Se in questi giorni avete ricevuto una mail da un tale Federico Leva che chiedeva di rimuovere i suoi dati personali dal tuo sito web non preoccuparti: sei in buona compagnia.
Da quello che vediamo e leggiamo online sono migliaia di proprietari di siti web ad avere ricevuto tutti la stessa mail.
Visto che molti clienti ci chiedono informazioni in merito, cercheremo di rispondere a tutte le domande che ci sono arrivate e fare un po’ di chiarezza sulla vicenda.
Cosa è successo?
Partiamo dall’inizio. Nei giorni scorsi decine di migliaia di aziende italiane (si stima circa 600 mila) hanno ricevuto una mail piuttosto articolata firmata da un certo Federico Leva che, in sostanza, richiede ai gestori dei siti web sotto accusa di cancellare i propri dati personali dal sistema entro 31 giorni.
La mail incriminata è la seguente:
Cosa significa la mail di Federico Leva?
Cerchiamo di comprendere quello che Federico ci sta chiedendo e cosa, in modo più o meno tranquillo, ci vuole dire con la sua famosa mail.
Federico ci comunica che il nostro sito web utilizza il software di tracciamento Google Analytics, e in quanto utente ci invita a rimuovere i suoi dati personali dal tool di Google. Successivamente, a sostegno della sua richiesta, ci ricorda il provvedimento di pochi giorni fa del Garante per la protezione dei dati che ha dichiarato l’illegalità di Google Analytics. Quest’ultimo non rispetterebbe le norme per la privacy sulla protezione dei dati in quanto trasferisce i dati degli utenti negli Stati Uniti, paese privo di un adeguato livello di protezione. In pratica il problema è che la legislazione americana non offre garanzie ai diritti degli interessati europei.
Inoltre nel body della mail sono citati Guido Scorza, componente del Garante, e la sua intervista all’imprenditore e divulgatore Matteo Flora. Questo suona come un’ulteriore motivazione, per chi non l’avesse ancora capito, a recuperare il video in questione e capire definitivamente il perché GA Universal è illegittimo.
Le FAQ riguardo la mail di Federico Leva
Cerchiamo di fare chiarezza rispondendo alle domande più gettonate che hanno tormentato migliaia di titolari di aziende o in generale chi lavora nell’ambito privacy.
Chi è Federico Leva?
Innanzitutto bisogna specificare che Federico Leva esiste, non è uno pseudonimo, un nome fittizio o un robot malvagio. È un ragazzo in carne ed ossa nato a Milano nell’89 che da 5 anni lavora in Finlandia, nel settore consulenza e ICT. Potete consultare online il suo sito web, con dominio registrato da oltre 10 anni, e il suo account Twitter.
La mail di Federico Leva è una truffa?
No. Non è una truffa, non ci sono dei dati che si possono rubare o sottrarre a qualcuno, anzi è lui stesso a fornirci una parte del suo indirizzo IP e lo User Agent.
La mail di Federico Leva è spam?
Ni. Però qui la questione è un pò più sottile. Sicuramente si tratta di un invio massivo di mail, in quanto ne sono state mandate decine di migliaia ad utenti che non credo proprio la desiderassero. Tuttavia seppur in forma di “mailbombing”, si tratta di una richiesta specifica perfettamente legittima da parte di un singolo utente.
La sua richiesta non sarebbe dovuta essere presentata direttamente a Google?
No. Il contratto a cui ci si sottopone quando si utilizza Google Analytics prevede che i detentori dei dati delle persone che navigano su un determinato sito web siano una responsabilità dei titolari di tale sito. Sono essi gli unici proprietari, non Google.
Si possono rimuovere esclusivamente i dati di un solo utente su Google Analytics?
Assolutamente sì. Tuttavia per fare questa operazione i dati che ci fornisce Federico (una parte del suo indirizzo IP e User Agent) non sono sufficienti a discriminare lui come utente, ma abbiamo bisogno del suo Client ID.
Come posso rimuovere i dati di Leva da Google Analytics?
Per cancellare i suoi dati personali consigliamo di chiedere a Federico il suo Client ID tramite il contatto che ci fornisce nella mail (domande@leva.li). Successivamente, una volta messi a conoscenza del codice, andare su Google Analytics > User Explorer, inserire il Client ID nella barra di ricerca a destra, trovarlo e cliccare in basso a sinistra: “cancella l’utente”.
Così facendo avremo risolto il problema.
Posso rispondere a Leva tramite il link di Limesurvey allegato alla mail?
No. Federico aveva messo a disposizione un link nella mail che rimandava ad un form per gestire in maniera più semplice e automatizzata le risposte delle aziende che gli sarebbero arrivate, tuttavia il suo account è stato bannato e quindi il form non è più disponibile.
Perché Leva ha mandato la mail?
