookie da noi depositati nel suo computer).
In data 14 luglio abbiamo rimosso completamente la proprietà di universal analytics ed attualmente si trova nel cestino. Nel cestino viene indicata la data del 18 agosto come data di eliminazione definitiva della proprietà.
Cosa risponderesti?
Ciao Matteo, anche noi abbiamo ricevuto la mail da Leva, gli abbiamo inviato risposta seguendo la tua guida.
Abbiamo ricevuto risposta con i riferimenti del CLIENT ID, abbiamo fatto fare la verifica su GA da chi si occupa del nostro sito e non hanno trovato i riferimenti del CLIENT ID comunicato da Leva.
In questo caso cosa dobbiamo rispondere a Leva?
Nella tua guida non troviamo la risposta al caso in cui il CLIENT ID comunicato da lui non sia presente su Analytics.
Grazie mille per la risposta che potrai darci
ho ricevuto risposta da Federico leva con le informazioni riguardanti la data e l’id del cookie. Il problema è che, in esplorazione utente, non trovo quell’id.
Come si procede in questi casi?
Matteo Zambon
04 08 2022
Ciao Antonio, ho aggiunto nell’articolo cosa fare 🙂
Giulia
05 08 2022
Buongiorno a tutti!
Anche io ho lo stesso problema. L’id del cookie fornito da Federico Leva non corrisponde a nessun ID utente presente su Analytics. Come conviene rispondere?
Matteo Zambon
05 08 2022
Ciao Giulia, ho aggiornato l’articolo 🙂
Alessio
05 08 2022
Ciao Matteo, anch’io stesso problema, ma non trovo nell’articolo indicazioni su come comportarci se l’id che ci ha fornito Leva non è presente. Io gli rispondere alla mail con uno screenshot che dimostra che l’id fornito non esiste
Federico Leva ha iniziato a rispondere alla miriade di email di richiesta di informazioni aggiuntive, con il timestamp e il client id da rimuovere.
Non riesco a capire se è in grado di automatizzare queste risposte o se sta vagliando i siti uno per uno. 😳
Personalmente ritengo che avrebbe potuto utilizzare questo tempo in modo più utile per la società. In ogni caso chapeau 🎩
Ciao Matteo,
ho acquistato il tuo libro e mi è arrivato ieri! Se non mi cade il mondo addosso nel week end inizio la lettura!
Tuttavia scrivo perché oggi mi è arrivata la risposta da leva.
La parte iniziale dove mi comunica la data di vista del sito e il cookie la tralascio ma il suo messaggio procede così:
A questo riguardo, ricordo le linee guida dell’EPDP: «when information
collected online is linked to pseudonyms or other unique identifiers,
the controller can implement appropriate procedures enabling the
requesting person to make a data access request and receive the data
relating to them». Possono inoltre essere utili le linee guida del
Garante e altre informazioni raccolte dall’associazione NOYB:
La presente non va intesa come un’accettazione da parte mia delle vostre
rappresentazioni, né della necessità o sufficienza della vostra
richiesta di ulteriori informazioni o della soluzione da voi proposta o
adottata, diversa dalla completa rimozione di Google Analytics e di
tutti i dati relativi. Mi riservo ogni ulteriore valutazione e iniziativa.
Come si può interpretare al meglio questa risposta?
Purtroppo non sono un legale ma mi sembra che non solo desidera la rimozione dei cookie GA, ma in seguito potrà richiedermene copia.
Cosa mi consigli di fare?
Ciao Matteo, anche io ho ricevuto la risposta di Federico Leva e ho proceduto all’eliminazione dei suoi dati. Che cos’è il file che hai linkato nell’articolo? Deve essere compilato e spedito a Federico Leva? E come dovrei compilarlo? Scusa le domande, grazie se risponderai!
Oggi il mio cliente ha ricevuto la risposta che riporto di seguito.
Ora, il mio cliente, all’epoca ha deciso di eliminare definitivamente la proprietà di Google Analytics Universal…
A questo punto è impossibile effettuare la richiesta di eliminazione dello specifico dato.. come comportarsi?
La risposta:
Gentile XXXXXX.com,
ringrazio per il riscontro alla mia richiesta.
Con riferimento alla vostra risposta, in ultimo in data 2022-07-08, aggiungo le seguenti informazioni sulla visita del vostro sito cui fanno riferimento i dati personali oggetto della mia richiesta, cioè la data della visita e il valore di alcuni dei cookie da voi depositati nel mio
computer:
2022-06-29T06:56:14+0000
GA1.2.xxxxxxxxx.xxxxxxxxx
A questo riguardo, ricordo le linee guida dell’EPDP: «when information collected online is linked to pseudonyms or other unique identifiers, the controller can implement appropriate procedures enabling the requesting person to make a data access request and receive the data relating to them». Possono inoltre essere utili le linee guida del Garante e altre informazioni raccolte dall’associazione NOYB:
La presente non va intesa come un’accettazione da parte mia delle vostre rappresentazioni, né della necessità o sufficienza della vostra richiesta di ulteriori informazioni o della soluzione da voi proposta o adottata, diversa dalla completa rimozione di Google Analytics e di tutti i dati relativi. Mi riservo ogni ulteriore valutazione e iniziativa.
