Il recente caso del sito web del reddito di cittadinanza, che condivide alcuni dati di navigazione con Microsoft e Google senza informare gli utenti, è solo la punta dell’iceberg.
Un recente report dello studio danese Cookiebot (Ad Tech Surveillance on the Public Sector Web) permette di comprendere più a fondo la complessità del fenomeno e la sua estensione. Ossia la scarsa attenzione al tracciamento dati con cui istituti governativi ed enti locali realizzano ed utilizzano le loro vetrine online.
Non stiamo infatti parlando di casi eccezionali, ma di un problema generalizzato e che affligge l’intera Unione Europea: secondo il rapporto l’89% dei siti web governativi degli stati membri UE che contengono ad tracker, ovvero strumenti web che raccolgono dati sul comportamento degli utenti a fini pubblicitari. E succede anche a siti italiani.
Tracking di Stato, un problema generalizzato
Questo “tracking di Stato” non è un’attività coordinata e programmata da parte delle amministrazioni che gestiscono siti web, ma piuttosto è sintomo di una loro scarsa conoscenza dei meccanismi e degli strumenti informatici ed è particolarmente preoccupante in quanto sintomo di un trattamento dei dati non consapevole da parte di soggetti istituzionali cui i cittadini affidano informazioni estremamente sensibili.
Google è di gran lunga il più importante ad tracker del mondo e anche nella classifica relativa ai siti web delle pubbliche amministrazioni comunitarie si conferma dominatore assoluto, direttamente o tramite la sua piattaforma pubblicitaria doubleclick, o ancora grazie a Youtube, mentre gli ulteriori competitor più importanti sono Adobe, Twitter e Facebook.
Il dato più preoccupante che emerge dal report è comunque quello relativo ai siti web dei servizi sanitari dei vari stati membri UE, che nel 52% dei casi contengono ad tracker di terze parti.
L’Italia è un po’ sotto la media europea, con una percentuale di tracker -comunque molto allarmante- del 47% sui siti relativi al servizio sanitario nazionale.
In cosa consiste il tracking governativo in Italia
Questo vuol dire che un soggetto che visita questi siti web governativi può essere tracciato nel suo comportamento sul sito e inoltre che i dati di questo tracciamento possono arrivare a terzi.
E ciò avviene nonostante tali siti web istituzionali non contengano pubblicità né offrano in vendita prodotti o servizi commerciali; non è quindi interesse del gestore del sito ottenere un tracking del comportamento degli utenti e, per lo stesso motivo, l’utente nemmeno si aspetta di essere monitorato a fini commerciali.
La ricerca cita ad esempio una pagina del sito della Regione Lombardia sulle parrucche per malati oncologici (sulla quale è presente un tracker marketing di Google), una pagina del sito web del Ministero della Salute relativa ai disturbi psichici (dove sono presenti sei tracker marketing riferibili a Google, uno dei quali genera un cookie che rimarrà per un anno sul pc dell’utente), e due pagine del sito web dell’AUSL di Reggio Emilia relative rispettivamente ai problemi legati all’alcolismo ed alla gravidanza (dove sono presenti tracker di Google Analytics per monitorare il comportamento dell’utente).
Le ragioni di questo fenomeno e la figura del data broker
Le aziende sono disposte a spendere cifre importanti per conoscere lo stile di vita di un potenziale cliente per potergli proporre offerte mirate e massimizzare l’efficienza dell’investimento pubblicitario.
Per questo motivo il fiorente mercato dei dati ha creato figure intermedie, dette data broker, che si occupano di mettere insieme quanti più dati possibili di quanti più utenti possibili per poi venderli al miglior offerente.
Il problema, per questi data broker, è proprio quello di ottenere dati relativi a siti web che non sono interessati a tracciare i propri utenti e che non consentono ingresso a forme pubblicitarie, non richiedono attività di condivisione sui social.
La presenza di questi siti è pericolosa per i giganti dei dati, perché potrebbero comportare “zone d’ombra” nella profilazione di un soggetto e del suo comportamento sul web, rendendo meno appetibili gli archivi venduti.
È quindi molto importante per questi data broker ottenere il missing link, ovvero conoscere il comportamento degli utenti profilati anche sui siti che non hanno interesse a tracciare gli utenti, ad esempio appunto i siti web delle amministrazioni.
Come possono quindi questi data broker ottenere accesso ai comportamenti di visita degli utenti nei siti web istituzionali anche se il gestore del sito non ha interesse a far loro conoscere questi dati?
