Tutti gli articoli del nostro blog

Cookiebot report: Tracciamento nascosto dei cittadini sui siti internet governativi e del settore sanitario nell’UE

Il Regolamento generale sulla protezione dei dati (GDPR) influenza il modo in cui il tuo sito web può tracciare i visitatori provenienti dall’UE.

Aggiornato in data 30 luglio 2020.

Quando i cittadini dell’Unione Europea visitano le pagine web dei loro governi, o quando accedono alle risorse del servizio sanitario pubblico per questioni delicate come gravidanze, salute sessuale, tumori e malattie mentali, più di 100 società commerciali li tracciano in modo sistematico e invisibile.

Questi loro dati, una volta raccolti, possono essere rivenduti, tramite i cosiddetti broker di dati, ad organizzazioni sia interne che esterne al settore pubblicitario.

SCARICA REPORT

Hai il dubbio che il tuo sito web non sia conforme al GDPR? Verificalo con il test di conformità gratuito di Cookiebot.

Prova Cookiebot gratuitamente per 14 giorni… o per sempre, se il tuo sito è di dimensioni contenute.

Il capitalismo della sorveglianza, i dati personali e il GDPR 

“Ho l’HIV, e ora che faccio?”, “Voglio interrompere la gravidanza”, “Segnali dell’alcolismo”, “Assicurazione per i malati oncologici”

Questi sono solo alcuni degli interrogativi che i cittadini più vulnerabili potrebbero porre ai siti web dei loro governi o del settore pubblico, nella speranza di ottenere aiuto e risposte.

Sensitive data is being wormed out by lingering 3rd parties on government and health sector websites in the European Union.
Nonostante il GDPR, i dati sensibili dei cittadini dell’UE vengono estorti dalle terze parti che si annidano propri negli spazi online dove ci si dovrebbe sentire più al sicuro: i siti internet del settore pubblico dell’Unione Europea.

A distanza di poco meno di dieci mesi dall’applicazione del GDPR, abbiamo analizzato i siti web governativi dell’UE grazie alla tecnologia di Cookiebot, riuscendo così a rilevare tutti i cookie e i tracker in funzione su questi siti.

Vuoi approfondire il legame tra i cookie e il GDPR? Leggi il nostro blogpost: GDPR e cookie.

Abbiamo anche inserito nei motori di ricerca query come quelle riportate sopra, al fine di identificare le specifiche landing page dei servizi sanitari che i cittadini dell’UE potrebbero realisticamente visitare per ricevere indicazioni ufficiali.

Poi abbiamo analizzato anche queste landing page. Il risultato è allarmante:

La stragrande maggioranza dei siti web governativi ufficiali dell’UE ospita terze parti che tracciano dati. Oltre la metà dei siti di salute pubblica sta inconsapevolmente contribuendo al tracciamento.

Ciò significa che quando i cittadini più vulnerabili si rivolgono ai siti delle loro istituzioni e del settore della sanità pubblica per cercare informazioni e assistenza su questioni delicate, le aziende ad tech* ne intercettano e raccolgono i dati. 

*Nel report, il termine “ad tech” viene utilizzato per indicare congiuntamente il tracciamento commerciale degli utenti dei siti web e le società che ne sono responsabili, sebbene alcune attività di tracciamento possano essere attuate per scopi commerciali diversi dalla visualizzazione diretta di pubblicità.

Extensive tracking on government and public health websites
Infografiche dal report: Ad Tech Surveillance on the Public Sector Web.

Cosa sono le aziende ad tech e come ricavano denaro sfruttando i miei dati?

I dati, una volta che sono stati captati dai tracker, in teoria potrebbero essere usati da chiunque per qualsiasi scopo. Sfuggono dunque al controllo dell’utente e persino del sito web.

Molto probabilmente, vengono fatti circolare in un’industria dal valore di migliaia di dollari, la cosiddetta economia dei dati, dove sono combinati con altri dati per costruire profili personali straordinariamente dettagliati, i quali vengono poi rivenduti dai broker di dati ai network di pubblicità online, all’interno di aste in tempo reale (real-time bidding).

