Il caso della mail di Federico Leva con oggetto: “Uso illegittimo di Google Analytics: richiesta di rimozione ex art. 17 GDPR”
Dopo il terremoto scatenato sul web dal recentissimo Provvedimento dell’Autorità Garante per la protezione dei dati personali, la quale si è espressa in modo molto netto sull’utilizzo di Google Analytics, e di cui abbiamo parlato in questo articolo, non sono tardati i primi effetti: numerosi gestori di siti web si sono infatti visti recapitare una mail, che per qualcuno potrebbe essere risultata insolita, fino ad ipotizzare che si trattasse di un messaggio di spam, ma che rappresenta invece un’istanza relativa all’esercizio di un diritto previsto dal GDPR (Regolamento Europeo per la protezione dei dati personali, n. 679/2016).
Ti invito a vedere il mio ultimissimo video proprio sul caso di Federico Leva
L’autore, ormai noto quanto la mail che ha inviato, si chiama Federico Leva, ed è un giovane che può essere definito un attivista dei diritti digitali – sul proprio blog si definisce “attivista, sviluppatore e consulente ICT” – a lungo interessatosi di tematiche relative alla privacy, come quelle affrontate dal collettivo NOYB (None of Your Business), di cui è parte e che conduce campagne di sensibilizzazione sul trattamento dei dati personali.
Cosa dice la mail di Leva su Google Analytics?
La mail inviata da Federico Leva, avente come oggetto “Uso illegittimo di Google Analytics: richiesta di rimozione ex art. 17 GDPR”, richiede ai webmaster la cancellazione dei suoi dati personali raccolti per l’utilizzo del sito web di riferimento. Una prima precisazione si rende necessaria: un dato personale non è solo il nome, il cognome o il codice fiscale della persona, ma qualsiasi informazione in grado di rendere il soggetto identificato o identificabile (art. 4 GDPR). Navigando su un sito, si lasciano delle “tracce” informatiche mediante i cookies, brevi file di testo che si depositano nella cache del browser di utilizzo dell’utente: tra queste tracce vi sono l’indirizzo IP e i file di log dell’utente sul sito, i quali sono pacificamente riconosciuti come dati personali.
Dopo aver descritto di quali dati chiede la cancellazione, Federico Leva precisa che intende esercitare tale diritto nei confronti dei sistemi del responsabile del trattamento del webmaster, anche con riferimento ad eventuali backup. L’autore della mail, infatti, sa bene che nel momento in cui si fa uso di Google Analytics – così come ogni servizio di Google – il colosso statunitense qualifica se stesso come responsabile del trattamento, mentre titolare del trattamento resta il gestore del sito web, che, come si specificherà di seguito, è il soggetto che dovrà ottemperare, secondo il GDPR, alle richieste degli interessati.
Perché Federico Leva chiede la rimozione dei dati?
Federico Leva spiega anche la motivazione della sua richiesta: l’utilizzo, da parte dei siti web destinatari della sua mail, del servizio Google Analytics, che, a seguito del Provvedimento del Garante per la protezione dei dati personali (n. 224 del 9 giugno 2022), dovrebbe ritenersi illecito.
Per approfondire cosa abbia motivato il Garante al Provvedimento dello scorso 9 giugno, nonché per possibili soluzioni, si consiglia la visione di questo video.
Del funzionamento di Google Analytics si era parlato in questo articolo; quanto interessa qui richiamare è il fatto che un webmaster europeo che utilizzi Google Analytics stabilisce un accordo con Google Ireland Ltd (con sede in Europa), ma subresponsabile del trattamento diviene anche Google LLC (con sede in U.S.A.), la quale deve sottostare alle leggi statunitensi. Tra queste, il Cloud (Claryfing Lawful Overseas Use of Data) Act impone alle società di condividere qualsiasi informazione in loro possesso, dietro richiesta, alle Autorità nazionali (incluse Agenzie di sicurezza come FBI, NSA, CIA), senza darne comunicazione all’interessato, il che contrasta invece con quanto previsto dalla normativa europea in materia di protezione dei dati.
Da qui origina la richiesta di Federico Leva, il quale nel domandare la cancellazione dei propri dati adduce quattro argomentazioni:
- che il trattamento è illecito;
- che i dati personali non sono necessari ad eventuali finalità legittime;
- che qualora si potesse considerare legittimo il trattamento in base al suo consenso, questo deve considerarsi come prestato senza i necessari requisiti della corretta informazione e validità, ed in ogni caso viene revocato nella stessa mail;
- che nel caso venisse riconosciuto un legittimo interesse, la sua comunicazione qui in esame deve considerarsi come una manifestazione di opposizione al trattamento, un altro diritto riconosciuto all’interessato dal GDPR.
Argomentazioni, occorre dirlo, piuttosto robuste. Per questo motivo, è il caso che chi abbia ricevuto la mail di Federico Leva, dia una risposta entro i termini di legge. Di seguito, si forniscono alcuni spunti generali su quali siano i criteri di massima per fornire un riscontro all’interessato in caso di domanda di cancellazione di dati personali.
