Al lavoro!

Hai ricevuto una email con oggetto "Uso illegittimo di Google Analytics..."?

Scritto da Fabio Marchesi | 30 giugno 2022

Molti clienti ricevono la stessa email con oggetto “Uso illegittimo di Google Analytics: richiesta di rimozione ex art. 17 GDPR”. Cosa succede?

 

Diamo un po' di contesto

Il 23 giugno 2022 sul sito web www.garanteprivacy.it è stato pubblicato un comunicato stampa nel quale il Garante per la privacy si pronunciava in merito alla non conformità dell’utilizzo di Google Analytics rilevata su un portale italiano nel corso di un’indagine.

Il sito web oggetto dell’indagine viola la normativa sulla protezione dei dati perché trasferisce negli Stati Uniti i dati degli utenti. Ne abbiamo parlato nel nostro approfondimento Stop all’uso di Google Analytics. Cosa fare?

 

Spam di email

Nei giorni successivi al 23 giugno, abbiamo ricevuto diverse segnalazioni da parte di nostri clienti che hanno ricevuto una email proveniente dall'indirizzo email noreply@limesurvey.org, con oggetto “Uso illegittimo di Google Analytics: richiesta di rimozione ex art. 17 GDPR”.

L’email, indirizzata al titolare del trattamento dei dati personali e al responsabile della protezione dei dati, in sostanza chiede la rimozione dei dati personali del mittente generati a seguito di una sua visita sul sito web del destinatario.  Nella stessa email viene anche suggerita la completa rimozione di Google Analytics dal sito web.

 

Chi ha scritto le email?

Da una prima analisi delle segnalazioni ricevute ritengo che questo tipologia di email sia stata generata da uno programma informatico in modo automatico.

Tutte le email infatti sono identiche tra loro, con la sola differenza del nome del dominio su cui è stata rilevata la presenza dello script di installazione di Google Analytics.

Ogni email ricevuta proviene dallo stesso mittente, noreply@limesurvey.org, a nome di un tale Federico (evito il cognome per motivi di privacy).

 

Qual è il vero scopo della email?

La principale richiesta contenuta nella email ritengo sia legittima e anzi, “forza” il destinatario a prendere maggiore consapevolezza sul tema del trattamento dei dati raccolti dal proprio sito web.

Tuttavia, trovo che questa email sia anche un modo per muovere un'azione contro Google, al di là della possibilità che il destinatario sia "incappato" in un prodotto che utilizzava in modo non conforme i suoi dati, a giudizio del Garante per la privacy italiano.

L'email contiene un passaggio che non mi trova d’accordo e che riporto di seguito: “[..] ad esempio provvedendo alla completa rimozione dello stesso di Google Analytics (in qualsiasi versione e configurazione) e interrompendo ogni uso dei dati prodotti da Google in relazione agli utenti del vostro sito [..]”.

Il motivo per cui non sono in accordo con quanto ho trascritto è che il Garante per la privacy non ha mai dichiarato illegittimo l’utilizzo di Google Analytics (o di altri prodotti di Google)!

Il Garante ha dichiarato non conforme il modo in cui Google Analytics è stato utilizzato all'interno del sito web oggetto dell’inchiesta.

 

Cosa fare quindi?

La domanda sorge spontanea: che fare? Rimuovere Google Analytics dal sito web?

La mia proposta e di agire con razionalità e consapevolezza, cominciando da quanto suggerito dal Garante, ovvero verificare la conformità delle iniziative messe in pratica nella protezione dei propri dati e di quelli degli utenti che visitano i propri siti web.

Per tutti i siti web che utilizzano Google Analytics vedo queste 2 possibili soluzioni:

  • Sostituire Google Analytics con un sistema di analisi delle visite che funzioni in accordo con quanto previsto dalla normativa sulla protezione dei dati (ad esempio Matomo).
  • Modificare la configurazione di Google Analytics adottando per esempio la nuova versione Google Analytics 4 (GA4) che si appoggia su server in Europa per il trattamento dei dati e non trasferisce né memorizza l'indirizzo IP al di fuori dell’Europa.