Che cosa è successo? Lo spiega Jacopo Minetti Corner, CEO di Nimble.
Nelle ultime settimane si è creato un “piccolo, grande caso” intorno a un nome all’apparenza comune, ma che in pochi giorni è riuscito a sollevare un polverone degno dell’attenzione di tutti i giornali e degli operatori del settore compliance e privacy. È il nome di Federico Leva, una persona reale, in carne e ossa, ormai legato alla e-mail che ha inviato a diversi professionisti facendo una “richiesta particolare”. Una mail, però, che è riuscita a mettere in discussione la più intoccabile delle istituzioni: Google (più nello specifico, Google Analytics).
In molti hanno pensato subito che si trattasse di una truffa, l’ennesima truffa via mail, o più in generale a qualche tipo di attività di fishing. Niente di tutto ciò.
Il caso Federico Leva: che cos’è successo?
Alcuni dei nostri clienti, qui a Nimble, nelle scorse settimane ci hanno contattato per sapere come si sarebbero dovuti comportare dopo aver ricevuto una lunga e dettagliata e-mail da parte di tale Federico Leva che, in estrema sintesi, chiedeva al titolare del trattamento e al responsabile della protezione dei dati la rimozione dei suoi dati personali dai propri sistemi. L’acquisizione di questi dati sarebbe avvenuta attraverso il servizio Google Analytics a seguito di una visita sul sito aziendale.
Come ogni buona richiesta che si rispetti c’è una data entro cui ottemperare (31 giorni) e un modo per comunicare l’avvenuta cancellazione dei dati o per richiedere informazioni. Le modalità di contatto sono un indirizzo mail o un modulo di Lime Survey (oggi non più attivo in quanto utilizzato per scopi difformi rispetto le condizioni di uso del servizio Lime).
Le conseguenze di questa e-mail sono state gigantesche. A seguito di questo episodio, in particolare dopo la pronuncia del Garante Privacy del 9 giugno 2022, Google Analytics è stato dichiarato illegittimo in quanto provvede al trasferimento di dati personali dei cittadini italiani fuori dai confini dell’Unione Europea.
Il caso Federico Leva: … e quindi?
Ognuno di noi, così come ogni professionista che ha ricevuto la comunicazione, si è trovato davanti a un bivio: da un lato pensare di ignorare il messaggio al grido di “tanto è spam”, dall’altro analizzare i fatti e agire al meglio.
Il lavoro compiuto da Federico Leva per visitare centinaia di migliaia di siti e inviare (la stessa) e-mail di richiesta a tutte le aziende è enorme e con tutta probabilità è stato fatto da un bot. Il primo problema sorge proprio su questo “con tutta probabilità”: se si avesse la certezza e si potesse provare che la visita al sito sia stata opera di un programma e non di un essere umano, infatti, la richiesta potrebbe essere serenamente ignorata. Ma a oggi il professionista non ha modo di ottenerne la certezza.
Il secondo punto è che la richiesta che è stata fatta è, udite udite, assolutamente legittima e di conseguenza ogni professionista ha l’obbligo di rispondere positivamente.
Il paradosso è che per essere ottemperata, però, il responsabile del trattamento ha bisogno di una informazione che nel messaggio di Leva non è presente: un Client ID che serve proprio a eliminare con sicurezza solo i dati del visitatore. Per ottenerla, ogni professionista avrebbe bisogno di scrivere di nuovo a Federico Leva proprio per richiedergli questa informazione; soltanto a quel punto potrebbe provvedere.
Il caso Federico Leva: qual era il vero obiettivo di Leva
Federico Leva innanzitutto esiste. È una persona in carne e ossa che ha voluto sollevare un caso per portare all’attenzione delle aziende un provvedimento del Garante Privacy nei confronti di Google Analytics che, a suo dire, rischiava di passare in sordina. Durante una intervista ha rivelato che il suo intento voleva essere informativo più che “belligerante” e quindi parrebbe che non sono previste conseguenze per chi non dovesse rispettare l’ultimatum.
Ma la richiesta fatta è legalmente valida e quindi, di fatto, non può essere ignorata.
Il caso Federico Leva: Google Analytics sì o Google Analytics no?
La modalità per utilizzare il servizio di Google Analytics in modo conforme alla normativa esiste e si appresta a significative modifiche con la tempestiva introduzione di Google Analytics 4. Ovviamente la corretta configurazione non è semplice e richiede conoscenza sia lato piattaforma Analytics sia del GDPR.
I punti a cui adempiere sono tanti, non sempre di facile comprensione. Per questo è cosa buona e giusta affidarsi ai consulenti esperti. Attraverso la presenza costante e il monitoraggio delle attività, il professionista ha la tranquillità che tutti i punti della normativa siano presidiati e che la conformità sia mantenuta nel corso del tempo.