Consulenza legale per ecommerce con un Team di avvocati esperti in privacy e diritto digitale, dal 2011.

Riepilogo carrello

Il tuo carrello è vuoto

Prodotti nel carrello: 0
Totale prodotti: € 0,00

Prosegui al carrello

Federico Leva: richieste-spam di cancellazione dati conservati tramite Google Analytics.

03/07/2022

Federico Leva: richieste-spam di cancellazione dati conservati tramite Google Analytics.


Successivamente alla decisione del Garante Privacy riferita all'uso di Google Analytics abbiamo ricevuto comunicazioni da centinaia di di siti web e decine di web agency inerenti una richiesta di cancellazione ex art. 17 del GDPR.

La richiesta di cancellazione di dati personali sembra provenire da un non  meglio identificato Federico Leva, abitante a Helsinki.

Vediamo di cosa si tratta, se e come dare seguito a questa richiesta.

Se vuoi rimanese aggiornato sulla vicenda "Garante Privacy-Google Analytics" ti consigliamo di leggere il nostro ultimo approfondimento su come eventualmente sostituire Google Analytics con altri tool.

SOMMARIO

Cosa ha chiesto Federico Leva per email
Gli obblighi del sito web
Il Garante non ha un obbligo di intervento
Elementi critici della richiesta di Federico Leva
L'email inviata da Federico Leva potrebbe essere stata generata da un bot
La richiesta di Federico Leva potrebbe avere finalità commerciali
Come comportarsi davanti alla richiesta di cancellazione di Federico Leva
 

Cosa ha chiesto Federico Leva per email


In una email inviata probabilmente a migliaia di siti che hanno installato Google Analytics, Federico Leva ha chiesto:
 
  • la cancellazione dei propri dati personali "dai sistemi informativi" di Google
  • di interrompere immediatamente ogni trattamento di tali dati personali connessi al proprio uso passato e (addirittura...) futuro del sito al quale la comunicazione è stata trasmessa
  • interrompere qualsiasi uso dei dati prodotti da Google in relazione agli utenti del sito al quale la comunicazione è stata trasmessa.
Per cercare di circoscrivere meglio la propria richiesta, Federico Leva comunica i seguenti dati personali:
 
  • indirizzo IP
  • user-agent

Il periodo della visita da parte di Federico Leva al sito che ha ricevuto la comunicazione è invece riconducibile a non meglio precisati "giorni scorsi" precedenti la richiesta.
 

Gli obblighi del sito web 


Davanti a una richiesta di cancellazione di dati personali, il sito web deve dare riscontro entro 30 giorni.

Il termine può essere esteso a 3 mesi in casi di particolare complessità, ma il sito web deve comunque avvertire l'interessato entro i 30 giorni. L'unico obbligo per l'interessato è di fornire i dati per la sua identificazione. 

L'esercizio dei diritti è in linea di massima gratuito.

Spetta comunque al sito web valutare se la risposta è complessa al punto da dover chiedere un contributo al soggetto che ha effettuato la richiesta di cancellazione, e stabilirne l'ammontare, ma solo se si tratta di richieste manifestamente infondate o eccessive o ripetitive (v. i criteri per il contributo spese in caso di esercrizio dei diritti dell'interessato).

In caso di mancata risposta, o di risposta inadeguata, il soggetto che ha formulato la richiesta di cancellazione dei dati può rivolgersi al Garante Privacy per la tutela dei diritti.
 

Il Garante non ha un obbligo di intervento


E' opportuno precisare che anche qualora il soggetto che ha formulato la richiesta di accesso agli atti presenti reclamo al Garante Privacy, l'Autorità non ha un obbligo di iniziare un procedimento.

Infatti, effettuata una istruttoria preliminare, il procedimento inizia solo se il reclamo non appare manifestamente infondato e sussistono i presupposti per adottare un provvedimento.
 

Elementi critici della richiesta di Federico Leva

 

La richiesta di Federico Leva di cancellazione dei dati di tracciamento conservati tramite Google Analytics presenta elementi che rendono ragionevole ipotizzare si tratti di un bot.

Ecco alcuni elementi che fanno propendere in tal senso:
 

  • in tutte le decine di comunicazioni che abbiamo esaminato, Federico Leva afferma di aver visitato il sito al quale chiede la cancellazione sempre "qualche giorno" antecedente la richiesta. In buona sostanza, Federico Leva avrebbe visionato centinaia (se non migliaia) di siti web in pochi giorni .... e solo per formulare poi una richiesta di cancellazione (!);
  • il sito web di Federico Leva è costituito da 2-3 pagine, il che fa ritenere che sia stato creato solo per dare una parvenza di credibilità a un personaggio che potrebbe benissimo non esistere;
  • lo stesso sito web di Federico Leva non rispetta il GDPR, in quanto è privo di privacy policy e di cookie policy;
  • i link in calce alla email non funzionano o sono incoerenti con quella che dovrebbe essere la loro funzione.
 

Con riferimento a questo ultimo punto, in calce alla email di Federico Leva figurano due link.

Il primo sembrerebbe finalizzato a trasmettere una risposta a Federico Leva inerente la sua richiesta di cancellazione.

Il secondo link, invece dovrebbe servire a correggere o rimuovere un indirizzo email.

