A maggio 2022 diverse migliaia di proprietari o gestori di siti web hanno ricevuto un’email dal tono minaccioso relativa al trattamento dati personali effettuato attraverso il sistema di statistiche Google Analytics, con la richiesta di provvedere alla cancellazione dei dati trattati e di fornirne riscontro tramite la compilazione di un questionario.

L’email contiene il testo sottostante e si differenzia per il solo nome di dominio citato:

“Vi scrivo in quanto utente del sito [nome del sito] per richiedere la rimozione dei miei dati personali, in forza dell’art. 17 (“Diritto alla cancellazione”) del regolamento UE 2016/679. Vogliate cortesemente rispondere entro 31 giorni dalla ricezione della presente per confermare l’ottemperanza, come precisato di seguito.

Il vostro sito incorpora Google Analytics, che provvede a trasferire i dati personali di tutti i vostri visitatori a Google negli USA. Con provvedimento del 9 giugno 2022 (9782890), ciò è stato dichiarato illegittimo dall’Autorità Garante per la protezione dei dati personali, come annunciato nel comunicato stampa “Google: Garante privacy stop all’uso degli Analytics. Dati trasferiti negli Usa senza adeguate garanzie”. Il Garante «invita tutti i titolari del trattamento a verificare la conformità delle modalità di utilizzo di cookie e altri strumenti di tracciamento utilizzati sui propri siti web, con particolare attenzione a Google Analytics e ad altri servizi analoghi, con la normativa in materia di protezione dei dati personali», e fissa un termine di 90 giorni passati i quali procederà a ulteriori verifiche.

https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9782874

Guido Scorza, componente del Garante, ha ulteriormente illustrato il provvedimento nell’intervista con Matteo Flora “Google Analytics vietato – analizziamo il problema”. L’uso di Google Analytics è illegittimo anche in quanto ogni finalità legittima può essere soddisfatta da software libero ospitato in UE e atto a un corretto trattamento dei dati personali, come Matomo, Plausible Analytics o altri raccomandati dall’Autorità francese CNIL, mentre nessuna versione o configurazione di Google Analytics può garantire di non trattare i dati personali in modo illecito.

Alla luce di quanto sopra:

1) preciso che i dati personali oggetto della presente richiesta sono quelli derivanti dalla mia visita del vostro sito nei giorni scorsi, identificabili dal mio indirizzo IP (51.158.x.y) e user-agent (“Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/76.0.3803.0 Safari/537.36”), e ogni dato connesso o derivante dagli stessi;

2) richiedo la cancellazione di tali dati personali dai sistemi informativi del vostro responsabile del trattamento e dagli eventuali backup e ovunque essi siano stati trasmessi a causa del vostro uso di Google Analytics, in quanto: a) tale trattamento è illecito e b) tali dati personali non sono necessari a eventuali finalità legittime, come sopra descritto; c) nella misura in cui il trattamento potesse eventualmente essere lecito in forza di un mio consenso, nego di aver prestato il mio informato e valido consenso, che in ogni caso revoco espressamente con la presente; d) qualora i dati fossero asseritamente trattati sulla base di un legittimo interesse, la presente assume valore di opposizione al trattamento oltre che di richiesta di cancellazione;

3) in particolare richiedo la rimozione di qualsiasi registro o copia dei dati personali di cui sopra da parte di Google e ogni altro responsabile di tale trattamento o altro soggetto che li abbia ricevuti, compresi tutti i dati inviati dal mio browser al momento della visita, nonché qualsiasi versione pseudonimizzata dei medesimi e qualsiasi dato aggregato riconducibile ai medesimi o ad altri miei dati personali, come la classificazione in coorti o qualsiasi tipo di identificativo univoco;

4) richiedo altresì, in forza dell’art. 18(1)(d) del regolamento 2016/679, di interrompere immediatamente ogni trattamento di tali dati personali connessi al mio uso passato e futuro del vostro sito, ad esempio provvedendo alla completa rimozione dallo stesso di Google Analytics (in qualsiasi versione e configurazione) e interrompendo ogni uso dei dati prodotti da Google in relazione agli utenti del vostro sito;

5) ove lo riteneste necessario, mi dichiaro disponibile a fornire ulteriori dati utili a identificarmi come la persona a cui fanno riferimento i dati personali di cui sopra, come l’indirizzo IP esatto e la data e ora della visita più recente, nonché i cookie e altri identificativi esibiti da Google in corrispondenza della stessa;

6) richiedo di rispondere a quanto sopra primariamente tramite il modulo collegato sotto, fornito tramite software libero LimeSurvey ospitato in UE (e rispettoso della privacy), entro 31 giorni dalla ricezione della presente; il mio indirizzo di posta elettronica per questa materia è domande@leva.li.

