Anche tu hai ricevuto la mail di Federico Leva da Helsinki sul tema Google Analytics e GDPR? Non sai come comportarti e come rispondere?
Niente panico! in questo articolo vediamo insieme chi è Federico Leva da Helsinki e come comportarsi se anche tu hai ricevuto la mail con il seguente Oggetto: “Uso illegittimo di Google Analytics: richiesta di rimozione ex art. 17 GDPR”
Ma prima di parlare di questa mail, facciamo un piccolo passo indietro e cerchiamo di capire cosa è successo il 23 Giugno 2022 proprio sul tema GDPR, Analytics e Garante della Privacy.
I contenuti dell'articolo
- Il Garante e lo Stop all'uso degli Analytics
- La mail di Federico Leva da Helsinki
- Cosa fare se hai ricevuto la mail di Federico Leva da Helsinki
- Questa la mail che ho inviato a Federico
- Ho inviato la mail, ora sono a posto?
- La risposta di Federico Leva da Helsinki
- L'intervista su YouTube di Matteo Flora a Federico Leva
- Le mie conclusioni
Il Garante e lo Stop all'uso degli Analytics
Il 23 Giugno 2022 il garante ha pubblicato una nota ufficiale sul suo website dal titolo
Google: Garante privacy stop all’uso degli Analytics. Dati trasferiti negli Usa senza adeguate garanzie
Che rimanda e specifica quanto previsto nel Provvedimento del 9 giugno 2022 [9782890] , la cui introduzione è la seguente
Il sito web che utilizza il servizio Google Analytics (GA), senza le garanzie previste dal Regolamento Ue, viola la normativa sulla protezione dei dati perché trasferisce negli Stati Uniti, Paese privo di un adeguato livello di protezione, i dati degli utenti.
Per farla breve, perché molto probabilmente già conosci il tema, dopo oltre due anni di analisi e ricorsi, il garante ha sollecitato la società web Caffeina Media SrL a rimuovere Google Analytics dal proprio sito web entro 90 giorni.
Il perché è da ricercarsi nel fatto che Google Analytics trasferisce i dati personali degli utenti UE negli Stati Uniti ed in quel paese, sempre per il garante, non c'è un adeguato livello di protezione degli stessi, soprattutto da parte delle Autorità governative e delle agenzie di intelligence statunitensi che possono, in qualsiasi momento e per qualsiasi ragione, accedere a tali dati.
Nel provvedimento, tuttavia si parla di dati personali e di Analytics, senza entrare troppo nello specifico, questo ci fa presupporre (anche considerando che il 2020 è la data della prima segnalazione ) che si stia di fatto parlando di Universal Analytics (GA3).
La cosa che tuttavia sta preoccupando un po tutti gli addetti ai lavori è legata alla considerazione fatta dal garante sull'IP address anonimizzato dell'utente, ritenuto presupposto non sufficiente per una corretta anonimizzazione dei dati personali, come qui ribadito:
Nel dichiarare l’illiceità del trattamento è stato ribadito che l’indirizzo IP costituisce un dato personale e anche nel caso fosse troncato non diverrebbe un dato anonimo, considerata la capacità di Google di arricchirlo con altri dati di cui è in possesso.
Quindi, riassumendo, possiamo con certezza asserire che Universal Analytics e l'anonimizzazione dell'IP Address non sono GDPR Compliant e quindi vanno rimossi dal proprio website. Punto!
Come comportarsi con Google Analytics?
La nota del Garante, ricordiamo, non contiene multe o sanzioni ma solo un ammonimento ai titolari del sito web caffeinamagazine.it ad adeguarsi, entro 90 giorni, alla normativa GDPR e mettersi pertanto in regola.
Ma come mettersi in regola?
Il primo passo, da fare il prima possibile, è migrare da UA a GA4, se non sai come fare ti consiglio questa mia guida:
Lo step successivo potrebbe essere l'utilizzo di Google Tag Manager lato server (Server Side Tagging)
o la completa migrazione ad un sistema di tracciamento europeo, si hai capito bene, la soluzione definitiva potrebbe essere il definitivo stop a Google Analytics.
Una cosa è certa, in questo momento la confusione e la poca trasparenza anche in relazione ad altri servizi con sede legale negli Stati Uniti la stanno facendo da padroni.
Ed proprio su questa incertezza e confusione che si è inserito Federico Leva da Helsinki con la sua mail dall'oggetto “Uso illegittimo di Google Analytics: richiesta di rimozione ex art. 17 GDPR”
✋ Prima di continuare la lettura ci tengo a ribadire che il mio non è un parere legale (non sono un avvocato), per cui per maggiori informazioni e dettagli è sempre bene consultare un legale esperto in materia.
