News

Cosa fare con la mail di Federico Leva? È necessario rispondere? E se sì, come?

Nota: questa news è stata redatta in collaborazione con il team di Polimeni.legal, che è lo studio legale di riferimento in materia di diritto di Internet, Copyright e GDPR.  Da qualche giorno, a seguito della decisione del Garante, abbiamo posto in essere una collaborazione con  gli avvocati Antonino Polimeni e Angela Lo Giudice e gli altri membri del team Polimeni, che ringrazio di cuore: sono bravissimi, super-esperti e ci aiutano a capire la parte “legalese” delle vicende legate alla GDPR. Ti parlerò a breve di loro in un’altra news!

Molto probabilmente nei giorni scorsi sarà capitato anche a te (o ai tuoi clienti) di ricevere una email inviata da un certo “Federico Leva” con oggetto: “Uso illegittimo di Google Analytics: richiesta di rimozione ex art. 17 GDPR“. 

Vediamo insieme di cosa si tratta.

 

 

In seguito al provvedimento del Garante italiano dello scorso 23 Giugno, l’email in questione è stata inviata da una persona fisica (Federico Leva, un italiano residente a Helsinki) tramite lo script open source sviluppato dal movimento “Monitora PA” che permette l’invio automatico a centinaia di migliaia di professionisti e aziende che hanno installato Google Analytics sul proprio sito web.

Lo script in questione, sviluppato in Python, verifica l’esistenza della libreria di gtag.js , la quale può essere utilizzata anche per altri scopi e non solo per Google Analytics. È quindi probabile che qualcuno abbia ricevuto la segnalazione relativa a GA senza che questo sia effettivamente installato e presente nel sito oggetto della segnalazione.

In breve, nell’email Federico Leva richiede la cancellazione dei propri dati personali da Google Analytics.

Si tratta di una richiesta legittima che qualsiasi utente può fare per la tutela dei propri dati personali, come previsto dalla normativa GDPR europea. Non è rilevante il mezzo con cui è stata inviata la richiesta (email normale, PEC, messaggio SMS, lettera cartacea, raccomandata, bigliettino, etc).

Di conseguenza, il DPO dell’azienda (o il referente privacy se il DPO non è stato nominato) è obbligato a rispondere entro 30 giorni dalla ricezione dell’email stessa.

In caso di mancata risposta e sempre secondo la normativa in materia, Federico Leva potrà segnalare il tuo sito web e inviare un reclamo al Garante della Privacy, indipendentemente che tu abbia Google Analytics installato o meno.

Attenzione: il termine di legge entro cui devi rispondere è 30 giorni, e non 31 giorni come indicato da Federico Leva all’interno dell’email che ha inviato.

La buona notizia è che rispondere in maniera opportuna a questa email è molto facile. 

Ecco il nostro consiglio su come procedere:

  • Rispondi via email alla richiesta. Non utilizzare il modulo linkato all’interno della mail (che tra le altre cose non è più funzionante perché è stato bannato dal servizio di survey).
    • Se il contatto email di Federico Leva non è indicato all’interno della mail che ti ha inviato, puoi trovare il suo contatto diretto all’interno del suo sito web personale (cerca il suo nome e cognome su Google)
  • Chiedi che ti vengano inviate tutte le informazioni necessarie per procedere alla cancellazione dei dati personali. Nello specifico le informazioni da richiedere sono le seguenti:
    • Il suo indirizzo IP esatto
    • la data e l’ora della sua visita più recente sul tuo sito web
    • il valore “Client ID” dei cookie di Google Analytics chiamato _ga (il valore dovrebbe essere simile a questo: GA1.1.834041420.1636040627)
    • altri identificativi esibiti da Google relativi alla sua visita più recente sul tuo sito web

Ecco un fac-simile della risposta da inviare alla mail di Federico Leva:

Buongiorno Federico,

per dare seguito alla tua richiesta avente per oggetto “Uso illegittimo di Google Analytics: richiesta di rimozione ex art. 17 GDPR” e riferita al sito “NOMESITO.IT” abbiamo bisogno di conoscere le informazioni tecniche necessarie ad identificare le visite menzionate nella tua richiesta.

Siamo quindi a chiederti i dati di cui affermi di essere in possesso (l’indirizzo IP esatto, la data e ora della visita più recente, nonché i cookie e altri identificativi esibiti da Google in corrispondenza della stessa) e, in particolare, il valore “Client ID” dei cookie di Google Analytics (_ga).

In mancanza di queste informazioni siamo impossibilitati ad eseguire la procedura di cancellazione dati utente su Google Analytics.

