Il sito del reddito di cittadinanza (redditodicittadinanza.gov.it) potrebbe violare le norme sulla privacy previste dal regolamento europeo Gdpr. La questione è stata sollevata in un post pubblicato sul blog dell’esperto di sicurezza informatica Matteo Flora dove mette in evidenza almeno due aspetti che riguardano la sicurezza dei dati di chi compilerà il moduli online per richiedere la misura varata dal governo.
Il primo è che l’informativa sulla privacy presente nella parte bassa del sito del reddito di cittadinanza rimanda a quella del ministero del Lavoro mancandone di una propria, in violazione alla legge sulla privacy europea. Sul sito del ministero del Lavoro, d’altro canto, sembrerebbe che la “privacy policy” che vige sulle sue pagine non è applicata anche al sito del reddito di cittadinanza, almeno non è detto esplicitamente, cosa che, secondo alcuni legali contattati da AGI, potrebbe aggirare l’ostacolo del regolamento. Inoltre sul sito del ministero non vengono indicati i dati di contatto del Dpo (il responsabile del trattamento dei dati o Data protection officer) e sulla pagina a lui dedicata compare la scritta ‘in corso di aggiornamento’.
Il secondo aspetto è più spinoso. Spiega Flora nel suo post che, spulciando il codice sorgente del sito, pare che il ministero abbia “deciso di ‘regalare’ i dati di navigazione degli utenti sul sito a un ente terzo, per di più extra UE: Google”. I dati di chi compilerà il modulo del reddito finiranno in mano a Google perché secondo Flora il sito del reddito di cittadinanza è stato costruito includendo i codici di Google che riguardano i caratteri (o font) dei testi. Ora, spiega Flora, utilizzando questi caratteri di Google, Mountain View “innesca una serie di meccanismi che la ‘aprono’ alla lettura di parte dei dati”.
Anche da un punto di vista di regolamentazione, Google stesso che dichiara che per l’uso di Google Font deve essere considerato a tutti gli effetti un “Data Controller”. Secondo una nota diramata dalla società il 17 aprile 2018, poco prima dell’entrata in vigore della Gdpr, risulta che “Google Font opera come un data controller per ogni dato personale che Google processa in connessione con l’uso di Google Font via web e con le API di Android”. “La versione completa del sito andata online nelle ultime ore”, conclude Flora all’AGI, “non solo non sana la situazione, ma aggiunge ulteriori codici, sempre non citati, anche di casa Microsoft”.