Se non conosci un legale esperto in tema Digital mi sento di consigliarti questo ottimo studio, specializzato proprio in diritto della rete
La mail di Federico Leva da Helsinki
Ma cosa è contenuto in questa ormai famigerata mail dell'utente Federico Leva? Perché sta stressando tutti i webmaster e proprietari di siti web italiani? E soprattutto come devi comportarti se l'hai ricevuta anche tu?
Il motivo di questo “panico generalizzato” è da ricercarsi proprio nella confusione ingenerata della nota del 23 Giugno del Garante che di fatto ha aperto nuovi scenari sul tema della protezione dei dati personali.
Ed in questo dubbio si è (giustamente) infilato Federico esercitando un suo legittimo diritto ovvero la richiesta di cancellazione dei dati, sfruttando il “panic mode” di questa calda e pazza estate : chapeau!
In molti hanno “bollato” la mail come phishing, pirateria o semplice spam, altri hanno detto che Federico Leva non esiste ed inizialmente anche io avevo pensato ad un nome fasullo, soprattutto dopo aver visto che il form di richiesta chiarimenti citato nella mail
Modulo per la risposta: domande.leva.li/111742?token=qyuQOgxAqRmMJga&lang=it
era stato chiuso da LimeSurvey
Altri hanno sostenuto che la richiesta non essendo stata inviata per pec non era valida, insomma panico su panico, confusione su confusione. Me compreso, sono sincero!
Ma quindi è tutto finto? E' davvero una mail falsa e l'utente è uno pseudonimo fake atto a catturare lead?
No, purtroppo non è cosi e Federico Leva non solo esiste ma ha anche risposto a “Matteo Flora” in un video che ti consiglio di vedere (lo trovi in allegato alla fine dell'articolo)
Nella sua bio sul suo website si legge:
Attivista, sviluppatore e consulente ICT di Milano/Helsinki. Conoscenza libera, wiki, lingue e tecnologia; legge, laicità e razionalismo; beni comuni, uguaglianza, diritti e ambiente.
Quindi esiste ed è anche un tecnico del settore ICT.
Cosa fare se hai ricevuto la mail di Federico Leva da Helsinki
Qualora anche tu abbia ricevuto la mail di Federico non potrai esimerti dal rispondere in qualità di responsabile dei dati personali degli utenti che navigano il tuo sito.
Si hai capito bene, dovrai rispondere!
Non potrai farlo con un reply ma dovrai rispondere usando la mail che trovi alla fine del testo e suggerita da Federico.
Ok, e cosa scrivo in questa mail?
Come rispondere a Federico Leva
Come ben saprai è possibile cancellare i dati presenti in Google Analytics 3 relativi agli utenti che navigano il tuo sito, per farlo però avrai bisogno del client_id che viene rilasciato da Google in un particolare cookie chiamato _ga
Per cui la prima cosa da fare è rispondere a Federico Leva e chiedergli di fornirti il client_id relativo alla sua sessione di navigazione, cosi che poi tu possa cancellare tutti i suoi dati da Analytics.
Se hai un legale puoi anche farti consigliare da lui su come scrivere al meglio la risposta, tuttavia è fondamentale rispondere e chiedere il client_id della navigazione anche perché la classe ip 51.158.x.y citata nella mail non è sufficiente per identificare i dati dell'utente da cancellare.
Infatti il testo:
1) preciso che i dati personali oggetto della presente richiesta sono quelli derivanti dalla mia visita del vostro sito nei giorni scorsi, identificabili dal mio indirizzo IP (51.158.x.y) e user-agent (“Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/76.0.3803.0 Safari/537.36”), e ogni dato connesso o derivante dagli stessi;
Non ti permette di individuare “cosa cancellare” su Google Analytics.
Pertanto oltre al client_id puoi chiedere e farti specificare anche il giorno e (se possibile) l‘ora della navigazione, cosi da evitare di interrogare i dati di un mese intero.
Certo è che se il buon Federico Leva ha utilizzato un software di crawling per identificare tutti i website italiani che hanno un codice UA installato ed inviargli una mail in automatico già mi immagino la risposta che verrà fornita.
In questo caso, poi, potrebbe esserci una sua violazione del GDPR in quanto è lui ad aver usato i dati degli utenti per fare spam inviando milioni di mail con un software automatico di crawling senza aver realmente navigato il sito, ma questo è un altro (delicatissimo) tema e noi non sappiamo come abbia potuto inviare tutte queste mail e se abbia realmente navigato il nostro sito.