Buongiorno Matteo, ho risposto a Leva non solo alla mail indicata, ma a tutte le sue mail riportate nel suo sito. Devo ancora ricevere risposta e non so bene come procedere. Vorrei certificare che io gli ho risposto. Non so se una auto invio pec con la sua mail in copia possa andar bene.
Matteo Zambon
01 08 2022
Ciao Michele, direi che hai fatto il tuo dovere. Se ti risponde, semplicemente fai la cancellazione (e glielo comunichi).
in merito al precedente commento era un errore momentaneo ricaricando più volte è uscito il menù Esplorazione utente, Puoi rispondermi alla seconda domanda sul libro? grazie
Ciao Matteo, sei sempre il migliore! Sempre articoli utili e davvero completi a differenza di molti altri che puntano solo alle consulenze (per carità è lavoro eh!!). avrei 2 domande:
1) seguendo il tuo articolo nel mio GA non trovo la voce Esplorazione utente è possibile?
2) Seguendo le tue guide avevo installato TAG manager, ora stavo cercando di capire se il nuovo GA4 offre già all’interno quello che offre TAG oppure no? Nel senso se acquisto il libro Ga4 poi riesco a configurare tutto correttamente ? e dovrò rimuovere GA e TAG manager? Attendo risposta così da chiarirmi l’idea sull’acquisto (ci sarà qualche codice sconto in programma?) grazie.
Matteo Zambon
01 08 2022
Ciao Marco, grazie del feedback! Apprezzato anche dal resto del team di Tag Manager Italia.
1) Lo trovi sotto il menù Audience
2) Sì, assolutamente, il libro spiega come installare GA4 tramite GTM ed è la soluzione migliore per implementarlo 🙂
Ciao Matteo, grazie per il tuo contributo, ho inviato la mail di risposta e sono curioso di vedere che informazioni mi ritorna il buon Federico. La mail di partenza (la sua) è stata generata in automatico vs (tutti) i siti che utilizzano GA, come hai ben spiegato all’inizio della pagina, ma nel nostro sito è prevista, tramite il plugin di Iubenda l’accettazione esplicita dei cookie di GA, quindi l’eventuale tracciamento (se mai si fosse recato sul sito, cosa di cui dubito) è stato eseguito a seguito di un consenso, che peraltro viene negato nella mail, Non sono un legale ma se viene dato un consenso a fronte di una chiara esposizione della cookie policy, negarlo successivamente mi sembra abbastanza ridicolo, fermo restando il diritto al trattamento dei dati.
Buon lavoro
Matteo Zambon
01 08 2022
Lo so, ma è suo diritto richiedere la rimozione anche se ha accettato prima. Hai anche tu i medesimi diritti 🙂
Ciao Matteo,
ringraziandoti per il tuo articolo, provo a chiederti quanto segue.
Prima che il mio cliente mi girasse la mail di Leva io, sapendo che GA3 era diventato non a norma GDPR, avevo rimosso la proprietà da Analytics… e ora, anche se volesssi andare nel menù “Esplora utenti” non potrei accedervi. In un altro articolo leggevo però che per la cancellazione del dato personale non basta aver cancellato GA3 e mi chiedevo allora come fare visto che appunto non posso più accedervi… Forse il mio cliente potrebbe cancellare il dato nel registro delle preferenze dei Cookie che ha attivato con Iubenda (servizio online in materia di GDPR)?
Grazie in anticipo e buona domenica,
Katiuscia
Matteo Zambon
01 08 2022
Ciao Katuscia, gli risponderei che hai cancellato la proprietà e che nessuno ha più accesso a quei dati.
Ciao Matteo, sicuramente anche altri si saranno chiesti questa cosa: come facciamo a essere certi che l’IP e il Client ID che ci verrebbe fornito sia veramente il suo e non quello di qualcun altro?
Matteo Zambon
08 07 2022
Ciao Alberto, il Client ID è presente nel cookie “_ga” del browser, mentre l’indirizzo IP basta un qualsiasi servizio di riconoscimento IP (ti basta googlare).
Se la tua domanda è come facciamo noi a sapere che siano dati suoi e non di un altro, è di fatto impossibile a meno che non gli chiediamo di inviarci ulteriori prove.
