Uso illegittimo di Google Analytics: cosa fare se hai ricevuto l’email di Federico Leva
Negli ultimi giorni decine di migliaia di siti italiani si sono visti recapitare una mail da parte di Federico Leva, con un oggetto molto preoccupante: “Uso illegittimo di Google Analytics: richiesta di rimozione ex art. 17 GDPR”. L’email in questione richiede la cancellazione dei dati personali raccolti da Google Analytics dopo la visita da parte di Federico Leva al sito web dell’azienda che riceve l’email.
Anche se può sembrare una mail di spam o phishing, tale richiesta è del tutto legittima e non va ignorata: lo scorso 9 giugno infatti un provvedimento del Garante della Privacy ha ritenuto non conforme al GDPR l’uso di Google Analytics da parte del sito caffeinamagazine.it. Ne abbiamo parlato nei giorni scorsi, con un nostro articolo che spiega se Google Analytics è illegale in Italia.
Per quanto non ci sia bisogno di allarmarsi, occorre comunque prendere seriamente la richiesta e gestirla nel modo corretto.
Vediamo nel dettaglio cosa sta succedendo.
Federico Leva di Helsinki: esiste davvero? È una truffa?
Sciogliamo subito i dubbi a riguardo: Federico Leva esiste e vive davvero ad Helsinki (è originario di Milano).
L’email che ha inviato è sicuramente parte di un invio massivo (sarebbe complicato inviare a mano decine di migliaia di email). È anche probabile che si sia servito di un bot per scansionare i siti online e individuare quelli che hanno installato Universal Analytics. In questo caso, chiaramente, non si tratterebbe di dati personali trattandosi di una macchina, ma non potendone avere certezza, partiamo dal presupposto che questa sia una richiesta legittima da parte di un utente.
Nonostante alcune imprecisioni, i riferimenti sono corretti e la richiesta, come detto sopra, è legittima. Per questo consigliamo di non ignorarla in quanto è diritto di un qualsiasi utente richiedere la cancellazione dei propri dati.
Cosa fare se si riceve l’email di Federico Leva
Ecco di seguito gli step che consigliamo di seguire se anche la tua azienda ha ricevuto la richiesta di Federico Leva:
- Non compilare il formulario linkato. In effetti, la stessa Limesurvey ha bloccato l’account di Federico Leva per violazione dei termini e condizioni di utilizzo.
Prassi generale nel caso di mail sospette è quella di NON aprire i link al loro interno: meglio copiare l’URL e usare software sicuri online per verificare il contenuto, come ad esempio site-shot.com, che restituisce uno screenshot della pagina. - Rispondere alla mail: la richiesta, nonostante possa sembrare spam, è in realtà legittima e quindi consigliamo di rispondere. Attenzione: non rispondere direttamente all’indirizzo da cui è arrivata l’email (è una noreply di Limesurvey), rispondete invece all’indirizzo che vi indica nel testo dell’email. Dal momento che i dati forniti da Leva non sono sufficienti, nella mail di risposta richiedi di avere l’ID cliente di analytics, presente nel Cookie, e possibilmente date e orari di accesso al sito.
Ecco il testo che ti suggeriamo di riportare nella tua email:
“Buongiorno Federico,
per adempiere alla sua richiesta le chiediamo di fornirci i riferimenti precisi dei dati da rimuovere, ovvero l’ID cliente di Analytics, la data e l’orario di accesso al nostro sito.
A presto e buona giornata”. - Cancellate i dati come richiesto: per farlo entra in Google Analytics. Nella sezione “Esplorazione Utente” e cerca l’ID cliente che ti ha fornito. Clicca sull’ID e seleziona l’opzione “Elimina Utente”.
- Se non l’avete già fatto, iniziate a lavorare sulla migrazione ad un tracciamento che dia maggiori garanzie sul trattamento e la conservazione dei dati personali, come Google Analytics 4.
Hai bisogno di supporto per il passaggio a Google Analytics 4? Contattaci per una consulenza.