In attesa di una sollecita risposta, ti ringraziamo in anticipo per la collaborazione.

Prima di inviare l’email di risposta, ricordati di sostituire NOMESITO.IT con il vero nome del dominio del tuo sito, ad esempio termotecnicafumagalli.it oppure stivalistupendi.it e così via. 

 

Cosa devi fare se Federico Leva risponde alla tua mail

Una volta che Federico Leva ti invierà il suo Client-ID e la data e l’ora della sua visita più recente sul tuo sito web dovrai:

  1. Rimuovere il Client-ID (e fare degli screenshot)
  2. Inviare una email di risposta dichiarando che hai cancellato i suoi dati dal tuo Google Universal Analytics (GA3) coma da sua richiesta (e mettici pure gli screenshot)
  3. Compilare il registro delle richieste dell’interessato con la sua richiesta e relativa gestione (questo te lo dice la GDPR vedi link: www.garanteprivacy.it/home/faq/registro-delle-attivita-di-trattamento 🙂 ) Se NON SAI cos’è questo punto ti consiglio caldamente di valutare una consulenza con uno studio legale, perché significa che sei già fuori normativa GDPR (ti consiglio lo studio Polimeni Legal)

Ecco come devi procedere per rimuovere il suo Client-ID dal tuo Google Universal Analytics:

  • Nel menù vai su Audience (Pubblico in italiano) e poi User Explore (Esplorazione utente)

 

  • Filtra per la data che ti è stata indicata
  • Filtra per il codice Client ID che ti è stato fornito (es: 794280273.1649928808)

 

 

  • Entra nel dettaglio e clicca il pulsante delete users che trovi in fondo alla pagina

 

 

  • Clicca su OK nel messaggio di conferma

 

 

Se stai usando Google Analytics 4, ho descritto la procedura dettagliata per rimuovere il Client-ID all’interno del Capitolo 10 del mio nuovo manuale “Google Analytics 4 per chi inizia“.

Clicca qui per scoprire di più sul mio manuale su GA4

“Cosa faccio se non trovo il Client ID che mi ha inviato o se ho già eliminato la mia proprietà di Google Universal Analytics (GA3)?”

Se non trovi il Client-ID nella data che Federico Leva ti ha indicato ti consiglio, per essere sicuro, di fare una ulteriore verifica aumentando il range di date di 3 o 4 giorni rispetto alla data che ti ha segnalato.

Quindi, ad esempio, impostare il range di date 3 giorni prima e 3 giorni dopo la data indicata da Federico Leva.

Se anche facendo questa verifica non dovessi trovare il suo Client-ID, oppure se hai già cancellato la tua proprietà di GA3 (ma perché mi chiedo io) ecco cosa ti consiglio di fare:

  • ti basterà rispondere dicendo che il suo Client-ID non è presente e probabilmente non è mai stato salvato in GA (è tecnicamente possibile) quindi confermi che non hai i suoi dati personali in GA3
  • gli dichiari che non avete più accesso alla proprietà di GA3 del vostro sito web semplicemente perché avete già fatto la richiesta di rimozione (compresi tutti i dati storici della proprietà).

 

A presto e… buon GA4!

Matteo Zambon

View Comments

  • Ciao Matteo,

    la nostra azienda non prende dati sanitari e ha meno di 250 dipendenti.
    Dobbiamo compilare lo stesso il registro delle richieste?

    Grazie

  • Io ho GA4,
    ma le schermate mostrate in questo articolo non ci sono.
    In particolare non riesco a trovare ne "Audience" né "user Explorer".

    Come posso fare?

  • Ciao Matteo,
    con tutto questo caldo ci sarà qualche eventuale sconto sul libro!?!? Dai il caldo da alla testa a tutti !!! :) Magari la parte marketing inventa una bella fresca promo estiva :) ciaoo e grazie davvero per il tuo prezioso aiuto

    • Ciao Marco, lo sconto c'era qualche mese fa al WMF 2022. Ti consiglio di prenderlo lo stesso :)

      A presto!