L’importante è rispondere comunque alla richiesta (che non significa cancellare tutto se non abbiamo le informazioni).
A presto!
Tralasciando tutti gli aspetti legati alla necessità o meno di dargli una risposta e quale (ad esempio lui mi chiede di rimuovere qualcosa dandomi alcune informazioni, potrebbe bastare rispondergli “con le informazioni che ci ha fornito è impossibile e oltretutto vietato, risalire ai suoi dati presenti in analytics” e stop) ma decidendo di utilizzare il tuo metodo per rispondergli, il problema che sorge è: come dimostro a lui che i suoi dati sono stati cancellati?
Perchè lui mi fornisce il client ID, io trovo i dati e faccio cancella. Però poi cosa gli rispondo? “ho provveduto a cancellare i suoi dati” e lui ci crede sulla parola? non gli rispondo avendogli già dato risposta anche se intelocutoria, in precedenza? Faccio lo screenshot della ricerca per data e client ID dove dice “risultati non trovati” per quello che vale uno screenshot?
Matteo Zambon
08 07 2022
Facendogli vedere (se arriva il garante o chi per lui a chiederti la verifica) che di quel cookie non c’è più traccia.
Si la risposta che hai provveduto a cancellare basta. Non occorre che tu faccia screenshot 🙂
Patrizia
08 07 2022
Io l’ho acquistato Matteo 🙂
sto aspettando, grazie.
Ciao Matteo, ho aperto anche una discussione su connect.gt a triguardo.
L’indirizzo e-mail del sig. Leva in realtà blocca il server del mittente…. cosa fare in questo caso?
Matteo Zambon
08 07 2022
E come fai a sapere che è stata bloccata? Se lo sai significa che sai di averlo ricevuta e quindi anche la possibilità di aprirla. Io manderei ugualmente la email per evitare qualsiasi ipotesi di reclamo.
Buongiorno Matteo e grazie per aver fatto chiarezza su questa situazione!
Ho solo un dubbio in merito al punto in cui scrivi “Non è rilevante il mezzo con cui è stata inviata la richiesta”.
Mi spiego. Se nella privacy policy del mio sito è indicato che l’utente può esercitare i propri diritti (es. richiedere la cancellazione dei propri dati) scrivendo alla specifica mail privacy@ e la mail di Leva è arrivata invece su info@, è necessario comunque rispondere?
Grazie mille,
Giacomo.
Matteo Zambon
08 07 2022
L’hai vista la email? Sì. Vuoi correre il rischio di dire che non l’hai ricevuta e subirti un possibile reclamo?
Rispondigli e fagli notare che la prossima volta invii la email a privacy 🙂
A tuo parere va bene anche l’eliminazione di dati (ID utente) con la procedura di eliminazione dati da amministrazione -> proprietà -> richieste di eliminazione dati?
Matteo Zambon
08 07 2022
Ciao Grazia, si occhio che potresti cancellare più del dovuto.
ciao e grazie!
tutti gli altri ti chiedono se vuoi una consulenza… ovviamente a pagamento.
C’è solo una cosa che ancora non capisco.
Il caro amico Federico Leva ha inviato anche a me la sua gentile mail ma io non utilizzo Google Analytics!
Nel mio sito ho un contatore di accessi di ShinyStat che ho interpellato e mi garantisce il non utilizzo di componenti Google.
Allora?
Può essere il server del provider di cui mi servo, aruba, responsabile di ciò?
Grazie
Salvatore
Matteo Zambon
08 07 2022
Ciao, sicuro di non avere la libreria gtag.js o analytics.js (magari fai campagne di Google Ads?)
Devi comunque rispondere, indipendentemente se è vero o meno. La risposta sarà che non usi GA e si è sbagliato 🙂
Hai ancora qualche dubbio? Chiedi pure qui sotto, sarò pronto a risponderti!
Yuri
10 08 2022
Ciao Matteo,
la nostra azienda non prende dati sanitari e ha meno di 250 dipendenti.
Dobbiamo compilare lo stesso il registro delle richieste?
Grazie
Matteo Zambon
11 08 2022
Direi di sì, ma senti un avvocato 🙂
Antonio Salzano
08 08 2022
Io ho GA4,
ma le schermate mostrate in questo articolo non ci sono.
In particolare non riesco a trovare ne “Audience” né “user Explorer”.
Come posso fare?
Matteo Zambon
10 08 2022
Ciao, l’ho spiegato nel capitolo 10 del Libro Google Analytics 4 per chi inizia https://shop.tagmanageritalia.it/libro-ga4-per-chi-inizia/
Devi usare il report User Explore: https://support.google.com/analytics/answer/6339208
Marco
05 08 2022
Ciao Matteo,
con tutto questo caldo ci sarà qualche eventuale sconto sul libro!?!? Dai il caldo da alla testa a tutti !!! 🙂 Magari la parte marketing inventa una bella fresca promo estiva 🙂 ciaoo e grazie davvero per il tuo prezioso aiuto
Matteo Zambon
08 08 2022
Ciao Marco, lo sconto c’era qualche mese fa al WMF 2022. Ti consiglio di prenderlo lo stesso 🙂
A presto!
