EUGDPR Audit
RU EN
Технический аудит · 2026-06-15

garanteprivacy.it

Орган по защите персональных данных Италии
IT

Сайт самого итальянского регулятора по защите данных. 110 запросов, 3 домена. Собственная аналитика реализована образцово — на своём домене, без следящего идентификатора, с маскировкой IP ровно так, как описано в политике. Единственная зацепка — сервис озвучивания текста ReadSpeaker: он европейский, cookie не ставит, но как сторонний получатель IP в политике не упомянут — притом что именно этот орган обязывает всех остальных такие сервисы перечислять.

Хронология утечки

+0–547 мс · загрузка портала
Портал на платформе Liferay, шрифты — свои. Стандартный набор стилей и скриптов сайта.
+552–650 мс · аналитика, ReadSpeaker и cookie-бар
Аналитика Matomo с собственного домена (+552 мс) и сервис озвучивания ReadSpeaker (+601 мс) загружаются раньше, чем скрипты cookie-бара (+649–650 мс). Для Matomo это не проблема: псевдонимизированная аналитика согласия не требует. Для ReadSpeaker вопрос не в тайминге, а в том, что его нет в политике.
+972 мс · замер Matomo
Замер посещения Matomo (+972 мс) — с маскированным IP и без постоянного идентификатора. Ни одного cookie за весь сеанс — ни от аналитики, ни от ReadSpeaker.

Декларация против факта

Matomo на gpdp.it (собственный домен Garante, перечислен в политике, IP маскируется на 2 байта) — заявлен
+ ReadSpeaker (cdn-eu.readspeaker.com) — европейский сервис озвучивания, получает IP, в списке получателей данных отсутствует — не заявлен

Зафиксированные трекеры

Зафиксированные нарушения

Контекст

garanteprivacy.it — официальный сайт Garante per la protezione dei dati personali, то есть самого итальянского надзорного органа по защите данных. Того самого, который пишет правила декларирования третьих сторон для всех остальных сайтов страны. Сделан на платформе Liferay. В замере 110 обращений к трём доменам. Политика верно указывает титуляром сам Garante и перечисляет полтора десятка относящихся к нему доменов, включая gpdp.it. Замер, как и вся серия, снят на чистом браузере Edge без VPN и блокировщика.

Поскольку это сайт регулятора, к нему особый интерес: соблюдает ли автор правил собственные требования. По большей части — да, и весьма аккуратно. Но одна деталь выбивается.

Аналитика — образцово

Сначала о том, что сделано правильно. Веб-аналитика здесь — на собственном домене Garante, а не на стороннем сервисе. Замер показывает то же, что и политика: IP-адрес маскируется обнулением двух последних байтов — ровно как написано в документе, — постоянный идентификатор посетителю не присваивается, и ни одного cookie за сеанс не ставится. Это аккуратная, приватная по конструкции аналитика, и обещанное полностью совпадает с фактом. На этом участке регулятор практикует ровно то, что проповедует.

ReadSpeaker — единственная незадекларированная сторона

А теперь зацепка. На сайте работает сервис ReadSpeaker — инструмент, который озвучивает текст страницы вслух, нужный прежде всего людям с нарушениями зрения. Он загружается в начале визита, и при этом IP-адрес посетителя уходит на серверы этого сервиса.

Здесь важно соблюсти пропорцию и не раздуть находку. Во-первых, ReadSpeaker — европейский сервис, его адрес прямо указывает на европейскую инфраструктуру, так что утечки данных за пределы ЕС тут нет. Во-вторых, это не рекламный и не поведенческий трекер, а вспомогательный инструмент доступности — вещь скорее похвальная. В-третьих, cookie он в этом сеансе не ставит, поэтому буквальное утверждение политики «сторонние cookie не устанавливаются» формально остаётся верным.

Проблема узкая, но настоящая: политика приводит закрытый список из шести конкретных получателей данных, и ReadSpeaker в него не входит — как не упомянут он и нигде в тексте. А он сторонний получатель IP-адреса посетителя. То есть декларация неполна.

Ирония — и почему это всё-таки стоит отметить

Сам по себе пропуск маленький и чинится одной строкой в документе. Но место находки придаёт ей вес: именно Garante — тот орган, чьи рекомендации обязывают каждый итальянский сайт перечислять все сторонние сервисы, получающие данные пользователей. И на собственном сайте у него один такой сервис в перечне отсутствует. По сути это не лицемерие — функция у ReadSpeaker благая, утечки нет, — а скорее недосмотр. Но недосмотр символичный: автор правила сам его на одну позицию недовыполнил.

Чего по замеру утверждать нельзя

Несколько честных оговорок. Содержимое замера аналитики уходит не в адресе запроса, поэтому про маскировку IP я опираюсь на политику — и она согласуется с тем, что cookie и постоянного идентификатора в замере нет. Принадлежность ReadSpeaker к европейской инфраструктуре я определяю по его домену; точное расположение сервера в облегчённой выгрузке не зафиксировано. Замер охватывает главную страницу.

Вывод

Сайт регулятора по большей части показывает именно то, что регулятор требует от других: собственная аналитика на своём домене, без следящего идентификатора, с маскировкой IP с точностью до байта, как и записано в политике. Единственное пятно — сервис озвучивания ReadSpeaker, который получает IP посетителя, но в списке получателей данных не значится. Он европейский, безвредный по функции и не ставит cookie, так что речь о неполноте декларации, а не об утечке. Главное, что должен вынести читатель: даже у образцового в основе сайта — и даже у самого органа по защите данных — находится незакрытая мелочь; и тем ценнее, что здесь это действительно мелочь, а не скрытая слежка, как на иных разобранных сайтах.

Доказательство
Оригинал (разбор)
HAR-файл: it/garanteprivacy-it-2026-06-15.har
SHA-256: 455c1b44c2b8552792cc047270477f0152665cff3fee2139fa455d276d668807
Контрольный снимок
Ждём изменений
HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.
ВАЖНО: прежде чем подавать жалобу регулятору — сначала обратитесь напрямую в компанию и дайте 30 дней на ответ. Без этого шага регулятор может отклонить жалобу. Подробности и шаблон письма компании — в разделе Методология.
Готовое письмо для подачи жалобы

Куда подавать: Garante — Итальянский гарант защиты данныхgaranteprivacy.it 

Кому: Garante — Итальянский гарант защиты данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом garanteprivacy.it.

2. Обстоятельства
Я посетил сайт garanteprivacy.it и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 15.06.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) Политика категорично заявляет, что сторонние cookie не устанавливаются, и приводит закрытый список из шести конкретных получателей данных, designated Garante. Среди них нет сервиса ReadSpeaker (озвучивание текста вслух), который загружается при каждом визите и получает IP-адрес посетителя. Формально заявление про cookie верно — ReadSpeaker их не ставит, — но как сторонний получатель данных он в документе не назван вовсе. Сервис европейский и функция у него вспомогательная, поэтому это вопрос полноты декларации, а не утечки данных.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/garanteprivacy-it/

3. Нарушенные положения
Art. 13(1)(e) GDPR — сторонний сервис не указан в списке получателей

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата]                                    [Подпись/имя]