• User

    Richiesta di rimozione ex art. 17 GDPR

    Ho diversi siti web da ormai anni, e il GDPR è sempre stato un casino.

    Ognuno ha una propria opinione, e con la nuova conferma 2022, mi pare di capire che tutti i lettori adesso si sentano in dovere di mettersi il mantello e chiedere la "rimozione dei dati perchè chissà cosa fanno coi miei dati".

    Personalmente i dati li gestisco tutti in anonimo, non ho idea di chi sia o non sia, ma chissà cosa si immagina un lettore.

    Ora un lettore, tramite modulo software precompilato " LimeSurvey" mi chiede di rimuovere i dati personali (mi ha fornito l'indirizzo IP) con tanto "di risposta entro 31 giorni".

    Citando la mail ricevuta:

    richiedo la cancellazione di tali dati personali dai sistemi informativi del vostro responsabile del trattamento e dagli eventuali backup e ovunque essi siano stati trasmessi a causa del vostro uso di Google Analytics, in quanto: a) tale trattamento è illecito e b) tali dati personali non sono necessari a eventuali finalità legittime, come sopra descritto; c) nella misura in cui il trattamento potesse eventualmente essere lecito in forza di un mio consenso, nego di aver prestato il mio informato e valido consenso, che in ogni caso revoco espressamente con la presente; d) qualora i dati fossero asseritamente trattati sulla base di un legittimo interesse, la presente assume valore di opposizione al trattamento oltre che di richiesta di cancellazione;
    in particolare richiedo la rimozione di qualsiasi registro o copia dei dati personali di cui sopra da parte di Google e ogni altro responsabile di tale trattamento o altro soggetto che li abbia ricevuti, compresi tutti i dati inviati dal mio browser al momento della visita, nonché qualsiasi versione pseudonimizzata dei medesimi e qualsiasi dato aggregato riconducibile ai medesimi o ad altri miei dati personali, come la classificazione in coorti o qualsiasi tipo di identificativo univoco;
    richiedo altresì, in forza dell'art. 18(1)(d) del regolamento 2016/679, di interrompere immediatamente ogni trattamento di tali dati personali connessi al mio uso passato e futuro del vostro sito, ad esempio provvedendo alla completa rimozione dallo stesso di Google Analytics (in qualsiasi versione e configurazione) e interrompendo ogni uso dei dati prodotti da Google in relazione agli utenti del vostro sito

    Ho due domande:

    1. per siti che hanno migliaia di utenti al giorno, questo comporterebbe un dispendio di tempo assurdo, tanto vale che chiuda il sito.
    2. ammesso che voglia rimuovere i dati personali del soggetto in questione, come dovrei procedere?

    Grazie a chiunque mi aiuterà in questa follia.


    ? 1 Risposta
  • Cancella tutto quello che hai su di lui.

    A me sembra solo che abbia fatto un poco di confusione alla fine

    "richiedo altresì, in forza dell'art. 18(1)(d) del regolamento 2016/679, di interrompere immediatamente ogni trattamento di tali dati personali connessi al mio uso passato e futuro del vostro sito, ad esempio provvedendo alla completa rimozione dallo stesso di Google Analytics (in qualsiasi versione e configurazione) e interrompendo ogni uso dei dati prodotti da Google in relazione agli utenti del vostro sito",

    da come interpreto io sembra che ti stia intimando 1) di togliere i suoi dati personali (e ok) 2) di togliere google analytics dal tuo sito "ad esempio provvedendo alla completa rimozione dallo stesso di Google Analytics (in qualsiasi versione e configurazione) e interrompendo ogni uso dei dati prodotti da Google in relazione agli utenti del vostro sito"

    Sicuramente può chiederti di eliminare i suoi dati personali, ma non credo sia suo diritto chiedere di togliere analytics dal tuo sito per i trattamenti futuri "interrompere immediatamente ogni trattamento di tali dati personali connessi al mio uso passato futuro del vostro sito"
    A limite ti deve denunciare e il giudice deciderà.

