Con il sito del reddito di cittadinanza il ministero del Lavoro ha toppato sulla privacy? Sebbene online da poche ore, l’esperto in digital reputation Matteo Flora aveva già individuato alcune falle nella tutela dei dati personali degli utenti. Non solo, il ceo di The Fool ha affermato che così come sviluppato il sito regala dati di navigazione degli utenti sul sito a un ente terzo, per di più extra Ue: Google.
I dati del Reddito di Cittadinanza regalati a Google (e fuorilegge) https://t.co/qHObbzRzoh
— Matteo G.P. Flora (@lastknight) February 4, 2019
Dopo il dibattito sulla idoneità o meno del sito alle regole del Gdpr europeo in materia di protezione dei dati degli utenti, è intervenuto il Presidente del Garante per la Privacy con la memoria nell’ambito del ddl di conversione in legge del decreto-legge 28 gennaio 2019, n. 4 recante disposizioni urgenti in materia di reddito di cittadinanza e di pensioni.
Ecco tesi e argomentazioni sulla vicenda.
I DATI REGALATI A GOOGLE E NON SOLO
Nel suo post Flora sostiene innanzitutto che sebbene la Privacy Policy del sito del reddito di cittadinanza sia ben visibile come link in basso a destra (secondo disposizioni del GDPR), quest’ultima tuttavia non si riferisce al sito stesso, ma al dominio Lavoro.gov.it, rendendola de-facto già per questo contra-legem.
Non solo, andando ad analizzare il codice sorgente del sito, l’esperto digital ha beccato Google tra le righe. Il sito del reddito di cittadinanza è stato costruito includendo i codici di Google che riguardano i caratteri (o font) dei testi pertanto secondo Flora le informazioni di chi compilerà il modulo del reddito finiranno in mano al colosso di Mountain View. Infatti, utilizzando questi caratteri, Big G innesca una serie di meccanismi che gli consentono la lettura di parte dei dati.
A sostenere la tesi dell’esperto di cybersecurity, sui social sono intervenuti in molti. Uno su tutti, Maurizio Martinoli, Head Of Digital di Audibel, la popolare piattaforma di audiolibri e podcast.
LA TESI CONTRARIA DI DDAY.IT
“Ma quanto state rosicando?” A difendere invece l’operato e la buona fede del Ministero del Lavoro, interviene così su LinkedIn prima Fabio Previtali, Solution Architect per Almaviva, società che opera nella tecnologia dell’informazione e nei servizi di outsourcing a livello globale. A spalleggiare questa tesi si aggiunge Emilio Zucca, consulente Digital Marketing Strategy, che adduce come prova l’analisi sulla questione del sito dday.it. Secondo quest’ultimo, l’uso delle font di Google non richiede autenticazione e nessun “cookie”, ovvero nessun elemento tracciante, viene inviato a Google. Si deduce quindi che gli indirizzi IP non sarebbero dati (personali) che Google possa profilare. Niente di più errato sostiene Flora in un secondo post.
LA DIFESA DELLO STAFF DEL MINISTRO DI MAIO
Non poteva far finta di nulla il ministero del Lavoro. Per chiarire una volta per tutte la situazione lo staff del ministro Di Maio ha confermato a CorCom che la privacy policy fa capo al dicastero del lavoro contrariamente da quanto affermato da Flora. E sulla possibilità che le info finiscano in mano a terzi ha chiarito: “Google web fonts è un font previsto dalle Linee Guida Agid per la redazione dei siti web delle pubbliche amministrazioni. I cookie non vengono inviati alle fonts Api di Google, la circostanza è dichiarata nelle policy di Google che escludono la memorizzazione dei dati di navigazione”.
LA MEMORIA DEL GARANTE PRIVACY
A mettere a tacere tutti ci ha pensato il Garante per la tutela dei dati personali che rileva alcune discrepanze. “Si segnala che il sito rivela, già nel suo attuale stato di sviluppo, alcune carenze” esordisce così il paragrafo della memoria del Garante per la Privacy depositata la scorsa settimana in Senato riguardo l’architettura del sito web redditodicittadinanza.gov.it. La lacuna si evince “in particolare, nell’informativa sul trattamento dei dati e nelle modalità tecniche della sua implementazione (che, ad oggi, comportano un’indebita e non trasparente trasmissione a terzi dei dati di navigazione, quali indirizzi IP e orario di connessione, da parte dei visitatori del medesimo sito).
A sostegno della tesi del ceo di The Fool arriva proprio l’Authority preposta alla tutela dei dati personali. “È necessario che la realizzazione di questo strumento avvenga previa adozione di misure tecniche idonee ad attuare in modo efficace i principi di protezione dei dati (quello di minimizzazione dei dati in particolare), integrando nel trattamento le necessarie garanzie per ridurne i rischi a tutela dei i diritti dei cittadini”.
Articoli correlati
De-escalation in corso fra Israele e Iran? Analisi e commenti
La sbandata di Cybertruck: cosa è successo al fuoristrada di Tesla
Ecco la carica degli abbonati di Netflix (celata dall’anno prossimo)
Cosa non va con Tsmc
