redditodicittadinanza.gov.it ed i font (di Google)

Mi immetto nella polemica nata dalla analisi di Matteo Flora del sito www.redditodicittadinanza.gov.it per “gettare ulteriore benzina sul fuoco”.

Semplificando, Matteo dice che adottando, per la pagina web del sito in oggetto, un font di Google, si consegnano ad esso “i dati di navigazione degli utenti sul sito”.

Premessa per i non tecnici: cosa sono questi fonts di Google? Si tratta di una collezione di font (la rappresentazione dei caratteri sullo schermo) che Google rende disponibili “gratuitamente” a tutti coloro che li vogliono adottare per migliorare l’aspetto del proprio sito.
Moltissimi Framework e C.M.S. li hanno adottati di default (anche WordPress), con il risultato che molti siti li stanno usando. Questo comporta che, quando un utente si collega ad uno di questi siti, il suo browser procede a scaricare il font necessario dai server dedicati di Google (salvo che il font sia già presente nella cache del browser ed altro, ma non vorrei scendere troppo nei dettagli tecnici).
Come sappiamo, ogni qualvolta si realizza una connessione tcp-ip tra un browser ed un server, nel server si raccolgono vari dati tecnici, tra i quali l’indirizzo IP del client, che come ci dicono i vari Garanti, Corte di Giustizia UE, ecc. costituisce un dato personale; Google, per tali dati, si definisce data controller (impostazione che non condivido, ma qui si aprirebbe un lungo e complesso discorso).
L’adozione dei fonts Google su molteplici siti web determina una specie di “rete di sensori globale” dalla quale Google potrebbe acquisire informazioni; non che ne abbia particolarmente bisogno, dato che quasi tutti utilizzano il servizio “gratuito” Google Analytics, per non parlare di Ads, AdSense & C.

L’informativa privacy del sito redditodicittadinanza.gov.it riporta ad una pagina sul sito del Ministero del Lavoro e delle Politiche Sociali; non ha le caratteristiche richieste dal GDPR e non si riesce neanche a capire chi sia il DPO.

Aggiungo un elemento, a mio avviso trascurato ma determinante: perchè un sito del Governo Italiano deve stare in un server di una azienda americana, presso un datacenter americano, al di fuori dello spazio UE e delle tutele del GDPR?

P.S. io dico il font e non la font; il perchè lo trovate anche qui.

P.S.2 il codice WordPress di questo sito è stato da me modificato, da tempo, per caricare i webfont dal server locale (e non dai server di Google); questo rende il rendering delle pagine leggermente più lento, ma – per me – assolutamente necessario.

Aggiornamento: il Presidente del Garante per la protezione dei dati personali, in una memoria pubblicata nel pomeriggio, interviene con alcune osservazioni sul ddl di conversione in legge del decreto-legge 28 gennaio 2019, n. 4 (reddito di cittadinanza).
Al punto 5:
Un’ultima osservazione va riferita  all’architettura del sito web del Governo, dedicato al reddito di cittadinanza. 
Si segnala, al riguardo, che il sito rivela, già nel suo attuale stato di sviluppo, alcune carenze, in particolare, nell’informativa sul trattamento dei dati e nelle modalità tecniche della sua implementazione (che, ad oggi, comportano un’indebita e non trasparente trasmissione a terzi dei dati di navigazione, quali indirizzi IP e orario di connessione, da parte dei visitatori del medesimo sito). 


Gmail ed il GDPR

Talvolta rilevo che una azienda privata utilizzi il servizio “gratuito” di Gmail per le proprie attività.

Ma come si inquadra detto utilizzo in relazione all’introduzione del Regolamento Europeo sulla Protezione dei Dati Personali 679/2016?

Intanto, rileviamo che il servizio gmail.com è realizzato tramite sistemi I.T. cloud-based, in gran parte localizzati fuori dallo spazio extra-UE; quindi quando si invia o riceve una e-mail usando Gmail, si configura quasi sicuramente un trasferimento di dati personali verso un paese extra-UE.

Questo determina diversi effetti, due dei quali sono:

  • occorre nominare Google responsabile del trattamento di tali dati personali;
  • occorre indicare, nelle informative aziendali, che i dati personali conferiti potranno anche essere trasferiti ad di fuori dello spazio comunitario e memorizzati nei sistemi informatici di Google.

Ognuno condurrà le proprie valutazioni su come si possa ottenere la nomina di Google quale responsabile del trattamento, e la forza contrattuale di una azienda italiana verso il colosso di Mountain View.

Inoltre, dato che nella versione gratuita di Gmail si ritiene che Google effettui procedure di “content extraction” (leggasi profilazione) non ritengo assolutamente aderente a svariati dettami del GDPR l’utilizzo di Gmail per il trattamento di dati personali, effettuato da un Titolare del Trattamento soggetto al Regolamento 679/2016.

Da ultimo, vorrei portare a riflettere i miei 4 casuali visitatori del blog sulla opportunità dell’utilizzo di un servizio riservato ad un uso personale per scopi invece professionali (questo vale anche per tutti gli altri innumerevoli servizi e-mail “gratuiti”). Ricordo che l’obbligo della compliance al GDPR rimane comunque in capo al Titolare del Trattamento.

Cookie Law e GDPR

Dopo quasi tre anni dalla applicazione della famosa cookie law, il bilancio non è molto positivo.

Quasi tutti si sono abituati a bypassare il banner senza neanche leggere (facendo scroll della pagina o chiudendo con il pulsante).

Addirittura, in alcuni siti che trattano temi relativi alla privacy, vengono usati cookie di terze parti che non appaiono molto “compliant” al tema trattato.

Per non parlare di quei siti che scrivono nel banner “usiamo cookie per renderti felice e per migliorare la tua vita” e poi piazzano cookies di profilazione ed altri sistemi di tracciamento.

Dal 25 maggio, immagino che molte di queste cosette cambieranno …

Qwant – Privacy compliant Search Engine

Segnalo e ne propongo l’uso, a quei pochi che ancora tengono alla propria privacy, il motore di ricerca etico Qwant.

Ancora non ha la completezza della basedati raccolta da Google ma sta crescendo, giorno dopo giorno; questo sito è gia stato indicizzato.
Da quello che affermano, non vengono utilizzati cookies (verificato adesso) e non profilano gli utenti; inoltre ha base in Francia (soggetta al GDPR).

Colgo l’occasione, in questi giorni nei quali l’argomento diritti dei cittadini digitali è alla ribalta, per far notare che ben pochi hanno compreso quale sia il più devastante strumento che mina la nostra esistenza, attuale e futura: taluni lo chiamano effetto bolla di filtraggio, io lo definisco percezione surrogata della realtà, creata da coloro che profilano i nostri comportamenti e ci rappresentano una realtà alterata, forgiata su logiche speculative.

Pensate poi a quando tutti avranno l’assistente digitale, la casa smart, l’auto a guida autonoma, la realtà virtuale al supermercato; altri decideranno per noi cosa comprare, come vestire, cosa guardare, come giocare, dove cenare, ove andare …

A tal punto, il mondo distopico preconizzato dai vari 1984, Matrix, Divergent, Minority Report, Valerian, … sarà realizzato, addirittura superato. Il bello è che non serviranno neanche i Precog; sarà sufficiente realizzare un sistema di profilazione big-data omnicomprensivo, e potremo ingabbiare i potenziali delinquenti prima del fatto.