Il sito del reddito di cittadinanza viola il GDPR e regala i dati di milioni di italiani a Google e Microsoft, senza il consenso degli utenti. A scoprire la grave falla è stato, prontamente, Matteo Flora, blogger, hacker ed esperto di analisi e protezione dei dati, ha analizzato il codice sorgente del nuovo sito scoprendo 3 aspetti che violano il regolamento europeo per la protezione dei dati personali:
- L’informativa sulla privacy del sito del reddito di cittadinanza rimanda a quella del ministero del Lavoro mancandone di una propria, in violazione del GDPR. Scrive Flora: “come se sul sito del vostro medico la Privacy Policy portasse al padrone di casa che abita in un differente edificio”.
- Il sito utilizza un font che appartiene alla libreria di GoogleFonts. Qual è il problema? I dati di chi compilerà il modulo del reddito rischiano di finire in mano a Google perché il sito del reddito di cittadinanza è stato costruito includendo i codici di Google che riguardano i caratteri (o ‘font’) dei testi. Ora, spiega Flora, utilizzando questi caratteri di Google “innesca una serie di meccanismi che la ‘aprono’ alla lettura di parte dei dati”.
Anche da un punto di vista di regolamentazione, Google stesso dichiara che per l’uso di Google Font deve essere considerato a tutti gli effetti un ‘Data controller’. Secondo una nota diramata dalla stessa Big G, il 17 aprile 2018, poco prima dell’entrata in vigore del GDPR, risulta infatti che ‘Google Font opera come un data controller per ogni dato personale che Google processa in connessione con l’uso di Google Font via web e con le API di Android’. - Il sito utilizza anche il cloud MicrosoftAzure, probabilmente per la distribuzione dei video tutorial.
Dunque qual è il problema privacy rappresentato da Google font e Microsoft Azure? Entrambi i sistemi raccolgono dati personali di chi naviga il sito. Dati che vengono poi spediti a due soggetti privati ed extra Ue (Microsoft e Google), senza che il cittadino utente ne venga informato. Sul sito, come detto, esiste un link all’informativa sulla privacy, che reindirizza al sito del ministero del Lavoro, il che ci fa dedurre che l’informativa da applicare è quella stessa del sito del ministero. Ma non si trovi traccia né di Google né di Microsoft nell’elenco dei soggetti che raccolgono dati di chi naviga.
Come osservato da Michele Mezza, nel videoeditoriale con cui ha commentato la vicenda, sono diverse le domande che si possono rivolgere al Governo e alle Autorità di regolazione competenti in materia:
- Chi metterà le mani sulla miniera d’oro? Secondo Di Maio sono 5 milioni gli italiani beneficiari del reddito, cifra dimezzata a circa 2,5 milioni dall’Istat e dal presidente dell’Inps, Tito Boeri. Dunque molti di questi cittadini andranno sul sito del reddito di cittadinanza sia per conoscere tutte le informazioni necessarie per accedere al beneficio sia per compilare direttamente online la domanda con i dati personali e fiscali.
- Chi avrà la sovranità sui dati, chi li controllerà in maniera esclusiva e riservata?
- Potrebbero essere utilizzati anche a fini elettorali, come accaduto per Cambridge Analytica? Ricordiamo che mancano 4 mesi alle europee.