TL;DR La presenza di due cookie traccianti sul sito web del Ministero dell’Università e della Ricerca, nello specifico sul portale dedicato all’iscrizione scolastica, ha evidenziato una “percezione errata” del ruolo di Google Analytics (e della facoltà di non accettarlo, come previsto dalla norma) su tale piattaforma.
Se avete figli in età scolare vi sarete cimentati nell’iscrizione degli stessi alla scuola pubblica attraverso il portale predisposto dal Ministero Università e Ricerca (MIUR), ignorando che proprio su questo sito sono presenti ben due cookies traccianti (googleads[.]g.doubleclick.net e static[.]doubleclick.net), prontamente bloccati dal plugin uBlock Origin.
Quello che mi ha sorpreso è che, a differenza di quanto previsto dalla normativa e sottolineato anche dal Garante della Privacy, all’utente non viene mostrato alcun popup informativo né la possibilità di scegliere se accettare o meno di essere tracciato.
Decido di scrivere una segnalazione al DPO, i cui riferimenti sono nella Privacy Policy del portale, per comunicare della mancanza. La risposta arriva pochi giorni dopo:
Oggetto: Richiesta di informazioni – Utilizzo di Google Analytics sul portale del Ministero dell’Istruzione Gentile Sig. Pinassi, faccio riferimento alla sua comunicazione, giratami dall’ufficio del responsabile per la protezione dei dati personali, per informarla di quanto segue. L’utilizzo di Google Analytics, nella pagina di registrazione del nostro portale, è esclusivamente finalizzato al logging per motivi di sicurezza delle operazioni di accesso, mentre non registra ed utilizza alcun dato di tracciatura dell’utente. Per quanto attiene all’interfaccia della funzione di registrazione, inerente l’accettazione dei “termini e condizioni“, si tratta di un presupposto obbligatorio per la fruizione del servizio, pertanto non è prevista la possibilità di deselezionare l’opzione. Cordiali saluti, IL DIRIGENTE
Come prima osservazione, sorprende che il DPO (“Ufficio del Responsabile per la Protezione dei Dati Personali”) abbia girato la mia segnalazione al Dirigente, che mi ha risposto, quando teoricamente avrebbe dovuto essere il DPO, o RPD, a rispondermi dopo aver fatto le opportune indagini.
Nel merito della risposta, poi, non si può non rimanere sorpresi davanti all’affermazione “L’utilizzo di Google Analytics […] è esclusivamente finalizzato al logging per motivi di sicurezza delle operazioni di accesso, mentre non registra ed utilizza alcun dato di tracciatura dell’utente.“.
Google Analytics non è uno strumento di sicurezza. È uno strumento di tracciamento e analisi del comportamento degli utenti. E si, registra ciò che l’utente fa sul portale, immettendo sul browser del cittadino del codice javascript che ne misura il comportamento, oltre che a registrare da quale IP (e, quindi, posizione geografica, provider…) avviene la connessione.
Il misconception è ripetuto anche nella privacy policy del portale stesso, che contravviene quanto indicato dal Garante della Privacy nelle ultime revisioni in merito alla normativa sui cookie traccianti, che ne prevede l’accettazione esplicita.
Sorprende, quindi, che su un portale ministeriale di questo livello, dove centinaia di migliaia genitori ogni anno devono accedere per iscrivere il proprio figlio agli istituti scolastici pubblici, ci siano queste “problematiche“.
Che poi, per quale motivo sarebbe obbligatorio (“un presupposto obbligatorio per la fruizione del servizio”) accettare questi cookie per poter iscrivere il proprio figlio a scuola?