    Ovviamente dovevi e dovrai essere in regola con il GDPR e privacy interna. GA3 non è in regola con il GDPR, GA4 c'è confusione ancora.


  • Contributor

    Ricevuta anche io. Su un sito su cui da almeno 2 settimane NON ho più GA (quello di questa faccenda qua).

    Email automatica ed intimidatoria, sto valutando come procedere. Quando rientro dalle ferie me lo lavoro per bene.

    Sta gente sinceramente un po' scoccia.

    Ed io sono uno di quelli a favore della rimozione di GA... Ma le intimidazioni fatte così non servono a nulla.


  • User

    Sarà qualcuno che vende un altro tool alternativo a GA che fa del terrorismo....


  • Mi sfugge il motivo di queste email, inoltre sta chiedendo di compilare ed utilizzare un servizio di sondaggistica senza apparente motivo.
    https://www.frode-internet.it/email-federico-leva-limesurvey/


    kal 1 Risposta
  • Contributor

    @homeworker ha detto in Richiesta di rimozione ex art. 17 GDPR:

    Mi sfugge il motivo di queste email, inoltre sta chiedendo di compilare ed utilizzare un servizio di sondaggistica senza apparente motivo.
    https://www.frode-internet.it/email-federico-leva-limesurvey/

    Ma LOL:

    1. il sito di questa persona è totalmente fuori regola ai sensi del GDPR anche solo per il fatto che qualsiasi persona che tratti dati personali di residenti nell’UE deve garantire la tutela di questi ultimi (nel suo sito non c’è informativa, non c’è nulla se non 4 parole in croce ed una foto)… non si sa come tratta i dati, per quali fini ecc ecc… è certo, però, che li tratti perché dalle email che manda vi è un richiamo al sondaggio con tanto di tag che lega la mail del destinatario alla mail da lui inviata al possibile fine di “creare” un suo “fascicolo indagine”.

    Ora so cosa fare: compilare il sondaggio e fargli un Reverse GDPR!


  • User Attivo

    Pare sia un'attivista che vuole evidenziare il problema in maniera forte ...

    se ne parla anche qui
    https://t.me/avvocatovercellotti/507


  • Pensa appena scopre quel sito che ha messo in chiaro la sua mail, nome e cognome 🙂
    Gli manda la swat...


  • User

    2 domande:

    Lui scrive
    "visita del vostro sito nei giorni scorsi, identificabili dal mio indirizzo IP (51.158.x.y) e user-agent ("Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/76.0.3803.0 Safari/537.36"), e ogni dato connesso o derivante dagli stessi"
    Come faccio da questi dati a rimuovere su GA3 o GA4 la sua "presenza"?

    1. Vi risulta che Google Search Console generi cookies? Leggevo che in realtà non generà Cookie, quindi se non usassimo Analytics, ma solo Search Console (e niente Adsense) non saremmo tenuti ad adempimenti GDPR. Vi torna?

  • User

    https://support.google.com/analytics/answer/9450800?hl=it

    Prova a dare un occhio lì. Puoi rimuovere i dati del giorno in cui ti ha fatto la visita creando da solo una richiesta eliminazione dati e selezionando il giorno.

    Comunque ha inventato un nuovo tipo di spam da domani vedremo gente cliccare su tutti gli annunci Ads dei competitor e nel contact form della landing page richiedere la rimozione dati... così, tanto x simpatia.


  • Ha scritto pure a me su un sitino personale con ga3. Troppo generico per essere preso in considerazione, "nei giorni scorsi ho visitato il tuo sito". L'ho segnalato come spam.
    Dubito abbia messo in piedi automazioni per ricontrollare chi ha risposto o meno o abbia fatto screenshot di tutti. Dubito pure abbia realmente navigato tutti questi siti.
    Ciaone


  • Contributor

    Piccolo dettaglio legale: ha costruito una banca dati senza il consenso dei titolari dei dati (in particolar modo degli indirizzi email a cui poi ha inviato comunicazione).

