EUGDPR Audit
RU EN
Технический аудит · 2026-06-15

italia.it

Официальный национальный туристический портал Италии
IT

Официальный национальный туристический портал Италии (Министерство туризма). 199 запросов, 26 доменов. Несмотря на систему согласия OneTrust с автоблокировкой, сбор данных Adobe, замер Google и запись сессий Hotjar отрабатывают раньше, чем баннер вообще появляется. А политика при этом категорично обещает не передавать данные за рубеж — тогда как Adobe и Google находятся в США.

Хронология утечки

+674–740 мс · стек и автоблокировка
Загружаются собственные модули портала (поиск, интеграция входа), система тегов Google, система тегов Adobe и система согласия OneTrust с включённой автоблокировкой.
+1360–1749 мс · встроенный аудиогид
Подгружается объёмный встроенный аудиогид Loquis — десятки файлов, включая картографические и плеерные компоненты.
+1944 мс · Hotjar до баннера
Загружается система записи сессий и тепловых карт Hotjar — ещё до появления баннера согласия.
+2157–2331 мс · сбор Adobe и Google до баннера
Уходит реальный сбор данных Adobe Experience Cloud (edge.adobedc.net/interact) и замер Google. Запрос на +2181 мс к OneTrust — это лишь геоопределение региона, не согласие.
+2432 мс · баннер дорисовывается последним
Только теперь загружается визуальная часть баннера OneTrust — когда Adobe, Google и Hotjar уже отработали. Ни одного Set-Cookie за весь сеанс.

Декларация против факта

+ Adobe Experience Cloud — не заявлен
+ Google (Maps, YouTube, Tag Manager) — не заявлен
+ Hotjar — не заявлен
+ Gigya / SAP — не заявлен
+ Loquis — не заявлен
+ Algolia — не заявлен

Зафиксированные трекеры

Зафиксированные нарушения

Контекст

www.italia.it — официальный национальный туристический портал Италии, ответственным за который выступает Министерство туризма. Через него страна представляет себя путешественникам со всего мира. В замере 199 обращений к 26 доменам — это насыщенный сайт с поиском, картами, встроенным аудиогидом, входом и аналитикой. На сайте установлена система согласия OneTrust с функцией автоблокировки. Замер, как и вся серия, снят на чистом браузере Edge без VPN и блокировщика.

Случай показателен тем, что механизм согласия здесь не просто присутствует, а заявлен в усиленном варианте — с автоблокировкой, — и тем заметнее, что он не срабатывает как должен.

Кто получает данные

Тут были замечены: Adobe, Google, Hotjar, Gigya, Loquis, Algolia.

Был ли баннер согласия

Баннер есть, и это OneTrust с включённой автоблокировкой — режимом, который должен физически удерживать сторонние теги до согласия. Но в замере он не справляется. Видимая часть баннера дорисовывается одной из последних, к +2432 мс, а запрос, который легко принять за согласие, — это всего лишь геоопределение региона. Зафиксированного решения пользователя в замере нет. И, главное, к моменту появления баннера ключевые трекеры уже отработали.

Трекеры до согласия, несмотря на автоблокировку

Вот суть. Несмотря на заявленную автоблокировку, до появления баннера успевают сработать сразу три серьёзных сервиса. Adobe Experience Cloud отправляет реальный сбор данных о визите. Google снимает свой замер. А система Hotjar, ведущая запись сессий и тепловые карты, загружается ещё раньше остальных. Профилирование сама политика относит к обработке, требующей согласия, — но эти сервисы согласия не дожидаются. То есть усиленный механизм согласия здесь присутствует на бумаге и в коде, но фактически своей задачи не выполняет.

«За рубеж не передаём» — против Adobe и Google в США

Отдельная и более жёсткая находка. Политика содержит категоричное заявление: контролёр не передаёт персональные данные в третьи страны или международные организации. Между тем среди получателей — Adobe и Google, американские компании. Каждое обращение к их сервисам передаёт данные посетителя за пределы ЕС. Это прямое противоречие между прямым обещанием документа и фактическим поведением национального портала.

Основная политика называет цели обработки, включая профилирование, но конкретных получателей не перечисляет, отсылая к отдельной cookie-политике, опубликованной на сайте. В выгрузку эта отдельная часть не вошла, поэтому названы ли там Adobe, Google и Hotjar, я подтвердить не могу — фиксирую, что в основном документе их нет.

Чего по замеру утверждать нельзя

Несколько честных оговорок. Обращение Adobe — это реальный вызов сбора данных; о записи сессий Hotjar я сужу по загрузке её системы. Автоблокировка OneTrust присутствует, но в этом сеансе перечисленные сервисы её не дождались. Отдельную cookie-политику я не выгружал. Hotjar размещён в ЕС, поэтому к нему претензия о передаче за рубеж не относится — она касается Adobe и Google. Замер охватывает главную страницу.

Вывод

Официальный туристический портал страны несёт тяжёлый стек — Adobe, Google, Hotjar с записью сессий, идентификацию, аудиогид, поиск, — и ключевые трекеры отрабатывают раньше, чем появляется баннер согласия, при том что на сайте включена усиленная автоблокировка, которая должна была их удержать. А политика при этом прямо обещает не передавать данные за рубеж — тогда как Adobe и Google находятся в США. Главное, что должен вынести читатель: даже усиленный механизм согласия — это лишь обещание, пока он не проверен на деле; здесь автоблокировка стоит, а Adobe, Google и запись сессий всё равно срабатывают до спроса, и категоричное «данные не покидают ЕС» не выдерживает сверки.

Доказательство
Оригинал (разбор)
HAR-файл: it/italia-it-2026-06-15.har
Контрольный снимок
Ждём изменений
HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.
ВАЖНО: прежде чем подавать жалобу регулятору — сначала обратитесь напрямую в компанию и дайте 30 дней на ответ. Без этого шага регулятор может отклонить жалобу. Подробности и шаблон письма компании — в разделе Методология.
Готовое письмо для подачи жалобы

Куда подавать: Garante — Итальянский гарант защиты данныхgaranteprivacy.it 

Кому: Garante — Итальянский гарант защиты данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом italia.it.

2. Обстоятельства
Я посетил сайт italia.it и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 15.06.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) На сайте установлена система согласия OneTrust с функцией автоблокировки. Но баннер дорисовывается одним из последних (+2432 мс), а до него уже отрабатывают: сбор данных Adobe Experience Cloud (edge.adobedc.net/interact, +2166 мс), замер Google (+2331 мс) и загрузка системы записи сессий Hotjar (+1944 мс). Запрос на +2181 мс — это геоопределение региона, а не согласие; зафиксированного решения «принял/отклонил» в замере нет. Между тем профилирование сама политика относит к обработке на основании согласия. То есть автоблокировка присутствует, но Adobe, Google и Hotjar её не дожидаются.

2) Политика категорично заявляет, что контролёр не передаёт персональные данные в третьи страны или международные организации. При этом среди получателей — Adobe и Google, американские компании, и обращения к их сервисам передают данные посетителя за пределы ЕС. Обещание и факт прямо расходятся.

3) Основная политика называет цели обработки, но конкретных получателей — Adobe, Google, Hotjar, Gigya, Loquis — не перечисляет, вынося детали в отдельную cookie-политику, не вошедшую в выгрузку.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/italia-it/

3. Нарушенные положения
Art. 6(1)(a) GDPR — трекеры до согласия, несмотря на автоблокировку; Art. 44 GDPR — «за рубеж не передаём» против Adobe и Google в США; Art. 13(1)(e) GDPR — получатели не названы в основном документе

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата]                                    [Подпись/имя]