La profilazione è comunemente impiegata per indirizzare le pubblicità, vendere prodotti, diffondere idee e personalizzare qualsiasi cosa, dall’esperienza dell’utente ai prezzi effettivi che ti vengono mostrati, e prevedere così le tue prossime azioni. Se finisce nelle mani sbagliate, però, può anche essere utilizzata per determinare se hai o meno il diritto a un’assicurazione, o se a un potenziale datore di lavoro conviene assumerti…

La profilazione personale può includere…

  • Dati sulla tua posizione e sui tuoi spostamenti, addirittura tra numeri civici e piani di un edificio,
  • Le tue abitudini e i tuoi interessi,
  • La tua cerchia di amici, la tua famiglia e le tue origini,
  • La tua professione e il tuo reddito,
  • Le tue convinzioni politiche e religiose,
  • La tua età, il tuo genere e il tuo orientamento sessuale,
  • Le tue malattie e le tue paure,
  • I tuoi progetti, i tuoi sogni e le tue aspirazioni.

Queste informazioni vengono assemblate in modo articolato mentre scorri e clicchi su internet, ma anche mentre vai in giro nel mondo reale, con il telefono in tasca: ciò avviene per mezzo di cookie e analoghe tecnologie di tracciamento, invisibili ed apparentemente innocui, presenti come terze parti su siti web e app e, come emerge dal nostro report, anche sui siti pubblici ufficiali dei paesi europei.

Questa è, in sostanza, la logica del capitalismo della sorveglianza. Capitalismo della sorveglianza è un termine coniato per descrivere l’epoca in cui ci siamo inavvertitamente ritrovati. Nel capitalismo della sorveglianza, come descritto da Shoshana Zuboff nel suo “Il capitalismo della sorveglianza. Il futuro dell’umanità nell’era dei nuovi poteri”, la disponibilità di dati determina la capacità di dominare i mercati.

Il capitalismo della sorveglianza è il risultato di un ventennio di internet sostanzialmente non regolamentato; il GDPR e il futuro Regolamento ePrivacy rappresentano dei tentativi di reagire a questa situazione, con l’obiettivo di ripristinare i diritti la privacy online degli utenti di internet.

in surveillance capitalism, data is knowledge is power
Una volta intercettati, i tuoi dati personali sfuggono dal tuo controllo e possono in teoria essere sfruttati per qualsiasi cosa. Scopri come funziona l’industria ad tech e in che mani è il potere, leggendo il nostro report.

Come fanno i tracker a entrare nei siti web?

Nel nostro report, dimostriamo che l’89% dei siti web governativi dei paesi membri dell’UE, così come il 52% delle landing page scansionate dei servizi sanitari nazionali, lasciano spazio al tracciamento da parte di terzi a fini pubblicitari.

Ciò che più colpisce è che questi siti web non solo rappresentano proprio i paesi membri dell’UE che applicano il GDPR, ma sono anche siti pubblici che non fanno affidamento sulle entrate derivanti dalle pubblicità.

Quindi, cosa ci fanno i tracker su questi siti e come fanno a entrarci?

La risposta sintetica è che entrano attraverso servizi incorporati come lettori video, widget di condivisione sui social network, strumenti di analisi web, gallerie e sezioni di commenti.

Perché? Molti plugin gratuiti di siti web di terze parti guadagnano denaro introducendo clandestinamente i tracker. Spesso agiscono come cavalli di troia, aprendo backdoor nel sito web, in modo che le aziende ad tech possano tacitamente inserirvi i loro tracker.

Insomma, anche se sono apparentemente gratuite, molte di queste tecnologie di terze parti hanno un prezzo: la privacy degli utenti.

Consigli per i proprietari di siti web

Il report evidenzia quanto il tracciamento sia diffuso sui siti web governativi e pubblici che non sono finanziati dagli annunci.

Questi risultati suggeriscono che probabilmente anche molti altri siti web, non finanziati da pubblicità, fungono involontariamente da piattaforme per la sorveglianza online.

La buona notizia è che è possibile pervenire e fermare tutto ciò.