Per cui il mio consiglio (non legale) è di rispondere (educatamente) ad una sua legittima richiesta, per rispondere usa la mail che è stata citata nel testo e non fare un reply generico!
Questa la mail che ho inviato a Federico
Questa è la mail che ho inviato io a Federico, sia chiaro puoi usarla a tuo rischio e pericolo, ed io non mi assumo alcuna responsabilità in tal senso.
Io l'ho scritta di mio pugno e non sono sicuro che sia la risposta perfetta, per cui puoi anche decidere di fartela scrivere da un tuo legale.
Spett.le Federico Leva,
in qualità di titolare del trattamento dati degli utenti che navigano il mio website [miowebsite] prendo atto della sua richiesta.
Sono quindi a chiederLe di fornirmi il client_id di Google Analytics cosi che io possa cancellare tutti i dati relativi alla sua navigazione sul mio website da Google Analytics stessa.
Qualora in suo possesso sono a chiederLe anche data ed ora della navigazione, cosi da rendere più semplice l’identificazione e la cancellazione della sua sessione utente.
Stiamo altresì predisponendo, entro i termini di legge, la completa dismissione di Universal Analytics dal website [miowebsite] come da provvedimento del 9 giugno 2022 (9782890) del garante della privacy.
Cordiali Saluti,
[tuonome]
Ora aspetto una sua risposta e vediamo come procedere, ti tengo comunque aggiornato.
Come individuare il client_id di Analytics
Il client_id è un valore che puoi trovare nel cookie che viene rilasciato da google sul tuo browser, per farti un esempio questo è il client_id che è stato generato su un sito all'atto della navigazione.
Per trovarlo devi far click sul tasto destro e poi selezionare “ispeziona”
accedi poi alla sezione “Applicazione“, cerca la voce cookie ed infine clicca sul tuo dominio.
Cerca quindi la voce _ga e cliccaci sopra, ti verrà mostrato un valore simile al seguente
Copia il valore, rimuovi la parte iniziale “GA.1.1” e la restante parte è proprio il client id da usare per cancellare i dati su Analytics, in questo caso ad esempio è 203640840.1655400763
Cancellare i dati su Analytics usando il client_id
Ora che hai il client_id da cancellare puoi accedere a Google Analytics alla sezione “Pubblico” > “Esplorazione Utente” e cercare il client id appena copiato
Ora accedi ai dettagli dell'utente e poi clicca sul bottone in basso a sinistra “Elimina Utente”
Elimina quindi tutti i dati dell'utente ed avrai ottemperato a quanto richiesto, ossia la cancellazione dei dati personali di Federico Leva relativi alla navigazione sul tuo sito web.
Ho inviato la mail, ora sono a posto?
Se hai inviato la mail a Federico in relazione alla richiesta di client_id puoi considerarti in regola? Ora è tutto a posto?
No, non è tutto a posto, anzi il bello viene ora.
Come prima cosa attendi la risposta e vedi se ti fornisce il client_id, se lo farà procedi subito alla cancellazione e rispondi nuovamente documentando quanto fatto e dando conferma di cancellazione.
E dopo?
Considera che ormai la stalla è stata aperta ed i buoi sono usciti, per cui il mio consiglio è di cominciare da subito a pensare ad una strategia di migrazione e di messa a norma del tuo website nei confronti di Google Analytics e GDPR.
Per cui la prima cosa da fare, subito, senza attendere 90 giorni è migrare a google analytics 4, molto più in linea con le norme GDPR, qui un mio articolo in tal senso
Poi comincia a pensare di passare al Server Side Tagging con Google Tag Manager lato server, magari facendoti affiancare da un esperto del settore.
Per finire, se ti sei stancato di tutto ciò, puoi sempre decidere di migrare ad un sistema di tracking “Non Google” totalmente europeo e gdpr compliant.
Su questo ultimo punto io aspetterei ancora un pochino.
Le autorità competenti troveranno una soluzione, perché credo che alla fine sarà Google stessa a fornire gli strumenti per far si che il tracciamento con GA4 sia perfettamente compliant con il GDPR e non metta a rischio la salute fisica ed mentale di webmaster e titolari di website.