Il testo della mail di Federico Leva
Questo è il testo dell’email inviata da Federico Leva:
Oggetto: Uso illegittimo di Google Analytics: richiesta di rimozione ex art. 17 GDPR
Data: Wed, 29 Jun 2022
Mittente: Federico Leva
Spettabile titolare del trattamento dei dati personali, spettabile responsabile della protezione dei dati, Vi scrivo in quanto utente del sito ……….. per richiedere la rimozione dei miei dati personali, in forza dell’art. 17 (“Diritto alla cancellazione”) del regolamento UE 2016/679. Vogliate cortesemente rispondere entro 31 giorni dalla ricezione della presente per confermare l’ottemperanza, come precisato di seguito. Il vostro sito incorpora Google Analytics, che provvede a trasferire i dati personali di tutti i vostri visitatori a Google negli USA. Con provvedimento del 9 giugno 2022 (9782890), ciò è stato dichiarato illegittimo dall’Autorità Garante per la protezione dei dati personali, come annunciato nel comunicato stampa:
“Google: Garante privacy stop all’uso degli Analytics. Dati trasferiti negli Usa senza adeguate garanzie”. Il Garante «invita tutti i titolari del trattamento a verificare la conformità delle modalità di utilizzo di cookie e altri strumenti di tracciamento utilizzati sui propri siti web, con particolare attenzione a Google Analytics e ad altri servizi analoghi, con la normativa in materia di protezione dei dati personali», e fissa un termine di 90 giorni passati i quali procederà a ulteriori verifiche. https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9782874 Guido Scorza, componente del Garante, ha ulteriormente illustrato il provvedimento nell’intervista con Matteo Flora “Google Analytics vietato – analizziamo il problema”. L’uso di Google Analytics è illegittimo anche in quanto ogni finalità legittima può essere soddisfatta da software libero ospitato in UE e atto a un corretto trattamento dei dati personali, come Matomo, Plausible Analytics o altri raccomandati dall’Autorità francese CNIL, mentre nessuna versione o configurazione di Google Analytics può garantire di non trattare i dati personali in modo illecito. Alla luce di quanto sopra:
- preciso che i dati personali oggetto della presente richiesta sono quelli derivanti dalla mia visita del vostro sito nei giorni scorsi, identificabili dal mio indirizzo IP (51.158.x.y) e user-agent (“Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/76.0.3803.0 Safari/537.36”), e ogni dato connesso o derivante dagli stessi;
- richiedo la cancellazione di tali dati personali dai sistemi informativi del vostro responsabile del trattamento e dagli eventuali backup e ovunque essi siano stati trasmessi a causa del vostro uso di Google Analytics, in quanto: a) tale trattamento è illecito e b) tali dati personali non sono necessari a eventuali finalità legittime, come sopra descritto; c) nella misura in cui il trattamento potesse eventualmente essere lecito in forza di un mio consenso, nego di aver prestato il mio informato e valido consenso, che in ogni caso revoco espressamente con la presente; d) qualora i dati fossero asseritamente trattati sulla base di un legittimo interesse, la presente assume valore di opposizione al trattamento oltre che di richiesta di cancellazione;
- in particolare richiedo la rimozione di qualsiasi registro o copia dei dati personali di cui sopra da parte di Google e ogni altro responsabile di tale trattamento o altro soggetto che li abbia ricevuti, compresi tutti i dati inviati dal mio browser al momento della visita, nonché qualsiasi versione pseudonimizzata dei medesimi e qualsiasi dato aggregato riconducibile ai medesimi o ad altri miei dati personali, come la classificazione in coorti o qualsiasi tipo di identificativo univoco;
- richiedo altresì, in forza dell’art. 18(1)(d) del regolamento 2016/679, di interrompere immediatamente ogni trattamento di tali dati personali connessi al mio uso passato e futuro del vostro sito, ad esempio provvedendo alla completa rimozione dallo stesso di Google Analytics (in qualsiasi versione e configurazione) e interrompendo ogni uso dei dati prodotti da Google in relazione agli utenti del vostro sito;
- ove lo riteneste necessario, mi dichiaro disponibile a fornire ulteriori dati utili a identificarmi come la persona a cui fanno riferimento i dati personali di cui sopra, come l’indirizzo IP esatto e la data e ora della visita più recente, nonché i cookie e altri identificativi esibiti da Google in corrispondenza della stessa;
- richiedo di rispondere a quanto sopra primariamente tramite il modulo collegato sotto, fornito tramite software libero LimeSurvey ospitato in UE (e rispettoso della privacy), entro 31 giorni dalla ricezione della presente; il mio indirizzo di posta elettronica per questa materia è domande@leva.li.