Federico Leva: Uso illegittimo di Google Analytics: richiesta di rimozione ex art. 17 GDPR

Negli ultimi giorni sono migliaia le caselle mail che hanno ricevuto un messaggio con oggetto "Uso illegittimo di Google Analytics: richiesta di rimozione ex art. 17 GDPR" da parte di Federico Leva. Vediamo cosa si può fare.
Federico Leva: Uso illegittimo di Google Analytics: richiesta di rimozione ex art. 17 GDPR
Negli ultimi giorni sono migliaia le caselle mail che hanno ricevuto un messaggio con oggetto "Uso illegittimo di Google Analytics: richiesta di rimozione ex art. 17 GDPR" da parte di Federico Leva. Vediamo cosa si può fare.


Nelle ultime 24 ore le email da Federico Leva inviate tramite limesurvey.org ricevute da utenti in tutta Italia sono migliaia, ma cosa si può fare?

Le recenti problematiche rilevate dal Garante della Privacy che vedono il trattamento dei dati di Google Analytics non conformi, hanno portato alla nascita di questa "specie di sensibilizzazione" degli utenti alla gestione dei dati e della Privacy delle persone che si trovano a navigare sulle pagine dei siti internet.

Molti utenti ci stanno segnalando la ricezione di questa email da parte di Federico Leva, inviata tramite limesurvey.org, l’email con il testo che vi alleghiamo sotto fa pesantemente leva alle ultime notizie al riguardo dei trattamenti dei dati di Google Analytics, ma cosa succede?

Il testo della email di Federico Leva con oggetto "Uso illegittimo di Google Analytics: richiesta di rimozione ex art. 17 GDPR"

Oggetto: Uso illegittimo di Google Analytics: richiesta di rimozione ex art. 17 GDPR Data: Wed, 29 Jun 2022 07:09:50 +0000 Mittente: Federico Leva Rispondi-a: Federico Leva Spettabile titolare del trattamento dei dati personali, spettabile responsabile della protezione dei dati, Vi scrivo in quanto utente del sito ……….. per richiedere la rimozione dei miei dati personali, in forza dell’art. 17 (“Diritto alla cancellazione”) del regolamento UE 2016/679. Vogliate cortesemente rispondere entro 31 giorni dalla ricezione della presente per confermare l’ottemperanza, come precisato di seguito. Il vostro sito incorpora Google Analytics, che provvede a trasferire i dati personali di tutti i vostri visitatori a Google negli USA. Con provvedimento del 9 giugno 2022 (9782890), ciò è stato dichiarato illegittimo dall’Autorità Garante per la protezione dei dati personali, come annunciato nel comunicato stampa:

“Google: Garante privacy stop all’uso degli Analytics. Dati trasferiti negli Usa senza adeguate garanzie”. Il Garante «invita tutti i titolari del trattamento a verificare la conformità delle modalità di utilizzo di cookie e altri strumenti di tracciamento utilizzati sui propri siti web, con particolare attenzione a Google Analytics e ad altri servizi analoghi, con la normativa in materia di protezione dei dati personali», e fissa un termine di 90 giorni passati i quali procederà a ulteriori verifiche. https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9782874 Guido Scorza, componente del Garante, ha ulteriormente illustrato il provvedimento nell’intervista con Matteo Flora “Google Analytics vietato – analizziamo il problema”. L’uso di Google Analytics è illegittimo anche in quanto ogni finalità legittima può essere soddisfatta da software libero ospitato in UE e atto a un corretto trattamento dei dati personali, come Matomo, Plausible Analytics o altri raccomandati dall’Autorità francese CNIL, mentre nessuna versione o configurazione di Google Analytics può garantire di non trattare i dati personali in modo illecito. Alla luce di quanto sopra:

  1. preciso che i dati personali oggetto della presente richiesta sono quelli derivanti dalla mia visita del vostro sito nei giorni scorsi, identificabili dal mio indirizzo IP (51.158.x.y) e user-agent (“Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/76.0.3803.0 Safari/537.36”), e ogni dato connesso o derivante dagli stessi;
  2. richiedo la cancellazione di tali dati personali dai sistemi informativi del vostro responsabile del trattamento e dagli eventuali backup e ovunque essi siano stati trasmessi a causa del vostro uso di Google Analytics, in quanto: a) tale trattamento è illecito e b) tali dati personali non sono necessari a eventuali finalità legittime, come sopra descritto; c) nella misura in cui il trattamento potesse eventualmente essere lecito in forza di un mio consenso, nego di aver prestato il mio informato e valido consenso, che in ogni caso revoco espressamente con la presente; d) qualora i dati fossero asseritamente trattati sulla base di un legittimo interesse, la presente assume valore di opposizione al trattamento oltre che di richiesta di cancellazione;
  3. in particolare richiedo la rimozione di qualsiasi registro o copia dei dati personali di cui sopra da parte di Google e ogni altro responsabile di tale trattamento o altro soggetto che li abbia ricevuti, compresi tutti i dati inviati dal mio browser al momento della visita, nonché qualsiasi versione pseudonimizzata dei medesimi e qualsiasi dato aggregato riconducibile ai medesimi o ad altri miei dati personali, come la classificazione in coorti o qualsiasi tipo di identificativo univoco;
  4. richiedo altresì, in forza dell’art. 18(1)(d) del regolamento 2016/679, di interrompere immediatamente ogni trattamento di tali dati personali connessi al mio uso passato e futuro del vostro sito, ad esempio provvedendo alla completa rimozione dallo stesso di Google Analytics (in qualsiasi versione e configurazione) e interrompendo ogni uso dei dati prodotti da Google in relazione agli utenti del vostro sito;
  5. ove lo riteneste necessario, mi dichiaro disponibile a fornire ulteriori dati utili a identificarmi come la persona a cui fanno riferimento i dati personali di cui sopra, come l’indirizzo IP esatto e la data e ora della visita più recente, nonché i cookie e altri identificativi esibiti da Google in corrispondenza della stessa;
  6. richiedo di rispondere a quanto sopra primariamente tramite il modulo collegato sotto, fornito tramite software libero LimeSurvey ospitato in UE (e rispettoso della privacy), entro 31 giorni dalla ricezione della presente; il mio indirizzo di posta elettronica per questa materia è Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo..

In fede, Federico Leva Helsinki, 02 luglio 2022

Cosa fare quando si riceve l'email di Federico Leva da Helsinki?

Al momento la situazione non è del tutto chiara. C'è chi lo definisce un paladino dei diritti delle persone, c'è chi lo definisce un furbetto in cerca di notorietà con molto tempo a disposizione.
Non rispondere alla sua mail potrebbe dare il via dopo 30 giorni a un esposto al Garante della Privacy. Cosa che potrebbe portare più grattacapi che altro. Il nostro consiglio è quello di rispondere alla mail (si può rispondere alla mail Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.) con questo messaggio:

Buongiorno Federico, per ottemperare alla sua richieste, secondo norma, le chiediamo di fornirci i riferimenti precisi dei dati da rimuovere. Quelli forniti nella sua mail non risultano essere presenti nei log del nostro sito. Le auguro buona giornata
- nome della persona intestataria del sito -

Non siamo dei legali, quindi il nostro consiglio è da prendere con le pinze, ma sicuramente è un'azione migliore che cestinare l'email ricevuta senza fare niente.


Claudio Marchetti, autore
Claudio Marchetti

Imprenditore nel settore dell'editoria digitale, è co-fondatore del progetto denaro.it. Appassionato di comunicazione e ottimizzazione per i motori di ricerca. Lo sviluppo di denaro.it è stato dettato da una sfida personale nell'andare a creare un nuovo progetto editoriale nel panorama italiano.