La pagliuzza e la trave negli occhi di chi predica bene e razzola male


Il mese scorso ci siamo occupati della vicenda di Google Analytics, della sua presenza nei siti delle pubbliche amministrazioni e delle “comunicazioni di diffida” inviate da un gruppo di attivisti della rete, che chiedevano l’immediata rimozione della tracciatura di Google Analytics entro 15 giorni dal ricevimento della PEC, pena denuncia al Garante della Privacy.

Vogliamo ritornare sulla questione, perchè riteniamo che meriti un approfondimento specifico e dettagliato.

Il gruppo di attivisti della rete è senza ombra di dubbio animato da buone intenzioni e il loro intento è lodevole: il problema della raccolta e del trasferimento di dati di navigazione degli utenti esiste e molto spesso sui siti istituzionali non viene posta la dovuta attenzione durante l’installazione di add-on e plugin, finendo con l’installare anche strumenti di tracciamento che operano “sotto traccia“, in spregio al GDPR.

Tuttavia, sono secondo noi troppe le ombre più o meno nascoste, che ci frenano dal dare totale credito e autorevolezza al gruppo di attivisti.

Sul loro sito ufficiale (visitabile qui) è presente una cronistoria in formato blog, che raccoglie i loro successi e presenta le loro analisi e le loro motivazioni. Proprio partendo da queste, ad un occhio attento, possono saltare all’occhio notevoli incongruenze.

Nel loro post del 17 maggio 2022 ci si imbatte in uno scritto di un attivista, che si definisce “A fucking good DPO – Data Protection advocate. IAPP CIPP/E. Working just to make the world a better place.” (e sticaz…!!!).
Nello scritto, il nostro pensatore prende in esame circa 2000 siti di Pubbliche Amministrazioni e conduce un’attenta analisi sulla presenza di codice di Google Analytics. Durante l’analisi, i siti vengono “catalogati” per fornitore e quindi si passa ad analizzare i siti dei fornitori del servizio: in rapida rassegna vengono criticati Halley Informatica, Argo WEB, Insiel e alcuni altri, poichè non operano in HTTPS ma in HTTP e non offrono al visitatore una chiara Cookie Policy, con possibilità di non accettazione prima che il tracciamento venga effettuato. Cattivoni!

Tutto corretto. Ma chi è il nostro paladino?


Alla fine dell’articolo, viene fornito un link che rimanda a una tabella, contenente tutti i risultati dettagliati dell’analisi condotta. Peccato che la tabella riporti a un foglio di Google Docs che, non appena visitato, fa scattare un tracciamento piuttosto invadente, senza richiedere alcun consenso:

Ahia ahia ahia, non partiamo bene, dottore… Mi usa lei stesso gli strumenti che dice di combattere e che rimprovera a Halley Informatica, Argo Web e a tutti gli altri che ha sgridato? Non si fa, non si fa…


Spingiamoci un po’ più in profondità.
Nel blog del fucking good DPO troviamo il rimando a un sito internet ufficiale: privacybydesign.it
Andiamo a vedere!

Non appena si clicca sul link, arriva subito una prima amara sorpresa: il dominio è in realtà un redirect verso Google: https://sites.google.com/berniericonsulting.com/berniericonsulting/home

Nooo, non ci crediamo. Rifacciamo il procedimento e clicchiamo nuovamente, ma purtroppo è tutto vero: il sito è hostato su Google e ovviamente anche qui cookies a manetta:

Oltre a questo tracciamento di Google, che scatta in automatico, sul sito del DPO non c’è alcuna traccia di una cookie policy, non appare alcun banner che chieda all’utente di accettare o meno i cookies e non c’è alcuno strumento per impedire il tracciamento.

Magari, al posto dei siti istituzionali delle nostre scuole, converrà segnalare al Garante della Privacy questo, di sito? Che ne dite?