Luciano
05 08 2022
Una curiosità, visto che il buon Federico si è messo di buona Leva a scansionare e mandare anche nomi a dominio con redirect e relativa email, posso chiedere il suo documento di identità per verificare la sua vera identità? E’ il caso?
Poi, visto che ha mandato email a tutte le caselle di posta elettronica di un determinato dominio, ad eccezione di quella riportata nel documento della privacy da utilizzare proprio in questi casi, posso considerare la sua richiesta non valida?
Grazie a tutti
Matteo Zambon
08 08 2022
Ciao Luciano, senti un legale potrebbe essere una soluzione per capire se è veramente lui o un altro 🙂
A presto
Giovanna
05 08 2022
Ciao Matteo,
grazie della preziosa guida.
Ma il il registro delle richieste non è obbligatorio solo se si hanno più di 250 dipendenti?
Grazie
Matteo Zambon
05 08 2022
Ti riporto la FAQ che trovi al link
In particolare, in ambito privato, i soggetti obbligati sono così individuabili:
In particolare, in ambito privato, i soggetti obbligati sono così individuabili:
– imprese o organizzazioni con almeno 250 dipendenti;
– qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti che possano presentare un rischio – anche non elevato – per i diritti e le libertà dell’interessato;
– qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti non occasionali;
– qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti delle categorie particolari di dati di cui all’articolo 9, paragrafo 1 RGPD, o di dati personali relativi a condanne penali e a reati di cui all’articolo 10 RGPD.
😉
Stefano Palumbo
05 08 2022
Ciao!
Anche ad un mio cliente è arrivata la simpatica mail del Leva, a cui abbiamo risposto ed è arrivata quindi la risposta con i dati richiesti.
Abbiamo cancellato i dati, fatto gli screenshot, disinstallato GA Universal ed installato Analytics 4 ma poi non mi è proprio chiara la questione della compilazione del “…registro delle richieste dell’interessato con la sua richiesta e relativa gestione…”
Scarico il pdf di cui al link, ok, ma poi cosa devo scriverci?
Devo inviarglielo?
Grazie per tutto l’aiuto che fornisci!
Ciao
Stefano
Matteo Zambon
05 08 2022
Devi annotare la sua richiesta e cosa avete fatto 🙂 Ti consiglio di valutare un supporto legale (consiglio Polimeni Legal) 😉
Paolo
05 08 2022
Ciao Matteo,
nella controrisèposta non è chiaro per me il punto 3 :
Compilare il registro delle richieste dell’interessato con la sua richiesta e relativa gestione (questo te lo dice la GDPR vedi link: http://www.garanteprivacy.it/home/faq/registro-delle-attivita-di-trattamento )
Puoi spiegarlo meglio ?
GRAZIE
Paolo
Matteo Zambon
05 08 2022
Ciao Paolo, ho appena aggiunto una nota (fai refresh). Se non sai cos’è significa che hai (anche) altri problemi relativi alla GDPR 🙂
È un documento che la GDPR ti dice di avere per registrare tutte le attività del trattamento dei dati che la tua azienda gestisce.
A presto!
Daniela
05 08 2022
Ciao Matteo,
devo dire che nemmeno io trovo quell’ID sul nostro GA3. Dici di aver scritto nell’articolo cosa fare in questo caso, ma non riesco a trovare questo passaggio… sarà la stanchezza del venerdì? 😀
Volevo anche cercare l’ID in GA4 e ho sotto mano il tuo libro, ma non ho capito come si ricerca un ID specifico nel report Esplorazione Utente.
Insomma, disperazione totale!
Daniela
05 08 2022
uh, ora l’ho visto… giuro che poco fa non c’era, possibile?!
Matteo Zambon
05 08 2022
Si l’ho appena aggionrato (visto la serie di commenti sul tema 🙂 )
Matteo Zambon
05 08 2022
Ciao, l’ho spiegato nel capitolo 10 del Libro Google Analytics 4 per chi inizia 🙂 https://shop.tagmanageritalia.it/libro-ga4-per-chi-inizia/
Devi usare il report User Explore: https://support.google.com/analytics/answer/6339208
Daniela
08 08 2022
Scusa Matteo, il tuo libro ce l’ho sotto mano, ma non trovo indicazioni su come si cerca o filtra uno specifico ID nel report Custom User Explorer… Vedo una lista fino a 500 righe di valori come quello indicato da Federico Leva (10 cifre, punto, 10 cifre). Ma non vedo proprio come cercare un valore specifico.
