Come agenzia abbiamo trattato il tema del passaggio da Universal Analytics a Google Analytics 4 attraverso diversi articoli.
Un’azione che sarà obbligatoria a partire dal 1°luglio 2023.
È interessante e utile capire cosa fare nel periodo in cui queste due piattaforme dell’universo Google sono entrambe attive e disponibili, in particolar modo per non incorrere in problematiche relative a quanto disposto dal Garante della Privacy nel corso degli ultimi mesi.
Ti potrebbe interessare: "Nuovo Google Analytics: aspetti fondamentali da conoscere"
Conservazione dei dati e norme che regolano la materia
Andando al concreto molte aziende i mesi scorsi hanno ricevuto una o più email con richiesta di cancellazione dei dati a fronte delle norme in vigore.
Il presupposto essenziale consiste nel fatto che il Garante della Privacy il 23 giugno scorso, partendo da una causa in atto, ha pubblicato una nota ufficiale intimando lo stop all’uso degli Analytics, o meglio al trasferimento di dati negli Usa, senza adeguate garanzie.
A questa nota si aggiunge il provvedimento ufficiale attraverso cui lo stesso Garante precisa che “un sito web che utilizza il servizio Google Analytics (GA), senza le garanzie previste dal Regolamento Ue, viola la normativa sulla protezione dei dati perché trasferisce negli Stati Uniti, Paese privo di un adeguato livello di protezione, i dati degli utenti”.
Negli USA, infatti, non ci sarebbe un adeguato livello di protezione dei dati così come richiesto dal DGPR europeo.
A seguito di queste decisioni normative moltissime aziende hanno ricevuto email, dai toni anche molto perentori, con richiesta di rispettare quanto disposto dal Garante.
Una di queste, in particolare, ha raggiunto diverse migliaia di imprese. Parliamo della mail avente come oggetto: “Uso illegittimo di Google Analytics: richiesta di rimozione ex art. 17 GDPR” a firma di Federico Leva da Helsinki.
Una richiesta che ha preso in controtempo molti CEO e marketing manager, per questo motivo riteniamo utile provare a capire meglio il comportamento da adottare a seguito della ricezione di questa email o di altre simili.
Pur non essendo dei legali, ciò che consigliamo come agenzia, è di rispondere a Federico Leva o ad altri utenti che avanzano una richiesta di questo tipo.
Occorrono però alcune accortezze tecniche per agire in modo corretto, lungo i binari della legalità, provvedendo alla cancellazione dei dati dell’utente specifico.
Ti potrebbe interessare: "Google Analytics 4: cosa cambia rispetto a Universal Analytics?"
Come cancellare i dati di un utente che ne fa richiesta
Per cancellare i dati di un utente, usufruendo di Universal Analytics (o Google Analytics 3) è necessario avere a disposizione un riferimento specifico, ovvero il client_id.
Questo viene rilasciato da Google attraverso un cookie nominato _ga.
Nel caso della mail ricevuta dal signor Leva, la cosa corretta da fare sarebbe rispondere al mittente dichiarando di essere pienamente disponibili a cancellare i suoi dati, a fronte dell’indicazione del suo client _id, dal momento che nella mail standard che lo stesso ha inviato alle aziende, è presente solo la classe (ip 51.158.x.y). Questo dato, da solo, non è sufficiente per identificare l'utente da cancellare.
Naturalmente questo è solamente l’aspetto base per rispettare le disposizioni di Legge, ma occorre un intervento organico per adeguare il proprio sistema di registrazione e conservazione delle formazioni in un’ottica di sicurezza complessiva.