Технический аудит · 2026-06-20

chicco.it

Магазин товаров для детей и младенцев

Chicco.it — интернет-магазин товаров для детей и младенцев (группа Artsana). Замер главной страницы: 135 обращений, 20 доменов. Тематика делает случай особенно чувствительным: политика прямо упоминает сбор данных несовершеннолетних и предполагаемой даты рождения, то есть срока беременности, — а на сайте работает поведенческое профилирование. Стоит платформа согласия Cookiebot, но в первые три секунды, до любого решения, отрабатывают профилирование Salesforce (Interaction Studio и Einstein), реклама Google и трекинг Klarna. И отдельно серьёзно: в этом сеансе пользователь в итоге отказал в согласии, но профилирование Salesforce продолжило отправлять поведенческие события и после отказа, тогда как реклама Google после отказа замолчала. То есть отказ соблюли не все.

Хронология утечки

634–637 мс · профилирование стартует вместе с баннером

Одновременно с загрузкой платформы согласия Cookiebot стартуют профилирование Salesforce (beacon Interaction Studio), коммерческий профилировщик Einstein (CQuotient), трекинг Klarna и аналитика Cloudflare Insights. Это происходит до какого-либо выбора пользователя.

1636 мс · рекламная активность Google

Google получает обращение рекламной активности. Сигнал согласия показывает, что аналитика разрешена по умолчанию, а реклама нет, — то есть аналитическая часть уже включена без явного выбора.

2554–3250 мс · поведенческие события и рекомендации

Профилирование Salesforce отправляет поведенческие события на свои серверы, а Einstein запрашивает персональные товарные рекомендации. Всё это — до согласия.

63260 и 123264 мс · профилирование продолжается после отказа

Несмотря на отказ, профилирование Salesforce дважды отправляет поведенческие события уже после него. Реклама Google при этом замолчала — то есть отказ соблюли не все сервисы.

Декларация против факта

✓ Salesforce / Evergage — заявлен

✓ Klarna — заявлен

✓ Google — заявлен

+ Einstein / CQuotient — не заявлен

Зафиксированные трекеры

Salesforce Interaction Studio (Evergage)
Salesforce Einstein (CQuotient)
Google Ad Manager
Klarna
Cookiebot
Cloudflare Insights

Зафиксированные нарушения

Art. 6(1)(a) GDPR — поведенческое профилирование и реклама срабатывают до согласия

На сайте стоит платформа сбора согласия Cookiebot, но в чистом сеансе целый ряд сервисов отрабатывает в первые три секунды, ещё до какого-либо решения пользователя. Поведенческое профилирование Salesforce (Interaction Studio, домены Evergage) отправляет свой beacon и начинает фиксировать события; коммерческий профилировщик Salesforce Einstein (CQuotient) загружается и запрашивает персональные рекомендации; платёжный сервис Klarna ведёт свой трекинг; Google запрашивает рекламную активность. Сигнал согласия Google в этот момент показывает, что аналитика разрешена по умолчанию, а реклама — нет, то есть аналитическая часть включена без явного выбора. Поведенческое профилирование для маркетинга по правилам ЕС требует предварительного согласия, а здесь оно разворачивается до него.
Art. 7(3) GDPR — после отказа профилирование Salesforce продолжается

В этом сеансе пользователь в итоге отказал в согласии — платформа Cookiebot зафиксировала отказ. Однако профилирование Salesforce (Interaction Studio) не остановилось: уже после отказа оно дважды отправило на свои серверы поведенческие события. То есть отказ был проигнорирован той частью стека, которая как раз и строит маркетинговый профиль. Это прямо противоречит и закону, который требует прекратить обработку при отзыве или отказе в согласии, и собственному обещанию политики, что согласие можно отозвать так же легко, как оно было дано. Для сравнения: рекламные обращения Google после отказа прекратились — то есть технически соблюсти отказ возможно, но профилирующий сервис этого не сделал.

