Mail Federico Leva: uso illegittimo di Google Analytics

In questi giorni è un vero e proprio boom di azioni di pura diffusione di terrore, da una parte per una richiesta lecita e dall’altra per il modo in cui questa viene avanzata e generata.

Andiamo per gradi analizzando i vari punti, quello normativo (il GDPR) e quello “tecnico-tecnologico”.

L’attivista, così è lui a firmarsi nel suo sito, sta inviando email a vari titolari di siti web con la quale chiede la cancellazione dei suoi dati personali ai sensi e per gli effetti dell’Art. 17 del regolamento europeo 679/2016 noto come GDPR (regolamento sul trattamento e tutela dei dati personali). Ciò che sta accadendo in questi giorni è, però, un mix di informazioni e disinformazioni e, come al solito, di nascite di forme di panico, menefreghismo e chi più ne ha più ne metta anche, per lo più, diffuse ed avanzate nei maggiori social network.

Cosa è il GDPR?

Il GDPR è, come già detto, quel regolamento che tutela (dovrebbe tutelare) il trattamento di dati personali e c.d. particolari (ex dati sensibili) di chi residente nello spazio economico Europeo.

Tutte le persone private, aziende ed Enti (nessuno escluso) che effettuano un trattamento di dati personali e/o particolari devono mettersi in regola circa quanto disposto dal regolamento europeo GDPR. Non esiste possibilità di sfuggire a questa azione: bisogna farlo, che piaccia o no!

Il GDPR è solo per i siti internet?

Il regolamento Europeo non è stato creato per i soli siti internet, ma per regolamentare l’intero processo del trattamento dei dati personali. Il sito internet di un titolare è solo un mezzo!
Così vale per il sito internet ma allo stesso modo, forse in maniera più complessa, vale anche per le pagine social dove, sfruttando il servizio offerto dalle varie aziende e big del web, si da visibilità alla propria attività e, quindi, si tenta di raggiungere quanti più clienti possibile (la pagina social, il mezzo di comunicazione scelto, è solo uno strumento scelto per arrivare al trattamento dei dati e, essendo il GDPR un regolamento che tutela il trattamento, per ovvie ragioni riguarda anche le pagine social).

GDPR e Google Analytics, legale o meno?

Nella sostanza, senza entrare troppo nei dettagli, ad oggi l’unica parola certa, delle autorità europee preposte al controllo, è che: l’anonimizzazione dell’IP come eseguita da Google (aggiungendo l’opportuno codice nello script incluso nel proprio sito web) in realtà è una pseudonimizzazione. Ciò significa, come dimostrato dai vari studi effettuati dalle Autorità fino ad oggi, che Google ha tutti gli strumenti per poter recuperare tutte le informazioni necessarie e, quindi, ripristinare l’origine di quell’informazione identificando in modo univoco, così, la firma del browser.

Ovvio, Google non potrà mai sapere con esattezza quale persona stava dietro, specialmente se il pc viene condiviso da più persone come accade nella maggior parte delle case (discorso differente per smartphone ecc che sono ancor più personali e sempre più connessi a vari servizi web extra Europa) ma questo non rappresenta una “via di fuga o salvezza” per il titolare del trattamento.

La mail di Federico Leva: come nasce e cosa chiede?

Ha fatto parlare molto di sé questa email dove, tale Federico Leva che si firma attività con varie esperienze e conoscenze (si legge nel suo sito: Attivista, sviluppatore e consulente ICT di Milano/Helsinki. Conoscenza libera, wiki, lingue e tecnologia; legge, laicità e razionalismo; beni comuni, uguaglianza, diritti e ambiente), richiede la cancellazione dei dati personali indicandosi come utente del sito al quale fa riferimento nella mail.

La richiesta è sicuramente lecita e, a parer nostro, dovuta in quanto il Regolamento Europeo è chiaro in merito e non lascia spazio a fraintendimenti (non è necessario un legale per comprenderlo né essere laureati in giurisprudenza o chissà quale altra materia).

