Richiesta di rimozione di Google Analytics ex art. 17 GDPR

Questa pagina fornisce informazioni aggiuntive per chi ha ricevuto un mio messaggio a oggetto “Uso illegittimo di Google Analytics: richiesta di rimozione ex art. 17 GDPR”.

Modalità di risposta

Poiché molti titolari del trattamento hanno preferito rispondere per posta elettronica, per evitare ridondanze non è al momento disponibile la modalità di risposta tramite modulo. Mi scuso per il disagio.

Resta possibile rispondere per posta elettronica direttamente all’indirizzo domande@leva.li come precedentemente indicato.

Approfondimenti

Tutte le informazioni necessarie sono disponibili nel provvedimento formale del Garante. Di seguito si forniscono alcune risorse aggiuntive.

• Google: Garante privacy stop all’uso degli Analytics. Dati trasferiti negli Usa senza adeguate garanzie; Google Analytics, Scorza: “Ecco cosa devono sapere le aziende”
• Regolamento (UE) 2016/679
• EDPB: RGPD: linee guida, raccomandazioni e migliori prassi; linee guida sull’esercizio dei diritti
• NOYB: esercizio art. 17; 101 Complaints on EU-US transfers filed
• Ciao Internet con Matteo Flora: Google Analytics vietato - analizziamo il problema con Guido Scorza del Garante
• Alternative a Google Analytics
  • Suggerimenti CNIL; domande frequenti e informazioni sugli identificativi univoci.
  • Software libero: Matomo, Plausible Analytics, GoatCounter
• Strumento per verificare che il proprio sito sia pulito: webbkoll. Inserire il dominio e verificare nelle sezioni “Cookies” e “Third-party requests” che siano assenti GA, “Analytics (Google)” ecc.

Dicono di noi

• “Soluzioni poche, a parte disinstallare Analytics, installare Matomo o fingersi morti (eh…) […] Matteo Flora ci spiega benissimo perché (con intervista a Federico, che avremo il piacere di conoscere).” (Veronica Scaletta)
• “La mail, con tutto il rispetto per un interessato che chiede tutela, toglie e aggiunge poco rispetto a quanto deciso già precedentemente. […] La richiesta è fondata se, dentro casa del titolare del trattamento, ci sono dei dati del richiedente. E allora bisognerà accogliere quanto viene fatto notare nella mail. Non vedo grande spazio per il grigio: la richiesta va adempiuta. Forse per evitare di incorrere in richieste simili e portarsi avanti con il lavoro, si potrebbero accorciare i tempi di retention di determinati dati.” (Guido Scorza)
• “Ma se gli obiettivi e i moventi sono indiscutibili, le modalità di presentazione dell’iniziativa e di conduzione dell’azione, invece, sono state argomento di ampia ed affollata discussione non esente da critiche.” (Stefano Gazzella)
• “Argomentazioni, occorre dirlo, piuttosto robuste. Per questo motivo, è il caso che chi abbia ricevuto la mail di Federico Leva, dia una risposta entro i termini di legge.” (Giuseppe Croari)
• “Per cui il mio consiglio (non legale) è di rispondere (educatamente) ad una sua legittima richiesta.” (Alessandro De Marchi)
• “Nota personale: ho trovato interessante vedere in che modo, decisamente organico Google Analytics raccoglie i nostri dati. Da qui ne nasce una riflessione che mi fa dire che forse, l’azione di Federico, per quanto “Rumorosa” sia stata altamente sensibilizzante.”
• “La buona notizia è che rispondere in maniera opportuna a questa email è molto facile. A primo impatto può sembrare un labirinto pieno di insidie e per giunta con i tombini semi aperti. Ma posso assicurare che è molto meglio ricevere un’e-mail di Federico Leva da Helsinki che vi chiede di rimuovere i suoi dati da Google Analytics, che una raccomandata verde da parte del Garante.” (Matteo Z.)
• “Ci dissociamo da tutte quelle assurdità che Federico si è trovato a ricevere, anche se doveva aspettarselo visto quanto ha sollevato non limitandosi a chiedere di fare valere suoi diritti nel modo giusto.”
• “Come diversi professionisti stanno argomentando efficacemente sul web, infatti, il mittente di quelle email, Federico Leva, sta semplicemente esercitando un suo diritto.” (Infoesse)
• “L’idea del form è quindi molto buona ed agevola i Titolari nei loro adempimenti, ma probabilmente sarebbe stato meglio se questi non fossero presenti su un sito.” (Giancarlo Butti)
• “La richiesta ha comunque il pregio di incrementare i livelli di attenzione di molti titolari del trattamento su una questione di tutto rilievo.”
• “Per quanto riguarda la mail inviata in modo automatico da Federico Leva, come da lui ammesso in una intervista pubblica, era puramente a scopo divulgativo.” (Ernesto Falcone)
• “Attenzione! Non è così e la richiesta non va sottovalutata per il solo fatto che, se ignorata, apre la strada ad un reclamo al Garante, che – ha già fatto sapere – presterà molta attenzione alle segnalazioni degli interessati per arginare l’illecito trasferimento di dati, aprendo indagini ed istruttorie.” (Spazio88)