La risposta di Federico Leva da Helsinki
In data 3 Agosto 2022 ho ricevuto la risposta di Federico, quindi dopo circa un mese dalla prima mail è finalmente arrivata la risposta, questo il testo che Leva mi ha inviato:
Gentile xxxxxxx,
ringrazio per il riscontro alla mia richiesta.Con riferimento alla vostra risposta, in ultimo in data 2022-07-04, aggiungo le seguenti informazioni sulla visita del vostro sito cui fanno riferimento i dati personali oggetto della mia richiesta, cioè la data della visita e il valore di alcuni dei cookie da voi depositati nel mio computer:
* 2022-06-26T08:20:00+0000
* GA1.1.1787654356.1656231602A questo riguardo, ricordo le linee guida dell'EPDP: «when information collected online is linked to pseudonyms or other unique identifiers, the controller can implement appropriate procedures enabling the requesting person to make a data access request and receive the data relating to them». Possono inoltre essere utili le linee guida del Garante e altre informazioni raccolte dall'associazione NOYB:
https://noyb.eu/en/gdprhub
Trovate i riferimenti completi nel mio sito (per ridurre i messaggi e i collegamenti, evito di riportare qui tutto).
https://federicoleva.eu/it/richiesta-rimozione-google-analytics/
La presente non va intesa come un'accettazione da parte mia delle vostre rappresentazioni, né della necessità o sufficienza della vostra richiesta di ulteriori informazioni o della soluzione da voi proposta o adottata, diversa dalla completa rimozione di Google Analytics e di tutti i dati relativi. Mi riservo ogni ulteriore valutazione e iniziativa.
Cordiali saluti,
Federico Leva
Come si può notare la mail è formalmente impeccabile e contiene tutte le informazioni necessarie per procedere all'eliminazione dei dati ad esso associati.
Ho quindi preso il valore GA1.1.1787654356.1656231602 e da questo ho estratto il client_id che ricordo si ricava in questo modo:
Rimuovi la parte iniziale “GA.1.1” e la restante parte è proprio il client id da usare per cancellare i dati su Analytics, in questo caso è 1787654356.1656231602
Ho quindi seguito la procedura descritta al paragrafo Cancellare i dati su Analytics usando il client_id accedendo a Google Analytics alla sezione “Pubblico” > “Esplorazione Utente“.
Ho inserito il client_id relativo alla visita di Federico
E questo il risultato dopo aver cliccato sull' ID Cliente
Ho quindi cliccato sul bottone “Elimina Utente”
E confermato definitivamente la cancellazione, questo il risultato finale
A dimostrazione dell'avvenuta cancellazione dei dati cosi come richiesto da Federico.
Federico non ha bluffato
Si, Federico non ha bluffato!
Aveva realmente visitato il mio website in data 26 Giugno 2022 alle ore 10:20 da Desktop con accesso di tipo Direct, come peraltro specificato nella sua mail.
? Importante, la data ora che ha inserito nella mail : 2022-06-26T08:20:00+0000 è nel formato gtm (ossia fuso di Greenwich) che rapportato al nostro fuso orario fa proprio le ore 10:20 AM (un'ora di fuso orario più un'ora solare).
Il fatto che l'accesso sia di tipo Direct significa che ha acceduto direttamente alla url senza fare una ricerca con un motore, per cui è probabile che avesse già una lista di website da navigare.
Come rispondere definitivamente a Federico
A questo punto puoi rispondere alla mail di Federico confermando l'avvenuta cancellazione dei dati come da sua richiesta, puoi utilizzare un testo simile al seguente
Buongiorno Federico,
Come da sua richiesta abbiamo provveduto a rimuovere tutti i dati da Google Analytics per il giorno GG/MM/YYYY relativi al cookie da Lei specificato GA.1.1XXXXXXX.YYYYYYYA disposizione per ogni altra eventuale richiesta.
Cordiali Saluti,
Nome Cognome
A questo punto dovresti essere a posto ed aver effettuato tutti i passaggi tecnici e legali per una corretta gestione dei dati personali dell'utente.
Ho detto dovresti perché la parte della mail non promette nulla di buono
La presente non va intesa come un'accettazione da parte mia delle vostre rappresentazioni, né della necessità o sufficienza della vostra richiesta di ulteriori informazioni o della soluzione da voi proposta o adottata, diversa dalla completa rimozione di Google Analytics e di tutti i dati relativi. Mi riservo ogni ulteriore valutazione e iniziativa.
In pratica Federico sottende questo “puoi anche cancellare i dati, sappi che a me non basta, devi rimuovere definitivamente Google Analytics!”
Ti ricordo che in qualità di titolare dei dati non puoi esimerti dal fare quanto descritto in questo articolo, è un diritto di Federico Leva chiedere la cancellazione dei suoi dati cosi come è un tuo dovere farlo nei limiti temporali previsti dalla normativa vigente sul tema GDPR.
L'intervista su YouTube di Matteo Flora a Federico Leva
Questa l'intervista fatta a Federico Leva da Matteo Flora sul suo canale youtube, buona visione
Le mie conclusioni
In questo articolo abbiamo visto in dettaglio cosa fare se hai ricevuto la mail di Federico Leva, come comportarti e quali sono gli step da seguire per mettere a norma il tuo website e soprattutto la tua salute fisica e mentale.