Per sapere la risposta di questa domanda bisognerebbe chiederla direttamente a Federico, e così è successo nella breve video intervista che Matteo Flora gli ha fatto sul suo canale YouTube. Quando viene chiesto al protagonista di questa vicenda il motivo del suo gesto lui risponde che il fine è di carattere informativo, e il suo scopo era quello di mettere a conoscenza le persone dei loro diritti.
Ovviamente dietro a tutto questo c’è un ragazzo che si batte attivamente contro i software proprietari, in questo caso un software ospitato dall’azienda Google.
«Non è un mistero che non sia un fan di Google Analytics. Sono stato sorpreso positivamente dal provvedimento del Garante, che ha detto di concedere 90 giorni di tempo alle persone per svegliarsi e poi vedremo cosa fare. Molte persone non hanno idea che Google Analytics sia in contrasto con il GDPR e per questo ho avuto questa idea: ho pensato banalmente di informare le persone di questo provvedimento. Per questo ho inviato la famosa mail: così le persone possono sapere che potranno esercitare i loro diritti. La richiesta di rimozione mi è sembrata abbastanza pacifica e facilmente risolvibile».
Come rispondo alla mail di Federico Leva?
Il nostro consiglio è rispondere alla mail chiedendogli il suo Client ID e ottemperando alla sua richiesta, quindi confermando la cancellazione da Google Analytics dei suoi dati personali come abbiamo fatto vedere nella FAQ precedente. Teniamo a mente che si tratta di un privato cittadino che chiede di assolvere agli adempimenti legati ad uno suo diritto, non c’è ragione di negarglielo.
Quanti giorni ho per rispondere?
Abbiamo un limite di 31 giorni per rispondere alla richiesta di Leva. Tuttavia, come abbiamo detto in precedenza, la finalità di Federico non è quella di far sì che una quantità elevatissime di aziende italiane si attivino con urgenza per risolvere un suo problema, bensì quella di informare le persone che GA Universal è illegale con tutto quello che ne consegue.
Devo rimuovere Google Analytics?
Per adesso il Garante ha invitato tutti i gestori italiani di siti web a monitorare la conformità delle modalità di utilizzo dei cookie e altri strumenti di tracciamento utilizzati, con una nota di riguardo nei confronti di Google Analytics e ad altri servizi simili. Perciò finora sembrerebbe solo un ammonimento nei confronti di quelle realtà che utilizzano, attraverso i propri siti, i dati personali degli utenti.
Se imposto l’anonimizzazione dell’IP di Google Analytics sono in regola?
No. Nonostante l’indirizzo IP anonimizzato, una volta trasferiti negli Stati Uniti, i dati cosiddetti anonimi possono essere “cambiati” con ulteriori informazioni personali. Questo, infatti, non impedisce a Google di re-identificare l’utente.
Come posso evitare problemi simili in futuro?
La situazione a riguardo non è delle più limpide però, oltre a passare a GA4, si possono fare delle altre piccole cose fondamentali. Per esempio controllare che il proprio server web risieda in UE, oppure attivarsi nei confronti del tracciamento server side. Quest’ultimo non è detto che sia in conformità con il garante, ma è una strada fondamentale per avere un controllo maggiore sui nostri dati.
Conclusioni
Oltre a rispondere a Leva, è assolutamente importante sbarazzarsi il prima possibile di Google Analytics Universal dal vostro sito web. Il garante si è espresso in modo chiaro: questo servizio è stato dichiarato non sicuro per la tutela dei diritti personali e quindi è illegittimo e va rimosso.
La cosa immediata da fare perciò è cercare di passare con una certa urgenza alla nuova versione del software: GA4.
Infatti, anche se il garante ci deve ancora aggiornare su questa nuova versione, GA4 non raccoglie o archivia gli indirizzi IP degli utenti. Ciò è estremamente rilevante nell’ottica in cui il regolamento generale sulla protezione dei dati (GDPR) considera l’IP di un utente come un dato personale. Inoltre, non dimentichiamoci anche la novità della gestione della data retention, ovvero la possibilità di impostare quanto a lungo i dati raccolti dal tool rimarranno disponibili (da 2 a 14 mesi).
Insomma, la nuova frontiera di Google ci offre numerosi sistemi per la gestione della privacy utente che sembrano essere la strada più percorribile in questa direzione.
grazie. chiarissimo
Una curiosita’, come fa un navigatore web a sapere il client id che Google attribuisce a ciascuno di noi? Dovrebbe essere un dato interno ad Analytics, visibile cioe’ solo a coloro che accedono alla dashboard del proprio sito (o di quello che gestiscono).
GRAZIE delle info, ma onestamente non trovo quanto spiegato nel mio google analitycs che per inciso nemmeno risulta un ingresso “finlandese”, ma questo percorso Google Analytics > User Explorer, non esiste sul mio profilo. Oltra al fatto che mi chiedo come sia possibile cancellare in generale i profili pregressi.