Se Federico Leva ti risponde…

Se avete seguito le indicazioni riportate nel mio articolo “Come rispondere a Federico Leva e cosa fare” potreste aver effettivamente ricevuto una risposta da Federico Leva contenente le informazioni che gli sono state richieste, appunto il clientId e la data e l’ora della sua visita al sito.

Il modello della mail potrebbe essere simile al seguente:

Gentile [NOME CLIENTE],
ringrazio per il riscontro alla mia richiesta.

Con riferimento alla vostra risposta, in ultimo in data AAAA-MM-DD, aggiungo le seguenti informazioni sulla visita del vostro sito cui fanno riferimento i dati personali oggetto della mia richiesta, cioè la data della visita e il valore di alcuni dei cookie da voi depositati nel mio
computer:

– AAAA-MM-DDTHH:MM:SS+0000
– GA1.2.123456789.123456789

A questo riguardo, ricordo le linee guida dell’EPDP: «when information collected online is linked to pseudonyms or other unique identifiers, the controller can implement appropriate procedures enabling the requesting person to make a data access request and receive the data relating to them». Possono inoltre essere utili le linee guida del Garante e altre informazioni raccolte dall’associazione NOYB:
…
Trovate i riferimenti completi nel mio sito (per ridurre i messaggi e i collegamenti, evito di riportare qui tutto).
…
La presente non va intesa come un’accettazione da parte mia delle vostre rappresentazioni, né della necessità o sufficienza della vostra richiesta di ulteriori informazioni o della soluzione da voi proposta o adottata, diversa dalla completa rimozione di Google Analytics e di tutti i dati relativi. Mi riservo ogni ulteriore valutazione e iniziativa.

Cordiali saluti,
Federico Leva

Cosa fare?

Quello che ora deve essere fatto in prima istanza è ricercare quel clientId in Google Analytics Universal ed eliminare l’utente.

Spiego la procedura in questo mio articolo “Elimina gli utenti da Google Analytics“. Tengo a precisare che si tratta di un articolo del 2019, questo per dire che non c’è bisogno di alcun tipo di allarmismo dal momento che la richiesta di Federico Leva è legittima e tutta la procedura di eliminazione utente prevista, già ben prima della sua iniziativa. Il diritto all’oblio è infatti parte del Regolamento (UE) n. 2016/679 del 27 aprile 2016 (GDPR).

Una volta rimosso l’utente secondo procedura, e durante le fasi di cancellazione, consiglio di effettuare uno o più screenshot da allegare alla mail di risposta dove si dichiara di aver cancellato i suoi dati da Google Analytics Universal come da sua richiesta.

A completamento, è richiesta la compilazione del registro delle attività di trattamento. Il modello, se non lo avete già, lo potete scaricare dal link fornito che punta al sito del Garante.

Per questa fase, in caso di dubbio, è opportuno affidarsi ad un legale di competenza.

Non riesco a trovare l’utente in Analytics!

Qualora l’utente non dovesse apparire in Google Analytics suggerisco di estendere l’intervallo di date a qualche giorno prima e a qualche giorno dopo quello indicato nell’email. Mi è capitato infatti un caso in cui tra la data e l’ora segnalata e quella rilevata in Google Analytics ci fosse più di 1 giorno di differenza.

Se anche in questo caso l’utente non dovesse essere trovato in Google Analytics basterà rispondere all’email indicando che la visita non è stata registrata nella piattaforma di Google Analytics. Questo è plausibile e può succedere, ad esempio, in caso di incongruenze tecniche, conflitti JavaScript, estensioni del browser come AdBlocker o altro.

Nel caso in cui, invece, il panico da titoli di prima pagina, quali ad esempio “Google Analytics illegale“, vi ha portato ad eliminare la Proprietà di Google Analytics Universal prima della ricezione dell’email, sarà sufficiente comunicarlo al mittente della richiesta poiché insieme ai dati rimossi, qualora presente, sarà stata cancellata di conseguenza anche la sua visita.

Conclusioni

Niente panico, è necessario buonsenso e seguire le corrette procedure 🙂