Quindi ok il GDPR, ok la tutela dei dati, ok la privacy però realizzare un website sta diventando sempre più materia per avvocati e super esperti di diritto. Ma questa è una mia riflessione a voce alta.
E tu che ne pensi? Hai ricevuto questa mail? Come ti sei comportato? Parliamone insieme nei commenti!
Foto di Yan Krukov: https://www.pexels.com/it-it/foto/donna-smartphone-laptop-lavorando-4458411/
33 commenti
Bene che (finalmente) ti abbia risposto, fornendo cid e consentendoti di ottemperare / chiudere le richieste ;).
Per il resto :
1) E’ stato lo stesso interessato a dichiarare le modalità di visita ai siti, non solo nel video di MGPF, ma anche soprattutto pubblicando in data 4 Luglio su Zenodo alcuni file relativi ai più di 500.000 siti visitati in modo automatizzato tramite webbkoll script, prevalentemente tra il 1 Giugno ed il 4 Luglio.
Tra questi file c’è anche il csv con i siti, timestamp della visita e tid tracking/measurement property (UA-/G-/AW-).
https://zenodo.org/record/6815697
Version 2
File CSV – 2022-07_GA_domains_ids (compresso come archivio bz2)
File in cui troverai appunto anche la riga relativa alla visita al sito per cui ti ha inviato la DSAR.
2) Il suo intento è/era quello che i titolari rimuovessero Google Analytics in toto dal sito e cancellassero tutti i clientID, non che verificassero la situazione, valutando – secondo le loro specifiche esigenze – cosa fosse più conveniente tra adeguare la loro implementazione GA, rendendola pienamente conforme GDPR + Schrems II, e passare ad altro fornitore di soluzione Analytics.
Non stupisce quindi il tono di chiusura del suo messaggio, visto che – fino all’ultimo – ha provato a non rispondere. Peccato che non potesse esimersi…
Il Garante è sempre stato chiaro in merito = ex Artt. 11(2) e 12(6) GDPR il titolare ha il diritto di chiedere ulteriori informazioni necessarie per le verifiche di fondatezza & per adempiere prontamente alle richieste… e l’interessato ha il DOVERE di rispondere entro 30gg, fornendole o rifiutandosi (motivandone le ragioni). L’interessato NON può fare scena muta (come sperava…) ;).
Ciao e grazie per l’interessante commento.
Nel mio caso la prima mail è arrivata il 2 Luglio 14:20 e la seconda il 3 Agosto 13:15 esattamente a distanza di 32 giorni, per cui non mi ha risposto entro i 30gg previsti dalla legge pertanto credo che avrei anche potuto non rispondere.
Ma siamo gentili ed abbiamo cancellato quanto da lui richiesto, anche se ci ha risposto in ritardo.
Ciao Alessandro & Prego
I 30gg per la replica dell’interessato decorrono comunque dalla data di riscontro del titolare con annessa richiesta di ulteriori informazioni. Qualora nel vostro caso sia scaduto tale termine, avete fatto comunque benissimo ad esser gentili ;).
Altrimenti, volendo esser fiscali, avreste dovuto mandare all’interessato una notifica con :
– Comunicazione di rigetto/chiusura richiesta per improcedibilità causa mancata conferma dei dati
– Informazione contestuale che avrebbe potuto presentare una nuova richiesta, possibilmente da subito con i dati necessari, ma comunque non prima che fossero trascorsi 90gg dalla precedente (come da indicazioni del Garante in merito alle richieste classificabili come eccessive per carattere ripetitivo)
.
Per il resto, questa vicenda è da considerarsi chiusa, visto che appunto l’interessato ha iniziato a fornire i dati necessari (clientId) e di conferma (timestamp).
Rimane ancora aperto però il discorso possibili ulteriori azioni massive di “sensibilizzazione” da parte di privati nei confronti di titolari, che non avessero provveduto entro il 21 Settembre a migrazione / messa a norma dei siti.
.
A meno che prima del 7 Settembre il Garante mettesse un punto fermo in merito alle segnalazioni e/o richieste di esercizio dei diritti, effettuate in modo massivo sulla base di scansioni automatizzate massive (e non su singole visite manuali), a quei titolari potrebbe pervenire una comunicazione dalla community MonitoraPA.
Plausibile infatti che potrebbero replicare lo stesso approccio usato a Maggio e Giugno con le PA.