In fede,

Federico Leva

Helsinki, 1º luglio 2022

——————————————–

Modulo per la risposta:

https://domande.leva.li/111742?token=xxxxxxxxxxx&lang=it

Correzione o rimozione dell’indirizzo di posta elettronica:

https://domande.leva.li/optout/tokens/111742?token=xxxxxxxxxxxxxx&langcode=it”

Cosa significa il contenuto di questa email e cosa comporta per chi la riceve?

Sostanzialmente il sig. Federico Leva ci dice di aver visitato il nostro sito web e di essersi accorto che utilizziamo il servizio di statistiche Google Analytics.

Poiché tale servizio esporta i dati degli utenti, in questo caso europei, verso gli Stati Uniti ed essendo questo tipo di attività dichiarato recentemente illecito, ci ingiunge di far cancellare a Google questi “suoi” dati.

Ma la sua richiesta non si ferma qui: ci intima anche, per il futuro, di non provare nuovamente a tracciare le visite al nostro sito, non solo le sue ma quelle di tutti i visitatori del nostro sito.

Cosa c’è di vero in questo messaggio?

In effetti il testo dell’email è redatto con competenza e i riferimenti giuridici contenuti nel messaggio sono corretti.

Nella versione più recente delle sue norme contrattuali, la controparte con cui viene stipulato l’accordo per l’utilizzo del servizio di statistiche è Google Ireland Limited, che agisce in qualità di responsabile per il trattamento dei dati personali, questo farebbe presupporre un trattamento dei dati effettuato nell’Unione Europea.

In realtà Google Ireland dichiara di avvalersi, per l’elaborazione dei dati, di Google LLC in qualità di sub-responsabile del trattamento, con relativa esportazione dei dati verso gli Stati Uniti.

Questa “esportazione” di dati è stata dichiarata illecita dalla sentenza cosiddetta Schrems II. In tale pronuncia, la Corte di Giustizia Europea ha affermato che le attuali garanzie offerte dalla legislazione statunitense non sono al pari di quelle previste per i cittadini europei.

Quindi la richiesta di Federico Leva di rimozione dei suoi dati personali è lecita?

I contorni della vicenda sono ancora poco chiari, ma anche senza voler fornire un consulto legale (e deve essere chiaro che questo articolo non lo è…) alcune considerazioni di tipo pratico possono essere fatte:

• Il sedicente sig. Federico Leva ha visitato (probabilmente con un sistema automatizzato  ovvero un BOT), migliaia di siti web con la precisa intenzione di verificare se utilizzano Google Analytics e al fine di richiedere poi la cancellazione dei dati., raccogliendone i dati di contatto e inviando la richiesta email di cancellazione dei dati.
• La richiesta del sig. Federico Leva, pur essendo corretta nei contenuti, viene inviata con la prescrizione di confermare l’avvenuta cancellazione tramite un modulo del servizio limesurvey.org. Tale servizio ha finalità ben differenti da quelle per le quali il sig. Leva lo utilizza, tant’è che, anche a fronte di numerose segnalazioni, il form citato è stato messo offline per “violazione delle norme del servizio”.
• Quello che il sig. Federico Leva segnala è un problema reale: Google Aanlytics, sia nella versione 3 che nella più recente versione 4, invia i dati negli USA e la semplice anonimizzazione dell’indirizzo IP non impedisce a Google di incrociarlo con molti altri dati in suo possesso al fine di ricostruire l’identità del visitatore. E’ lo stesso garante a scrivere “… è stato ribadito che l’indirizzo IP costituisce un dato personale e anche nel caso fosse troncato non diverrebbe un dato anonimo, considerata la capacità di Google di arricchirlo con altri dati di cui è in possesso.”
• Al momento non è possibile capire se il sig. Federico leva è un paladino del GDPR o un furbetto in cerca di qualche beneficio.
• Poiché alla data di questo articolo non siamo in grado di dimostrare che il sig. Federico Leva si stia comportando in maniera fraudolenta (anche se diversi elementi concorrono a destare più di un sospetto), dobbiamo considerare la sua richiesta come fondata.
• Ignorare la richiesta potrebbe rivelarsi in una contestazione presso il Garante privacy che, in altri provvedimenti, ha dato ragione al richiedente.