Discorso del tutto diverso ed opposto è quello della forma e correttezza della mail: il modo in cui tale persona sta inviando la richiesta non lascia spazio ad alcun dubbio (è lo stesso Federico Leva che, in un messaggio su Twitter, afferma che il suo scopo è, seppure noioso da fare, di convincere i titolari di siti web ad abbandonare definitivamente l’uso di Google Analytics per ricorrere, invece, ad altri servizi simili): lo scopo è quello di attirare l’attenzione verso l’esistenza di altri servizi (spesso Open Source – che non significa gratuiti – vedasi ad esempio l’alternativa Matomo la quale, per avvicinarsi alla potenzialità di Google richieste l’acquisto di vari Plug-In il suo costo, per di più sotto forma di abbonamento annuale, risulta irraggiungibile ed improponibile per i siti web che, magari, stanno appena iniziando a farsi conoscere: per avere la funzionalità “Users flow”, ovvero quella pagina dove un grafico collega le varie pagine di ingresso fino a quella di uscita, l’utente deve pagare 89,00€ l’anno, se vuole avere un dettaglio delle keyword ricercate su Google che portano utenti nel proprio sito web deve sborsare altri 139,00€ l’anno e così via per varie altre funzionalità).

Anche qui è doveroso riconoscere un aspetto puramente tecnico: nessun altro servizio oggi disponibile può essere ritenuto alla pari di Google Analytics, considerando che quest’ultimo viene offerto “gratuitamente” (si usa la parola gratuitamente quando in realtà nulla è mai gratis… in questo caso il costo è proprio un rinunciare alla privacy o parte di essa). Alcuni si avvicinano, ma nemmeno di molto, e, altro fattore da riconoscere, molte aziende che basano il loro core business su attività di marketing o SEO sfruttano proprio questa piattaforma perché completa di ogni informazione a loro necessaria. Ma qui, si ripete, si entra in un altro tema: la capacità della concorrenza di frenare o rallentare i big del web.

E’ lecita la sua domanda?

La richiesta di Federico Leva è lecita, è il GDPR a garantirgli quei diritti.

Non è normale, tantomeno corretto, il modus operandi (tanto è che non poche persone lo hanno già segnalato alle Autorità competenti oltre che alla stessa LimeSurvey) perché è ormai quasi ovvio che il tutto sia “evidentemente forzato” e non una normale richiesta di un normalissimo utente/ospite o cliente di un sito web che possa pervenire a seguito di una qualche insoddisfazione per non aver trovato i servizi/prodotti/informazioni che sperava di trovare visitando il portale (e che magari lo ha spinto a registrarsi o che altro).

Perché Federico Leva sta sbagliando e dove?

Guardandoci in casa, abbiamo ricevuto anche noi svariate sue email, come abbiamo provveduto a rispondere (proprio perché conosciamo il GDPR e la risposta comunque gli è dovuta a parer nostro), possiamo dire che il modus operandi di questo ragazzo non è per nulla corretto.

A noi ha scritto ma, come a tantissime altre (alcune voci – non verificate è doveroso ammetterlo – parlano di email dell’ordine delle decine di migliaia), c’è un piccolo problema di fondo (proprio come abbiamo riscontrato a seguito di richieste di aiuto giunteci più che altro dai social): noi non usiamo Google Analytics. Lo usavamo prima, parecchio tempo fa, ma da quanto si legge nella mail che invia tale Federico Leva, lui fa riferimento all’uso di tale servizio “[omissis] nei giorni scorsi”. Qui lo scivolone del mittente della mail. Per quanto ci riguarda abbiamo iniziato da tempo ad analizzare e studiare il funzionamento del servizio alternativo Matomo, installato sui nostri server.

Per quanto ci riguarda, quindi, la richiesta di tale Federico risulta totalmente infondata, proprio come gli abbiamo scritto (abbiamo seri dubbi che arriverà a rispondere, anche perché dovrebbe stare giorni e giorni davanti al suo pc a rispondere a tutti quelli che gli scriveranno).

Ma c’è di più, qualcosa che da una parte ci ha lasciati senza parole, ricordandoci anche il detto di una persona abbastanza famosa <>

Come sta agendo Federico Leva?