Tradotto, preavviso di 15gg per eventuale segnalazione al Garante ex Art.144 del Codice Privacy, qualora – entro il 21 Settembre – i titolari contattati non rendessero i loro siti conformi a GDPR + Schrems II + Raccomandazione EPDB n. 1/2020 del 18 giugno 2021.
Peraltro, non solo per quanto riguarda GA, visto che hanno aggiornato i loro script in modo da controllare p.es. anche l’uso di Google Fonts (questo mese mandano i preavvisi in merito alle PA n.d.r.).
.
Pertanto, come hai giustamente scritto anche tu nel paragrafo “E dopo?”, è opportuno che chi si possa trovare in una tale situazione faccia per tempo le valutazioni di fattibilità / compatibilità / convenienza tra :
– Implementazione di uno scenario GA server-side conforme = SGTM o altra soluzione proxyficazione con misure adeguate, in linea p.es. con raccomandazioni CNIL https://www.cnil.fr/en/google-analytics-and-data-transfers-how-make-your-analytics-tool-compliant-gdpr
– Passaggio ad altra soluzione Analytics
Confermo di aver ricevuto risposta da Federico e di aver eliminato i dati richiesti. La parte finale della sua email ha però un tono che non mi piace. Capisco pretendere l’eliminazione dei propri dati personali ma imporsi per chiedere l’eliminazione di un Analytics e di tutti i suoi dati la vedo come una richiesta esagerata e, forse, nemmeno legale.
Da parte mia ho comunque provveduto a rimuovere Analytics dal mio sito web (eliminando i tag collegati).
Domanda: eliminando (spostando nel cestino) un account di Analytics vengono anche rimossi tutti i dati collegati (dati utenti compresi)? Oppure è necessario prima fare la richiesta di eliminazione dei dati e poi procedere con la rimozione dell’account?
Grazie.
Ciao Francesco
Puoi procedere in entrambi i modi, tanto per proprietà UA/GA3 quanto per proprietà/stream GA4 (seppur in tal caso ci siano alcune differenze di gestione). Cambiano comunque di base solo le tempistiche di avvio e completamento dell’eliminazione.
Se procedi direttamente con lo spostamento nel cestino della proprietà, l’eliminazione di storico dati e report viene avviata comunque non prima di 35 giorni – termine per ripensamento/annullamento spostamento.
Se invece procedi prima alla richiesta di eliminazione dati con inizio/fine data per tutti i valori/dati, questa verrà avviata già dopo 7 giorni – termine del periodo di tolleranza.
Ma il Leva ha risposto a qualcuno?
io gli ho chiesto il client_id ma pikke.. e tra l’altro nelle statistiche del mio sito (che è una landing) non c’è traccia di visite dalla Finlandia… bah
A me ancora no
Ciao Alessandro, grazie per le info.
Mi trovo in accordo con il tuo approccio, e credo che sia uno dei pochi con lungimiranza e senso di rispetto reciproco.
Ho fatto richiesta ID per procedere con la cancellazione.
Io credo che sommariamente abbia dato maggiore visibilità e conoscenza a tutti , anche solamente per accedere ai passi utili alla cancellazione di un ID utente in eventualità di future e probabili richieste di potenziali visitatori.
Ti ringrazio per i consigli e ti seguo per aggiornamenti.
Ps.
Hai ricevuto risposta?
Un Caro Saluto.
Ciao e grazie.
No, non ho ancora avuto nessuna risposta.
Aspettiamo!
Grazie Alessandro,
davvero utile il tuo articolo, anche per chi non ha competenze specifiche ma, ahimè, ha ricevuto la mail dello zelantissimo Leva.
Seguirò i tuoi consigli, prima di tutto per il buon senso che esprimono.
Claudia
Grazie a te Claudia,
come ho scritto nell’articolo, tuttavia, se hai un legale di fiducia ti invito a parlarne anche con lui.
Altrimenti ti consiglio questo ottimo studio, specializzato proprio in digital: https://legalfordigital.it/
L’articolo è interessante se non fosse una palese marchetta per lo studio legale citato nell’articolo stesso e nelle risposte ai commenti. Che Federico Leva non sia stato ingaggiato proprio da legal for digital per generare una grossa esplosione di richieste di consulenza? Forse è solo suggestione, chissà.
Ciao Luca,
mi dispiace ma “palese marchetta” non ti permetto di scriverlo.
Non sono un cliente dello studio legale di cui parli e che ho citato nell’articolo, per cui non ho alcun tornaconto personale.
Ho inserito loro solo perché, grazie ai loro articoli ed ai loro video, sono riuscito a farmi anche io una idea più chiara sul tema, che poi ho ricondiviso con tutti voi in questo post.