Cosa fare se hai ricevuto l’email con la richiesta di Federico Leva?

Premesso che, come già scritto, questo articolo non ha valore di consulenza legale, risolvere il problema con il sig. Leva è tutto sommato fattibile anche se potrebbe richiedere un po’ di sforzo: Google Analytics ha un meccanismo per la cancellazione di parte dei dati raccolti dal sistema di statistiche. In rete si trovano diverse guide che spiegano come fare e con quali limiti.

Cancellare i dati presenti in Google Analytics 3 relativi agli utenti che navigano hanno visitato il tuo sito è semplice se si conoce il “client_id” (un’informazione che Google scrive in un particolare cookie chiamato _ga).

Possiamo pensare di chiedere a Federico Leva di fornirci il “client_id” relativo alla sua sessione di navigazione, ma (ipotizzando che ci risponda) è probabilmente un dato di cui non è in possesso.

Si tratta quindi di individuare con esattezza il momento della visita al nostro sito e questo potrebbe essere un po’ più complicato se non abbiamo accesso diretto ai file di log del web server. Oltretutto il sig. Leva è abbastanza vago nell’indicarci quando ci avrebbe fatto visita.

Se vogliamo evitare di dover scaricare e fare una ricerca a ritroso in tutti i file di log del nostro server è allora necessario chiedere a Ferderico Leva di essere più specifico.

Nell’email della sua richiesta, indica anche una sua email specifica alla quale rivolgersi domande@leva.li. Potrebbe essere un buon punto di partenza scrivergli per chiedergli maggiori dettagli al fine di evadere la sua richiesta. Per contro questo significherebbe confermare a lui che abbiamo ricevuto la sua lettera di richiesta (cosa non dimostrabile se invece non dovessimo rispondere, poiché non si tratta di una PEC).

Quindi, se decidiamo di dare riscontro alla sua richiesta (e questo è il nostro consiglio) possiamo scrivergli chiedendo di avere i dati in chiaro della sua visita ai fini di ottemperare la sua richiesta.

Attendere qualche giorno può forse aiutarci a far luce sulla vicenda, ma è importante mantenersi un po’ di margine operativo per restare all’interno dei 31 giorni ai fini di evadere ne attività necessarie.

Dobbiamo comunque avere consapevolezza che il dossier “Google Analytics” rimane aperto in tutta la sua complessità: oggi il problema lo solleva Federico Leva, domani potrebbe farlo qualcun altro più qualificato.

Per risolvere definitivamente il problema dell’uso illegittimo di Google Analytics cosa dovrei fare?

Chiariamo esattamente l’ambito di cui ci dobbiamo occupare (e preoccupare): il problema non è raccogliere un consenso al trattamento dei dati personali tramite cookie banner o in altro modo: il problema è inviare i dati personali raccolti con il sistema di statistiche negli USA.

Che siano anonimizzati o meno la situazione non cambia, così come non ha influenza il fatto che il titolare dei dati sia consenziente: il GDPR tutela la circolazione dei dati dei cittadini europei e impone che questi vengano (nel caso) esportati solo verso paesi che hanno una legislazione parificabile al nostro GDPR.

Secondo il Garante privacy “…l’indirizzo IP costituisce un dato personale e anche nel caso fosse troncato non diverrebbe un dato anonimo, considerata la capacità di Google di arricchirlo con altri dati di cui è in possesso”.

Passare a Google Analytics 4 (che di default anonimizza gli IP) non risolve la questione, per il motivo sopra specificato.

La soluzione drastica e definitiva? Rinunciare a Google Analytics sostituendo il servizio del colosso USA con una soluzione che mantenga i dati nell’UE.

In tal caso dobbiamo dare ragione al sig. Federico Leva (vero o fittizio che sia): “L’uso di Google Analytics è illegittimo anche in quanto ogni finalità legittima può essere soddisfatta da software libero ospitato in UE e atto a un corretto trattamento dei dati personali, come Matomo, Plausible Analytics o altri raccomandati dall’Autorità francese CNIL, mentre nessuna versione o configurazione di Google Analytics può garantire di non trattare i dati personali in modo illecito.”

Hai dubbi o necessiti di una consulenza dedicata?

Stai cercando una soluzione definitiva per sostituire le statistiche di Google Analytics con un servizio conforme al GDPR?

Vuoi sapere come abbiamo aiutato altri imprenditori nella tua situazione?

Contattami oggi stesso a privacy@microteam.it o compilando il form nella pagina contatti

Se hai trovato interessante questo articolo, condividilo con la tua rete di contatti.