Quando inserisci componenti di terze parti sul tuo sito web, segui questi passaggi per rimanere conforme alla legge e proteggere la privacy dei tuoi utenti:

  • Ottieni una panoramica dettagliata sullo stato attuale del tracciamento sul sito web,
  • Rimuovi eventuali tracker indesiderati dal codice sorgente del sito web,
  • Garantisci ai visitatori la massima trasparenza e il controllo dei tracker sul sito, ossia permetti loro di attivare e disattivare i tracker in base alle loro preferenze.

Sei preoccupato per le possibili attività di tracciamento in corso sul tuo sito web? Prova il nostro audit gratuito del tuo sito web e scopri immediatamente se sei conforme.

Esempio: ShareThis come cavallo di troia

L’Health Service Executive (HSE), ovvero il servizio sanitario pubblico irlandese, ha installato sulle proprie pagine web ShareThis, un noto strumento per la condivisione sui social. ShareThis inserisce automaticamente dei pulsanti in ogni pagina per agevolare la condivisione delle informazioni tra le piattaforme dei social media da parte dei visitatori.

Essendo un servizio gratuito, ShareThis potrebbe apparire come un regalo agli occhi di molti operatori di siti web; invece, è più simile a un cavallo di troia che rilascia tracker di più di 20 società ad tech in ogni pagina sulla quale viene installato.

Analizzando le pagine web di HSE.ie, abbiamo scoperto che ShareThis carica ulteriori 25 tracker che tracciano gli utenti senza il loro permesso.

Tale risultato ha trovato conferma anche su pagine collegate a chiavi di ricerca come “tasso di mortalità dei pazienti oncologici” e “sindrome di depressione post-partum”.

Sebbene gli operatori di siti web come l’HSE abbiano il controllo delle terze parti che inseriscono sui loro siti, essi non possono però controllare direttamente le “quarte parti” che quelle terze parti potrebbero intrufolare.

ShareThis risulta essere installato su ogni singola pagina web di www.HSE.ie. Ciò significa che un’ampia gamma di dati sanitari dei cittadini irlandesi viene costantemente trasmessa in modo occulto a soggetti commerciali.

La cookie policy di HSE.ie cita il cookie proprio di ShareThis, ma non fa riferimento agli altri 25 tracker caricati da ShareThis, rendendo così lampante che HSE non è al corrente delle loro attività.

embedded content can act as Trojan horses for website trackers
Sul sito del servizio sanitario pubblico irlandese, ShareThis opera come un cavallo di troia, permettendo a 25 tracker di accedere a dati personali particolarmente sensibili.

Chi traccia gli utenti dei siti internet?

Considerando i siti web sia governativi che dei servizi sanitari, abbiamo trovato 112 società di tracking, le quali inviano dati a un totale di 131 domini di terze parti per il tracciamento.

Due aspetti destano particolare preoccupazione:

1. Dieci di queste società mascherano esplicitamente la loro identità, perché nessun sito web è ospitato sui loro domini di tracciamento e i loro dati di proprietà dei domini sono nascosti da servizi di privacy. Dunque, chi sono questi tracker?

Anonymous trackers of personal data
Chi ti sta tracciando, camuffato dietro a queste identità fittizie?

2. Google effettua più del doppio dei tracciamenti rispetto a qualsiasi altra azienda. Google controlla i tre principali tracker individuati in questo studio: YouTube, DoubleClick e Google.com.
Combinando questi servizi, Google può monitorare i visitatori dell’82% dei principali siti web governativi dell’UE e del 43% delle landing page dei servizi sanitari analizzate.
Essendo in controllo di molte delle principali piattaforme di internet, come Google Analytics, Google Maps, YouTube, ecc., non sorprende che Google riesca ad accedere a più pagine web di chiunque altro.
È particolarmente preoccupante il fatto che Google sia in grado di incrociare i suoi tracker con i dettagli degli account di prima parte di popolari servizi per gli utenti finali come Google Mail, Google Search e le applicazioni Android (per citarne alcuni), al fine di poter associare facilmente le varie attività online con l’identità di persone reali.