Mi sembrava quindi corretto citarli.
C’è chi fa e chi critica, tu da che parte stai?
Ora immaginatevi se questa simpaticissima trovata del Sig. Leva verrà emulata da decine se non centinaia di perdigiorno che utilizzeranno lo stesso format.
Quante ore di lavoro andranno inevitabilmente perse per una buffonata del genere?
Hai ragione, anche se il problema credo sia più in alto …
Ho fatto la richiesta di ricezione del client_id questa mattina e dubito in una sua risposta. Vediamo..intanto mi attivo per la migrazione a GA4! Grazie per l’articolo 🙂
Ottimo! Vediamo se risponde e come procedere
Comunque ottima guida, chiara e sensata. E complimenti per l’approccio molto pragmatico e poco polemico.
Grazie Luigi
Penso che Federico Leva abbia fatto solo violazioni al GDPR ed ha preso l’iniziativa, non so se provocatoria o commerciale, utilizzando mezzi automatici ed illeciti raccogliendo lui dati non necessari.
Ora sarebbe corretto usare il buon senso, non esasperare il GDPR ma anche rispettarlo cosa che non fa Federico Leva.
Io non l’ho ricevuta, bensì i miei clienti si ed ho risposto io per loro chiedendo a mia volta una informativa che non ho ricevuto. La norma è giusta ma se della norma ne devo fare un’arma, o un’intimidazione, allora il buon senso non esiste più e su tutte le norme possiamo giocare coma ha fatto Federico Leva.
Questi comportamenti vanno banditi e sono a discapito del rispetto delle regole, creano terrore e
disinformazione sull’utilizzo dei dati. Credo che il Garante debba diffidare di questi comportamenti.
Che dire, mi trovo pienamente d’accordo con il tuo ragionamento!
Ciao, ti ha poi risposto inviando il client_id?
Ancora no, ma sono fiducioso ?
Non credo ti risponderà se ha usato Phantom js come crawling non credo abbia salvato il client id.
Anche noi abbiamo fatto la richiesta ma dubito in una risposta
So per certo che in molti casi ha risposto
Vediamo , spero vivamente per lui che non abbia usato un crawler per fare tutto sto casino altrimenti credo potrebbe essere lui passibile di sanzioni
“Speriamo” tra virgolette che risponda, io non condivido minimamente la sua azione e mi pare molto al limite.
Comunque complimenti per l’articolo
Grazie
Se ovviamente io ho già cancellato Google Analitics Universal 3, mettendolo nel cestino, e tra 30 giorni verrà eliminato completamente. Quando e se mi risponderà il fantomatico Federico Leva, come farò ad eliminare il suo utente se sono già passato a GA4?
In realtà è assurdo chiede il codice per poi andare a cancellarlo da universal se dovrò comunque eliminarlo del tutto.
Penso riguardi tutti. Cosa ne pensate?
Ciao Daniele,
non confondere l’eliminazione del codice di tracciamento con la completa cancellazione del tuo account UA.
Nel primo caso i dati rimarranno sui server google fino al giorno della rimozione dello snippet, nel secondo caso TUTTI i dati verranno cancellati e quindi non avrai alcun problema.
Per cui se hai già eliminato UA dal tuo sito e messo tutta la proprietà nel cestino (su Analytics) sei a posto e non rischi nulla.
Ciao
No, GA4 non risolve i problemi di fondo che hanno spinto Francia, Austria e Italia ad emettere le relative ordinanze.
No, Federico Leva non ha “violato il GDPR” solo per aver contattato il gestore di un sito.
Non si tratta di “terrorismo” ma di “attivismo”. Piaccia o meno.
Ciao Luigi, mmmmm …. no, la nota del garante è relativa ad Universal Analytics e non a GA4, ti inviato a leggerla.
Poi se verrà considerato “fuori legge” anche GA4 questo è un altro tema, ma prima il garante dovrà dichiararlo “fuori legge”, ad oggi questo non è successo.
Se poi leggi bene il mio articolo io parlo di GA4 + Server Side Tagging per essere full compliant, fino all’estrema ratio di rimuovere completamente Google Analytics, ma per il momento ritengo sia ancora presto per arrivare a questa conclusione.
Non esageriamo, dai.
Per quanto riguarda Federico, anche in questo caso se leggi bene cosa ho scritto parlo di violazione e di possibile sanzione qualora abbia usato un crawler per scansionare tutti i siti italiani senza averli realmente navigati.
La tua ultima frase: –Non si tratta di “terrorismo” ma di “attivismo”. Piaccia o meno.– non la commento.
Andiamo con ordine.
