Perché tutti questi siti del governo non rispettano la privacy europea?

di Luca Zorloni wired.it 6.4.19

Nuovo Regolamento Europeo sulla Privacy GDPR: cosa fare per mettersi in regola

Dal ministero dell’Economia alla Polizia, dal ministero dell’Ambiente alla Corte di Cassazione. Wired ha individuato una serie di siti pubblici che non si sono adeguati al regolamento europeo dei dati personali a un anno dalla sua entrata in vigore 

Palazzo Chigi a Roma (Getty Images)

Palazzo Chigi a Roma (Getty Images)

Il sito del ministero dell’Economia e delle finanze e quello dell’Ambiente. E ancora, i portali della Poliziadi stato, della Corte di cassazione, di Trentino-Alto Adige e Sardegna. E anche di uno dei due partiti azionisti di governo, la Lega. Tutti questi siti, stando ai risultati di un monitoraggio online effettuato da Wired il 4 e 5 aprile 2019, non hanno un’informativa sulla privacy aggiornata al Gdpr, il regolamento europeo dei dati personali. Sono rimasti fermi al decreto legislativo 196/2003, superato proprio dalle regole comunitarie, entrate in vigore quasi un anno fa, il 25 maggio 2018.

Dopo il caso di un sito del ministero della Giustizia, quello destinato alle richieste di certificati giudiziari, con un’informativa privacy datata nonostante sia chiesto agli utenti di comunicare online dati sensibili, Wired ha compiuto una ricognizione tra i portali delle principali articolazioni dello Stato: i ministeri, le camere, le 20 regioni, forze dell’ordine, esercito, amministrazioni pubbliche (Inps, Inail, Agenzia delle entrate e delle dogane) e i principali partiti politici. E ha individuato altre situazioni che non rispettano il regolamento europeo.

Ai piani alti

Cominciamo dall’alto: i ministeri dell’Economia e dell’Ambiente. L’informativa sulla privacy è ferma al 2003. E su appoggia su articoli, come i numeri 7,11 e 13, ormai abrogati dal Gdpr (che pure non ha cancellato del tutto il precedente decreto), come si può verificate da fonti del Garante della privacy. E dire che, nel caso del ministero dell’Ambiente, il 21 maggio 2018, pochi giorni prima dell’entrata in vigore del Gdpr, è stato nominato un responsabile dei dati personali, proprio per ottemperare il nuovo regolamento. Anche se la privacy policy è rimasta a quello passato.

Un caso simile riguarda la presidenza del Consiglio dei ministri. Anche in questo caso l’informativa sui dati personali fa riferimento a una legge sorpassata. Tuttavia Palazzo Chigi ha messo in pratica le prescrizione di almeno un articolo del Gdpr, quelle relative alla nomina di un responsabile dei dati personali, come si può leggere online. Urge, quindi, adeguare il resto.

Gdpr assente

Non risultano aggiornate le informative sulla privacy neppure sui siti della Polizia di stato, della Corte di cassazione, di Trentino-Alto Adige e Sardegna. Mentre Basilicata e Molise, che pure non esplicitano a quale legge facciano riferimento, risultano aver nominato un responsabile dei dati personali, proprio come indicato dal Gdpr.

La legge del 2003 è in testa anche all’informativa del sito della Lega Nord, oggi al governo. Sul portale non c’è un esplicito rimando al documento privacy e chi vi atterra è invitato a consultare immediatamente la politica dei cookies. La quale però, come detto, è ancora ante-Gdpr.

Ma il segretario Matteo Salvini dovrebbe prestare attenzione anche a un altro portale che non tiene conto delle regole europee: quello per richiedere online la carta di identità elettronica, gestito dal ministero dell’Interno, che il leader del Carroccio guida. Su Twitter l’avvocato Enrico Ferraris, esperto in tecnologia e privacy, ha evidenziato che ha un’informativa ormai sorpassata.

Punto di domanda

Per le informative sulla privacy il Senato e la Camerasi rifanno a regolamenti interni. Palazzo Madama a uno del 2006 e Montecitorio a uno del 2004.

A domanda di Wired, l’ufficio stampa della Camera fa sapere che la delibera fa riferimento alla “normativa nazionale e comunitaria vigente”. Quindi al Gdpr e alla sua integrazione nazionale. E che “i dati dei log non sono trattati ma sono conservati nei limiti temporali previsti dalla normativa vigente in materia di trattamento dei dati personali e in materia di prevenzione e repressione dei reati e sono successivamente cancellati”. In media, in un anno, il sito di Montecitorio riceve 7,5 milioni di visite.

Il sito della Guardia di finanza alle 12.30 del 4 aprile 2019 (screenshot di Wired)
Il sito della Guardia di finanza alle 12.30 del 4 aprile 2019 (screenshot di Wired)

Altri casi

Il 4 aprile Wired ha preso contatti anche con la Corte dei conti, la Guardia di finanza (Gdf) e il Consiglio nazionale di economia e lavoro (Cnel), perché le informative sulla privacy risultavano ferme alla legge del 2003 (occorre precisare però che quella della Gdf indicava già il responsabile dei dati, come nel caso di Palazzo Chigi).

Il 5 aprile sia la Corte dei conti sia la Guardia di finanza hanno risposto fornendo indicazioni e link a informative aggiornate, sebbene non lo fossero il giorno precedente, come dimostrano gli screenshot di Wired. L’aggiornamento, quindi, deve essere avvenuto nell’arco delle 24 ore tra la ricezione delle domande e l’invio della risposta.

Il sito della Corte dei conti alle 10.08 del 4 aprile 2019 (screenshot di Wired)
Il sito della Corte dei conti alle 10.08 del 4 aprile 2019 (screenshot di Wired)

Il Cnel invece ha fatto sapere che il sito “di natura solo informativa” (35mila in media le visite mensili), “è in fase di restyling. I lavori sono cominciati da appena due mesi, da quando è attiva la convenzione con la Corte dei conti, che supporta il Cnel per l’area informatica. Proprio in questi giorni si sta lavorando sulla questione del trattamento dei dati personali”. Dal 5 aprile la privacy risulta aggiornata.

Il parlamentino, sopravvissuto al tentativo di soppressione da parte della riforma costituzionale Renzi-Boschi, dichiara di aver ripreso l’attività da giugno del 2018. “Ragioni di economicità e budget non consentono al Cnel di dotarsi di un’autonoma infrastruttura informatica, ragioni per cui si è reputato di riattivare una convenzione con Corte dei conti per quanto attiene alla conduzione tecnica, all’assistenza sistemistica ed alle implementazioni necessarie”, fa sapere, aggiungendo di aver nominato un responsabile dei dai personali.

Il sito del Cnel alle 10.10 del 4 aprile 2019 (screenshot di Wired)
Il sito del Cnel alle 10.10 del 4 aprile 2019 (screenshot di Wired)

Questione di tracciamento

Il rispetto del Gdpr non è solo questione di forma. È vero, come sottolinea l’ufficio stampa della Camera nel sua risposta, che “per la navigazione del sito internet non è necessario fornire i propri dati personali”. Tuttavia un recente studio della società di cybersicurezza danese Cybot, messo in luce dalla newsletter Guerre di rete, ha evidenziato la presenza di ad tracker sui siti governativi di 25 Stati dell’Unione europea.

Gli ad tracker sono programmi che tracciano il comportamenti delle persone online, raccogliendo informazioni utili per l’industria della pubblicità. Sul sito del governo italiano, governo.it, dall’indagine di Cybot sono venuti a galla gli ad tracker di Facebook, Twitter, Youtube e Doubleclick (che appartiene a Google).