I colossi del web riescono ad accedere ai dati relativi alla navigazione in siti non commerciali in vari modi, ad esempio rendendo disponibili servizi o template gratuiti per lo sviluppo di piattaforme e servizi web che però nascondono righe di codice che consentono ad tracking.
Servizi gratuiti solo all’apparenza
Anche in questo caso il servizio è gratuito solo all’apparenza e il suo prezzo è in realtà costituito dai dati, propri o di terzi, che vengono tracciati e condivisi attraverso lo stesso servizio.
Utilizzando questi strumenti la pubblica amministrazione lascia che queste aziende ottengano e vendano a terzi questi dati, profilando gli utenti peraltro nel momento in cui non si aspettano di essere profilati e, quindi, sono più vulnerabili.
I metodi per ottenere accesso ai dati sono anche più particolari e curiosi, basta pensare che il semplice utilizzo di font distribuiti da Google, attraverso la piattaforma Google Fonts, comporta un trattamento dati da parte del colosso di Mountain View e la necessità di indicare Google come responsabile del trattamento, come ha precisato Google stessa in un comunicato del 17 aprile 2018.
Una risposta europea a un problema comune
Quello del tracking pubblicitario è un fenomeno complesso ed insidioso, che riposa sulla capacità intrusiva di giganti del web che di fatto “comandano” la rete, di fronte al soggetto locale che deve realizzare al minor prezzo possibile una vetrina per la pubblica amministrazione appaltante.
Proprio per la natura del problema di cui si discute è difficile immaginare un intervento legislativo, in quanto lo stesso presuppone la tipizzazione del comportamento censurato mentre questi strumenti si evolvono ben più velocemente del diritto e, verosimilmente, ove dovessero essere vietati, porterebbero alla rapida creazione di diversi strumenti, più “creativi” per aggirare il divieto.
Quello che può essere utile è invece investire in una informatizzazione consapevole della pubblica amministrazione a livello comunitario, creando modelli, linee guida e standard a livello centrale che possano ridurre al minimo il rischio di tracking inconsapevole.
È chiaro infatti che il problema riguarda tutta l’Unione Europea e sarebbe quindi opportuno un intervento sovranazionale di indirizzo per i siti governativi affinché tengano conto della privacy dei cittadini europei.
Dell’intervento potrebbe (e dovrebbe) occuparsi anche il Comitato Europeo per la Protezione dei Dati (ovvero il gruppo che riunisce, ai sensi dell’art. 68 Reg. UE 2016/679, le autorità privacy dei vari stati membri), in quanto nel novero delle competenze assegnategli dall’art. 70 del GDPR, c’è quella di “pubblica linee guida, raccomandazioni e migliori prassi” relative a vari aspetti dell’applicazione del Regolamento.
La situazione italiana
Venendo alla situazione italiana, va evidenziato che Agid ha già sviluppato delle linee guida di design per i servizi digitali della PA, che si occupano dell’armonizzazione dell’aspetto dei siti web della pubblica amministrazione e di fornire indirizzi tecnici per la loro creazione e gestione, indirizzi che però non si curano, se non in minima parte, degli aspetti privacy degli utenti.
Basti pensare che le linee guida incoraggiano anzi le Pubbliche Amministrazioni ad utilizzare Search Console di Google, ad usufruire dei sistemi di web analytics come Matomo/Piwik e Google Analytics, ad adottare il font Titillium web (font open source creato dall’Accademia delle Belle Arti di Urbino, ma distribuito da Google Fonts) e ad implementare link ai social network, senza prendere in considerazione i conseguenti delicati aspetti privacy coinvolti (pur essendo la guida aggiornata con i riferimenti agli ultimi interventi normativi in tema di privacy a livello italiano ed europeo).
È quindi senz’altro opportuno un richiamo da parte del Garante italiano e di Agid al principio di minimizzazione del trattamento dati, che permea l’intera normativa GDPR, nella realizzazione e gestione dei siti web governativi e degli enti locali, per evitare che questi siti continuino a trattare con leggerezza i dati degli utenti.
L’intervento di AGID non può però limitarsi a questo e passa per una completa revisione delle linee guida per i servizi digitali della PA, affinché queste in considerazione punto per punto il rispetto della privacy dei cittadini, consentendo una più consapevole ed attenta realizzazione dei siti web governativi, in applicazione del principio di privacy by design introdotto con il GDPR.
Non dobbiamo dimenticare la funzione di esempio positivo che può e deve avere la pubblica amministrazione nel rapporto con i cittadini: il modo con cui la pubblica amministrazione tratta i dati degli utenti finisce per essere infatti ed inevitabilmente punto di riferimento e traino per l’adeguamento del settore privato, traino che, ora come ora, livella purtroppo verso il basso.