Alcune risposte ricevute

• “Grazie per la campagna di sensibilizzazione, ci dispiace che tu abbia visitato il nostro sito prima che rimuovessimo Google Analytics. Ad ogni modo i tuoi dati sono stati rimossi, insieme a quelli di tutti gli altri utenti (abbiamo deciso di rimuovere completamente ogni dato di ogni utente).”
• “La ringrazio per la trattazione ben argomentata ed articolata e la segnalazione sulle criticità di Google Analytics. Ho provveduto a richiedere a Google l’eliminazione di tutti i dati registrati dal 20 giugno ad oggi. Ho altresì attivato il blocco degli indirizzi ip da lei indicati.”
• “Salve, come da sua richiesta abbiamo provveduto alla cancellazione dei suoi dati da Google Analytics e rimosso tale strumento dal sito web.”
• “Evidenzio che non ho avuto modo di distinguere i suoi dati tra tutti gli altri […], pertanto la informo che ho provveduto a far cancellare tutti i dati di qualunque tipo presenti in Google Analytics, e a far rimuovere tutto quanto dai server Google in modo che non rimanesse niente di niente…”
• “In riferimento alla sua segnalazione riguardante l’utilizzo di Google Analytics sul sito [omissis] si dichiara che tale componente è stato disinstallato dal sito in oggetto e che abbiamo, al meglio delle nostre possibilità tecniche, provveduto alla cancellazione dei dati.”
• “La ringrazio per la notifica. Ne ho approfittato per eliminare tutti i dati raccolti e sospendere l’attività di raccolta e analisi di Google Analytics.”
• “La ringrazio per la sua mail. Abbiamo provveduto ad aggiornare il sito escludendo google analytics ed eliminando il backup.”
• “La ringrazio per la segnalazione, e ci tengo ad informarla, non solo di aver provveduto alla cancellazione dei dati che gli interessano, ma anche di tutti gli utenti e gli accessi registrati sul sito web in questione.”
• “[Il sito] non è più collegato a Google Analytics. […] È già stata inviata a Google la richiesta di eliminazione di tutti i dati acquisiti tramite il servizio Google Analytics e riguarda tutti gli utenti [del sito] (compresa quindi la sua utenza). Nel ringraziarla per la sua segnalazione, mi auguro che possa continuare a utilizzare in futuro [il sito] sapendo che la privacy degli utenti è la nostra priorità.”

Testo della richiesta originaria

Oggetto: Uso illegittimo di Google Analytics: richiesta di rimozione ex art. 17 GDPR

Spettabile titolare del trattamento dei dati personali, spettabile responsabile della protezione dei dati,

Vi scrivo in quanto utente del sito $SITO per richiedere la rimozione dei miei dati personali, in forza dell’art. 17 (“Diritto alla cancellazione”) del regolamento UE 2016/679. Vogliate cortesemente rispondere entro 31 giorni dalla ricezione della presente per confermare l’ottemperanza, come precisato di seguito.

