- Home
- Categorie
- Digital Marketing
- Google Analytics e Web Analytics
- Richiesta di rimozione ex art. 17 GDPR
-
https://support.google.com/analytics/answer/9450800?hl=it
Prova a dare un occhio lì. Puoi rimuovere i dati del giorno in cui ti ha fatto la visita creando da solo una richiesta eliminazione dati e selezionando il giorno.
Comunque ha inventato un nuovo tipo di spam da domani vedremo gente cliccare su tutti gli annunci Ads dei competitor e nel contact form della landing page richiedere la rimozione dati... così, tanto x simpatia.
-
Piccolo dettaglio legale: ha costruito una banca dati senza il consenso dei titolari dei dati (in particolar modo degli indirizzi email a cui poi ha inviato comunicazione).
Altra cosa illegalissima.
Vedi:
https://www.altalex.com/documents/news/2021/01/05/data-scraping-attivita-raccolta-informazioni
Il data scraping, pertanto, pur non essendo di per sé illegale – Google, attraverso i suoi programmi ‘parser’, utilizza metodi di scraping per analizzare i siti web ed estrarne i contenuti che utilizzerà poi per la propria catalogazione – è potenzialmente idoneo a integrare una condotta illecita quando si traduce nell’accesso non autorizzato ed indiscriminato a dati altrui.
1 Risposta -
E segnalo anche questa:
Moto probabilmente è in violazione dei TOS di Limesurvey.
Che disastro!
-
@kal ha detto in Richiesta di rimozione ex art. 17 GDPR:
Piccolo dettaglio legale: ha costruito una banca dati senza il consenso dei titolari dei dati (in particolar modo degli indirizzi email a cui poi ha inviato comunicazione).
Credo di no, che non siamo in questo campo
c'è una pagina del sito, che sia chiama privacy
dove c'è scritto qualcosa del tipo "se vuoi cancellare i tuoi dati contatta qui ..."sta semplicemente facendo valere quel diritto
che è esplicitato sul sitoquindi lo può fare, essendo CHIARAMENTE scritto sul sito
1 Risposta -
@luca sì, lo sta esercitando... Formalmente. Ma l'invio automatico a decine di migliaia di siti web non è l'esercizio di un diritto.
È qualcos'altro.
Ricordiamoci che siamo sul piano legale e la volontà conta.
L'esercizio di un diritto a scopo dimostrativo non è l'esercizio di un diritto.
Se inserisci il mio indirizzo pubblico in una banca dati e con quella fai invio di comunicazioni automatiche di massa non sollecitate... E con quelle comunicazioni sembra che tu voglia raccogliere dai (questo è il sondaggio), allora senza dubbio l'attività in generale NON è legittima.
(Per quanto la singola richiesta lo sia, naturalmente)
Io infatti sto pensando di muovermi a grandi linee con DUE comunicazioni separate, la prima:
- Tramite PEC
- Chiedendogli ulteriori informazioni (nella fattispecie il giorno esatto in cui ha visitato il sito ed il valore del cookie di GA contenente il Client Id)
Obiettivo: fare ammuina e svelare il bluff, perché appunto: io GA l'avevo levato da mó!
Poi gli mando una seconda mail separata sempre da mia PEC in cui:
- Gli chiedo di poter avere informazioni su quando ho acconsentito di essere inserito nella sua banca dati
- Di essere rimosso immediatamente dalla sua banca dati
- Diffidandolo dall'inviarmi comunicazioni automatiche e non sollecitate di alcun tipo
Il tutto con opportuni riferimenti ai termini di legge.
-
ecco cade a fagiuolo.
-
Per la cronaca, se qualcuno è interessato, ecco il testo delle due email che ho inviato tramite PEC al tizio. La PEC serve A ME per dimostrare che gli ho risposto. Se non mi risponde, tanto meglio e scocciatura finita.
NB: NON È UNA CONSULENZA LEGALE. SE COPIA-INCOLLATE, LO FATE SULLA VOSTRA RESPONSABILITÀ.
(mi tocca dirlo )
Dunque, prima email.
Oggetto: Richiesta nuove informazioni in risposta alla Vs. richiesta di rimozione dati ex art. 17 GDPR per ________
Gentilissimo Sig. Leva,
vi scrivo in quanto titolare e responsabile del trattamento dei dati personali per il sito internet _________.