Matteo Zambon
08 08 2022
Ciao Daniela, non c’è un filtro al momento disponibile. Ti consiglio di usare il cerca del browser (CTRL+F se usi chrome da windows).
Fammi sapere 🙂
Daniela
08 08 2022
Ciao Matteo,
sì, avevo già fatto in quel modo, andando a vedere 500 righe per volta (comodo… Grazie, GA4) 🙂
Temevo che mi sfuggisse una cosa così banale come la ricerca, ma per fortuna non ero io. Grazie ancora!
Matteo Zambon
08 08 2022
Di nulla, spero in prossimi filtri 😀
Davide
05 08 2022
Buongiorno,
abbiamo ricevuto risposta dal sig. Federico Leva in data 03 agosto (ci fornisce la data della visita e il valore di alcuni dei cookie da noi depositati nel suo computer).
In data 14 luglio abbiamo rimosso completamente la proprietà di universal analytics ed attualmente si trova nel cestino. Nel cestino viene indicata la data del 18 agosto come data di eliminazione definitiva della proprietà.
Cosa risponderesti?
Matteo Zambon
05 08 2022
Ciao Davide, ho aggiornato l’articolo 🙂
KATIA
05 08 2022
Ciao Matteo, anche noi abbiamo ricevuto la mail da Leva, gli abbiamo inviato risposta seguendo la tua guida.
Abbiamo ricevuto risposta con i riferimenti del CLIENT ID, abbiamo fatto fare la verifica su GA da chi si occupa del nostro sito e non hanno trovato i riferimenti del CLIENT ID comunicato da Leva.
In questo caso cosa dobbiamo rispondere a Leva?
Nella tua guida non troviamo la risposta al caso in cui il CLIENT ID comunicato da lui non sia presente su Analytics.
Grazie mille per la risposta che potrai darci
Matteo Zambon
05 08 2022
Ciao Katia, ho aggiunto in fondo cosa fare 🙂
Antonio
04 08 2022
Salve Matteo,
ho ricevuto risposta da Federico leva con le informazioni riguardanti la data e l’id del cookie. Il problema è che, in esplorazione utente, non trovo quell’id.
Come si procede in questi casi?
Matteo Zambon
04 08 2022
Ciao Antonio, ho aggiunto nell’articolo cosa fare 🙂
Giulia
05 08 2022
Buongiorno a tutti!
Anche io ho lo stesso problema. L’id del cookie fornito da Federico Leva non corrisponde a nessun ID utente presente su Analytics. Come conviene rispondere?
Matteo Zambon
05 08 2022
Ciao Giulia, ho aggiornato l’articolo 🙂
Alessio
05 08 2022
Ciao Matteo, anch’io stesso problema, ma non trovo nell’articolo indicazioni su come comportarci se l’id che ci ha fornito Leva non è presente. Io gli rispondere alla mail con uno screenshot che dimostra che l’id fornito non esiste
Matteo Zambon
05 08 2022
Ciao Alessio, Appena aggiunto alla fine.
Marko
04 08 2022
Federico Leva ha iniziato a rispondere alla miriade di email di richiesta di informazioni aggiuntive, con il timestamp e il client id da rimuovere.
Non riesco a capire se è in grado di automatizzare queste risposte o se sta vagliando i siti uno per uno. 😳
Personalmente ritengo che avrebbe potuto utilizzare questo tempo in modo più utile per la società. In ogni caso chapeau 🎩
Grazie Matteo per il post
Matteo Zambon
04 08 2022
Ciao Marko, grazie del feedback 🙂
Sara
04 08 2022
Ciao Matteo,
ho acquistato il tuo libro e mi è arrivato ieri! Se non mi cade il mondo addosso nel week end inizio la lettura!
Tuttavia scrivo perché oggi mi è arrivata la risposta da leva.
La parte iniziale dove mi comunica la data di vista del sito e il cookie la tralascio ma il suo messaggio procede così:
A questo riguardo, ricordo le linee guida dell’EPDP: «when information
collected online is linked to pseudonyms or other unique identifiers,
the controller can implement appropriate procedures enabling the
requesting person to make a data access request and receive the data
relating to them». Possono inoltre essere utili le linee guida del
Garante e altre informazioni raccolte dall’associazione NOYB:
https://noyb.eu/en/gdprhub
Trovate i riferimenti completi nel mio sito (per ridurre i messaggi e i
collegamenti, evito di riportare qui tutto).
https://federicoleva.eu/it/richiesta-rimozione-google-analytics/
La presente non va intesa come un’accettazione da parte mia delle vostre
rappresentazioni, né della necessità o sufficienza della vostra
richiesta di ulteriori informazioni o della soluzione da voi proposta o
adottata, diversa dalla completa rimozione di Google Analytics e di
tutti i dati relativi. Mi riservo ogni ulteriore valutazione e iniziativa.