> Poi se verrà considerato “fuori legge” anche GA4 questo è un altro tema, ma prima il garante dovrà dichiararlo “fuori legge”, ad oggi questo non è successo.
Il problema non è Google Analytics in sé, il problema è l’export di dati in assenza di efficaci salvaguardie quali una efficace anonimizzazione. Non sto qui a buttarla in accademia parlando di inference-attacks, linkability-attacks, ecc., ti posso però assicurare come i dati anonimizzati, in assenza di specifici accorgimenti, possano essere ‘de-anonimizzati’ in maniera relativamente semplice. Se poi sei Google, allora lo sforzo è minimo. Se poi la presunta anonimizzazione avviene non a monte ma a valle del data-export negli U.S.A., allora stiamo parlando di una barzelletta. Difatti il Garante nazionale, così come il CNIL francese e la corte austriaca prima di esso, non hanno messo ‘fuori legge’ il prodotto ma il trasferimento dati che quel tipo di prodotto comporta. Anche eliminando del tutto gli indirizzi IP, il rischio di reidentificazione associato al trasferimento in un paese non munito di decisione di adeguatezza (post Schrems I e II) resta tutto, ecco perché la decisione del Garante non dipende dalla versione di GA utilizzata ma da alcuni problemucci legati alla legislazione U.S.A., quali la FISA Sect. 702 e l’Executive Order 12333. Pertanto o si assicura l’impossibilità di reidentificazione (improbabile, perché implicherebbe una significativa riduzione di efficacia della parte analytics), o gli U.S.A. rinunciano alle loro pratiche predatorie in tema di acquisizione dati per esigenze di ‘intelligence’ (vedremo prima volare i maiali), oppure… oppure niente, se non si rimuove almeno uno di questi due ostacoli, non c’è nuova versione o nuova feature che tenga.
Nel merito specifico del GA4, ti rimando a queste riflessioni:
https://www.agendadigitale.eu/sicurezza/privacy/monitorapa-risponde-a-google-ecco-perche-analytics-4-e-fumo-negli-occhi/
> Per quanto riguarda Federico, anche in questo caso se leggi bene cosa ho scritto parlo di violazione e di possibile sanzione qualora abbia usato un crawler per scansionare tutti i siti italiani senza averli realmente navigati.
Quale sarebbe, esattamente, la violazione commessa per l’aver utilizzato un crawler? Quale Codice o Legge dello Stato, o quale Regolamento sovranazionale sarebbe stato violato? Quale articolo? Art. 615 Ter C.P.? Ho i miei dubbi. Diversamente, sarebbero in tanti a dover essere inquisiti, Google in primis.
> La tua ultima frase: –Non si tratta di “terrorismo” ma di “attivismo”. Piaccia o meno.– non la commento.
Mi spiace che tu non la voglia commentare, perché questa sarebbe la parte più interessante. E’ lui il mascalzone per aver sollevato un problema di legittimità, o chi continua a violare il RGPD pur sapendo – da tempo, aggiungo, visto che Schrems II risale al 2020 – che l’export dei dati verso un paese sprovvisto di decisione di adeguatezza, come gli U.S.A., è vietato? Forse il problema non è la provocazione del sig. Leva ma il fatto che la gente se ne infischi di ciò che è legale e di ciò che non lo è, solo per esigenze di ‘praticità’ o solo perché “così fan tutti”.
Ciao Luca,
guarda che (per alcuni aspetti) ti do ragione, infatti nel mio articolo dico espressamente che Luca ha tutto il diritto di fare quello che ha fatto.
Sul tema GDPR / GA4 ci sono moltissimi pareri, anche contrastanti, per cui mi sembra affrettato buttarla in “caciara” e dire che GA4 non si possa usare perché non compliant con il gdpr o perchè i dati vengono trasmessi un US.
Sono comunque convinto che alla fine EU e US troveranno una soluzione politica, ma queato è un mio personalissimo parere.
Aspettiamo a vedere cosa dirà (semmai dirà qualcosa) il garante sul tema.
In relazione al crawler quello che volevo dire (e che spero sia chiaro) è che non è l’attività di crawling in se ad essere fuori legge, ci mancherebbe, ma il dire che hai navigato un sito quando in realtà è stato un crawler a farlo per te e magari anche l’invio mail è stato automatico.
Comunque anche da questo punto di vista non sono un legale pertanto non so se è lecito richiedere la cancellazione di dati personali quando la navigazione è stata fatta con un software e non c’è un umano dietro.
Magari un legale potrà risponderti copn più accuratezza.
L’ultima frase … continuo a non volerla commentare, credo sia un mio diritto o sbaglio?