Cosa rispondere ad un’istanza di cancellazione?
Il GDPR detta una serie di regole per garantire l’effettivo diritto alla cancellazione dei dati personali da parte dell’interessato.
Preliminarmente, occorre sincerarsi circa l’identità del soggetto da cui proviene la richiesta: che sia, nelle parole del GDPR, l’interessato, ossia che coincida con il soggetto a cui quei dati si riferiscono. Se non si ha contezza di ciò, è opportuno rispondere al richiedente di integrare la sua risposta e meglio qualificarsi, onde non rischiare di diffondere dati personali a soggetti che non ne abbiano titolo. Le richieste, infatti, devono sempre provenire da soggetti a cui la legge accorda un diritto, ed in caso di cancellazione dei dati, questo è solo l’interessato.
A sua volta, l’interessato deve prestare attenzione a colui al quale indirizza la sua domanda: questo può essere il titolare del trattamento (nel caso in esame, il gestore del sito web) o, laddove nominato, il Responsabile della Protezione dei dati (RPD o, nell’acronimo inglese, DPO), cioè colui che istituzionalmente si occupa, tra gli altri compiti che la legge gli assegna, della gestione delle istanze degli interessati.
Affrontata la legittimazione attiva e passiva dei soggetti, si deve procedere alla verifica dei dati per i quali è chiesta la cancellazione; successivamente, si pone la questione del rispetto dei requisiti fissati dall’art. 17, che disciplina appunto il diritto alla cancellazione.
Il titolare del trattamento, ai sensi dell’art. 12 del GDPR, deve fornire risposta entro un mese dal ricevimento della richiesta (se vengono ricevute molte richieste, o queste sono particolarmente complesse, i mesi concessi sono tre). Anche in caso di rifiuto della richiesta, il titolare, sempre entro un mese, deve darne conto all’interessato ed avvisarlo del suo diritto a proporre reclamo all’autorità di controllo o ricorso giurisdizionale contro tale decisione.
Cosa dice la legge sul diritto alla cancellazione
Appare utile, a questo punto, riportare il testo dell’art. 17. La norma dispone al par. 1 che: “l’interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare del trattamento ha l’obbligo di cancellare senza ingiustificato ritardo i dati personali, se sussiste uno dei motivi seguenti:
- i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati;
- l’interessato revoca il consenso su cui si basa il trattamento conformemente all’articolo 6, paragrafo 1, lettera a), o all’articolo 9, paragrafo 2, lettera a), e se non sussiste altro fondamento giuridico per il trattamento;
- l’interessato si oppone al trattamento ai sensi dell’articolo 21, paragrafo 1, e non sussiste alcun motivo legittimo prevalente per procedere al trattamento, oppure si oppone al trattamento ai sensi dell’articolo 21, paragrafo 2;
- i dati personali sono stati trattati illecitamente;
- i dati personali devono essere cancellati per adempiere un obbligo giuridico previsto dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento;
- i dati personali sono stati raccolti relativamente all’offerta di servizi della società dell’informazione di cui all’articolo 8, paragrafo 1.”
A questo punto, si può meglio comprendere il motivo per il quale Federico Leva abbia corredato la sua richiesta con ben 4 argomentazioni. Basta poi la sussistenza di una delle condizioni sopra riportate, infatti, per far azionare l’obbligo di cancellazione dei suoi dati personali: quella principale è, com’è intuitivo, il trattamento illecito dei dati personali come conseguenza della dichiarazione in tal senso del Garante su Google Analytics.
È peraltro possibile il rifiuto, da parte del titolare del trattamento, a cancellare i dati in suo possesso, al ricorrere delle condizioni stabilite dal par. 3 dello stesso art. 17, “nella misura in cui il trattamento sia necessario:
- per l’esercizio del diritto alla libertà di espressione ed informazione;
- per l’adempimento di un obbligo giuridico che richieda il trattamento previsto dal diritto dell’Unione o dello Stato membro [..];
- per motivi di interesse pubblico nel settore della sanità pubblica [..];
- a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici [..];
- per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria.”
Le criticità giuridiche nella mail di Federico Leva
Sebbene appaia piuttosto ben motivata ed articolata, la mail di Federico Leva potrebbe presentare alcune criticità giuridiche.
Un primo problema potrebbe derivare dalle scarne informazioni che l’interessato ha fornito per permettere ai titolari dei siti web di evadere correttamente la sua pratica. Il solo indirizzo IP potrebbe non bastare, o quantomeno rendere estremamente difficoltoso al webmaster, per identificare i dati personali di navigazione di un soggetto su un sito web.
Inoltre, la richiesta è stata indirizzata a migliaia di indirizzi mail riferiti ad altrettanti siti web visualizzati: questo è stato possibile grazie ad uno spider web, uno strumento informatico che permette la visita automatizzata di moltissime pagine web. Questo strumento potrebbe portare ad un’ipotesi di trattamento automatizzato dei dati, il che è disciplinato in maniera puntuale dal GDPR e con modalità più stringenti rispetto ad un trattamento non automatizzato. È anche vero, allo stesso tempo, che la disciplina del GDPR non si applica ai trattamenti di dati personali “effettuati da una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico” (art. 2, par. 2, lett. c, GDPR), per cui la questione può prestarsi a numerose interpretazioni giuridiche.