Come si può interpretare al meglio questa risposta?
Purtroppo non sono un legale ma mi sembra che non solo desidera la rimozione dei cookie GA, ma in seguito potrà richiedermene copia.
Cosa mi consigli di fare?
Grazie mille per l’attenzione.
Matteo Zambon
04 08 2022
Ciao Sara, ho aggiunto nell’articolo cosa fare 🙂
Sara
05 08 2022
Grazie mille Matteo 🙏🏼
Ho recuperato il link per scaricare i template pdf/excel ufficiali del registro del garante, spero sia utile a qualcuno:
https://www.garanteprivacy.it/home/faq/registro-delle-attivita-di-trattamento
Matteo Zambon
05 08 2022
Grazie Sara, lo linko all’articolo 🙂
Vanessa
05 08 2022
Ciao Matteo, anche io ho ricevuto la risposta di Federico Leva e ho proceduto all’eliminazione dei suoi dati. Che cos’è il file che hai linkato nell’articolo? Deve essere compilato e spedito a Federico Leva? E come dovrei compilarlo? Scusa le domande, grazie se risponderai!
Matteo Zambon
05 08 2022
Ciao Vanessa, è il documento che aziendalmente dovreste avere (se non ce l’hai significa che hai già altri problemi per quanto riguarda la GDPR). Ti consiglio di valutare una consulenza dallo studio di Polimeni: https://www.tagmanageritalia.it/polimeni-legal-tag-manager-italia-informazioni-soluzioni-privacy-gdpr/
Mirko Massarutto
04 08 2022
Oggi il mio cliente ha ricevuto la risposta che riporto di seguito.
Ora, il mio cliente, all’epoca ha deciso di eliminare definitivamente la proprietà di Google Analytics Universal…
A questo punto è impossibile effettuare la richiesta di eliminazione dello specifico dato.. come comportarsi?
La risposta:
Gentile XXXXXX.com,
ringrazio per il riscontro alla mia richiesta.
Con riferimento alla vostra risposta, in ultimo in data 2022-07-08, aggiungo le seguenti informazioni sulla visita del vostro sito cui fanno riferimento i dati personali oggetto della mia richiesta, cioè la data della visita e il valore di alcuni dei cookie da voi depositati nel mio
computer:
2022-06-29T06:56:14+0000
GA1.2.xxxxxxxxx.xxxxxxxxx
A questo riguardo, ricordo le linee guida dell’EPDP: «when information collected online is linked to pseudonyms or other unique identifiers, the controller can implement appropriate procedures enabling the requesting person to make a data access request and receive the data relating to them». Possono inoltre essere utili le linee guida del Garante e altre informazioni raccolte dall’associazione NOYB:
https://noyb.eu/en/gdprhub
Trovate i riferimenti completi nel mio sito (per ridurre i messaggi e i collegamenti, evito di riportare qui tutto).
https://federicoleva.eu/it/richiesta-rimozione-google-analytics/
La presente non va intesa come un’accettazione da parte mia delle vostre rappresentazioni, né della necessità o sufficienza della vostra richiesta di ulteriori informazioni o della soluzione da voi proposta o adottata, diversa dalla completa rimozione di Google Analytics e di tutti i dati relativi. Mi riservo ogni ulteriore valutazione e iniziativa.
Cordiali saluti,
Federico Leva
Matteo Zambon
04 08 2022
Ciao Mirko, ho aggiunto nell’articolo cosa fare 🙂
Riccardo
01 08 2022
Ciao Matteo e grazie!
Io ho risposto tempestivamente seguendo le tue indicazioni.
Non ho mai ricevuto risposta, cosa mi consigli di fare?
Matteo Zambon
01 08 2022
Niente, ti direi 🙂
Michele
25 07 2022
Buongiorno Matteo, ho risposto a Leva non solo alla mail indicata, ma a tutte le sue mail riportate nel suo sito. Devo ancora ricevere risposta e non so bene come procedere. Vorrei certificare che io gli ho risposto. Non so se una auto invio pec con la sua mail in copia possa andar bene.
Matteo Zambon
01 08 2022
Ciao Michele, direi che hai fatto il tuo dovere. Se ti risponde, semplicemente fai la cancellazione (e glielo comunichi).
A presto!
Marco
23 07 2022
in merito al precedente commento era un errore momentaneo ricaricando più volte è uscito il menù Esplorazione utente, Puoi rispondermi alla seconda domanda sul libro? grazie
Matteo Zambon
01 08 2022
Ah ecco 😀
Marco
23 07 2022
Ciao Matteo, sei sempre il migliore! Sempre articoli utili e davvero completi a differenza di molti altri che puntano solo alle consulenze (per carità è lavoro eh!!). avrei 2 domande:
1) seguendo il tuo articolo nel mio GA non trovo la voce Esplorazione utente è possibile?