La persona visita il sito web in quel momento preso di mira, questo lo fa sicuramente. Successivamente pone in essere diverse azioni (non è chiaro, anche se i segnali sostengono questa prima ipotesi se le esegue automaticamente (sfruttando programmi/automatismi magari da lui stesso scritti) o meno) fino all’invio della mail (invio che segue la creazione di un token univoco – che lui indica nell’url da cliccare per rispondergli – che, come lui stesso afferma nel suo sito web, viene collegato univocamente alla mail alla quale sarà inviato il messaggio e che, nella compilazione del sondaggio, sarà poi ritrattato creando una ulteriore associazione di informazioni).

Dove sta sbagliando Federico Leva?

In qualche modo Federico associa ad un sito web l’utilizzo del servizio di Google Analytics (a parer nostro è un software che esegue questa valutazione, forse eseguendo un parsing dell’html restituito dal web server) e dopo questa valutazione avvia un vero e proprio trattamento di dati: qui lo sbaglio di Federico Leva.

E’ lo stesso Federico a confermare, quando indirettamente e quando direttamente, che effettua un trattamento ed una raccolta di dati mai autorizzata da nessuno dei riceventi la sua email, infatti:

• per inviare la mail si appoggia ad un servizio esterno (LimeSurvey);

Per fare questo è ovvio che debba trattare il dato personale (la mail del ricevente) trasferendolo, in questo suo caso, a soggetti esterni senza il consenso del proprietario della email.

Nella mail però, per richiedere quanto gli spetta di diritto, commette altri errori (sicuramente non “autorizzati” dal GDPR): richiede una risposta tramite la compilazione di un modulo (ospitato nel suo sito/spazio web) ed implementato tramite software libero ospitato in UE (così lui afferma nella mail) e chiamato LimeSurvey: il titolare del trattamento, nella sostanza, deve rispondere ad una richiesta riguardante un possibile trattamento di dati personali compilando un sondaggio tramite la compilazione di un modulo come deciso da tale Federico Leva (questo il secondo errore di Federico Leva).

Nessuno è obbligato a replicare tramite il sondaggio, tanto meno l’azienda LimeSurvey (nelle sue policy e termini d’uso) lo dichiara quale possibile utilizzo.

Altro errore di Leva: come conferma la sua stessa email, lui effettua un trattamento dei dati personali (sempre la mail) nei suoi sistemi (sicuramente in LimeSurvey e sicuramente nel suo spazio web) in quanto nell’ultima riga della email che invia si trova la dicitura <> (tutti oggi, ormai, sanno che nessun dato può essere inserito in alcun database di alcun tipo senza il preventivo consenso del titolare). Visto lo scopo di Federico è chiaro che anche tale aspetto venga da lui violato poiché il trattamento dei suoi dati non si limita ad un inviare una mail per richiedere quanto a lui gli spetta di diritto ma, come riscontrabile nel suo sito web, possiede una pagina che lui chiama “le mie richieste GDPR” nella quale pubblica (lascia intendere di voler pubblicare essendo ad oggi una pagina vuota) le sue “indagini”

Ulteriore errore madornale di Federico: balzerà all’occhio dei più attenti come il sito web di tale persona sia privo di qualsiasi adempimento, come regolamentato dal GDPR: nessuna informativa privacy, se non un rimando a quella di LimeSurvey che in questo caso non ha alcun valore essendo di tutt’altra azienda. Sicuramente Federico Leva non è la LimeSurvey.

Hai ricevuto questa email? Cosa devi fare adesso?

Sicuramente non rispondere compilando il suo sondaggio, anche solo per due semplicissimi motivi:

• Federico Leva non ha una informativa che ti tuteli e nella quale puoi capire come tratterà questi tuoi dati (parte di essi già da lui trattati come accertato e spiegato sopra);
• Il GDPR non obbliga alcun titolare a rispondere accettando le strette condizioni di chi avanza una richiesta per fare valere i suoi diritti; non sarai obbligato a rispondergli nemmeno via PEC o tramite altro canale “certificato” o “certificabile” (raccomanda acc);

Federico Leva ha usato una mail semplice? Puoi usare la semplice mail.

Come rispondere a Federico?

Per poter soddisfare una richiesta inerente il trattamento dei dati personali è necessario prima di tutto verificare di averli trattati.