  • Una curiosità, visto che il buon Federico si è messo di buona Leva a scansionare e mandare anche nomi a dominio con redirect e relativa email, posso chiedere il suo documento di identità per verificare la sua vera identità? E' il caso?
    Poi, visto che ha mandato email a tutte le caselle di posta elettronica di un determinato dominio, ad eccezione di quella riportata nel documento della privacy da utilizzare proprio in questi casi, posso considerare la sua richiesta non valida?
    Grazie a tutti

    • Ciao Luciano, senti un legale potrebbe essere una soluzione per capire se è veramente lui o un altro :)

      A presto

  • Ciao Matteo,
    grazie della preziosa guida.
    Ma il il registro delle richieste non è obbligatorio solo se si hanno più di 250 dipendenti?
    Grazie

    • Ti riporto la FAQ che trovi al link

      In particolare, in ambito privato, i soggetti obbligati sono così individuabili:

      In particolare, in ambito privato, i soggetti obbligati sono così individuabili:

      - imprese o organizzazioni con almeno 250 dipendenti;
      - qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti che possano presentare un rischio – anche non elevato – per i diritti e le libertà dell'interessato;
      - qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti non occasionali;
      - qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti delle categorie particolari di dati di cui all’articolo 9, paragrafo 1 RGPD, o di dati personali relativi a condanne penali e a reati di cui all’articolo 10 RGPD.

      ;)

  • Ciao!
    Anche ad un mio cliente è arrivata la simpatica mail del Leva, a cui abbiamo risposto ed è arrivata quindi la risposta con i dati richiesti.
    Abbiamo cancellato i dati, fatto gli screenshot, disinstallato GA Universal ed installato Analytics 4 ma poi non mi è proprio chiara la questione della compilazione del "...registro delle richieste dell’interessato con la sua richiesta e relativa gestione..."
    Scarico il pdf di cui al link, ok, ma poi cosa devo scriverci?
    Devo inviarglielo?
    Grazie per tutto l'aiuto che fornisci!
    Ciao
    Stefano

    • Devi annotare la sua richiesta e cosa avete fatto :) Ti consiglio di valutare un supporto legale (consiglio Polimeni Legal) ;)

    • Ciao Paolo, ho appena aggiunto una nota (fai refresh). Se non sai cos'è significa che hai (anche) altri problemi relativi alla GDPR :)

      È un documento che la GDPR ti dice di avere per registrare tutte le attività del trattamento dei dati che la tua azienda gestisce.

      A presto!

  • Ciao Matteo,
    devo dire che nemmeno io trovo quell'ID sul nostro GA3. Dici di aver scritto nell'articolo cosa fare in questo caso, ma non riesco a trovare questo passaggio... sarà la stanchezza del venerdì? :D
    Volevo anche cercare l'ID in GA4 e ho sotto mano il tuo libro, ma non ho capito come si ricerca un ID specifico nel report Esplorazione Utente.
    Insomma, disperazione totale!

  • Buongiorno,
    abbiamo ricevuto risposta dal sig. Federico Leva in data 03 agosto (ci fornisce la data della visita e il valore di alcuni dei cookie da noi depositati nel suo computer).
    In data 14 luglio abbiamo rimosso completamente la proprietà di universal analytics ed attualmente si trova nel cestino. Nel cestino viene indicata la data del 18 agosto come data di eliminazione definitiva della proprietà.
    Cosa risponderesti?

  • Ciao Matteo, anche noi abbiamo ricevuto la mail da Leva, gli abbiamo inviato risposta seguendo la tua guida.
    Abbiamo ricevuto risposta con i riferimenti del CLIENT ID, abbiamo fatto fare la verifica su GA da chi si occupa del nostro sito e non hanno trovato i riferimenti del CLIENT ID comunicato da Leva.
    In questo caso cosa dobbiamo rispondere a Leva?
    Nella tua guida non troviamo la risposta al caso in cui il CLIENT ID comunicato da lui non sia presente su Analytics.
    Grazie mille per la risposta che potrai darci

Recent Posts

Caso studio: LUISAVIAROMA ottimizza il tracciamento dei dati Ecommerce e le performance Advertising grazie GA4 e BigQuery

LUISAVIAROMA è uno dei principali fashion e-tailer di lusso al mondo, con oltre 5 milioni…

4 giorni ago

Caso studio: Mondo Convenienza realizza +85% di vendite ecommerce e +100% di conversioni aggiuntive per le campagne Meta Ads grazie GA4 e Server-Side Tracking

All’interno del vasto e competitivo mercato della Grande Distribuzione Organizzata (GDO), Mondo Convenienza rappresenta uno…

6 giorni ago

Come creare un report in GA4 per analizzare il funnel di conversione di un sito web o ecommerce

Se ti occupi di marketing o advertising, saprai che i funnel rappresentano il percorso che…

2 settimane ago

Attribuzioni errate in GA4: cause e soluzioni al problema

Negli ultimi mesi hai notato in Google Analytics 4 un calo improvviso e inspiegabile nelle…

4 mesi ago

Come creare una Dashboard Ecommerce per analizzare i dati degli acquisti Nuovi e di Ritorno

Se ti trovi su questa guida è perché hai compreso che solo attraverso la Data…

5 mesi ago