2) Seguendo le tue guide avevo installato TAG manager, ora stavo cercando di capire se il nuovo GA4 offre già all’interno quello che offre TAG oppure no? Nel senso se acquisto il libro Ga4 poi riesco a configurare tutto correttamente ? e dovrò rimuovere GA e TAG manager? Attendo risposta così da chiarirmi l’idea sull’acquisto (ci sarà qualche codice sconto in programma?) grazie.
Matteo Zambon
01 08 2022
Ciao Marco, grazie del feedback! Apprezzato anche dal resto del team di Tag Manager Italia.
1) Lo trovi sotto il menù Audience
2) Sì, assolutamente, il libro spiega come installare GA4 tramite GTM ed è la soluzione migliore per implementarlo 🙂
pietro
13 07 2022
Ciao Matteo, grazie per il tuo contributo, ho inviato la mail di risposta e sono curioso di vedere che informazioni mi ritorna il buon Federico. La mail di partenza (la sua) è stata generata in automatico vs (tutti) i siti che utilizzano GA, come hai ben spiegato all’inizio della pagina, ma nel nostro sito è prevista, tramite il plugin di Iubenda l’accettazione esplicita dei cookie di GA, quindi l’eventuale tracciamento (se mai si fosse recato sul sito, cosa di cui dubito) è stato eseguito a seguito di un consenso, che peraltro viene negato nella mail, Non sono un legale ma se viene dato un consenso a fronte di una chiara esposizione della cookie policy, negarlo successivamente mi sembra abbastanza ridicolo, fermo restando il diritto al trattamento dei dati.
Buon lavoro
Matteo Zambon
01 08 2022
Lo so, ma è suo diritto richiedere la rimozione anche se ha accettato prima. Hai anche tu i medesimi diritti 🙂
A presto!
Cristina
12 07 2022
Buongiorno,
se non si riceve risposta alla mail, cosa bisogna fare?
Grazie
Cristina
Matteo Zambon
01 08 2022
Niente direi, tu hai fatto il tuo dovere 🙂
Nicola
11 07 2022
Grazie per l’utile guida, segnalo questa pagina con le info per rispondere direttamente dal nostro amico Federico Leva:
https://federicoleva.eu/it/richiesta-rimozione-google-analytics/
Chissà cosa si è fumato questo. 😀 😀 😀
Matteo Zambon
01 08 2022
Se è convinto lui 🙂
Katiuscia
10 07 2022
Ciao Matteo,
ringraziandoti per il tuo articolo, provo a chiederti quanto segue.
Prima che il mio cliente mi girasse la mail di Leva io, sapendo che GA3 era diventato non a norma GDPR, avevo rimosso la proprietà da Analytics… e ora, anche se volesssi andare nel menù “Esplora utenti” non potrei accedervi. In un altro articolo leggevo però che per la cancellazione del dato personale non basta aver cancellato GA3 e mi chiedevo allora come fare visto che appunto non posso più accedervi… Forse il mio cliente potrebbe cancellare il dato nel registro delle preferenze dei Cookie che ha attivato con Iubenda (servizio online in materia di GDPR)?
Grazie in anticipo e buona domenica,
Katiuscia
Matteo Zambon
01 08 2022
Ciao Katuscia, gli risponderei che hai cancellato la proprietà e che nessuno ha più accesso a quei dati.
A presto!
Alberto
08 07 2022
Ciao Matteo, sicuramente anche altri si saranno chiesti questa cosa: come facciamo a essere certi che l’IP e il Client ID che ci verrebbe fornito sia veramente il suo e non quello di qualcun altro?
Matteo Zambon
08 07 2022
Ciao Alberto, il Client ID è presente nel cookie “_ga” del browser, mentre l’indirizzo IP basta un qualsiasi servizio di riconoscimento IP (ti basta googlare).
Se la tua domanda è come facciamo noi a sapere che siano dati suoi e non di un altro, è di fatto impossibile a meno che non gli chiediamo di inviarci ulteriori prove.
L’importante è rispondere comunque alla richiesta (che non significa cancellare tutto se non abbiamo le informazioni).
A presto!
Alessandro
08 07 2022
Grazie,
sei stato prezioso!
Matteo Zambon
08 07 2022
Prego 🙂
Simone
08 07 2022
Ciao MAtteo, farò quando consigliato da te, grazie mille.
Curiosità, nel caso avessi “anonymize ip = true” vale ugualmente lo stesso discorso?