Per ottemperare alla vostra richiesta mi è indispensabile conoscere:
-
il valore del cookie di Google Analyics denominato come "_ga", contenente il c.d. Client ID, necessario per effettuare l'attività di rimozione di tutte le azioni utente registrate sul sistema
-
in alternativa, qualora il valore del cookie succitato non sia più disponibile, mi fornisca gentilmente l'ora esatta al minuto secondo dell'inizio e della fine della vs. visita sul sito.
Resto in attesa di una o entrambe queste informazioni per poter procedere compiutamente con la vostra richiesta.
Cordiali saluti,
Seconda email separata.
Oggetto: Richiesta rimozione dati da banca dati automatizzata presso LimeSurvey
Gentilissimo Sig. Leva,
le scrivo in merito alla comunicazione automatica ricevuta sull'email ___________ il giorno __________ di cui allego messaggio completo di header per ogni futura referenza.
In quanto proprietario del dato personale dell'email succitata, non mi risulta di aver rilasciato alcun consenso all'inserimento dello stesso nella sua banca dati automatizzata presso LimeSurvey, che lei ha utilizzato per l'invio della comunicazione.
Ai sensi del Regolamento UE 2016/679, le chiedo pertanto formalmente:
-
di conoscere il giorno ed il momento esatto, così come le modalità in cui avrei rilasciato il consenso (nella fattispecie ai sensi dell'Art. 7 - Condizioni per il consenso)
-
di conoscere quali altri miei dati personali oltre alla succitata email sono stati inseriti nella vs. banca dati (nella fattispecie ai sensi dell'Art. 15 - Diritto di accesso dell'interessato)
-
in ogni caso, richiedo l'immediata rimozione di tutti i miei dati personali dalla vs. banca dati (nella fattispecie ai sensi dell'Art. 7 - Condizioni per il consenso)
Diffido inoltre dall'invio di qualunque altra comunicazione automatica dal suddetto sistema LimeSurvey, così come da qualunque altro sistema automatico che lei volesse utilizzare per le comunicazioni.
Per la vs. replica vi invito a scrivermi direttamente in risposta a questa email. Altre comunicazioni potrebbero non essere ricevute correttamente e non mi assumo alcuna responsabilità su un'eventuale loro mancata consegna.
Resto naturalmente a disposizione per qualunque necessità di approfondimento.
Cordiali saluti,
-
-
@kal dovrebbero rispondere cosi tutti quelli che hanno ricevuto la mail di Leva, cosi lui poi avrà xxxxx mail da leggere e rispondere. Tutto questo solo per rompere le palle, e far capire alla gente che gli estremismi non portano mai a nulla di buono, sia tu nel giusto o nel torto.
Pure io sono dell'idea che tutti i servizi GAFAM non siano adatti al GDPR. E penso anche che oggi sia venuto il momento buono per cambiare sistema di analitica, oggi. Domani, piano piano arriveranno altri servizi alternativi per il resto.
Ma il modo in cui viene portata avanti questa "battaglia" da Leva & C. non mi piace.e
-
@claudiosaitta ha detto in Richiesta di rimozione ex art. 17 GDPR:
@kal grazie mille per averci risparmiato a tutti lo sbatti di redarre il testo, copio e incollo volentieri
E come dicevo al mio compagno di banco al liceo: "almeno cambia qualcosa oh".
@luca no, la richiesta è legittima, ma deve mandarmi una mail direttamente dalla sua casella di posta, non può raccogliere cosi indirizzi email, con lo stesso principio per cui noi dobbiamo chiedere il consenso per l'invio di newsletter, a maggior ragione se utilizziamo servizi di terze parti come mailchimp, il fatto di usare limesurvey con la scusa di essere in UE non vuol dire assolutamente nulla. Come ho commentato nella video intervista tra matteoflora e guido scorza, ha inserito la mail che è un dato personale (non sensibile) su un servizio di terze parti senza il consenso dell'interessato. Non difendiamo l'indifendibile. Se il Leva vuole atteggiarsi a paladino della GDPR, che se la studi prima.
ESATTO!!!
-
Io penso che i dati debbano essere contestualizzati, non ce ne siamo mai preoccupati, noi e il legislatore ed è per questo che la mail ci manda in confusione.
Ora vero che ogni persona è proprietaria di quei dati.
Ma se io faccio un acquisto e pago con il bancomat e chiedo una fattura, non posso far rimuovere i miei dati.
E' palese, c'è stata una transazione che deve essere registrata.Ora il mio sito web quanto vale?
Vale di più se ho molti visitatori, per avere molti visitatori faccio il sito ad accesso gratuito.
Ma come dimostro che ho tanti visitatori?
Utilizzo GA4 che è o sarà uno standard condiviso.
