Musica
Libri
Teatro
Cinema
Personaggi
LifeStyle

Musica
Libri
Teatro
Cinema
Personaggi
LifeStyle

Federico Leva e il suo imperativo categorico kafkiano

Federico Leva

Dal 29 Giugno scorso, Federico Leva (attivista, sviluppatore e consulente ICT di Milano/Helsinki), è emerso nei trend di Google come termine di ricerca per una sua particolare iniziativa.

Federico Leva e la mail su Google Analytics

Forse lo sai già in quanto anche tu hai cercato il suo nome su Google dopo aver ricevuto questa mail da parte sua…

Se anche tu hai ricevuto questa mail che ha per oggetto un possibile uso illegittimo di Google Analytics da parte tua (o meglio del tuo sito) e la richiesta di rimozione ex art. 17 GDPR, non preoccuparti, sei in buona compagnia! 😉

Non è né una mail di scam né una truffa. Non è neanche spam, anche se sì è un invio massivo: è una richiesta effettuata da una vera persona (tante volte, forse troppe volte, ma effettuata da una persona reale).

In effetti quella di Federico Leva è una richiesta legittima (di assolvere a un suo diritto), che può fare ognuno di noi, e la reazione più semplice è ok, rimuovo i suoi dati e gli do conferma di averlo fatto (non serve però compilare il suo form on line, linkato nella suddetta mail, per farlo ma si può semplicemente utilizzare l’indirizzo email da lui indicato nel testo del messaggio).

La richiesta di cancellazione dei propri dati personali è qualcosa di lecito e corretto ed è previsto dal GDPR. La richiesta di cancellazione dei dati non dipende dalla recente pronuncia su Google Analytics del Garante Italiano, Federico Leva avrebbe potuto chiedere la suddetta cancellazione dei propri dati per qualsiasi software utilizzato dal titolare del sito, senza dover giustificare la richiesta.

Sia che i suoi dati siano trattati da Google Analytics o con altri strumenti fuori dall’Unione Europea, ma anche in UE.

La cancellazione dei dati deve essere totale (quindi anche se sono stati salvati in altri database o altre piattaforme a parte Google).

La richiesta di risposta con l’avvenuta cancellazione dei dati entro un mese dalla sua domanda è corretta anch’essa, poiché è quanto previsto dal GDPR.

Se utilizzi Google Analytics non “anonimizzato” sul tuo sito, sei quindi tenuto alla cancellazione dei suoi dati. In caso contrario saresti passibile di sanzione per il trattamento illecito di dati personali (l’IP completo è infatti a tutti gli effetti un dato personale).

Se invece utilizzi Google Analytics “anonimizzato” ovviamente non puoi procedere alla cancellazione dei suoi dati personali perché non sono in tuo possesso, ma devi comunque rispondere alla sua mail e spiegarlo.

Qualsiasi soggetto per il quale trattiamo dati personali (in qualità di Titolari del Trattamento) è definito dal GDPR “interessato”.

L’interessato ha diritto a sapere/chiedere:

  • quali suoi dati personali trattiamo;
  • la cancellazione dei suoi dati;
  • la portabilità dei suoi dati.

Una delle poche eccezioni all’esatto adempimento della richiesta è quella di opporre un legittimo interesse al trattamento del dato. In altre parole possiamo non cancellare un dato perché c’è un interesse superiore al suo mantenimento. 

Il caso classico è quello dei dati legati alla fatturazione di una prestazione. Anche a fronte di una richiesta da parte del cliente (interessato) possiamo mantenere quei dati per 10 anni (periodo entro il quale possiamo avere una verifica fiscale sui pagamenti).

Il Client ID

Una cosa ha però sbagliato Federico Leva nella sua mail: non ci ha mandato il suo Client ID, necessario per rimuovere i suoi dati dal nostro Google Analytics.

Il Client ID ci permette di identificare gli utenti unici su Google Analytics.

È una istanza di browser o dispositivo che è salvato all’interno del cookie.

Non si può effettuare la rimozione dei dati in base al suo IP, in quanto non v’è certezza che lui lo utilizzi in maniera esclusiva, non possiamo assumerci questa responsabilità.

Dobbiamo quindi richiedergli il suo Client ID e, con quello in mano, possiamo essere certi di rimuovere i SUOI dati.

Basta andare in Google Analytics, Audience / Pubblico, User Explorer / Esplorazione Utente e qui possiamo cercare l’utente proprio inserendo il suo Client ID nel campo a destra della “ricerca avanzata”.

Una volta identificato con il Client ID, è possibile cancellarlo cliccando semplicemente sul tasto Delete User.

Federico Leva sta infatti facendo questo lavoro per mettere in evidenza una problematica reale dei nostri giorni ma ha senso mandare richieste di questo genere e in questo modo così massivo?

DECINE DI MIGLIAIA di richieste di cancellazione dati sono infatti arrivate ad altrettante aziende italiane.

