redditodicittadinanza.gov.it ed i font (di Google)

Mi immetto nella polemica nata dalla analisi di Matteo Flora del sito www.redditodicittadinanza.gov.it per “gettare ulteriore benzina sul fuoco”.

Semplificando, Matteo dice che adottando, per la pagina web del sito in oggetto, un font di Google, si consegnano ad esso “i dati di navigazione degli utenti sul sito”.

Premessa per i non tecnici: cosa sono questi fonts di Google? Si tratta di una collezione di font (la rappresentazione dei caratteri sullo schermo) che Google rende disponibili “gratuitamente” a tutti coloro che li vogliono adottare per migliorare l’aspetto del proprio sito.
Moltissimi Framework e C.M.S. li hanno adottati di default (anche WordPress), con il risultato che molti siti li stanno usando. Questo comporta che, quando un utente si collega ad uno di questi siti, il suo browser procede a scaricare il font necessario dai server dedicati di Google (salvo che il font sia già presente nella cache del browser ed altro, ma non vorrei scendere troppo nei dettagli tecnici).
Come sappiamo, ogni qualvolta si realizza una connessione tcp-ip tra un browser ed un server, nel server si raccolgono vari dati tecnici, tra i quali l’indirizzo IP del client, che come ci dicono i vari Garanti, Corte di Giustizia UE, ecc. costituisce un dato personale; Google, per tali dati, si definisce data controller (impostazione che non condivido, ma qui si aprirebbe un lungo e complesso discorso).
L’adozione dei fonts Google su molteplici siti web determina una specie di “rete di sensori globale” dalla quale Google potrebbe acquisire informazioni; non che ne abbia particolarmente bisogno, dato che quasi tutti utilizzano il servizio “gratuito” Google Analytics, per non parlare di Ads, AdSense & C.

L’informativa privacy del sito redditodicittadinanza.gov.it riporta ad una pagina sul sito del Ministero del Lavoro e delle Politiche Sociali; non ha le caratteristiche richieste dal GDPR e non si riesce neanche a capire chi sia il DPO.

Aggiungo un elemento, a mio avviso trascurato ma determinante: perchè un sito del Governo Italiano deve stare in un server di una azienda americana, presso un datacenter americano, al di fuori dello spazio UE e delle tutele del GDPR?

P.S. io dico il font e non la font; il perchè lo trovate anche qui.

P.S.2 il codice WordPress di questo sito è stato da me modificato, da tempo, per caricare i webfont dal server locale (e non dai server di Google); questo rende il rendering delle pagine leggermente più lento, ma – per me – assolutamente necessario.

Aggiornamento: il Presidente del Garante per la protezione dei dati personali, in una memoria pubblicata nel pomeriggio, interviene con alcune osservazioni sul ddl di conversione in legge del decreto-legge 28 gennaio 2019, n. 4 (reddito di cittadinanza).
Al punto 5:
Un’ultima osservazione va riferita  all’architettura del sito web del Governo, dedicato al reddito di cittadinanza. 
Si segnala, al riguardo, che il sito rivela, già nel suo attuale stato di sviluppo, alcune carenze, in particolare, nell’informativa sul trattamento dei dati e nelle modalità tecniche della sua implementazione (che, ad oggi, comportano un’indebita e non trasparente trasmissione a terzi dei dati di navigazione, quali indirizzi IP e orario di connessione, da parte dei visitatori del medesimo sito). 


Indice articoli Regolamento UE 679/2016

Dato che nel Regolamento UE 679/2016 (RGPD o GDPR) non è stato previsto un indice generale degli articoli, ho provveduto a realizzarne uno, a mio utilizzo, senza nessuna garanzia.

Ho anche indicato quale delle due classi di sanzioni previste per le violazioni (art. 83) si applichi ad un determinato articolo (o parte di esso).

Chi lo adotta ha l’onere di verificare che esso sia esatto, aggiornato e rispondente al Regolamento richiamato.

Ovviamente ogni segnalazione, indicazione, suggerimento sono ben accetti.

Indice_artt_Regolamento UE 679_v12

DPO ed Autorità Giudiziarie

Appare opportuno segnalare un dato che è passato piuttosto in sordina, anche tra gli addetti ai lavori.

Art. 2-sexiesdecies (Responsabile della protezione dei dati per i trattamenti effettuati dalle autorità giudiziarie nell'esercizio delle loro funzioni)
1. Il responsabile della protezione dati e' designato, a norma delle disposizioni di cui alla sezione 4 del capo IV del Regolamento, anche in relazione ai trattamenti di dati personali effettuati dalle autorità giudiziarie nell'esercizio delle loro funzioni.

Quindi, come si può leggere dal nuovo Codice novellato dal D.Lgs. 101, anche le autorità giudiziarie italiane debbono nominare un DPO-RPD.

Il Legislatore italiano conferma la estrema importanza della figura del Responsabile della Protezione dei Dati, specialmente negli ambiti dove si trattano dati personali che hanno molta rilevanza sulla dignità e quindi sulla vita delle persone.