    Altra cosa illegalissima.

    Vedi:

    https://www.altalex.com/documents/news/2021/01/05/data-scraping-attivita-raccolta-informazioni

    Il data scraping, pertanto, pur non essendo di per sé illegale – Google, attraverso i suoi programmi ‘parser’, utilizza metodi di scraping per analizzare i siti web ed estrarne i contenuti che utilizzerà poi per la propria catalogazione – è potenzialmente idoneo a integrare una condotta illecita quando si traduce nell’accesso non autorizzato ed indiscriminato a dati altrui.


    luca 1 Risposta
  • Contributor

  • User Attivo

    @kal ha detto in Richiesta di rimozione ex art. 17 GDPR:

    Piccolo dettaglio legale: ha costruito una banca dati senza il consenso dei titolari dei dati (in particolar modo degli indirizzi email a cui poi ha inviato comunicazione).

    Credo di no, che non siamo in questo campo

    c'è una pagina del sito, che sia chiama privacy
    dove c'è scritto qualcosa del tipo "se vuoi cancellare i tuoi dati contatta qui ..."

    sta semplicemente facendo valere quel diritto
    che è esplicitato sul sito

    quindi lo può fare, essendo CHIARAMENTE scritto sul sito


    kal 1 Risposta
  • Contributor

    @luca sì, lo sta esercitando... Formalmente. Ma l'invio automatico a decine di migliaia di siti web non è l'esercizio di un diritto.

    È qualcos'altro.

    Ricordiamoci che siamo sul piano legale e la volontà conta.

    L'esercizio di un diritto a scopo dimostrativo non è l'esercizio di un diritto.

    Se inserisci il mio indirizzo pubblico in una banca dati e con quella fai invio di comunicazioni automatiche di massa non sollecitate... E con quelle comunicazioni sembra che tu voglia raccogliere dai (questo è il sondaggio), allora senza dubbio l'attività in generale NON è legittima.

    (Per quanto la singola richiesta lo sia, naturalmente)

    Io infatti sto pensando di muovermi a grandi linee con DUE comunicazioni separate, la prima:

    1. Tramite PEC
    2. Chiedendogli ulteriori informazioni (nella fattispecie il giorno esatto in cui ha visitato il sito ed il valore del cookie di GA contenente il Client Id)

    Obiettivo: fare ammuina e svelare il bluff, perché appunto: io GA l'avevo levato da mó!

    Poi gli mando una seconda mail separata sempre da mia PEC in cui:

    1. Gli chiedo di poter avere informazioni su quando ho acconsentito di essere inserito nella sua banca dati
    2. Di essere rimosso immediatamente dalla sua banca dati
    3. Diffidandolo dall'inviarmi comunicazioni automatiche e non sollecitate di alcun tipo

    Il tutto con opportuni riferimenti ai termini di legge.


  • User

    ecco cade a fagiuolo.


  • Tanta pubblicità gratis.


  • Contributor

    Per la cronaca, se qualcuno è interessato, ecco il testo delle due email che ho inviato tramite PEC al tizio. La PEC serve A ME per dimostrare che gli ho risposto. Se non mi risponde, tanto meglio e scocciatura finita.

    NB: NON È UNA CONSULENZA LEGALE. SE COPIA-INCOLLATE, LO FATE SULLA VOSTRA RESPONSABILITÀ.

    (mi tocca dirlo :rollo: )

    Dunque, prima email.

    Oggetto: Richiesta nuove informazioni in risposta alla Vs. richiesta di rimozione dati ex art. 17 GDPR per ________

    Gentilissimo Sig. Leva,

    vi scrivo in quanto titolare e responsabile del trattamento dei dati personali per il sito internet _________.