Spesso le suddette richieste non vengono però indirizzate agli indirizzi email riportati nelle informative del sito visitato oppure non vengono utilizzati i form on line che i Titolari del Trattamento dei Dati hanno predisposto, appunto nel loro sito, per l’esercizio dei diritti degli interessati.

L’esercizio dei nostri diritti è una cosa seria e tutela le libertà dei singoli ma una campagna massiva di questo genere, seppur con obiettivi di sensibilizzazione (effettuata verosimilmente con sistemi di “interrogazione/chiamata dei siti web” automatici) potrebbe configurarsi, paradossalmente, proprio come spam. E ottenere quindi il risultato opposto a quello prefissatosi.

LimeSurvey

Non a caso il sistema utilizzato da Federico Leva, per le sue richieste, ossia LimeSurvey, ha oggi bloccato la sua Survey.

Forse ha sbagliato ad utilizzare questo sistema, per formulare quella che rimane una sua legittima richiesta.

Certo, lo ha fatto in quanto così può gestire in modo automatizzato una valanga di dati senza troppo stress.

Ma così ha caricato i dati delle varie aziende e dei loro siti su LimeSurvey per spedire la sua mail, ha quindi fatto un caricamento massivo dei dati senza autorizzazione preventiva da parte degli interessati.

Evidentemente ci sono stati numerosi reclami e LimeSurvey ha chiuso il suo account per abuso dei termini d’uso.

Comunque per rispondere alla sua richiesta nel testo della sua comunicazione ha indicato anche un indirizzo email che si può ancora utilizzare (domande@leva.li).

Dal lato del Titolare del Trattamento dei Dati, è corretto verificare le impostazioni di Google Analytics sul proprio sito e valutarne l’eventuale disabilitazione temporanea, in attesa di una possibile soluzione politica del problema o sostituirlo con un altro tool meno invasivo.

Se il tuo sito incorpora Google Analytics, che provvede a trasferire i dati personali di tutti i tuoi visitatori a Google negli USA, devi infatti tenere presente che, con provvedimento del 9 giugno 2022 (9782890), ciò è stato dichiarato illegittimo dall’Autorità Garante per la protezione dei dati personali.

Come annunciato nel comunicato stampa “Google: Garante privacy stop all’uso degli Analytics. Dati trasferiti negli Usa senza adeguate garanzie”.

Il Garante «invita tutti i titolari del trattamento a verificare la conformità delle modalità di utilizzo di cookie e altri strumenti di tracciamento utilizzati sui propri siti web, con particolare attenzione a Google Analytics e ad altri servizi analoghi, con la normativa in materia di protezione dei dati personali», e fissa un termine di 90 giorni passati i quali procederà a ulteriori verifiche.

D’altro canto, un’istanza di questo tipo è poco circostanziata e non garantisce la verifica della provenienza (che è principio fondamentale del diritto amministrativo elettronico). Quindi, non sarebbe probabilmente in grado di avviare un procedimento amministrativo.

Allo stesso tempo non possiamo considerare non valida la richiesta (legittima) di Federico Leva in quanto non ci è arrivata a mezzo PEC.
Il Garante non sancisce che le richieste di tal genere avvengano a mezzo PEC.

Sono solo le Pubbliche Amministrazioni che pretendono di richiedere le nostre comunicazioni a mezzo PEC e allegando un nostro documento d’identità valido.

Cosa prevede il GDPR

Chiunque può richiedere la cancellazione dei propri dati personali al Titolare del Trattamento di un sito web.

La richiesta può essere indirizzata alla mail indicata nella privacy policy e ognuno di noi è tenuto a verificare periodicamente le eventuali richieste pervenute a questa mail.

In caso di mancata risposta entro 30 giorni a una richiesta di cancellazione dei dati, siamo passibili di una sanzione da parte del Garante della Privacy.

Questa sanzione, non automatica, può essere comminata solo a seguito di una segnalazione da parte dell’interessato al Garante stesso.

Cosa può fare Federico Leva

Può agire per la tutela dei suoi dati personali con una segnalazione al Garante della Privacy solo nel caso in cui tu effettivamente stia trattando dati personali e non ottemperi alla sua richiesta di cancellazione entro 30 giorni.

Quindi, se non hai raccolto e trattato il suo IP, anche a fronte di una sua segnalazione al Garante della Privacy, non potrai essere passibile di una sanzione.

Cosa non devi fare con la mail di Federico Leva

Pensare che Federico Leva sia un fake o uno spammatore e che non terrà traccia delle tantissime richieste che ha fatto. Questo non puoi saperlo con certezza, mentre puoi essere certo che rispondere a una richiesta di cancellazione dei dati personali effettuata da un interessato è un obbligo di legge.