Decidiamo di fare un controllo con uno strumento neutrale: cookiebot.com
Il risultato è impietoso:


All’interno del sito troviamo il rimando a una Piattaforma di e-learning, per cui decidiamo di controllare anche quella.
Il link, innanzitutto, non è normale, ma si presenta sottoforma di tracciamento:

http://www.google.com/url?q=http%3A%2F%2Fwww.bclearn.it%2F&sa=D&sntz=1&usg=AOvVaw2pFEBK9uH7BRrkFFJ4qhPi

Cliccando sul link della piattaforma di elearning, siamo rimandati subdolamente su Google e poi da lì verso il sito di formazione: tracciamento in piena regola.

Anche in questa piattaforma di elearning non c’è traccia di un banner per l’accettazione dei cookies, tutto è fatto in maniera automatica e invisibile per il visitatore. Troviamo però una rassicurante indicazione:

Assicurati di aver abilitato i COOKIES e i POPUP. Di solito i cookies e i popup sono fastidiosi e servono per la pubblicità. Non qui. Noi li usiamo solo per finalità tecniche e per visualizzare i corsi di formazione.

Sarà vero? Procediamo con la verifica.

La piattaforma di elearning effettua un tracciamento cookie molto meno aggressivo e sembra utilizzare solo cookies tecnici, come dichiarato: l’unico problema, non da poco, sembra essere la mancanza di un banner per l’accettazione dei cookies, che già sarebbe sufficiente per aprire una segnalazione al Garante della Privacy.

L’analisi tramite cookiebot.com, però, ci dice che non tutto è a posto:

Non ci siamo spinti in analisi più approfondite, ma anche questa piattaforma di elearning sembra mostrare problemi di privacy, con l’aggravante dell’alto numero di utenti presumibilmente registrati.

Le conclusioni di Easyteam.org SRL


Nel nostro piccolo, ci permettiamo di avanzare alcuni consigli e suggerimenti:

  • L’iniziativa di MonitoraPA è lodevole: va incoraggiata e ascoltata. Noi stessi, come DPO di diversi istituti scolastici, ci uniamo ai ringraziamenti verso il team di MonitoraPA, per avere sollevato una questione importante e di non poco conto

Le perplessità sono altre:

  • la tempistica della diffida, stabilita arbitrariamente in 15 giorni.
    In questi mesi è partito un importante piano di AgID per l’ammodernamento e l’adeguamento dei siti web delle pubbliche amministrazioni: PNRR 2026 – Misura 1.4.1 (Vedi approfondimento). Questo piano prevede interventi strutturali sui siti istituzionali, concernenti contenuti, accessibilità e aderenza alle normative privacy, e fissa dei tempi molto più ampi, fino a 270 giorni dalla data di stipula del contratto con il fornitore.
    Easyteam.org SRL ritiene che queste fissate da AgID siano le uniche tempistiche da rispettare, e ovviamente invita tutte le PA ad aderire al PNRR.
  • Gli attori in gioco: se iniziative del genere sono promosse o sponsorizzate da professionisti che non rispettano per primi il GDPR e che si propongono come consulenti per “aggiustare le cose“, la credibilità dell’iniziativa stessa viene meno, o quantomeno ne esce fortemente minata

ATTENZIONE: EVITARE I CONSULENTI IMPROVVISATI

Easyteam.org SRL consiglia di non prendere in considerazione le proposte commerciali di adeguamento dei siti istituzionali provenienti da sedicenti esperti o da enti e associazioni, e di fare affidamento esclusivamente al proprio DPO e al proprio Amministratore di Sistema.

Qualora questi ultimi non si dimostrassero propensi a recepire le sollecitazioni di MonitoraPA, ricordiamo che i consulenti Easyteam sono a disposizione di tutte le PA per fornire assistenza e consigli legali.


Per la cronaca, questi sono i risultati dell’analisi cookiebot.com sul sito di Easyteam.org SRL:

perchè alle chiacchiere, che amiamo sempre fare, siamo però soliti far seguire i fatti.


Post simili