CHIARIMENTO INIZIALE: NON È UNA TRUFFA!
Dopo il recente comunicato del garante della privacy si è scatenata una specie di “caccia alle streghe” nei confronti di Google Analytics, il noto servizio di Google di statistiche.
Vediamo di analizzare assieme la mail ricevuta:
Il testo della mail:
Da: Federico Leva<[email protected]>
Date: ven 1 lug 2022, 14:04
Subject: Uso illegittimo di Google Analytics: richiesta di rimozione ex art. 17 GDPR
To: nomesito.ext
Spettabile titolare del trattamento dei dati personali, spettabile responsabile della protezione dei dati,
Vi scrivo in quanto utente del sito nomesito.ext per richiedere la rimozione dei miei dati personali, in forza dell’art. 17 (“Diritto alla cancellazione”) del regolamento UE 2016/679.
Vogliate cortesemente rispondere entro 31 giorni dalla ricezione della presente per confermare l’ottemperanza, come precisato di seguito.
Il vostro sito incorpora Google Analytics, che provvede a trasferire i dati personali di tutti i vostri visitatori a Google negli USA. Con provvedimento del 9 giugno 2022 (9782890), ciò è stato dichiarato illegittimo dall’Autorità Garante per la protezione dei dati personali, come annunciato nel comunicato stampa “Google: Garante privacy stop all’uso degli Analytics. Dati trasferiti negli Usa senza adeguate garanzie”.
Il Garante «invita tutti i titolari del trattamento a verificare la conformità delle modalità di utilizzo di cookie e altri strumenti di tracciamento utilizzati sui propri siti web, con particolare attenzione a Google Analytics e ad altri servizi analoghi, con la normativa in materia di protezione dei dati personali», e fissa un termine di 90 giorni passati i quali procederà a ulteriori verifiche.
https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9782874
Guido Scorza, componente del Garante, ha ulteriormente illustrato il provvedimento nell’intervista con Matteo Flora “Google Analytics vietato – analizziamo il problema”.
L’uso di Google Analytics è illegittimo anche in quanto ogni finalità legittima può essere soddisfatta da software libero ospitato in UE e atto a un corretto trattamento dei dati personali, come Matomo, Plausible Analytics o altri raccomandati dall’Autorità francese CNIL, mentre nessuna versione o configurazione di Google Analytics può garantire di non trattare i dati personali in modo illecito.
Alla luce di quanto sopra:
1) preciso che i dati personali oggetto della presente richiesta sono quelli derivanti dalla mia visita del vostro sito nei giorni scorsi, identificabili dal mio indirizzo IP (51.158.x.y) e user-agent (“Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/76.0.3803.0 Safari/537.36”), e ogni dato connesso o derivante dagli stessi;
2) richiedo la cancellazione di tali dati personali dai sistemi informativi del vostro responsabile del trattamento e dagli eventuali backup e ovunque essi siano stati trasmessi a causa del vostro uso di Google Analytics, in quanto: a) tale trattamento è illecito e b) tali dati personali non sono necessari a eventuali finalità legittime, come sopra descritto; c) nella misura in cui il trattamento potesse eventualmente essere lecito in forza di un mio consenso, nego di aver prestato il mio informato e valido consenso, che in ogni caso revoco espressamente con la presente; d) qualora i dati fossero asseritamente trattati sulla base di un legittimo interesse, la presente assume valore di opposizione al trattamento oltre che di richiesta di cancellazione;
3) in particolare richiedo la rimozione di qualsiasi registro o copia dei dati personali di cui sopra da parte di Google e ogni altro responsabile di tale trattamento o altro soggetto che li abbia ricevuti, compresi tutti i dati inviati dal mio browser al momento della visita, nonché qualsiasi versione pseudonimizzata dei medesimi e qualsiasi dato aggregato riconducibile ai medesimi o ad altri miei dati personali, come la classificazione in coorti o qualsiasi tipo di identificativo univoco;
4) richiedo altresì, in forza dell’art. 18(1)(d) del regolamento 2016/679, di interrompere immediatamente ogni trattamento di tali dati personali connessi al mio uso passato e futuro del vostro sito, ad esempio provvedendo alla completa rimozione dallo stesso di Google Analytics (in qualsiasi versione e configurazione) e interrompendo ogni uso dei dati prodotti da Google in relazione agli utenti del vostro sito;
5) ove lo riteneste necessario, mi dichiaro disponibile a fornire ulteriori dati utili a identificarmi come la persona a cui fanno riferimento i dati personali di cui sopra, come l’indirizzo IP esatto e la data e ora della visita più recente, nonché i cookie e altri identificativi esibiti da Google in corrispondenza della stessa;
6) richiedo di rispondere a quanto sopra primariamente tramite il modulo collegato sotto, fornito tramite software libero LimeSurvey ospitato in UE (e rispettoso della privacy), entro 31 giorni dalla ricezione della presente; il mio indirizzo di posta elettronica per questa materia è [email protected].