In linea generale non è sufficiente che il richiedente scriva “stai trattando mie dati” perché altrimenti, ma è logica analisi, chiunque potrebbe scrivere a chiunque dicendogli “senti bello, cancella i mie dati che stai trattando” facendogli perdere tempo.

Ulteriore passo da compiere, a meno di non avere altri elementi che possano rendere inutile una simile richiesta a Federico Leva – come nel nostro caso dove, nel rispondergli, lo abbiamo informato dell’insussistenza della sua richiesta/mail noto che ormai da parecchio tempo non si usa Google Analytics (crediamo che il suo software abbia preso una cantonata leggendo nell’html “SitSardegna Analytics” altrimenti non ci spieghiamo le sua email): quello di accertarti della sussistenza di quanto lui stia avanzando.

Infatti: nella sua email, come potrete trovarla in tantissimi altri siti web, pagine social ecc, ma anche nel suo stesso sito web e come potrete notare in quella che avete ricevuto, riporta quale “chiave di ricerca” un IP pseudonimizzato negli ultimi due numeri (58.158.x.y) ed un user agent generico di una qualsiasi macchina Linux “Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/76.0.3803.0 Safari/537.36”

I dati che Federico Leva specifica nella mail sono superficiali

Potreste avere, infatti, un utente di Tokio (questi dati sono stati scritti a caso per soli fini di esempio) che, con il suo pc linux e con IP 58.158.5.56, visita il vostro sito web, vi contatta perché interessato ai vostri servizi, acquista un vostro prodotto ecc ecc…

Stando alla superficiale richiesta di Federico Leva, non avendo voi trattato altri suoi dati (quindi poter essere certi che “sia lui” grazie ad altre associazioni), dovreste cancellare anche i dati dell’altro utente di Tokio (che poi, per dirla tutta, è molto probabile che Federico Leva stia usando dei proxy per mascherare il suo reale IP.  Quello che lui indica infatti, tutti gli IP 58.158.*.*, fanno base a Tokio… ed anche questo lascia pensare circa la sua “buona fede” – siamo quasi certi che la sua battaglia sia quella di un “promuovere l’uso di software e servizi alternativi ad Analytics”; sicuramente la sua non è una attività e richiesta comparabile a quella di un normale utente che chiede di fare valere i suoi diritti come garantiti dal GDPR anche perché, sulla logicità della richiesta, non si sarebbe dovuto limitare ad indicare “Analytics” ma estendere la richiesta di cancellazione dall’intero trattamento).

Solo dopo aver ricevuto tali informazioni si potrà definire la vera e propria risposta (quindi, nel caso specifico, riferirgli di aver soddisfatto la sua richiesta).

Ma anche qui: non è assolutamente necessario entrare nei dettagli, non è necessario né dovuto compilare il suo sondaggio/questionario: alla fine del vostro lavoro/obbligo potrete, molto semplicemente, scrivergli: “Ai sensi del regolamento GDPR ecc ecc, a seguito della Sua richiesta, si informa di aver provveduto a soddisfare la sua richiesta”.

Ricordiamoci, infine, che in maniera unanime i Garanti Europei hanno indicato anche come possibile soddisfacimento delle richieste di cancellazione anche quelle che vedono i dati essere anonimizzati (non psedonimizzati). Infatti: l’anonimizzazione permette di rompere quel legame tra dato ed interessato al trattamento (si va ad isolare il dato senza possibilità di ricreare le associazioni), di collegare questi dati resi anonimi ad altri dati riferibili all’interessato (anche in futuro) dietro futuri suoi consensi al trattamento, di dedurre da un dato reso anonimo nuove informazioni riferibili ad altri trattamenti futuri. La pseudonimizzazione, invece, tutte queste garanzie non le offre (è proprio qui che si concentra la battaglia dei Garanti contro il servizio di Google Analytics).

Il suo è un reato, truffa o tentativo di sottrarre denaro?

Assolutamente no! Non esiste alcun elemento che possa dare fondamento a questa assurda ipotesi o teoria. Il suo è un tentativo di fare valere suoi diritti, eseguito male seppure in parte, ma questo è e nient’altro gli si può dire sotto l’aspetto basilare della sua richiesta. E’ il GDPR che glielo concede di diritto.