Non rispondere alla richiesta pensando di poterti giustificare sostenendo di non aver ricevuto la comunicazione o affermando che la mail è finita nello spam. È un obbligo del Titolare del Trattamento gestire tutte le richieste ricevute, controllare l’indirizzo email indicato sul sito, verificare se qualche mail di richiesta è finita nello spam.

Pensare di non avere il problema in quanto utilizzi un tool di raccolta dei consensi sull’utilizzo dei cookie come CookieBot o Iubenda. Questi sono strumenti utilizzati per bloccare i cookie statistici e profilanti fino all’eventuale raccolta del consenso dell’utente al loro utilizzo. La richiesta di Federico Leva riguarda la raccolta e il trattamento dei suoi dati personali con Google Analytics.

Cosa dobbiamo fare dunque con la mail ricevuta da Federico Leva?

Sentiamolo direttamente dal suo autore!

Federico Leva intervistato da Matteo Flora su #CiaoInternet

Perché lo hai fatto?

Federico Leva: «Non è un mistero per nessuno che non sono un fan di Google Analytics, in quanto è un software proprietario ospitato da un’azienda, Google, che ha tutta una serie di problemi giuridici per il fatto di avere la sua sede principale negli Stati Uniti e anche per quella che è la sua attività principale collegata all’Hard Tech.

A parte questo sono stato un po’ sorpreso (positivamente) dal decreto del Garante. Nel suo comunicato stampa ha detto chiaramente: diamo 90 giorni di tempo alla gente per svegliarsi e poi vedremo che cosa fare.

Per quanto non sia una sorpresa che Google Analytics sia, molto probabilmente, in contrasto con la GDPR (si poteva prevederlo già nel 2016, quando è stato provato) la maggior parte delle persone ricevono informazioni da Google e non avevano idea di questo problema.

Allora mi sono banalmente chiesto: come faranno tutte queste persone che usano Google Analytics e che, dal 6 Giugno, sono potenzialmente non a norma?

Aspettano di scoprirlo dal Garante se gli manda qualche atto ispettivo?

Non mi sembra una cosa simpatica e molto efficiente se il Garante si mette a inseguire centinaia di migliaia di titolari dei dati per risolvere questo problema.

Idealmente dovrebbe risolverlo Google ma sappiamo che questo non succederà.

Quindi ho pensato banalmente di informare le persone di questo provvedimento.

Se uno legge il regolamento, il sistema con cui i cittadini possono dire alle persone che stanno facendo qualcosa di illecito è esercitare i propri diritti, uno dei quali è la richiesta di accesso ai dati, che è però un po’ tignosa, e un altro è la richiesta di rimozione.

La richiesta di rimozione mi è sembrata abbastanza pacifica nel senso che è facilmente giustificabile e soprattutto facilmente risolvibile dal destinatario.  

Rimuovere Google Analytics è sostituirlo con un altro tool, che secondo me è la cosa più furba, più semplice e più importante, è abbastanza facile da fare.

Io parlo da un punto di vista di imperativo categorico kafkiano: io mando questo messaggio non perché io sia più importante degli altri e quindi sia un imperativo morale che le persone si muovano per risolvere un mio problema, ma perché penso che questo sia un diritto dei cittadini.

Quindi il modo più facile per rispettare questo diritto di tutti i cittadini (e di evitare simili richieste in futuro) è di non usare più Google Analytics

Qui puoi anche scaricare un’utile guida di Legal For Digital su questo argomento (L’uomo che fa tremare il web: Federico Leva).

Quindi cosa facciamo con la mail di Federico Leva?

  1. Cancelliamo i suoi dati come spiegato all’inizio dell’articolo.
  2. Rimuovere Google Analytics 3 (se non volete ricevere altre richieste del genere o eventuali notifiche ispettive dal Garante Italiano).

E qui si apre una questione complessa: Google Analytics 4 (Google sta per passare di base a questa nuova versione che, se settata al meglio, permette di anonimizzare gli indirizzi IP).

Magari ne riparliamo in un altro articolo!  😉

Seguici su Google News.

Miriam Bendìa
Tra un viaggio e l’altro, vive a Roma. Ha scritto un pugno di libri. Come Philippe Daverio, sostiene che la vita con l'arte talvolta migliora l'arte della vita. Sogna molto, la notte. E ha imparato, al risveglio, a fidarsi delle proprie visioni oniriche.

Articoli Correlati

Microrobot batterici: il futuro della robotica per sconfiggere il cancro

Microrobot batterici: il futuro della robotica per sconfiggere il cancro

Batteri modificati con elementi artificiali, controllabili a distanza grazie a campi magnetici: sono in grado di invadere il tessuto tumorale…
Apolide Festival 2022: Nature, Music and Circus

Apolide Festival 2022: Nature, Music and Circus

Quattro giorni no-stop immersi nella natura, tra i boschi nel cuore del Piemonte. Un’esperienza unica e magica, un viaggio tra…

Contenuti