In fede,
Federico Leva
Helsinki, 1º luglio 2022
———————————————-
Modulo per la risposta:
https://domande.leva.li/111742?token=zCH6hU04lzy2B2S&lang=it
Correzione o rimozione dell’indirizzo di posta elettronica:
https://domande.leva.li/optout/tokens/111742?token=zCH6hU04lzy2B2S&langcode=it
1) Il mittente:
La mail mittente [email protected]… Una richiesta legale da parte di una email anonima e “noreply”?
Già questo dovrebbe far riflettere.
Inoltre non c’è nessun riferimento (indirizzo, codice fiscale, ecc) di questo “Federico Leva” (che, attenzione, è una persona reale).
2) i "dati personali"
Si parla dei dati di navigazione… dei comunissimi dati di navigazione inoltre con l’indirizzo IP anonimizzato…
Comunque su questo ha ragione perché, effettivamente, Google analytics effettua una “pseudo” anonimizzazione: in pratica salva l’indirizzo ip COMPLETO sui suoi server e poi DOPO effettua l’anonimizzazione…
Per tanto Google potrebbe, dietro richiesta delle autorità americane, “ricreare” l’indirizzo IP completo (da qui tutto il problema con i Garanti della Privacy nostrani).
3) la presunta residenza... Helsinki
Il tizio dice di essere di Helsinki… vi risulta in Italia?
Come mai un cittadino Finlandese dovrebbe interessarsi della normativa italiana e di quanto comunica il garante della privacy Italiano?
Comunque fa parte della comunità Europea.
4) la modalità di risposta
Si “impone” di compilare, per risposta, una specie di questionario online sul sito “domande.leva.li” che utilizza “Lime Survey”, un applicativo open source che permette la realizzazione di questionari e sondaggi online, senza richiedere particolari conoscenze di programmazione. (Che tra l’altro l’ha bloccato)
Una risposta “legale” dovrebbe avvenire tramite PEC o, al massimo, tramite la cara e vecchia… Raccomandata A.R! Questo non è strettamente “obbligatorio” a rigor di legge ma ha logica rispondere con un mezzo tracciabile e dimostrabile, no?
Rimane l’interrogativo: chi gestisce i dati richiesti da questo signore?
Andando a cliccare su “data policy” esce il messaggio:
“Si faccia riferimento all’informativa privacy di LimeSurvey Cloud: https://www.limesurvey.org/privacy-policy
Questo sondaggio è configurato per non salvare i referrer, indirizzi IP o altri dati di navigazione di chi lo compila, ma preserva la data di invio del modulo e l’indirizzo di posta elettronica connesso al codice di invito inviato allo stesso.”
Questo è assurdo perché è lui il titolare salvando i dati sul SUO database!
Il dominio levi.li
Domain name leva.li
Registrar Ovh
Quai du Sartel 140
FR-59100 Roubaix
Phone +33 972101007
[email protected]
DNSSEC yes
Name servers
dns103.ovh.net
ns103.ovh.net
First registration date 14 June 2017
Come comportarsi?
Non sono il primo che vede delle “anomalie” in questa mail quindi direi:
- Effettivamente avrebbe diritto a una “risposta” in quanto il GDPR prevede che, entro 30 giorni, si debba rispondere a comunicazioni simili.
- NON compilare assolutamente nulla, non aprite nemmeno i link della mail.
- Per il discorso Google Analytics attenderei i chiarimenti da Google e dal garante della privacy: sicuramente arriveranno.
- Rispondete a norma di legge anche se, in tal senso, ci sono pareri constrastanti.
- NON sono un legale ne un DPO: se volete maggiori ragguagli “a norma di legge” vi converrebbe contattare una delle figure indicate!
