Uso illegittimo di Google Analytics: facciamo chiarezza 1

Uso illegittimo di Google Analytics: facciamo chiarezza

Si respira un grande fermento nel mondo digitale in seguito al provvedimento del Garante della Privacy che ha giudicato illegale Google Analytics poiché incompatibile con le regole europee.

Google Analytics Universal va in pensione? È necessario implementare il nuovo Google Analytics 4? Quali sono i vantaggi? Come comportarsi?

Quali sono le informazioni da considerare e quali le fonti affidabili?

In ultimo, ma non meno importante, in questi ultimi giorni tantissime aziende italiane si sono viste arrivare nella propria casella di posta elettronica una comunicazione da parte di Federico Leva con una richiesta tanto strana quanto legittima.

Capiamo meglio di cosa si tratta e come affrontare il tema Google Analytics.

Chi è Federico Leva?

Federico Leva esiste realmente, è un ragazzo italiano residente all’estero.

In questi ultimi giorni si è “divertito” ad inviare a migliaia di siti italiani un’email con l’oggetto: “Uso illegittimo di Google Analytics: richiesta di rimozione ex art. 17 GDPR”.

Un’apertura allarmante per chiedere la cancellazione dei suoi dati di navigazione raccolti da Google Analytics dal sito internet dell’azienda che riceve l’email.

Per quanto strana possa sembrare l’email è del tutto legittima e pertanto non va ignorata.

Come ti devi comportare se hai ricevuto l’email di Federico Leva?

Se hai ricevuto l’email di Federico Leva la sua richiesta va gestita perché, al di là dei tecnicismi e modi con cui ha inviato la comunicazione (probabilmente tramite un sistema automatico – si stimano almeno 50.000 invii in meno 72 ore in tutta Italia), è un suo diritto richiedere la cancellazione dei dati, ma non ti deve spaventare.

Secondo i termini di legge hai 30 giorni per rispondere alla richiesta di Federico Leva.

Nell’email inviata a cliccare su un link per avviare la procedura ma, essendo stato bloccato dalla piattaforma di invio LimeSurvey, il link non è più utilizzabile (pratica in ogni caso sconsigliata quando si ricevono email sospette).

L’unica soluzione per soddisfare la sua richiesta è rispondere tramite l’indirizzo email indicato: domande@leva.li

Uso illegittimo di Google Analytics: facciamo chiarezza
Per cancellare i suoi dati di navigazione dovrai necessariamente chiedergli il “client_id” di Google Analytics.

Qui sotto trovi una risposta tipo che puoi inviare all’indirizzo domande@leva.li qualora avessi ricevuto la sua email – ovviamente dovrai modificare/compilare i campi specifici del tuo sito e dati aziendali:

Spett.le Federico Leva,
in qualità di titolare del trattamento dati degli utenti che navigano il mio sito [inserisci il tuo dominio] prendo atto della sua richiesta.

Sono quindi a chiederLe di fornirmi il client_id di Google Analytics cosi che io possa cancellare tutti i dati relativi alla sua navigazione sul mio sito web da Google Analytics.

Qualora in suo possesso sono a chiederLe anche data ed ora della navigazione, così da rendere più semplice l’identificazione e la cancellazione della sua sessione utente.

Stiamo altresì verificando e predisponendo, entro i termini di legge, tutte le misure necessarie a rendere conforme il nostro sito web come da provvedimento del 9 giugno 2022 (9782890) del garante della privacy.

Cordiali Saluti,
[NOME TITOLARE]

Qual è realmente lo scopo di Federico Leva?

È un attivista informatico che ha come obiettivo la sensibilizzazione dell’opinione pubblica sul tema del trasferimento dati degli utenti europei verso gli Stati Uniti (dove non ci sono le medesime tutele del GDPR europeo).

Per raggiungere il suo scopo ha trovato una strada che “colpisce” effettivamente le PMI Italiane poiché utilizzano strumenti delle Big Company Americane (in questo caso specifico Google Analytics).

La sua finalità probabilmente non è la rimozione dei suoi dati di navigazione sul sito visitato (si sospetta una navigazione simulata attraverso un bot), ma in ogni caso essendo un suo diritto previsto e disciplinato dal GDPR consigliamo di ottemperare alla sua richiesta.

Google Analytics è davvero illegale in Italia?

Il 9 giugno 2022 il Garante della Privacy ha emanato un provvedimento in cui ha ritenuto Google Analytics non conforme al GDPR.

In sostanza avendo Google Analytics i server sul territorio americano, dove non esistono le stesse normative sulla protezione dei dati, il passaggio dei dati tra Europa e America viola il GDPR.

Come ti devi comportare?

  1. Non è necessario eliminare Google Analytics dal tuo sito: il Garante Italiano per la Privacy con il provvedimento del 9 giugno 2022 (9782890) ha dato ai titolari del trattamento (quindi le PMI Italiane) 90 giorni di tempo per adeguarsi alla problematica.
    Non si tratta pertanto di una situazione allarmante. L’unica cosa da fare al momento, in caso di richieste come quella di Federico Leva, è provvedere alla rimozione dei dati e adempiere alla richiesta come previsto dalla legge, ovvero 30 giorni dalla ricezione che può avvenire tramite email, messaggio SMS, telefonicamente, WhatsApp (non ha alcuna importanza il mezzo di comunicazione).
  2. Migrare il prima possibile a Google Analytics 4 (in TITANKA! abbiamo già iniziato il passaggio): la nuova versione di Google Analytics, ufficialmente rilasciata da qualche mese e che subentrerà a tutti gli effetti alla vecchia piattaforma il 01/07/2023, ha una serie di vantaggi che la rendono una soluzione migliore e GDPR compliant (il Garante francese però si è già espresso in merito sostenendo che solo in parte risolve le problematiche e che pertanto non può essere considerato la risoluzione del problema).

Cosa rende Google Analytics 4 migliore in tema tutela dati?

Le caratteristiche principali sono due:

  • il mancato salvataggio dell’indirizzo IP (nella vecchia versione l’IP poteva essere solo oscurato);
  • la nuova logica di tracciamento eventi: una configurazione che consente di stabile quali informazioni raccogliere e quali no, rendendo i dati non più riconducili al singolo utente.

L’unica cosa che possiamo fare ora è rimanere in attesa di nuovi sviluppi e in particolar modo di un accordo che dovrebbero raggiungere entro i prossimi 90 giorni per regolarizzare il passaggio dei dati dall’Europa verso gli Stati Uniti.

È importante però sottolineare che non si tratta di una problematica che colpisce solamente Google, ma qualsiasi servizio localizzato negli Stati Uniti come Facebook, Amazon e tanti altri.

Google è solo la punta dell’iceberg di un problema molto più grande che necessita di un accordo Europa/America ben più importante di una semplice email massiva inviata da un ragazzo italiano residente in Finlandia.

Iscriviti alla Newsletter di TITANKA! per rimanere aggiornato.

Non appena ci saranno novità provvederemo ad informarti.

Richiedi informazioni: