Cosa fare con la mail di Federico Leva su Analytics e GDPR

Indice

Negli ultimi giorni, decine di migliaia di utenti hanno ricevuto una mail con il seguente oggetto: “Uso illegittimo di Google Analytics: richiesta di rimozione ex art. 17 GDPR”, inviata da Federico Leva.

Tale evento è una diretta conseguenza della pronuncia del garante della privacy italiano, che ha definito illegittimo l’uso di Google Analytics a causa del trasferimento dati all’estero (USA). Ma chi è Federico Leva e perché la sua richiesta è più che legittima? Ma, soprattutto, come dobbiamo comportarci ora?

Chi è Federico Leva?

Intervistato sul suo canale YouTube da Matteo Flora, docente universitario e divulgatore, Federico Leva, dichiara di essere originario di Milano e di vivere a Helsinki da 5 anni, dove lavorerebbe in campo software. Si definisce “un attivista della conoscenza libera e dei software liberi digitali”.

 “Non è un mistero che non sono fan di Google Analytics, in quanto software proprietario ospitato da un’azienda, Google, che ha una serie di problemi giuridici dovuti alla sua presenza negli USA. – dice a Matteo Flora – Sono stato sorpreso positivamente dal provvedimento del Garante della Privacy, che ha detto: diamo 90 giorni di tempo alla gente per svegliarsi, poi vedremo cosa fare. E’ un’affermazione abbastanza impegnativa. Per quanto non sia una sorpresa che Google Analytics sia in contrasto con il GDPR, la maggior parte delle persone leggono informazioni solo su Google e non hanno minimamente idea di questo problema.”

Ha poi aggiunto: “Ho pensato, quindi, di informare i cittadini su questo provvedimento. Infatti, gli utenti possono esercitare il diritto di chiedere l’accesso ai propri dati e la loro rimozione da un sito web. La mia richiesta mi è sembrata pacifica, in quanto facilmente giustificabile e risolvibile. Rimuovere Analytics e sostituirlo con altri tool è piuttosto facile. Mando questo messaggio non perché io sia un imperativo morale, ma perché penso sia un diritto dei cittadini.”

Federico Leva ha ragione?

La mail di Federico Leva è legittima e rappresenta un invito alle aziende a smettere di utilizzare il tool e rimuovere i dati dell’utente entro 90 giorni, come indicato dal Garante della Privacy.

In sostanza, i siti web che utilizzano Google Analytics 3 senza le garanzie previste dal Regolamento UE, violano la normativa GDPR, poiché trasferiscono i dati degli utenti negli USA, Paese senza adeguato livello di protezione.

Leva ha provveduto ad un invio massivo di e-mail invitando i riceventi a rispondere tramite la piattaforma LimeSurvey oppure tramite una semplice risposta via mail. Tale metodologia, tuttavia, resta molto ai limiti della stessa normativa, in quanto Leva ha caricato sulla piattaforma dei dati – raccolti in che modo? – senza il consenso esplicito degli utenti. Di conseguenza, lo stesso LimeSurvey, dopo il polverone causato dal suo invio, ha provveduto a chiudergli l’account.

L’unico errore nella sua richiesta, invece, è stato quello di non aver fornito il proprio Client ID, dato necessario al fine dell’eliminazione dei dati riguardante un utente su Google Analytics.

Cosa fare quindi per non avere problemi?

Questa vicenda ha portato alla luce numerosi interrogativi nei gestori di siti web e nelle aziende, destando preoccupazione e perplessità riguardo le misure da attuare.

In sintesi, se si è ricevuta la mail di Federico Leva, restano solamente due opzioni:

  • Cancellare i suoi dati dal vostro Google Analytics: potete rispondere alla mail chiedendogli il suo User ID per poi procedere
  • Rimuovere Google Analytics 3 dal vostro sito e sostituirlo con un altro tool.

E per chi possiede Google Analytics 4? La questione, al momento è molto complessa. Infatti, da una parte, nascondendo l’IP degli utenti, non dovremmo incorrere in problemi. Tuttavia, a livello europeo, sappiamo già che ci sono dei procedimenti attivi a cui Google dovrà rispondere e bisognerà, quindi, vedere come si muoverà il Garante. Al momento, consigliamo di procedere nell’utilizzo Google Analytics 4 ma di consultare i propri legali e DPO e, eventualmente, trovare alternative valide.

Richiedi informazioni