Immagine 1: i 5 principali tracker sui domini governativi dell’UE

Google top tracker on EU government domains

Immagine 2: i 5 principali tracker sulle landing page dei servizi sanitari pubblici

Google top tracker on public health websites

Riassumendo: “La sorveglianza ad tech sulla rete internet del settore pubblico

In questo blogpost, abbiamo passato in rassegna alcuni dei dati emersi nel nostro rapporto, pubblicato il 18 marzo 2019.

SCARICA REPORT

Questo report è stato realizzato per esasperazione. Grazie alla nostra tecnologia di scansione, siamo testimoni della crescente epidemia di sorveglianza online che prospera su Internet, ormai fuori controll.

Per alcuni lettori, i risultati e le conclusioni del report potrebbero essere sconvolgenti. Per altri, potrebbero rappresentare notizie già obsolete.

Quello che ci sta a cuore dire a tutti, però, è che questa situazione può essere prevenuta e fermata.

Invitiamo tutti voi proprietari di siti web – sia pubblici che privati – ad assumervi la responsabilità del tracciamento che avviene sui vostri siti web, rispettando i requisiti del GDPR e di altre legislazioni.

Create trasparenza – sia per voi stessi che per gli utenti del vostro sito web – e offrite ai vostri utenti una vera e propria scelta sulle modalità di utilizzo a scopo commerciale dei dati sul loro conto che vengono generati sul vostro sito internet.

FAQ

Cos’è Cookiebot?

Cookiebot è una piattaforma di gestione del consenso (CMP) di tipo plug-and-play, che esegue una scansione approfondita del tuo sito web per individuare e controllare tutti i cookie e i tracker di terze parti in funzione. Cookiebot gestisce i consensi degli utenti sul tuo sito web in piena conformità con il GDPR e il CCPA.

Prova Cookiebot gratuitamente per 14 giorni… o per sempre, se il tuo sito web non è troppo grande.

Cos’è il GDPR?

Il GDPR è un atto legislativo dell’UE sulla protezione dei dati, il quale disciplina la raccolta dei dati personali degli individui all’interno dell’Unione Europea. Se il tuo sito web utilizza cookie che raccolgono dati personali di utenti situati nell’UE, sei tenuto a rispettare la legge. Il GDPR richiede che tu ottenga il consenso esplicito dell’utente del tuo sito prima che ti sia permesso procedere all’attivazione dei cookie e alla raccolta dei dati personali.

Per saperne di più sul GDPR, leggi qui.

Quali cookie utilizza il mio sito web?

La maggior parte dei siti web utilizza decine di cookie, spesso cookie di terze parti che vengono caricati sul sito web tramite link di social media e strumenti di analisi. Per scoprire esattamente quanti e di che tipo sono i cookie che il tuo sito internet utilizza, puoi servirti della nostra tecnologia di scansione approfondita che controlla a fondo il tuo dominio.

Prova il test gratuito per vedere quali cookie utilizza il tuo sito web.

Come posso rendere il mio sito web conforme al GDPR?

Se il tuo sito web utilizza cookie e tracker di terze parti (ad esempio facendo uso di link per social media, strumenti di analisi o plugin di marketing), sei tenuto a richiedere e ottenere il consenso preventivo ed esplicito da parte dei tuoi utenti.

Per saperne di più sul GDPR e il consenso ai cookie, leggi qui.

Risorse

Il report: La sorveglianza ad tech sulla rete internet del settore pubblico (in inglese)

Il testo di legge ufficiale del GDPR

Shoshana Zuboff: il capitalismo della sorveglianza (in inglese)

    Non perderti nessuna novità

    Unisciti alla nostra community di sostenitori della privacy dei dati in continua crescita. Iscriviti alla newsletter di Cookiebot™ e ricevi tutti gli ultimi aggiornamenti direttamente nella tua casella di posta.

    Cliccando su "Iscriviti" confermo di volermi iscrivere alla newsletter di Cookiebot™. Posso cancellare la mia iscrizione alla newsletter di Cookiebot™ e revocare il consenso all'utilizzo dei miei dati cliccando sul link di disiscrizione oppure scrivendo a [email protected]. Informativa sulla privacy.