Passa al contenuto

Aziende tra privacy, GDPR e Google Analytics: il caso di Federico Leva

Google Analytics PLINKIl 29 giugno 2022 moltissime aziende italiane hanno ricevuto un’e-mail per la cancellazione dei dati personali da parte di un certo Federico Leva, che ha pensato fosse arrivato il momento per godere finalmente dei suoi 15 minuti di celebrità. La mail con oggetto “uso illegittimo di Google Analytics: richiesta di rimozione ex art. 17 GDPR”, ha scatenato, come prevedibile, diverse reazioni da parte dei destinatari: c’è chi si è immediatamente prodigato nel rispondere all’interessato, chi, preso da un automatismo fin troppo diffuso, ha cancellato la richiesta senza neanche preoccuparsi di leggerne il contenuto, chi, infine, non ne ha neanche avuto la possibilità perché la mail del nostro Federico è finita diretta nello spam.
Tutte reazioni legittime e giustificabili. Perché?

Perché se da un lato è diritto dell’interessato avanzare richieste in merito ai propri dati, dall’altro la modalità con la quale Federico ha agito non è certamente priva di dettagli discutibili. 

Esercitare il proprio diritto sì, ma nel modo giusto

L’attivista, sviluppatore e consulente ICT di Milano/Helsinki, per avanzare richiesta di cancellazione dei propri dati acquisiti tramite il cookie Google Analytics, dopo la sua visita sul sito web dell’azienda destinataria la comunicazione, ha utilizzato LimeSurvey (Mittente: Federico Leva <noreply@limesurvey.org>), un applicativo che permette la realizzazione di questionari e sondaggi online. 

Ha, altresì, provveduto a contattare tutte le migliaia di società inviando loro la stessa mail, con lo stesso testo, tramite il medesimo applicativo, intimando tempistiche entro le quali avere riscontro alla richiesta, erigendosi a paladino della privacy e forse un po’ principe del foro improvvisato. Si tratta di invio massivo.

Ed ecco che il consulente ICT rischia di passare per “quello che fa spam”, mandando comunicazioni indesiderate e di disturbo. 

In secondo luogo, il consulente ICT non si limita a richiedere la cancellazione dei proprio dati acquisiti tramite Google Analytics a seguito di visita su siti web delle malcapitate aziende, ma, proprio perché consulente, fornisce una spiegazione puntuale dei motivi che lo portano ad esprimere detta richiesta, mantenendo anche aggiornato il destinatario delle ultime novità in tema trasferimento dati extra UE e facendo sfoggio delle proprie competenze informatiche. 

Le aziende sono davvero GDPR compliant?

Visto il clamore che si è venuto a creare attorno a questo evento, ci si chiede cosa voglia ottenere esattamente Federico Leva: semplice notorietà oppure sensibilizzare i Titolari del trattamento su un tema tanto delicato quanto il trasferimento dei dati, la loro protezione e l'esercizio effettivo dei diritti degli interessati. 

Tutte queste aziende che si dicono compliant con il GDPR lo sono davvero?

Che il trasferimento extra UE sia una tematica fortemente discussa è una certezza, basti pensare che già il «Safe Harbor», l’accordo tra Unione Europa e Stati Uniti che consentiva alle imprese americane di conservare i dati personali degli utenti europei sia nella Ue che negli Usa, nel 2015 è stato dichiarato non più valido dalla Corte di Giustizia europea e la stessa sorte è toccata, più recentemente, al Privacy Shield, sorto dalle ceneri del “Porto Sicuro”, ma che non ha di fatto superato i problemi di possibili ingerenze governative relative ai dati di interessati europei trattati negli USA. 

Entrambi gli “scudi” sono stati fatti cadere dal Sig. Maximillian Schrems, attivista austriaco con una forma di risentimento personale nei confronti di Facebook. 

Come l’azienda può applicare la normativa sul trasferimento dati fuori dall’UE (ed evitare problemi)

Un lettore attento, a questo punto, si porrà due domande: cosa fare nel caso dovessi ricevere una comunicazione come quella dell’ormai famoso Federico Leva? qual è il miglior modo di agire per una corretta applicazione della normativa sul trasferimento dati fuori dall’Unione Europea? 

Per la prima questione facciamo riferimento al Regolamento UE 2016/679 (artt. 11 e 12) e ai provvedimenti di chiarimento del nostro Garante Privacy, che impongono un obbligo a capo del Titolare del trattamento di fornire riscontro alle richieste dell’interessato. 

Il termine per la risposta all’interessato è un mese, estendibile fino a tre mesi in casi di particolare complessità; il titolare deve, comunque, dare un riscontro all’interessato entro un mese dalla richiesta, anche in caso di diniego.

L’esercizio dei diritti è, in linea di principio, gratuito per l’interessato, ma possono esservi eccezioni per le richieste manifestamente infondate o eccessive.

Il riscontro all’interessato di regola deve avvenire in forma scritta anche attraverso strumenti elettronici che ne favoriscano l’accessibilità; può essere dato oralmente solo se così richiede l’interessato stesso. 

La risposta fornita all’interessato non deve essere solo "intelligibile", ma anche concisa, trasparente e facilmente accessibile, oltre a utilizzare un linguaggio semplice e chiaro.

Per la seconda questione, invece, sarà sufficiente trovare altri strumenti che non prevedano trasferimenti extra UE per procedere alla profilazione dell’utente e svolgere attività di marketing, cercando di rimanere ancorati il più possibile a quanto il GDPR e le normative nazionali ci chiedono di fare, per una miglior tutela dei dati propri e dei singoli interessati. 

È altrettanto possibile utilizzare Google Analytics, ma andate a leggere all’art. 83 del Regolamento UE 2016/679 quali sanzioni si nascondono dietro l’angolo.

La classica valutazione dei rischi e la DPIA (Data Protection Impact Assessment) sono solo due degli strumenti che possono utilizzare i Titolari del trattamento.

Gli stessi possono essere utili per comprendere l’ammontare del rischio associato alla presenza del cookie Google Analytics e misurare se un eventuale “beneficio” sia superiore ai “costi” che, in caso di ispezione, ricadono naturalmente sull’azienda.

 

Se questo articolo ti è stato utile, iscriviti alla nostra newsletter trimestrale per non perdere i prossimi!