In questi ultimi giorni decine di migliaia di gestori e proprietari di siti web si sono visti recapitare nella posta in arrivo una mail da un certo Federico Leva riportante il seguente oggetto: Uso illegittimo di Google Analytics: richiesta di rimozione ex art. 17 GDPR
Tale evento, che con ogni probabilità è frutto di uno script automatizzato sviluppato dallo stesso Federico, ha generato lo sgomento tra i destinatari della mail che si sono subito attivati alla ricerca di chiarimenti sul da farsi nei forum online e nelle community social. Ad oggi possiamo solamente affermare questo: si tratta di una richiesta legittima da parte di un utente e va gestita come previsto dalla normativa GDPR europea, ovvero inviando una risposta entro 30 giorni dalla ricezione della mail.
Se dovessimo ignorarla senza fornire un riscontro infatti, Federico Leva potrebbe a tutti gli effetti inviare un reclamo al Garante della Privacy segnalando il nostro sito web ed esponendoci al rischio di intercorrere in pesanti sanzioni.
Ma qual è il modo corretto per rispondere a tale richiesta e quali sono le informazioni che dobbiamo richiedere?
Innanzitutto bisogna specificare che la risposta non andrà inviata direttamente al mittente in quanto si tratta di una mail “noreply” utilizzata per gli invii massivi, ma indirizzata al seguente recapito specificato da Federico: domande@leva.li
Nel corpo della mail andrà inserito il testo che riportiamo qui sotto, sostituendo nomesito.it con il vostro dominio:
Buongiorno Federico,
per dare seguito alla tua richiesta avente per oggetto “Uso illegittimo di Google Analytics: richiesta di rimozione ex art. 17 GDPR” riferita al sito [NOMESITO.IT] abbiamo bisogno di conoscere le informazioni tecniche necessarie ad identificare le visite da te menzionate.
Pertanto, ti chiediamo copia dei dati di cui affermi di essere in possesso:
l’indirizzo IP esatto
la data e ora della visita più recente, nonché i cookie e altri identificativi esibiti da Google in corrispondenza della stessa
il valore “Client ID” dei cookie di Google Analytics (_ga).
In mancanza di queste informazioni siamo impossibilitati ad eseguire la procedura di cancellazione dati utente su Google Analytics.
In attesa di una risposta, ti ringraziamo in anticipo per la collaborazione.
(grazie a Tag Manager Italia per il fac-simile della risposta)
Come cancellare di dati dell'utente da Google Analytics
Nel caso in cui Federico dovesse rispondervi con le informazioni richieste, si potrà procedere all'eliminazione del dato tramite il pannello di gestione di Google Analytics.
Come fare? Basta seguire i seguenti passaggi:
- Nella vostra vista di Analytics andate in Pubblico > Esplorazione utente
- Filtrare la data nel range indicato e usare la barra di ricerca per trovare il client ID, poi cliccarci sopra per aprire la scheda dell'utente
- Cliccare su "Elimina utente" in basso a sinistra
Una volta confermata l'azione i dati relativi allo specifico utente selezionato saranno definitivamente eliminati.
Ma quindi, Google Analytics è illegale?
Dopo questa curiosa vicenda viene naturale chiedersi cosa fare con Google Analytics, in quanto l'azione intrapresa da Federico Leva potrebbe comunque ripetersi sia da parte sua che, potenzialmente, da qualsiasi altro visitatore di passaggio nel nostro sito web.
Come detto sopra, i motivi di contestazione esposti nella mail di Federico sono legittimi e riguardano l'utilizzo di Google Analytics 3 (Universal Analytics) e nello specifico il trasferimento dei dati degli utenti verso gli Stati Uniti, perciò l'adeguamento del sito alla normativa GDPR è nostra responsabilità. Come possiamo risolvere la situazione? Ad oggi, ci sono due diverse alternative:
- Passare a Google Analytics 4, che ha un livello di protezione ed anonimizzazione dei dati maggiore rispetto a GA3
- Sostituire Google Analytics con alternative che rispettano le normative europee come Matomo, Simple Analytics, Plausible, ecc.
Per ogni ulteriore informazione riguardo questa vicenda vi invitiamo a guardare questo video in cui vengono spiegati per filo e per segno i dettagli, con tanto di intervista al Federico Leva in persona.