Il pratica il lettore fa una transazione con me dove riceve un contenuto gratis e mi fornisce i dati per dare più valore l sito.Ora l'art.17 sull'oblio non ci riguarda, sulla rimozione dei dati riporta:
i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati;
Ora se aggiungo nella policy un informativa del tipo:
Accettando questa policy acconsenti a trasferire in modo irreversibile i dati a Google Analytics e Adsense e i relativi servizi collegati.
I dati su G4 sono rimossi dopo 2 mesi dall'ultima visita.
Il blocco dei dati di servizi terzi deve essere gestito in autonomia dal lettore attraverso le impostazioni del proprio browser.
Si risolve il problema dell'art.17?
1 Risposta -
@infermieri-attivi ha detto in Richiesta di rimozione ex art. 17 GDPR:
Il pratica il lettore fa una transazione con me dove riceve un contenuto gratis e mi fornisce i dati per dare più valore l sito.
Enzomma. Mica è così. Sarebbe una transazione se tu stipulassi un contratto che dice "accetti di farti tracciare per leggere questo contenuto", ma (per la sorpresa di assolutamente nessuno) questo tipo di contratto è illegale.
Devi sempre dare la possibilità di rifiutare il tracciamento verso terzi.
-
Prima di rendere la questione complicata, partiamo con un modello semplice.
Chi con 50 euro apre un sito wordpress e inizia a scrivere.
Chiaramente è il responsabile del trattamento dei dati, raccoglie i dati con GA4 per vedere come va il sito e mette adsense per fare 2 soldi.
Esempio di caso semplicissimo che con la GDPR sta diventando assurdo per le minacce di sanzioni e si sta chiudendo un settore del web.Chi naviga ha un indirizzo IP che non è un dato suo gli è dato dal suo gestore di telefonia, altrimenti ci rinuncia e non naviga nel web.
Quell'IP è un numero automatico che il gestore cambia a suo piacere a seconda delle tecnologie e della cella da cui si collega il nostro navigante.
Io ho il sito e se l'utente si registra chiaramente l'indirizzo IP è associato ad una mail ed a un nome.
Quindi dal sito io posso tramite la procedura del CMS far cancellare tutti i dati personali.
Ma le statistiche di GA4 sono al di fuori del mio controllo, io posso solo decidere se usare quel codice o meno, lo stesso con le statistiche di chiunque altro, io posso vedere solo i report aggregati.
L'IP è indispensabile per navigare e il server che riceve la chiamata deve sapere da chi arriva, non può non esserci l'IP, UA aveva un solo difetto che trasferiva i dati negli States dove le leggi sono diverse.
GA4 se io scrivo al lettore che i dati sono usati per 2 mesi e ciccia, rispetto l'art.17 perchè io ti devo informare e tu navigante non sei tenuto ad usare un internet free, puoi acquistare un abbonamento di repubblica e leggerti quello, o no.
L'articolo 17 https://www.altalex.com/documents/news/2018/04/12/articolo-17-gdpr-diritto-all-oblio
1 Risposta -
@infermieri-attivi ha detto in Richiesta di rimozione ex art. 17 GDPR:
Ma le statistiche di GA4 sono al di fuori del mio controllo, io posso solo decidere se usare quel codice o meno, lo stesso con le statistiche di chiunque altro, io posso vedere solo i report aggregati.
No, ci sono le procedure di rimozione.
Sono basate non sull'IP, ma su due informazioni:
- il valore del Client ID (salvato nel cookie)
- un intervallo temporale
Se chi fa la richiesta di rimozione ti fornisce una o entrambe queste informazioni, tu puoi ottemperare alla richiesta.
Ovviamente vanno richeste e devono essere fornite.
-
Ragazzi, per la cronaca, mi ha risposto Leva alla mia SECONDA email (quella in cui IO esercitavo i MIEI diritti). Non vi copio-incollo perché è corrispondenza privata e non si può, ma vi faccio la parafrasi...
Sostanzialmente Leva mi dice:
- che non ritiene che la mia richiesta sia legalmente valida
- che mi risponde per "spirito di collaborazione" (sic.)
- mi comunica che l'istanza di Limesurvey è stata cancellata, anche se non è in grado di dirmi con certezza se i dati sono stati rimossi
Dimentica di rispondermi su una delle cose che gli ho chiesto, ovvero di sapere quali altri miei dati personali aveva salvato nella sua banca dati.
Lascio a voi ogni commento, io mi limiterò solo a dire: Reverse GDPR effettuato con successo.
Credo che non gli risponderò, non merita nemmeno un altro minuto del mio tempo.