Il vostro sito incorpora Google Analytics, che provvede a trasferire i dati personali di tutti i vostri visitatori a Google negli USA. Con provvedimento del 9 giugno 2022 (9782890), ciò è stato dichiarato illegittimo dall’Autorità Garante per la protezione dei dati personali, come annunciato nel comunicato stampa “Google: Garante privacy stop all’uso degli Analytics. Dati trasferiti negli Usa senza adeguate garanzie”. Il Garante «invita tutti i titolari del trattamento a verificare la conformità delle modalità di utilizzo di cookie e altri strumenti di tracciamento utilizzati sui propri siti web, con particolare attenzione a Google Analytics e ad altri servizi analoghi, con la normativa in materia di protezione dei dati personali», e fissa un termine di 90 giorni passati i quali procederà a ulteriori verifiche. https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9782874

Guido Scorza, componente del Garante, ha ulteriormente illustrato il provvedimento nell’intervista con Matteo Flora “Google Analytics vietato - analizziamo il problema”. L’uso di Google Analytics è illegittimo anche in quanto ogni finalità legittima può essere soddisfatta da software libero ospitato in UE e atto a un corretto trattamento dei dati personali, come Matomo, Plausible Analytics o altri raccomandati dall’Autorità francese CNIL, mentre nessuna versione o configurazione di Google Analytics può garantire di non trattare i dati personali in modo illecito.

Alla luce di quanto sopra:

1. preciso che i dati personali oggetto della presente richiesta sono quelli derivanti dalla mia visita del vostro sito nei giorni scorsi, identificabili dal mio indirizzo IP [omissis] e user-agent (“Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/76.0.3803.0 Safari/537.36”), e ogni dato connesso o derivante dagli stessi;
2. richiedo la cancellazione di tali dati personali dai sistemi informativi del vostro responsabile del trattamento e dagli eventuali backup e ovunque essi siano stati trasmessi a causa del vostro uso di Google Analytics, in quanto: a) tale trattamento è illecito e b) tali dati personali non sono necessari a eventuali finalità legittime, come sopra descritto; c) nella misura in cui il trattamento potesse eventualmente essere lecito in forza di un mio consenso, nego di aver prestato il mio informato e valido consenso, che in ogni caso revoco espressamente con la presente; d) qualora i dati fossero asseritamente trattati sulla base di un legittimo interesse, la presente assume valore di opposizione al trattamento oltre che di richiesta di cancellazione;
3. in particolare richiedo la rimozione di qualsiasi registro o copia dei dati personali di cui sopra da parte di Google e ogni altro responsabile di tale trattamento o altro soggetto che li abbia ricevuti, compresi tutti i dati inviati dal mio browser al momento della visita, nonché qualsiasi versione pseudonimizzata dei medesimi e qualsiasi dato aggregato riconducibile ai medesimi o ad altri miei dati personali, come la classificazione in coorti o qualsiasi tipo di identificativo univoco;
4. richiedo altresì, in forza dell’art. 18(1)(d) del regolamento 2016/679, di interrompere immediatamente ogni trattamento di tali dati personali connessi al mio uso passato e futuro del vostro sito, ad esempio provvedendo alla completa rimozione dallo stesso di Google Analytics (in qualsiasi versione e configurazione) e interrompendo ogni uso dei dati prodotti da Google in relazione agli utenti del vostro sito;
5. ove lo riteneste necessario, mi dichiaro disponibile a fornire ulteriori dati utili a identificarmi come la persona a cui fanno riferimento i dati personali di cui sopra, come l’indirizzo IP esatto e la data e ora della visita più recente, nonché i cookie e altri identificativi esibiti da Google in corrispondenza della stessa;
6. richiedo di rispondere a quanto sopra primariamente tramite il modulo collegato sotto, fornito tramite software libero LimeSurvey ospitato in UE (e rispettoso della privacy), entro 31 giorni dalla ricezione della presente; il mio indirizzo di posta elettronica per questa materia è domande@leva.li.

In fede,

Federico Leva

Helsinki, 29 giugno 2022