Nota: questa news è stata redatta in collaborazione con il team di Polimeni.legal, che è lo studio legale di riferimento in materia di diritto di Internet, Copyright e GDPR. Da qualche giorno, a seguito della decisione del Garante, abbiamo posto in essere una collaborazione con gli avvocati Antonino Polimeni e Angela Lo Giudice e gli altri membri del team Polimeni, che ringrazio di cuore: sono bravissimi, super-esperti e ci aiutano a capire la parte “legalese” delle vicende legate alla GDPR. Ti parlerò a breve di loro in un’altra news!
Molto probabilmente nei giorni scorsi sarà capitato anche a te (o ai tuoi clienti) di ricevere una email inviata da un certo “Federico Leva” con oggetto: “Uso illegittimo di Google Analytics: richiesta di rimozione ex art. 17 GDPR“.
Vediamo insieme di cosa si tratta.
In seguito al provvedimento del Garante italiano dello scorso 23 Giugno, l’email in questione è stata inviata da una persona fisica (Federico Leva, un italiano residente a Helsinki) tramite lo script open source sviluppato dal movimento “Monitora PA” che permette l’invio automatico a centinaia di migliaia di professionisti e aziende che hanno installato Google Analytics sul proprio sito web.
Lo script in questione, sviluppato in Python, verifica l’esistenza della libreria di gtag.js , la quale può essere utilizzata anche per altri scopi e non solo per Google Analytics. È quindi probabile che qualcuno abbia ricevuto la segnalazione relativa a GA senza che questo sia effettivamente installato e presente nel sito oggetto della segnalazione.
In breve, nell’email Federico Leva richiede la cancellazione dei propri dati personali da Google Analytics.
Si tratta di una richiesta legittima che qualsiasi utente può fare per la tutela dei propri dati personali, come previsto dalla normativa GDPR europea. Non è rilevante il mezzo con cui è stata inviata la richiesta (email normale, PEC, messaggio SMS, lettera cartacea, raccomandata, bigliettino, etc).
Di conseguenza, il DPO dell’azienda (o il referente privacy se il DPO non è stato nominato) è obbligato a rispondere entro 30 giorni dalla ricezione dell’email stessa.
In caso di mancata risposta e sempre secondo la normativa in materia, Federico Leva potrà segnalare il tuo sito web e inviare un reclamo al Garante della Privacy, indipendentemente che tu abbia Google Analytics installato o meno.
Attenzione: il termine di legge entro cui devi rispondere è 30 giorni, e non 31 giorni come indicato da Federico Leva all’interno dell’email che ha inviato.
La buona notizia è che rispondere in maniera opportuna a questa email è molto facile.
Ecco il nostro consiglio su come procedere:
Ecco un fac-simile della risposta da inviare alla mail di Federico Leva:
Buongiorno Federico,
per dare seguito alla tua richiesta avente per oggetto “Uso illegittimo di Google Analytics: richiesta di rimozione ex art. 17 GDPR” e riferita al sito “NOMESITO.IT” abbiamo bisogno di conoscere le informazioni tecniche necessarie ad identificare le visite menzionate nella tua richiesta.
Siamo quindi a chiederti i dati di cui affermi di essere in possesso (l’indirizzo IP esatto, la data e ora della visita più recente, nonché i cookie e altri identificativi esibiti da Google in corrispondenza della stessa) e, in particolare, il valore “Client ID” dei cookie di Google Analytics (_ga).
In mancanza di queste informazioni siamo impossibilitati ad eseguire la procedura di cancellazione dati utente su Google Analytics.
In attesa di una sollecita risposta, ti ringraziamo in anticipo per la collaborazione.
—
Prima di inviare l’email di risposta, ricordati di sostituire NOMESITO.IT con il vero nome del dominio del tuo sito, ad esempio termotecnicafumagalli.it oppure stivalistupendi.it e così via.
Una volta che Federico Leva ti invierà il suo Client-ID e la data e l’ora della sua visita più recente sul tuo sito web dovrai:
Ecco come devi procedere per rimuovere il suo Client-ID dal tuo Google Universal Analytics:
Se stai usando Google Analytics 4, ho descritto la procedura dettagliata per rimuovere il Client-ID all’interno del Capitolo 10 del mio nuovo manuale “Google Analytics 4 per chi inizia“.