Un secondo problema sarebbe inoltre quello relativo ad una specifica categoria di gestori di siti web, le Pubbliche Amministrazioni, anch’esse menzionate nella mail di Federico Leva: per comunicare con questi soggetti, secondo l’art. 65 del Codice dell’Amministrazione Digitale (C.A.D., d.lgs 82/2005), le istanze alla Pubblica Amministrazione possono essere presentate se sussiste una delle seguenti condizioni: a) laddove sottoscritte con firma digitale, altro tipo di firma elettronica qualificata o firma elettronica avanzata; b) quando l’istante sia identificato attraverso SPID, CNS o CiE; c) quando sottoscritte unitamente alla copia del documento di identità, o d) mediante PEC.
Cosa fare se si riceve la mail di Federico Leva
Si sa che il dettato normativo dev’essere contestualizzato nel singolo caso concreto. Cosa fare, dunque, dal giorno in cui si è ricevuta la mail di Federico Leva?
In molti si sono preoccupati per avere ricevuto la mail, avendo pensato ad una delle – purtroppo, ormai numerosissime – campagne di phishing (sebbene gli unici link contenuti nella mail fossero di collegamento al sito del Garante italiano e al form di risposta), o semplicemente ad un messaggio di spam da ignorare.
Non è così. Si è già detto che il diritto alla cancellazione dei propri dati personali, se azionato con apposita istanza dell’interessato, dev’essere garantito una volta verificati i presupposti di legge.
In questo caso, i presupposti sembrano tutti sussistere validamente: come si è visto in precedenza, non vi sono motivi per rifiutarsi di adempiere alla richiesta in oggetto, ma quanto in essa contenuta potrebbe risultare parziale o incompleta.
Quello che bisognerebbe fare, dunque, è rispondere alla mail entro il termine indicato (30 giorni dalla ricezione della stessa), richiedendo le maggiori informazioni necessarie per poter correttamente adempiere alla richiesta, spiegando che ci si trova nell’attuale impossibilità di dare immediato seguito alla richiesta, in quanto il solo indirizzo IP ed i file di log non sono elementi sufficienti all’identificazione dell’interessato e dei dati da cancellare.
Per agevolare la gestione di una tale quantità di e-mail, Federico Leva aveva fatto ricorso alla piattaforma Limesurvey, come mezzo per ricevere in modalità automatizzata le risposte, cosicché i titolari che avessero voluto rispondere avrebbero semplicemente dovuto compilare un form. La piattaforma, tuttavia, è stata sovraccaricata di richieste al punto tale che al giovane è stato chiuso l’account per violazione dei Termini e delle Condizioni. Questa non è certo una scusante per non rispondere: nel corpo della mail, vi è un indirizzo di posta elettronica a cui replicare, ed è lo strumento da utilizzarsi.
Quali sono i rischi se si ignora la mail?
Il GDPR prevede specifiche sanzioni per la violazione dei diritti degli interessati previsti agli artt. da 15 a 22 (tra i quali è previsto il diritto alla cancellazione).
Ai sensi dell’art. 58 del GDPR, infatti, l’Autorità dispone del potere di irrogare le seguenti sanzioni correttive:
- avvertimenti preventivi delle violazioni del GDPR;
- ammonimenti successivi a violazioni del GDPR;
- ingiunzioni, come ad esempio di soddisfare le richieste dell’interessato di esercitare i relativi diritti;
- limitare un trattamento, sospenderlo, vietarlo;
- ordinare, tra le altre cose, la cancellazione dei dati, nonché la notifica della misura all’interessato;
- comminare le sanzioni amministrative pecuniarie (che possono arrivare fino a 20 milioni di euro o, per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente).
Vi è poi il rischio, per chi non risponda, o risponda non garantendo il pieno esercizio dei diritti dell’interessato, di essere chiamati a risarcire i danni materiali o immateriali dallo stesso eventualmente subiti, ai sensi dell’art. 82 del GDPR.
L’importanza del GDPR
Le richieste come quella di cui si è parlato, tanto più se riprodotte su larga scala, vengono spesso effettuate da soggetti che compiono azioni eclatanti per contribuire ad accendere i riflettori su un fenomeno che sta loro a cuore e che a loro dire non è sufficientemente trattato dall’opinione pubblica. Tale sembra essere stato il caso di Federico Leva.
Le motivazioni personali, ad ogni modo, contano relativamente: il GDPR è chiaro nel sancire un diritto in capo ad un soggetto, corredato da un obbligo per un altro soggetto giuridico.
Per ulteriori informazioni e chiarimenti su questo caso o per l’esercizio o la gestione dei diritti sulla protezione dei dati personali, è possibile rivolgersi ai nostri partner dello Studio Legale FCLEX. facendo riferimento all’Avvocato Giuseppe Croari.