Ma cosa altro potresti chiedere a Federico Leva se “ha ragione”?

Visto quanto da lui effettuato, visto che lui stesso conferma di aver effettuato un trattamento di dati (da verificare prima quali dati ha trattato perché anche su questo è poco chiaro (ma il regolamento, invece abbastanza chiaro, afferma che “qualsiasi dato che direttamente o indirettamente anche in associazione ad altri possa ricondurre alla identificazione di una persona” è un dato personale), allo stesso modo, ai sensi del GDPR, potresti chiedergli di cancellarli, di informarti circa quali trattamenti ha posto in essere, sulla base di quali autorizzazioni ecc.

Ma c’è di più: vista la struttura del suo sito web potresti anche diffidarlo ufficialmente dal voler pubblicare, in qualsivoglia forma e canale, qualsiasi sua analisi ecc circa quella che lui chiama “indagine” che ti possa riguardare.

Cosa fare sul tuo sito web?

Nostro consiglio è quello di dare le dovute attenzioni a questo tema, senza prendere alla leggera questi aspetti riguardanti la privacy perché, in ogni caso, si tratta di un regolamento e come tale va rispettato (ancora poco chiaro che sia specialmente sulla marea di servizi oggi fruibili specialmente sul web).

Un esempio tra i più comuni (è raro trovare titolari che sfruttino Analytics per le sue totali potenzialità, è più facile sentirsi dire “io lo uso per vedere quanti entrano nel mio sito al mese”): utilizzi Analytics solo perché vuoi vedere quel numero che ti dice quanti utenti sono entrati nel tuo sito web? Allora forse vale la pena utilizzare altri servizi che fanno la stessa cosa e che, diversamente da GA, sono riconosciuti come completamente in regola con il GDPR.

Altro aspetto: è ora di comprendere che mettersi in regola con il GDPR non significa mettere in regola il sito web, ma rendere l’intera propria attività in regola rispetto a quanto dettato dal GDPR (ed oltre il GDPR tanti altri temi che ruotano intorno le attività di qualsiasi tipo esse siano).

Il futuro di Google Analytics in Europa?

Bisogna attendere. Ogni affermazione, oggi, ogni possibile sviluppo rimane solo una teoria.

E’ lo stesso Garante italiano ad affermare che, all’entrata di GA4, saranno eseguiti nuovi studi per verificare l’effettivo adempimento circa quanto regolamentato dal GDPR.

Aggiornamento del 03/07/2022

Federico Leva ha ricevuto da LimeSurvey un blocco completo del suo account di accesso ai servizi Cloud della stessa azienda (quindi l’invio delle email come da lui eseguito fino ad oggi) poiché in totale violazione dei loro ToS (Termini di servizio).

Questo blocco arriva a seguito di centinaia di segnalazioni pervenute alla LimeSurvey da parte dei malcapitati (chi lo ha segnalato alla LimeSurvey, chi afferma di averlo segnalato al Garante per le violazioni circa trattamenti illeciti ed abusi vari, chi addirittura afferma di essere andato alla Polizia Postale).

Federico Leva, a seguito di questo blocco, ha subito modificato la sua pagina web, in particolare quella delle sue “indagini GDPR” inserendo in essa un testo e vari link.

Nella stessa pagina vi è una novità che può essere considerata una dichiarazione di quali strumenti lo stesso Federico stesse utilizzando (non si sa se continuerà la sua azione): Webbkoll, un servizio online basato su software open source che analizza una pagina web e restituisce l’elenco dei cookie che il portale installa.

Anche qui è doveroso un particolare: stando a quanto afferma Federico Leva, sembrerebbe che una persona/titolare del trattamento che non installa Cookie di GA, Analytics può stare tranquilla e ritenersi conforme al GDPR.

Non è così: il GDPR, come già detto sopra, regolamenta l’intera attività di trattamento dati e tutela dei dati personali delle persone residenti nello spazio Europeo. Il sito web è solo un mezzo!

Tutto ciò, nonostante questo blocco da parte di LimeSurvey, non significa che la risposta non gli sia dovuta.