Ignorarla NON è la soluzione migliore: ecco cosa sei tenuto a fare e come gestire tutte le richieste di rimozione dei dati.
Innanzitutto, sappi che sei in buona compagnia: dall’inizio di luglio è successo a centinaia di migliaia di professionisti, aziende, proprietari di siti web.
In sostanza, le richieste del sig. Leva sono le seguenti:
- rimuovere i suoi dati personali da Google Analytics
- interrompere ogni trattamento dei suoi dati personali, connessi a sue visite passate e future del sito web.
Chiariamo subito che NON puoi ignorare questa mail: quella di rimuovere i dati dell’interessato è una richiesta lecita e come tale va gestita, nei tempi e nei modi previsti dal GDPR Europeo.
La richiesta del sig. Leva è una conseguenza della Dichiarazione del Garante della Privacy circa Google Analytics?
È bene precisare che per quanto il sig. Leva faccia riferimento al provvedimento del Garante di giugno 2022, non è questo a giustificare la sua email.
Qualsiasi utente può chiedere al titolare del trattamento di un sito web di conoscere quali suoi dati personali vengono trattati e di cancellarli, in virtù del GDPR europeo.
Non si tratta dunque di un “falso” o di semplice “spam” ma di una richiesta legittima, che va gestita correttamente per non rischiare di incorrere in sanzioni.
La richiesta del sig. Leva potrebbe non essere isolata e il suo caso è utile a comprendere, in generale, cosa siamo tenuti a fare e rispondere di fronte ad una richiesta di cancellazione dei dati sia da Google Analytics così come da qualsiasi altro sistema, database o piattaforma (indipendentemente dalla localizzazione degli stessi), da parte di un qualsiasi utente.
Cosa devi fare se ricevi una richiesta di rimozione dati e, soprattutto, cosa rischi se ignori la richiesta?
Nel rispetto del GDPR Europeo, sei tenuto a:
- provvedere alla cancellazione dei dati
- rispondere al richiedente entro 30 giorni dalla richiesta.
Se non dai riscontro entro 30 giorni all’email di richiesta di cancellazione dei dati, rischi una sanzione da parte del Garante della Privacy.
In caso di mancata risposta, il sig. Leva avrebbe infatti il diritto di avviare una segnalazione al Garante stesso.
Ciò, ovviamente, nel caso in cui tu stia davvero trattando dati personali. Se non lo fai (e non lo facevi al momento della sua visita), la sua segnalazione non sarebbe legittima (potresti aver ricevuto la sua email anche nel caso in cui Google Analytics non sia installato sul tuo sito: nel dubbio, verificalo subito).
Ecco un'estratto dell'email del sig. Leva ricevuta da molti proprietari di siti web ad inizio luglio:
Cancellazione dei dati e risposta alla mail del sig. Leva: come procedere?
È possibile che tu abbia ricevuto la mail del sig. Leva anche se non utilizzi Google Analytics; in tal caso, rispondigli comunque utilizzando l’indirizzo fornito da lui stesso per eventuali domande (ossia quello che trovi nel suo sito), fornendo questa informazione.
Se invece lo utilizzi, per prima cosa dovrai verificare con il tuo consulente web se Google Analytics sia anonimizzato o meno.
Se utilizzi Google Analytics NON ANONIMIZZATO, procedi come segue:
- Contatta il sig. Leva via email (all’indirizzo indicato nel suo messaggio ) per richiedere di fornirti i dettagli necessari per provvedere alla cancellazione dei suoi dati da Google Analytics (come suggerito da lui stesso), ovvero: indirizzo IP esatto, data e ora della sua ultima visita, il valore “Client ID” dei cookie e altri identificativi esibiti da Google relativi all’ultima visita.
Ricorda di inserire il riferimento al dominio del tuo sito web.
Se la sua risposta dovesse arrivare oltre i 30 giorni, potresti giustificare il ritardo nella rimozione dei dati a causa dell’assenza delle informazioni necessarie. - Provvedi alla rimozione da Google Analytics dei dati forniti dal sig. Leva. Se non sai come procedere, fai riferimento al tuo consulente web.
- Verifica se i dati in questione sono stati registrati su altri database, piattaforme o su sistemi di backup ed eventualmente provvedi alla rimozione anche da questi.
- Rispondi al sig. Leva (utilizzando nuovamente l’email, e non il modulo da lui linkato) per notificarlo dell’avvenuta cancellazione (entro 30 giorni dalla ricezione della sua prima email).
- Annota all’interno del tuo Registro per le richieste dell’interessato le indicazioni relative a data della richiesta e di gestione della stessa. Il registro ti servirà, in caso di controlli, per dimostrare di aver preso in carico la richiesta e di averla gestita nei 30 giorni previsti dal GDPR (se non hai ancora un Registro per la gestione delle richieste, qui trovi alcuni esempi, direttamente sul sito del Garante della Privacy).
Se invece usi Google Analytics ANONIMIZZATO, poiché ogni installazione potrebbe essere potenzialmente diversa e personalizzata, il nostro consiglio è quello di rispondere al Sig. Leva, chiedendo comunque i dettagli identificativi per provvedere alla cancellazione dei dati, per poi procedere alla verifica degli stessi in Analytics e rimuoverli se presenti.
Non dimenticate, infine, di informare il sig. Leva dell’avvenuta verifica e/o rimozione (anche in questo caso con una semplice mail, senza necessità di fornire in questa sede alcuna prova, all’indirizzo da lui indicato).
Devi rimuovere Google Analytics, come richiesto dal sig. Leva?
Per quanto riguarda la seconda richiesta del sig. Leva (interrompere ogni trattamento dei suoi dati, anche futuro), gli esperti di diritto digitale sottolineano una certa ambiguità: se il sig. Leva dovesse tornare sul tuo sito dopo che hai provveduto alla cancellazione dei suoi dati e decidere di non negare il consenso al trattamento di tutti i dati (attraverso il rifiuto dei cookie), potrebbe ricominciare tutto da capo.
La richiesta di Federico Leva di rimuovere Google Analytics dal tuo sito, invece, non ha alcuna conseguenza: eventuali decisioni di questo tipo dovrebbero essere legate a valutazioni più ampie su privacy e GDPR, oltre che su future pronunce del Garante della Privacy.
Se hai dubbi o necessiti di ulteriori chiarimenti circa la gestione della richiesta di rimozione dei dati da Google Analytics, non esitare a contattarci.
Fonte: Legal for Digital, L’uomo che fa tremare il web: Federico Leva (contenuto per iscritti alla newsletter di Legal for Digital).