LINK DI APPROFONDIMENTO:
AGGIORNAMENTO DEL 03/07/2022;
Lime Survey ha bloccato Federico Leva per violazione dei suoi Termini e Condizioni di utilizzo:
Ai sensi della normativa vigente in materia di privacy (e, in particolare, ai sensi dell art. 12, comma 2 e 3 del GDPR), entro 30 giorni dalla ricezione della comunicazione inviata dal Sig. Leva, occorre, pertanto, provvedere a fornire un riscontro all e-mail ricevuta, avente la finalit di richiedere informazioni e dati aggiuntivi necessari per poi procedere alla richiesta Una volta che il Sig. Leva avr fornito i dati richiesti e quindi sarete in possesso di tutte le informazioni necessarie, occorre provvedere senz altro a cancellare i dati relativi al Sig. Leva da Google Analytics presente sul Vostro sito internet, in ottemperanza alla Sua richiesta e al GDPR.
Vero ma è anche vero che Leva molte volte (come nel mio caso!) NON risponde con i dati necessari a individuare i presunti suoi dati (dico presunti perché dichiara di essere in Finlandia ma l’ip parziale che comunica sarebbe Giapponese…)
Buonasera
il video è illuminante.
Siccome abbiamo eleminato GA dal sito, (praticamente inutile) visto che vorremmo cancellare tutti i dati contenuti invece di chiedere ID CLIENTE DEL SIGNOR LEVA eliminando account GA eliminiamo tutti i dati raccolti compresi quelli dello stesso sig. Leva? Domanda magari banale certo non per me!
grazie
Ben
Se si effettua la totale cancellazione dell’account di GA di fatto si cancelerebbero anche gli eventuali dati di Federico Leva presenti
tanto per…
a parte che non risulta nessuno dei dati indicati.
Il signore in questione mi ha scritto su un indirizzo NON PRESENTE sul mio sito. Ha quindi da qualche parte ACQUISITO in modo illegale un pacco di indirizzi e mail e inviato.
Io direi che si potrebbe fare una contro denuncia per frode e qualcosa per aver acquisito dati sensibili illegalmente da fonti che li hanno venduti o ceduti.
Attenzione a non confondere i dati salvati da analytics con la navigazione con la registrazione al sito.
Ciao,
Su denaro.it c’è questa risposta alla mail di Leva: che ne pensi?
Buongiorno Federico, per ottemperare alla sua richieste, secondo norma, le chiediamo di fornirci i riferimenti precisi dei dati da rimuovere. Quelli forniti nella sua mail non risultano essere presenti nei log del nostro sito. Le auguro buona giornata
– nome della persona intestataria del sito –
Premetto che non sono un legale ma potrebbe essere un’idea!
Si ma a quale indirizzo la invieresti se è noreply?
Cliccando su “rispondi” la mail diventa [email protected]
attenzione, da un commento di un altro utente (rif. https://www.frode-internet.it/) leggo anche questo: Parlato con avvocato. Non rispondete ala mail, rispondere equivale a leggere. Se la comunicazione venisse fatta tramite PEC o raccomandata rispondere entro o 30 gg. Questo è il presupposto pr arrivare anche davanti ad un giudice con una prerogativa di causa nulla. Il Sig. Federico leva inoltre dovrebbe registrare l’invio di una sua mail da un indirizzo di posta personale. L’utilizzo di liste di distribuzione potrebbe essere invalidato. Il condizionale viene usato in quanto nella dichiarazione del garante a cui fa riferimento la mail si motivano cause conformi a cui Google dovrebbe rispondere. L’accesso ai dati in caso di IP anonimizzato non è disponibile. Rispondere equivarrebbe ad una presa visione. In caso di causa legale potrebbe giocare a vostro sfavore.
Mah, io ho sentito il mio e mi ha confermato che bisogna rispondere a norma di legge!
Il non rispondere (vero che dovrebbe dimostrare di aver inviato la comunicazione) sarebbe una violazione del GDPR.
Grazie del chiarimento. Top.
Grazie, troppo buono!
È arrivata anche a me, ma io non uso Google Analytics sul mio e-commerce. In realtà non uso nemmeno script di Facebook o Social in generale. Quindi questa e-mail lascia il tempo che trova. Ho risposto (senza compilare il questionario ovviamente) direttamente alla sua e-mail per una questione di praticità, ma in risposta ho ricevuto la stessa e-mail uguale senza alcun chiarimento. Inoltre dal mio sito puoi in totale autonomia gestire i dati che eventualmente hai deciso di lasciare (newsletter, accettazione privacy, eccetera) quindi penso sia più SPAM/SCAM che altro. Vedremo…
Grazie per la tua testimonianza… Voglio proprio sentire un legale e vedere se ci sono gli estremi per un esposto…
Grazie mille per il chiarimento, questa email mi aveva lanciato nel terrore.
La situazione è comunque abbastanza “ingarbugliata”… Vedremo gli sviluppi.