ADDENDUM 8 Febbraio: Pare dalla nota del Garante che forse un po’ avevo anche ragione, anche se DAVVERO è solo la punta dell’Iceberg:

“Si segnala, al riguardo, che il sito rivela, già nel suo attuale stato di sviluppo, alcune carenze, in particolare, nell’informativa sul trattamento dei dati e nelle modalità tecniche della sua implementazione (che, ad oggi, comportano un’indebita e non trasparente trasmissione a terzi dei dati di navigazione, quali indirizzi IP e orario di connessione, da parte dei visitatori del medesimo sito)”. Dalla Nota del Garante

Per qualche strana ragione mi ostino a pensare che i siti delle Pubbliche Amministrazioni debbano rappresentare una sorta se non di “best of class” almeno un piccolo baluardo della legalità.

Ovviamente, come potete immaginare, ricredendomi ogni santa volta.

Questa volta è il turno del fantomatico sito del Reddito di Cittadinanza, che è online ora con una striminzita paginetta di “placeholder” che a nulla serve se non a dare una “casa” al progetto quando sarà finalizzato.

Niente quindi di impossibile, nulla di particolarmente complesso: giusto qualche riga di codice buttato lì.

Quindi la probabilità di fare enormi cazzate dovrebbe essere bassa, corretto? Sbagliato.

Il sito del Reddito di Cittadinanza in tutta la sua (inutile) magnificenza

Non ho mai capito per quale ragione abbia ancora a distanza di anni l’abitudine a fare due cose:

Guardare i codici sorgenti

Controllare cosa dice la Privacy Policy

Partiamo dalla seconda per tornare alla prima: la Privacy Policy secondo GDPR del sito è ben visibile come link in basso a destra, peccato che non si riferisca al sito stesso, ma al dominio Lavoro.gov.it, rendendola de-facto già per questo contra-legem: come se sul sito del vostro medico la Privacy Policy portasse al padrone di casa che abita in un differente edificio.

Ma andiamo a leggere anche la Informativa completa ai sensi del Regolamento UE 2016/679 e qui troviamo (oltre alla desolazione di un documento francamente imbarazzante) l’elenco dei soggetti che potrebbero recuperare dati sulle pagine del Ministero (e non su quelle del sito del Reddito di Cittadinanza, ma pazienza, non si può avere tutto)…

Le mostro qui a seguito con un comodo screenshot:

dalla Informativa completa ai sensi del Regolamento UE 2016/679

Ovvio che, qualora ci siano in caso delle comunicazioni di dati a soggetti Extra-UE queste debbano essere adeguatamente notificate. Lo dice, ancora una volta, la Informativa stessa:

dalla Informativa completa ai sensi del Regolamento UE 2016/679

Tutto bello e perfetto, finchè non si va a spulciare un poco nel codice sorgente della home page del sito del Reddito di Cittadinanza e nelle prime righe si scopre qualcosa di molto, molto interessante:

Il codice che richiama Google Webfonts nel sito del Reddito di Cittadinanza

Per i non addetti ai lavori, il Ministero ha deciso di “regalare” i dati di navigazione degli utenti sul sito a un ente terzo, per di più extra UE: Google.

Per di più per due dannate FONT, che nons ervono davvero a nulla e che non danno alcun vantaggio di alcuna forma.

E nel caso vi venisse il dubbio che Google Fonts debba essere menzionato nella Informativa, il dubbio ce lo scioglie Google stesso qui con un Comunicato Ufficiale del 17 Aprile 2018 sulla questione dove dichiara di dover essere trattato come un Data Controller. Per agilità lo statement è anche qui sotto:

Update delle 15:00 del 4 Febbraio

A quanto pare sembra essere andata online la versione definitiva del sito informativo con una grafica differente disponibile qui:

La versione definitiva del sito sul Reddito di Cittadinanza

Che sarebbe anche perfetto se non che non solo non risolve il problema della presenza di Google Fonts, ma oltretutto introduce un ulteriore contenuto non autorizzato con Microsoft Azure, probabilmente utilizzato per l’erogazione dei fimati…

Google e Azure fanno capolino

Ma è un problema di Google e Microsoft?

Sia Google che Microsoft trattano i dati personali in loro possesso (vedi a seguito) in modo perfettamente in linea con la normativa GDPR: se un dato personale potenzialmente tracciante viene dato loro si impegnano a trattarlo secondo le direttive, ma il problema è un altro, molto, molto differente.

Se infatti stiamo parlando, anche solamente nel caso dell’indirizzo IP, di un dato SICURAMENTE personale, e su di questo non ci sono dubbi – non lo dico io, lo dice direttamente il sito del Garante oltre che la Corte di Giustizia – allora è chiaro che Google e/o Microsoft devono trattarlo come tale, arrivando nel caso di Google a dichiararsi Data Controller tramite un comunicato ufficiale del Team Leader del progetto Fonts come peraltro giusto che sia.

Se Google stesso si definisce Data Controller ed ammette che sono Dati Personali, il sito del Ministero non può in alcun modo esimersi dal comunicarlo agli utenti tramite Informativa, dichiarando che uno o più dati personali sono dati in gestione alla Piattaforma di Google e/o Microsoft, dati personali che (fino a modifiche della Privacy Policy che possono essere unilaterali essendo Data Controller) non vengono in questo momento utilizzati per ulteriore profilazione.

Ma oltre alla mera Informativa il problema è un po’ più grave ed esteso: il Ministero ha esplicitamente omesso di prestare attenzione al principio di Minimizzazione dei Dati Personali raccolti. Infatti dal combinato disposto degli artt. 5 e 6 del GDPR, che determinano le condizioni di liceità e le finalità della raccolta dati, si ricavano i principi generali che il titolare del trattamento deve seguire nelle raccolta dei dati personali degli utenti.

In particolar modo, il Regolamento europeo sancisce la necessità che i dati personali vengano raccolti per finalità determinate, esplicite e lecite nei limiti di quanto necessario per il raggiungimento dello scopo per i quali sono stati raccolti. L’unione di questi due principi determina la nascita del c.d. principio di minimizzazione del trattamento.

E, SICURAMENTE, il dare a terzi dati personali per non dover installare localmente una Font e un filmato non rappresenta in alcun modo una minimizzazione, ma una inutile estensione del perimetro di attori a cui tali dati personali vengono spediti.

Conclusioni e domande

Rimane quindi la domanda sul perché il Ministero ha deciso, contro la legge, di:

Utilizzare in modo illecito dei componenti (inutili) sul sito web?

Ha deciso deliberatamente di omettere questo utilizzo dalla Informativa?

Ha deciso di utilizzare una Informativa errata creata per un sito differente?

E perché non ha applicato il Principio di Minimizzazione del Trattamento?

E soprattutto: perché ha deciso di regalare a DUE enti terzi i dati dei cittadini che consultano il sito per il Reddito di Cittadinanza?

Tutte domande che forse bisognerebbe fare al Titolare del trattamento dei dati personali, il Ministero del lavoro e delle Politiche Sociali, con sede in Via Vittorio Veneto 56, 00187, Roma.

E contattabile all’indirizzo PEC – gdpr@pec.lavoro.gov.it.

Oppure direttamente con un Esposto al Garante…

Take di Stampa