Clicca qui per scoprire di più sul mio manuale su GA4
Se non trovi il Client-ID nella data che Federico Leva ti ha indicato ti consiglio, per essere sicuro, di fare una ulteriore verifica aumentando il range di date di 3 o 4 giorni rispetto alla data che ti ha segnalato.
Quindi, ad esempio, impostare il range di date 3 giorni prima e 3 giorni dopo la data indicata da Federico Leva.
Se anche facendo questa verifica non dovessi trovare il suo Client-ID, oppure se hai già cancellato la tua proprietà di GA3 (ma perché mi chiedo io) ecco cosa ti consiglio di fare:
A presto e… buon GA4!
LUISAVIAROMA è uno dei principali fashion e-tailer di lusso al mondo, con oltre 5 milioni…
All’interno del vasto e competitivo mercato della Grande Distribuzione Organizzata (GDO), Mondo Convenienza rappresenta uno…
Se ti occupi di marketing o advertising, saprai che i funnel rappresentano il percorso che…
È stato un nuovo record per il GA4Summit: oltre 500 professionisti e professioniste del web…
Negli ultimi mesi hai notato in Google Analytics 4 un calo improvviso e inspiegabile nelle…
Se ti trovi su questa guida è perché hai compreso che solo attraverso la Data…
View Comments
Ciao Matteo,
la nostra azienda non prende dati sanitari e ha meno di 250 dipendenti.
Dobbiamo compilare lo stesso il registro delle richieste?
Grazie
Direi di sì, ma senti un avvocato :)
Io ho GA4,
ma le schermate mostrate in questo articolo non ci sono.
In particolare non riesco a trovare ne "Audience" né "user Explorer".
Come posso fare?
Ciao, l’ho spiegato nel capitolo 10 del Libro Google Analytics 4 per chi inizia https://shop.tagmanageritalia.it/libro-ga4-per-chi-inizia/
Devi usare il report User Explore: https://support.google.com/analytics/answer/6339208
Ciao Matteo,
con tutto questo caldo ci sarà qualche eventuale sconto sul libro!?!? Dai il caldo da alla testa a tutti !!! :) Magari la parte marketing inventa una bella fresca promo estiva :) ciaoo e grazie davvero per il tuo prezioso aiuto
Ciao Marco, lo sconto c'era qualche mese fa al WMF 2022. Ti consiglio di prenderlo lo stesso :)
A presto!
Una curiosità, visto che il buon Federico si è messo di buona Leva a scansionare e mandare anche nomi a dominio con redirect e relativa email, posso chiedere il suo documento di identità per verificare la sua vera identità? E' il caso?
Poi, visto che ha mandato email a tutte le caselle di posta elettronica di un determinato dominio, ad eccezione di quella riportata nel documento della privacy da utilizzare proprio in questi casi, posso considerare la sua richiesta non valida?
Grazie a tutti
Ciao Luciano, senti un legale potrebbe essere una soluzione per capire se è veramente lui o un altro :)
A presto
Ciao Matteo,
grazie della preziosa guida.
Ma il il registro delle richieste non è obbligatorio solo se si hanno più di 250 dipendenti?
Grazie
Ti riporto la FAQ che trovi al link
In particolare, in ambito privato, i soggetti obbligati sono così individuabili:
In particolare, in ambito privato, i soggetti obbligati sono così individuabili:
- imprese o organizzazioni con almeno 250 dipendenti;
- qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti che possano presentare un rischio – anche non elevato – per i diritti e le libertà dell'interessato;
- qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti non occasionali;
- qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti delle categorie particolari di dati di cui all’articolo 9, paragrafo 1 RGPD, o di dati personali relativi a condanne penali e a reati di cui all’articolo 10 RGPD.
;)
Ciao!
Anche ad un mio cliente è arrivata la simpatica mail del Leva, a cui abbiamo risposto ed è arrivata quindi la risposta con i dati richiesti.
