Google Analytics: come rispondere all’interessato al trattamento
In questi giorni molti titolari del trattamento hanno ricevuto una richiesta di rimozione dei dati da parte di Federico Leva per uso illegittimo di Google Analytics.
Sul web troverai decine di articoli sulla legittimità o meno di tale richiesta, sull’opportunità di rispondere o ignorare la mail, ma soprattutto su quale destino debba avere Google Analytics.
Non mi metterò a ripercorrere anche io il provvedimento del Garante Privacy con cui è stato ammonito un titolare del trattamento perché il suo sito utilizza Google Analytics.
Non entrerò nel merito della differenza tra GA3 e GA4 (e se non conosci questi due acronimi è solo perché non hai un sito web o non hai clienti che ne hanno uno) perché ci sono svariati articoli sul tema ma ancora nessuna soluzione concreta.
Un paio di considerazioni sulla mail di Federico Leva sono, però, utili in generale.
Photo by Malvestida on Unsplash
Perché rispondere alla richiesta dell’interessato al trattamento
La mail di Federico Leva non è giustificata dalla pronuncia del Garante relativa all’utilizzo di Google Analytics. L’interessato al trattamento può sempre agire per la cancellazione dei suoi dati personali, che siano trattati da Google Analytics o con altri strumenti all’interno o extra UE. Il GDPR prevede che l’interessato ha il diritto di sapere:
- quali suoi dati personali trattiamo
- la cancellazione dei suoi dati
- la portabilità dei suoi dati
Tra le eccezioni all’adempimento della richiesta è quella di opporre un legittimo interesse al trattamento del dato. L’esempio classico è quello dei dati legati alla fatturazione.
A fronte di una richiesta da parte dell’interessato – che in questo casa sarà anche un nostro cliente – puoi conservare i dati per 10 anni (periodo entro il quale si può ricevere una verifica fiscale sui pagamenti). Il termine per rispondere all’interessato è di trenta giorni dalla richiesta.
In mancanza c’è il rischio di una sanzione da parte del Garante Privacy a seguito della segnalazione da parte dello stesso interessato.
Cosa non devi fare quando ricevi una richiesta di cancellazione
Non prendere in considerazione la richiesta. La risposta a una richiesta di cancellazione dei dati personali effettuata da un interessato è un obbligo di legge.
Sostenere di non aver ricevuto la mail o che sia finita nello spam. È un obbligo del titolare del trattamento controllare la mail indicata sul sito e verificare se qualche mail di richiesta sia finita nello spam. Considerare inesistente il problema perché usi un tool di raccolta dei consensi sull’utilizzo dei cookie.
Questi sono strumenti utilizzati per bloccare i cookie statistici e profilanti fino all’eventuale raccolta del consenso dell’utente al loro utilizzo.
Nel caso di Federico Leva non devi:
- considerarlo solo un fake e che non ci saranno conseguenze alla sua richiesta
- non rispondere perché non ha utilizzato una Pec. Non c’è nessun obbligo per l’interessato di utilizzare un indirizzo di posta certificata ma può utilizzare qualsiasi mezzo
- risolvere la questione solo disinstallando Google Analytics
- pensare che sia un problema di Google perché quando si naviga su un sito il titolare del trattamento è il proprietario del sito. Google, tramite Google Analytics, è al massimo responsabile del trattamento dei dati. Quindi i dati sono trattati da Google nel nostro interesse. La responsabilità della cancellazione è sempre del titolare del trattamento e il responsabile deve, poi, provvedere nel più breve tempo possibile.
In ogni caso se non utilizzi Google Analytics in nessuna modalità sul tuo sito web, risponderei comunque alla richiesta segnalando il mancato uso. Ovviamente se non lo usavi anche prima della sua richiesta.
Photo by Arthur Osipyan on Unsplash
Cosa fare se usi Google Analytics
Se usi Google Analytics anonimizzato non puoi procedere alla cancellazione dei dati personali dell’interessato, perché non sono in tuo possesso. Non hai le informazioni necessarie per procedere alla cancellazione dei dati proprio perché non disponi del dato personale che dovresti cancellare.
Se utilizzi Google Analytics non anonimizzato devi procedere, invece, alla cancellazione dei dati su richiesta dell’interessato. In questo caso potrebbe essere necessario chiedere i dettagli relativi all’accesso al tuo sito da parte dell’interessato.
E sì, l’IP completo è un dato personale ai sensi del GDPR.
Una volta cancellati i dati, devi notificare la cancellazione all’interessato. Non è necessario trasmettere la prova della cancellazione ed è sufficiente la notifica dell’avvenuta cancellazione.
Il Registro delle richieste degli interessati
Si tratta del registro che devi avere e tenere aggiornato in qualità di titolare del trattamento. In questo registro devi inserire tutte le richieste dell’interessato con indicazione della data della richiesta e la gestione della stessa.
Solo in questo modo, in caso di controlli, puoi dimostrare di aver preso in carico la richiesta e di averlo fatto entro i 30 giorni previsti dal GDPR. E anche di avere notificato all’interessato la cancellazione.
Se questi aspetti ti interessano e li vuoi approfondire puoi leggere gli altri articoli pubblicati nella categoria GDPR.
Vuoi risolvere una tua questione legale o avere un parere sugli argomenti trattati? Prenota qui la tua consulenza.
Per tutti gli aggiornamenti segui #LexAroundMe Lascia qui il tuo commento al blog e ai servizi di LexAround.me #Google Analytics: come rispondere all’#interessatoaltrattamento #datipersonali #GDPR #consenso #privacy #LexAroundMe Condividi il Tweet
Chi sono:
