Se sei in questa pagina, con molta probabilità anche tu hai ricevuto una mail dal sig. Federico Leva che ti chiede di cancellare alcuni dei suoi dati dai tuoi sistemi, in particolare da Google Analytics.
Con molta probabilità sai già tanto riguardo a questo argomento perché in questo periodo se ne “parla” molto ma non sai come rispondere pertanto cercheremo di essere pratici, veloci e di utilizzare gli hyperlink per rimandarti ad eventuali approfondimenti su tutta la storia di Federico Leva e la sua attività di attivista per i diritti digitali.
DISCLAIMER – Quella che segue non è una consulenza legale e ogni sito web, blog o e-commerce è a sé stante. Il consiglio è quindi quello di verificare bene come stai gestendo i dati personali all’interno della tua organizzazione e se stai utilizzando Google Analytics. Parla con i tuoi consulenti che conoscono bene l’attività che svolti e la tua situazione specifica.
La mail che hai ricevuto dal sig. Leva (che d’ora in vanti indicheremo anche come “Interessato”) dovrebbe avere il seguente Oggetto: “Uso illegittimo di Google Analytics: richiesta di rimozione ex art. 17 GDPR”
Hai ricevuto questa comunicazione perché il 23 Giugno 2022 proprio sul tema GDPR e Analytics Garante privacy italiano ha pubblicato una nota ufficiale sul suo web site dove invita tutti a non utilizzare sistemi di “Analytics” che trasferiscono dati negli Usa senza adeguate garanzie. Come conseguenza, i siti web che utilizzano il servizio Google Analytics (GA) fornito da Google, senza le garanzie previste dal Regolamento UE, violano la normativa sulla protezione dei dati perché trasferiscono negli Stati Uniti i dati degli utenti. E ovviamente, se hai ricevuto questa comunicazione è perché sul tuo sito è attivo Google Analytics. Se così non è allora tutto cambia e il template di risposta che trovi sotto, non è adatto alla tua situazione.
Non ci dilungheremo troppo sul perché e sul percome il Garante ha dichiarato Analytics di Google non conforme ma, se intendi approfondire, leggi l’articolo completo qui.
Cosa fare con la richiesta del sig. Leva
Se non utilizzi Google Analytics sul tuo sito web ti suggeriamo di rispondere alla richiesta informando il sig. Leva di ciò.
Se invece, come è probabile, utilizzi in qualche forma Google Analytics, il nostro consiglio è di cancellare i dati dell’Interessato e rispondere, in maniera semplice e formale. Una volta cancellati i dati sarà possibile rispondere all’Interessato utilizzando l’indirizzo mail fornito dal mittente nella comunicazione ricevuta (a fine testo) domande@xxxx.li.
In base alla configurazione che hai dato (o hanno dato per tuo conto) a Google Analytics, potrebbe essere necessario richiedere maggiori informazioni al sig. Leva allo scopo di identificare meglio la sua sessione di navigazione e cancellare solo i suoi dati. In questo caso, nella risposta si potrà comunicare all’Interessato (appunto il sig. Federico Leva) che per cancellare i dati presenti in Google Analytics versione 3 è necessario conoscere il client_id che gli è stato assegnato al momento della visita del nostro sito web. Se vuoi sapere come recuperare anche tu questo ID che Google assegna utilizzando il cookie “_ga” clicca qui.
Questo è necessario in quanto la classe ip xxx.zzz.xxx.yyy che l’Interessato cita nella comunicazione di esercizio dei diritti potrebbe non è sufficiente per identificare, dal pannello di amministrazione di Google Analytics, i dati che sono afferenti alla sua attività di navigazione. Al riguardo, per semplificare le possibili attività di cancellazione utilizzando client id, si potrà chiedere all’Interessato di specificare anche data e orario della navigazione.
Template di risposta
Come indicato all’inizio di questo articolo, il testo che segue non è frutto di una consulenza legale ma un template generico che va opportunamente modificato in base alle tue specifiche esigenze quale autonomo Titolare del Trattamento e destinatario della richiesta di esercizio dei diritti dell’Interessato. Pertanto, non ci assumiamo alcune responsabilità sull’utilizzo completo o parziale di questo template che viene rilasciato con licenza CC-BY-NC-SA 3.0 IT.
Egr. Sig. Federico Leva,
in qualità di Titolare del Trattamento, rispondiamo alla sua richiesta pervenuta tramite email in data [xx/xx/2022] per l’esercizio dei diritti in materia di protezione dei dati personali relativamente alla sua navigazione sul sito web [www.xxxxxx.yy].
In particolare, relativamente alla sua richiesta di cancellazione dei dati personali dai sistemi informativi del nostro responsabile del trattamento Google Ireland Limited (e dagli eventuali backup) acquisiti attraverso il tool Google Analytics siamo a chiederLe di fornire il client_id di Google Analytics in modo da cancellare tutti i dati relativi alla sua navigazione effettuati sul nostro sito web. Nel caso avesse necessità di sapere come ottenere questa informazione, può consultare la seguente guida: Come trovare il client ID di Google.
Qualora in suo possesso, siamo a chiederLe anche data ed ora della navigazione, così da rendere più semplice l’identificazione e la cancellazione della sua sessione utente.
Relativamente alla sua richiesta di interruzione di “ogni trattamento di tali dati personali connessi al Suo uso passato e futuro del nostro sito web, ad esempio provvedendo alla completa rimozione dallo stesso di Google Analytics (in qualsiasi versione e configurazione) e interrompendo ogni uso dei dati prodotti da Google in relazione agli utenti del vostro sito” ci riserviamo di effettuare ulteriori valutazioni sull’uso di Google Analytics in base anche alle pronunce delle autorità competenti in materia di protezione dei dati.
In attesa di Suo gentile, riscontro che ci permetterà di ottemperare alla richiesta iniziale, cogliamo l’occasione per invitarla ad escludere il nostro dominio web da eventuali software automatici di crawling che utilizza e di esercitare eventuali ulteriori diritti per la protezione dei dati personali seguendo le indicazioni contenute nella nostra privacy policy [inserire hyperlink della propria privacy policy].
Cordiali Saluti,
[indicare ragione sociale e mail di contatto]
Ecco, questo è quanto e ricorda: occorre rispondere entro 30 giorni dalla comunicazione ricevuta.
Abbiamo finito? Probabilmente no.
Se l’Interessato risponderà fornendo le ulteriori informazioni che hai richiesto, occorrerà procedere operativamente nel pannello di amministrazione di Google Analytics. A quel punto gli si potrà rispondere di aver provveduto alla richiesta di cancellazione come da sua richiesta e che i dati associati al Client ID n.xxxxxxx verranno rimossi dal Report entro 72 ore e dai backup entro i 63 giorni successivi.
Ricorda di aggiornare il registro dove riporti le richieste degli Interessati per l’esercizio dei loro diritti previsti dal GDPR. In questo modo potrai avere un punto di sintesi interno e una traccia dell’attività svolta da esibire in caso di controllo o qualora la questione con il Sig. leva dovesse procedere oltre.
Cosa può fare FinData per Te e la tua organizzazione
Non staremo qui a dirti che FinData può far questo o quello: il nostro sito illustra piuttosto bene le nostre aree di business. Come avrai visto ci occupiamo di Compliance e facciamo, praticamente, solo questo. Lo facciamo da professionisti, con professionisti. Ci concentriamo sugli aspetti organizzativi, legali, tecnici e umani non dimenticando quello che è l’obiettivo di tutti i nostri clienti: fare business profittevoli, anche usando i dati.