Abbiamo cancellato i dati, fatto gli screenshot, disinstallato GA Universal ed installato Analytics 4 ma poi non mi è proprio chiara la questione della compilazione del "...registro delle richieste dell’interessato con la sua richiesta e relativa gestione..."
Scarico il pdf di cui al link, ok, ma poi cosa devo scriverci?
Devo inviarglielo?
Grazie per tutto l'aiuto che fornisci!
Ciao
Stefano
Devi annotare la sua richiesta e cosa avete fatto :) Ti consiglio di valutare un supporto legale (consiglio Polimeni Legal) ;)
Ciao Matteo,
nella controrisèposta non è chiaro per me il punto 3 :
Compilare il registro delle richieste dell’interessato con la sua richiesta e relativa gestione (questo te lo dice la GDPR vedi link: http://www.garanteprivacy.it/home/faq/registro-delle-attivita-di-trattamento )
Puoi spiegarlo meglio ?
GRAZIE
Paolo
Ciao Paolo, ho appena aggiunto una nota (fai refresh). Se non sai cos'è significa che hai (anche) altri problemi relativi alla GDPR :)
È un documento che la GDPR ti dice di avere per registrare tutte le attività del trattamento dei dati che la tua azienda gestisce.
A presto!
Ciao Matteo,
devo dire che nemmeno io trovo quell'ID sul nostro GA3. Dici di aver scritto nell'articolo cosa fare in questo caso, ma non riesco a trovare questo passaggio... sarà la stanchezza del venerdì? :D
Volevo anche cercare l'ID in GA4 e ho sotto mano il tuo libro, ma non ho capito come si ricerca un ID specifico nel report Esplorazione Utente.
Insomma, disperazione totale!
Ciao Matteo,
sì, avevo già fatto in quel modo, andando a vedere 500 righe per volta (comodo... Grazie, GA4) :)
Temevo che mi sfuggisse una cosa così banale come la ricerca, ma per fortuna non ero io. Grazie ancora!
Di nulla, spero in prossimi filtri :D
Scusa Matteo, il tuo libro ce l'ho sotto mano, ma non trovo indicazioni su come si cerca o filtra uno specifico ID nel report Custom User Explorer... Vedo una lista fino a 500 righe di valori come quello indicato da Federico Leva (10 cifre, punto, 10 cifre). Ma non vedo proprio come cercare un valore specifico.
Ciao Daniela, non c'è un filtro al momento disponibile. Ti consiglio di usare il cerca del browser (CTRL+F se usi chrome da windows).
Fammi sapere :)
Ciao, l'ho spiegato nel capitolo 10 del Libro Google Analytics 4 per chi inizia :) https://shop.tagmanageritalia.it/libro-ga4-per-chi-inizia/
Devi usare il report User Explore: https://support.google.com/analytics/answer/6339208
uh, ora l'ho visto... giuro che poco fa non c'era, possibile?!
Si l'ho appena aggionrato (visto la serie di commenti sul tema :) )
Buongiorno,
abbiamo ricevuto risposta dal sig. Federico Leva in data 03 agosto (ci fornisce la data della visita e il valore di alcuni dei cookie da noi depositati nel suo computer).
In data 14 luglio abbiamo rimosso completamente la proprietà di universal analytics ed attualmente si trova nel cestino. Nel cestino viene indicata la data del 18 agosto come data di eliminazione definitiva della proprietà.
Cosa risponderesti?
Ciao Davide, ho aggiornato l'articolo :)
Ciao Matteo, anche noi abbiamo ricevuto la mail da Leva, gli abbiamo inviato risposta seguendo la tua guida.
Abbiamo ricevuto risposta con i riferimenti del CLIENT ID, abbiamo fatto fare la verifica su GA da chi si occupa del nostro sito e non hanno trovato i riferimenti del CLIENT ID comunicato da Leva.
In questo caso cosa dobbiamo rispondere a Leva?
Nella tua guida non troviamo la risposta al caso in cui il CLIENT ID comunicato da lui non sia presente su Analytics.
Grazie mille per la risposta che potrai darci
Ciao Katia, ho aggiunto in fondo cosa fare :)