    Per ottemperare alla vostra richiesta mi è indispensabile conoscere:

    1. il valore del cookie di Google Analyics denominato come "_ga", contenente il c.d. Client ID, necessario per effettuare l'attività di rimozione di tutte le azioni utente registrate sul sistema

    2. in alternativa, qualora il valore del cookie succitato non sia più disponibile, mi fornisca gentilmente l'ora esatta al minuto secondo dell'inizio e della fine della vs. visita sul sito.

    Resto in attesa di una o entrambe queste informazioni per poter procedere compiutamente con la vostra richiesta.

    Cordiali saluti,


    Seconda email separata.

    Oggetto: Richiesta rimozione dati da banca dati automatizzata presso LimeSurvey

    Gentilissimo Sig. Leva,

    le scrivo in merito alla comunicazione automatica ricevuta sull'email ___________ il giorno __________ di cui allego messaggio completo di header per ogni futura referenza.

    In quanto proprietario del dato personale dell'email succitata, non mi risulta di aver rilasciato alcun consenso all'inserimento dello stesso nella sua banca dati automatizzata presso LimeSurvey, che lei ha utilizzato per l'invio della comunicazione.

    Ai sensi del Regolamento UE 2016/679, le chiedo pertanto formalmente:

    1. di conoscere il giorno ed il momento esatto, così come le modalità in cui avrei rilasciato il consenso (nella fattispecie ai sensi dell'Art. 7 - Condizioni per il consenso)

    2. di conoscere quali altri miei dati personali oltre alla succitata email sono stati inseriti nella vs. banca dati (nella fattispecie ai sensi dell'Art. 15 - Diritto di accesso dell'interessato)

    3. in ogni caso, richiedo l'immediata rimozione di tutti i miei dati personali dalla vs. banca dati (nella fattispecie ai sensi dell'Art. 7 - Condizioni per il consenso)

    Diffido inoltre dall'invio di qualunque altra comunicazione automatica dal suddetto sistema LimeSurvey, così come da qualunque altro sistema automatico che lei volesse utilizzare per le comunicazioni.

    Per la vs. replica vi invito a scrivermi direttamente in risposta a questa email. Altre comunicazioni potrebbero non essere ricevute correttamente e non mi assumo alcuna responsabilità su un'eventuale loro mancata consegna.

    Resto naturalmente a disposizione per qualunque necessità di approfondimento.

    Cordiali saluti,



    C 1 Risposta
  • User

    @kal dovrebbero rispondere cosi tutti quelli che hanno ricevuto la mail di Leva, cosi lui poi avrà xxxxx mail da leggere e rispondere. Tutto questo solo per rompere le palle, e far capire alla gente che gli estremismi non portano mai a nulla di buono, sia tu nel giusto o nel torto.

    Pure io sono dell'idea che tutti i servizi GAFAM non siano adatti al GDPR. E penso anche che oggi sia venuto il momento buono per cambiare sistema di analitica, oggi. Domani, piano piano arriveranno altri servizi alternativi per il resto.

    Ma il modo in cui viene portata avanti questa "battaglia" da Leva & C. non mi piace.e


  • User

    @kal grazie mille per averci risparmiato a tutti lo sbatti di redarre il testo, copio e incollo volentieri

    @luca no, la richiesta è legittima, ma deve mandarmi una mail direttamente dalla sua casella di posta, non può raccogliere cosi indirizzi email, con lo stesso principio per cui noi dobbiamo chiedere il consenso per l'invio di newsletter, a maggior ragione se utilizziamo servizi di terze parti come mailchimp, il fatto di usare limesurvey con la scusa di essere in UE non vuol dire assolutamente nulla. Come ho commentato nella video intervista tra matteoflora e guido scorza, ha inserito la mail che è un dato personale (non sensibile) su un servizio di terze parti senza il consenso dell'interessato. Non difendiamo l'indifendibile. Se il Leva vuole atteggiarsi a paladino della GDPR, che se la studi prima.


    kal 1 Risposta