Federico leva google analytics cancellazione dei dati

Quando però si clicca sul link che dovrebbe servire per riscontrare la domanda di cancellazione di Federico Leva, alla data del 3 luglio, compare la schermata sotto riportata.




In buona sostanza, il link conduce a una pagina non più funzionante.

Ciò è molto probabilmenre dovuto al fatto che la stessa LimeSurvey (la piattaforma usata per creare il modulo da parte di Federico Leva) ha sospeso l'account di Federico Leva.

La decisione di LimeSurvey sembra dipendere dal fatto che Federico Leva non ha usato il tool per scopi di indagine.

Il secondo link (quello che servirebbe a far modificare o cancellare una email), conduce invece a una pagina dove si chiede di "confermare la rinuncia" a rispondere all'indagine.

Il contenuto della pagina, quindi, è del tutto incoerente con quanto indicato nella email stessa.

Federico leva google analytics email spam
 

L'email inviata da Federico Leva potrebbe essere stata generata da un bot


Alla luce di quanto sopra:

  • email inviate in pochi giorni a migliaia di siti web
  • totale assenza di dati personali comunicati nella email inviata ai siti o nella pagina personale di Federico Leva
  • link nella email che conduco a pagine di fatto non esistenti o comunque incoerenti con il contenuto della email
è ragionevole ritenere che l'email invita ai siti web e e web agency in questi giorni sia opera di un bot.

Il fatto che l'email inviata da Federico Leva sia opera di un bot esclude che sia stata inviata da una persona fisica, e quindi da un "interessato",

Già solo questa circostanza potrebbe suggerire di non dare seguito alla richiesta di cancellazione dei dati.

Infatti, titolare del diritto di cancellazione è una persona fisica, non certo un bot.

La richiesta di cancellazione di dati personali proveniente da un soggetto che non è una persona fisica non ha valore legale ai sensi del GDPR.

Inoltre, richieste come quelle promosse da Federico Leva dovrebbero pervenire tramite PEC da un indirizzo email riconducibile a una persona fisica (il che non è quanto avvenuto nella presente fattispecie).
 

La richiesta di Federico Leva sembra avere finalità commerciale


Nella propria richiesta di cancellazione di dati personali, lo stesso Federico Leva suggerisce al sito che ha ricevuto la comunicazione di utilizzare tool alternativi rispetto a Google Analytics.

A parte il fatto che la richiesta di cancellazione di dati personali è stata inviata anche a siti che hanno installato GA4, la circostanza che Federico Leva suggerisca (senza averne alcun titolo) l'uso di determinati tool getta un'ulteriore ombra sulla credibilità e liceità della richiesta promossa tramite email.
 

Come comportarsi davanti alla richiesta di cancellazione di Federico Leva
 

Davanti a richieste come quelle in esame, è sempre molto difficile orientare il sito web o e-commerce.

Inoltre, non si può mai prescindere dalla situazione concreta inerente la gestione dei dati di tracciamento del sito stesso.

Ad ogni modo, il consiglio che il Team di legali di LegalBlink sente di formulare è quello di non rispondere alla richiesta ricevuta.

Infatti, tutto fa pensare che l'email sia stata inviata da un bot (e non da una persona) per finalità commerciali oppure di spam.

Rispondere a una email (e non a una PEC) dimostrerebbe la ricezione della comunicazione e rischierebbe di far entrare l'email aziendale in una lista spam.

Oppure, come spesso accade quando sono coinvolti messaggi di spam, rispondere alla email potrebbe condurre a richieste di denaro (ad esempio, richieste finalizzare a non esperire ricorso al Garante Privacy: casi già gestiti dai legali di LegalBlink in passato).
 

Provare a cancellare i dati di tracciamento di Federico Leva

 

Quanto sopra ovviamente non esclude il fatto di cancellare i dati di tracciamento di Federico Leva conservati tramite Google Analytics, qualora il sito possegga sufficienti informazioni per farlo.

In questo modo ci si cautela dal rischio di sanzioni, senza però contattare direttamente un soggetto che non offre sufficienti elementi per considerarlo come un serio interlocutore.

In merito alla cancellazione, è opportuno tenere conto di alcune accortezze.

Federico Leva nella sua email riporta i primi due otteti dell'indirizzo ip, ma censura gli ultimi due.

Ciò rende molto difficile identificare l'indirizzo IP di Federico Leva  perchè ci sono 254x254 = 64516 possibili indirizzi ip.

Ciò implica il rischio di cancellare indirizzi IP di altri utenti.

Senza essere troppo specifico Federico Leva indica lo user agent.

Incrociando questa informazione con l'indirizzo IP (incompleto) comunicato da Federico Leva si ha circa il 98% di possibilità di intercettare questo utente.

Anche incrociando queste informazioni, però, non si riduce a zero il rischio di cancellare dati personali di un altro utente.

Per ipotesi, se due utenti, entrambi con lo stesso modello di iphone, entrambi con lo stesso operatore di telefonia, hanno visitato lo stesso sito, ebbene, in questo caso è quasi impossibile distinguere Federico Leva da un altro utente.

Una ipotesi molto remota ma che è da tenere in considerazione.

Team LegalBlink

#privacy #cookie