Per qualche strana ragione mi ostino a pensare che i siti delle Pubbliche Amministrazioni debbano rappresentare una sorta se non di “best of class” almeno un piccolo baluardo della legalità.
Ovviamente, come potete immaginare, ricredendomi ogni santa volta.
Questa volta è il turno del fantomatico sito del Reddito di Cittadinanza, che è online ora con una striminzita paginetta di “placeholder” che a nulla serve se non a dare una “casa” al progetto quando sarà finalizzato.
Niente quindi di impossibile, nulla di particolarmente complesso: giusto qualche riga di codice buttato lì.
Quindi la probabilità di fare enormi cazzate dovrebbe essere bassa, corretto? Sbagliato.
Non ho mai capito per quale ragione abbia ancora a distanza di anni l’abitudine a fare due cose:
- Guardare i codici sorgenti
- Controllare cosa dice la Privacy Policy
Partiamo dalla seconda per tornare alla prima: la Privacy Policy secondo GDPR del sito è ben visibile come link in basso a destra, peccato che non si riferisca al sito stesso, ma al dominio Lavoro.gov.it, rendendola de-facto già per questo contra-legem: come se sul sito del vostro medico la Privacy Policy portasse al padrone di casa che abita in un differente edificio.
Ma andiamo a leggere anche la Informativa completa ai sensi del Regolamento UE 2016/679 e qui troviamo (oltre alla desolazione di un documento francamente imbarazzante) l’elenco dei soggetti che potrebbero recuperare dati sulle pagine del Ministero (e non su quelle del sito del Reddito di Cittadinanza, ma pazienza, non si può avere tutto)…
Le mostro qui a seguito con un comodo screenshot:
Ovvio che, qualora ci siano in caso delle comunicazioni di dati a soggetti Extra-UE queste debbano essere adeguatamente notificate. Lo dice, ancora una volta, la Informativa stessa:
Tutto bello e perfetto, finchè non si va a spulciare un poco nel codice sorgente della home page del sito del Reddito di Cittadinanza e nelle prime righe si scopre qualcosa di molto, molto interessante:
Per i non addetti ai lavori, il Ministero ha deciso di “regalare” i dati di navigazione degli utenti sul sito a un ente terzo, per di più extra UE: Google.
Per di più per due dannate FONT, che non servono davvero a nulla e che non danno alcun vantaggio di alcuna forma.
E nel caso vi venisse il dubbio che Google Fonts debba essere menzionato nella Informativa, il dubbio ce lo scioglie Google stesso qui con un Comunicato Ufficiale del 17 Aprile 2018 sulla questione dove dichiara di dover essere trattato come un Data Controller. Per agilità lo statement è anche qui sotto:
Update delle 15:00 del 4 Febbraio
A quanto pare sembra essere andata online la versione definitiva del sito informativo con una grafica differente disponibile qui:
Che sarebbe anche perfetto se non che non solo non risolve il problema della presenza di Google Fonts, ma oltretutto introduce un ulteriore contenuto non autorizzato con Microsoft Azure, probabilmente utilizzato per l’erogazione dei fimati…
Conclusioni e domande
Rimane quindi la domanda sul perché il Ministero ha deciso, contro la legge, di:
- Utilizzare in modo illecito dei componenti (inutili) sul sito web?
- Ha deciso deliberatamente di omettere questo utilizzo dalla Informativa?
- Ha deciso di utilizzare una Informativa errata creata per un sito differente?
- E soprattutto: perché ha deciso di regalare a DUE enti terzi i dati dei cittadini che consultano il sito per il Reddito di Cittadinanza?
(Estratto di un articolo pubblicato su Mgpf.it; qui la versione integrale)
Articoli correlati
Che cosa combina Stellantis a Mirafiori
Brevetto rubato a Rigenera Hbw, tutte le novità
Nelle gare d’appalto per dispositivi medici la Cina favorisce le sue aziende? A Bruxelles si indaga
Come vanno i conti di Eni