Grazie
Matteo Zambon
08 07 2022
Ciao Simone.
Si.
GA3 poi lo devi sostituire con GA4 possibilmente Server-Side. Ti consiglio di valutare l’acquisto del libro appena uscito e fresco di stampa: https://shop.tagmanageritalia.it/libro-ga4-per-chi-inizia/
A presto!
Aldo
13 07 2022
Buongiorno Matteo,
abbiamo anche noi “anonymize ip”, come dobbiamo rispondere? Vanno sempre richieste tutte le info che hai indicato qui? Grazie
Matteo Zambon
01 08 2022
Ciao Aldo, si certo assolutamente devi rispondere entro 30 giorni 🙂
Roberto Felter
08 07 2022
Tralasciando tutti gli aspetti legati alla necessità o meno di dargli una risposta e quale (ad esempio lui mi chiede di rimuovere qualcosa dandomi alcune informazioni, potrebbe bastare rispondergli “con le informazioni che ci ha fornito è impossibile e oltretutto vietato, risalire ai suoi dati presenti in analytics” e stop) ma decidendo di utilizzare il tuo metodo per rispondergli, il problema che sorge è: come dimostro a lui che i suoi dati sono stati cancellati?
Perchè lui mi fornisce il client ID, io trovo i dati e faccio cancella. Però poi cosa gli rispondo? “ho provveduto a cancellare i suoi dati” e lui ci crede sulla parola? non gli rispondo avendogli già dato risposta anche se intelocutoria, in precedenza? Faccio lo screenshot della ricerca per data e client ID dove dice “risultati non trovati” per quello che vale uno screenshot?
Matteo Zambon
08 07 2022
Facendogli vedere (se arriva il garante o chi per lui a chiederti la verifica) che di quel cookie non c’è più traccia.
Si la risposta che hai provveduto a cancellare basta. Non occorre che tu faccia screenshot 🙂
Patrizia
08 07 2022
Io l’ho acquistato Matteo 🙂
sto aspettando, grazie.
Matteo Zambon
08 07 2022
Grande 🙂
Mirko Massarutto
08 07 2022
Ciao Matteo, ho aperto anche una discussione su connect.gt a triguardo.
L’indirizzo e-mail del sig. Leva in realtà blocca il server del mittente…. cosa fare in questo caso?
Matteo Zambon
08 07 2022
E come fai a sapere che è stata bloccata? Se lo sai significa che sai di averlo ricevuta e quindi anche la possibilità di aprirla. Io manderei ugualmente la email per evitare qualsiasi ipotesi di reclamo.
Giacomo
08 07 2022
Buongiorno Matteo e grazie per aver fatto chiarezza su questa situazione!
Ho solo un dubbio in merito al punto in cui scrivi “Non è rilevante il mezzo con cui è stata inviata la richiesta”.
Mi spiego. Se nella privacy policy del mio sito è indicato che l’utente può esercitare i propri diritti (es. richiedere la cancellazione dei propri dati) scrivendo alla specifica mail privacy@ e la mail di Leva è arrivata invece su info@, è necessario comunque rispondere?
Grazie mille,
Giacomo.
Matteo Zambon
08 07 2022
L’hai vista la email? Sì. Vuoi correre il rischio di dire che non l’hai ricevuta e subirti un possibile reclamo?
Rispondigli e fagli notare che la prossima volta invii la email a privacy 🙂
Fammi sapere!
Grazia
08 07 2022
Ciao Matteo, grazie mille per la guida!
A tuo parere va bene anche l’eliminazione di dati (ID utente) con la procedura di eliminazione dati da amministrazione -> proprietà -> richieste di eliminazione dati?
Matteo Zambon
08 07 2022
Ciao Grazia, si occhio che potresti cancellare più del dovuto.
Valentina
07 07 2022
Finalmente un intervento completo che spiega ma che dà anche una soluzione! Grazie!
Matteo Zambon
08 07 2022
Prego Valentina 🙂
Salvatore
06 07 2022
ciao e grazie!
tutti gli altri ti chiedono se vuoi una consulenza… ovviamente a pagamento.
C’è solo una cosa che ancora non capisco.
Il caro amico Federico Leva ha inviato anche a me la sua gentile mail ma io non utilizzo Google Analytics!
Nel mio sito ho un contatore di accessi di ShinyStat che ho interpellato e mi garantisce il non utilizzo di componenti Google.
Allora?
Può essere il server del provider di cui mi servo, aruba, responsabile di ciò?
Grazie
Salvatore
Matteo Zambon
08 07 2022
Ciao, sicuro di non avere la libreria gtag.js o analytics.js (magari fai campagne di Google Ads?)
Devi comunque rispondere, indipendentemente se è vero o meno. La risposta sarà che non usi GA e si è sbagliato 🙂