Negli ultimi giorni migliaia di utenti si sono visti recapitare una mail da parte di Federico Leva, con questo oggetto: “Uso illegittimo di Google Analytics: richiesta di rimozione ex art. 17 GDPR”.
In pratica l’email richiede la cancellazione dei dati personali raccolti da Google Analytics di Federico Leva al sito web dell’azienda che riceve l’email. A prima vista può sembrare una mail di spam o phishing, ma tale richiesta è del tutto legittima e sarebbe meglio non ignorarla. Non c’è bisogno di allarmarsi, occorre comunque prendere seriamente la richiesta e gestirla nel modo corretto. Ma qual’è il modo corretto per rispondere a tale richiesta?
Non sono un legale (lo dirò altre volte!) ma dopo essermi documentato consiglio a tutti I miei clienti di gestirla, come? Considerato che Google, per proteggere la privacy degli utenti e permettere ai titolari dei dati di essere conformi alla normativa GDPR, mette a disposizione la possibilità di eliminare gli utenti di Google Analytics dai relativi server perchè non farlo?
Per farlo, prima di tutto, c’è bisogno di richiedere allo stesso Federico il suo Client id (Id cliente, che viene rilasciato da Google in un particolare cookie chiamato _ga ), in modo tale che lo stesso possa essere cercato sul vostro Google Analytics, anche perché la classe ip 51.158.x.y citata nella mail non è sufficiente per identificare i dati dell’utente da cancellare. Mi raccomando non bisogna rispondere alla mail ricevuta in quanto si tratta di una mail “noreply” utilizzata per gli invii massivi, ma indirizzata al seguente recapito specificato da Federico: domande@leva.li
Il testo l’ho scritto io che non sono un avvocato quindi non voglio prendermi alcuna responsabilità , per cui ti consiglio di fartela scrivere o controllare da un tuo legale:
“Buongiorno Federico,
ai sensi del Regolamento Europeo UE 2016/679 e in qualità di titolare del trattamento dati degli utenti che navigano il mio website [miowebsite] prendo atto della sua richiesta di cancellazione.Per poter esaudire la sua volontà di cancellare dal mio sito i suoi dati avrei bisogno di cercare e identificare le visite da lei menzionate ma il parziale indirizzo Ip da lei fornito non è sufficiente per completare l’operazione.
Pertanto, le chiedo il valore “Client ID” dei cookie di Google Analytics Universal. Qualora in suo possesso sono a chiederLe anche data ed ora della navigazione, cosi da rendere più semplice l’identificazione e la cancellazione della sua sessione utente.In mancanza di questa informazione sarò impossibilitato ad eseguire la procedura di cancellazione dati utente su Google Analytics.
In attesa di una risposta, la ringrazio in anticipo per la collaborazione.”Cordiali Saluti,
Titolare del trattamento : Nome Cognome e Firma”
Come individuare il client_id di Analytics
Il client_id è un valore che puoi trovare nel cookie che viene rilasciato da google sul tuo browser. Per trovarlo devi far click sul tasto destro su qualsiasi punto all’interno della finestra del tuo browser e poi selezionare “ispeziona”,accedi poi alla sezione “Applicazione“,
Adesso cerca la voce “Cookies” ed infine clicca sul tuo dominio.
Cerca quindi a destra la voce _ga e cliccaci sopra, ti verrà mostrato un valore simile al seguente:
Rimuovi la parte iniziale “GA.1.2. e la restante parte è proprio il client id da usare per cancellare i dati su Analytics.
Come cancellare i dati su Analytics avendo il client_id
Una volta ottenuto il Client ID puoi accedere a Google Analytics, andare in Audience – User Explorer (se avete impostato la lingua italiana dovete andare in Pubblico – Esplorazione utente), in questo modo potete cercare il valore Client id. Ultimo passo è accedere ai dettagli dell’utente e poi cliccare sul bottone in basso a sinistra “Elimina Utente”.
Approfondimenti (direttamente dal sito di Federico Leva)
Tutte le informazioni necessarie sono disponibili nel provvedimento formale del Garante. Di seguito si forniscono alcune risorse aggiuntive.
- Google: Garante privacy stop all’uso degli Analytics. Dati trasferiti negli Usa senza adeguate garanzie
- Regolamento (UE) 2016/679
- NOYB: esercizio art. 17; 101 Complaints on EU-US transfers filed
- Alternative a Google Analytics
- Strumento per verificare che il proprio sito sia pulito: webbkoll. Inserire il dominio e verificare nelle sezioni “Cookies” e “Third-party requests” che siano assenti GA, “Analytics (Google)” ecc.
Per ogni altra informazione riguardo questa mail vi invito a guardare questi video di Matteo Flora (si occupa di Reputazione Digitale, insegna in Università e fa consulenza ad Aziende, Enti e Professionisti) in cui vengono spiegati tutti i dettagli e con un’intervista esclusiva a Federico Leva in persona:
FEDERICO LEVA: cosa fare con la mail, le motivazioni ed un INTERVISTA ESCLUSIVA e Ciao Internet con Matteo Flora: Google Analytics vietato – analizziamo il problema con Guido Scorza del Garante