Контекст

www.chicco.it — интернет-магазин и сайт бренда Chicco, товары для детей и младенцев (группа Artsana). Контролёр данных — Artsana. Аудитория — родители и будущие родители. Политика прямо указывает, что собираются в том числе данные несовершеннолетних и предполагаемая дата рождения (срок беременности), что делает тематику чувствительной.

Замер: 135 обращений к 20 доменам, главная страница, снят на чистом браузере Edge без VPN и блокировщика. Стоит платформа сбора согласия Cookiebot. Технический стек — коммерческая платформа Salesforce с поведенческим профилированием, реклама Google и платёжный трекинг Klarna.

Кто получает данные

Тут были замечены: Salesforce, Google, Klarna.

Salesforce представлен двумя профилирующими сервисами: Interaction Studio (домены Evergage) строит поведенческий профиль пользователя, а Einstein (CQuotient) выдаёт персональные товарные рекомендации на основе поведения. Google получает рекламную активность. Klarna — платёжный сервис рассрочки — ведёт собственный трекинг. Дополнительно работают аналитика Cloudflare Insights и тег-сервис на собственном поддомене.

Был ли баннер согласия

Да, на сайте есть платформа сбора согласия Cookiebot. В этом сеансе пользователь в итоге сделал выбор — отказал в согласии. Но к моменту отказа профилирование и реклама уже отработали, а часть из них продолжила работу и после.

Что срабатывает до согласия

В первые три секунды, до любого решения, отрабатывают:

поведенческое профилирование Salesforce (Interaction Studio) — beacon и события;
коммерческий профилировщик Salesforce Einstein — рекомендации на основе поведения;
рекламная активность Google;
трекинг платёжного сервиса Klarna;
аналитика Cloudflare Insights.

Поведенческое профилирование для маркетинга — нетехническая цель, требующая предварительного согласия. Здесь оно разворачивается до него.

Отказ соблюли не все

Это узловой и самый серьёзный пункт. В сеансе пользователь отказал в согласии. После этого рекламные обращения Google прекратились — то есть технически отказ исполнить возможно. Но профилирование Salesforce продолжило отправлять поведенческие события и после отказа — дважды, спустя десятки секунд. То есть тот самый сервис, который строит маркетинговый профиль, отказ проигнорировал. Это противоречит и требованию закона прекратить обработку при отказе, и обещанию политики, что согласие отзывается так же легко, как даётся.

Чувствительный контекст

Отдельно стоит подчеркнуть тематику. Политика прямо называет сбор данных несовершеннолетних и предполагаемой даты рождения — то есть срока беременности. Поведенческое профилирование, которое здесь работает до согласия и продолжается после отказа, действует в контексте, связанном с беременностью и маленькими детьми. Это одна из самых чувствительных областей для маркетингового таргетинга, и требования к основанию обработки здесь особенно строги.

Вывод

Chicco.it — серьёзный коммерческий случай, и серьёзность усиливается тематикой. Платформа согласия на сайте есть, но поведенческое профилирование Salesforce, реклама Google и трекинг Klarna отрабатывают до согласия, а после прямого отказа профилирование Salesforce не останавливается — продолжает слать поведенческие события, тогда как реклама Google отказ соблюла. Главное, что должен вынести читатель: отказ в согласии должен останавливать обработку, и здесь видно, что соблюсти его технически возможно — Google это сделал, — но профилирующий сервис продолжил работу. На сайте, где собирают срок беременности и данные о детях, это расхождение между обещанным отзывом и реальным поведением профилировщика особенно весомо."

Доказательство

Оригинал (разбор)

HAR-файл: it/chicco-it-2026-06-20.har

SHA-256: 93ef59451c691464517b687fbab87e27a40fdd2181603db54d40ca0ddbc982f4

Контрольный снимок

Ждём изменений

HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.

Готовое письмо для подачи жалобы

Куда подавать: Garante — Итальянский гарант защиты данных — garanteprivacy.it

Кому: Garante — Итальянский гарант защиты данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом chicco.it.

2. Обстоятельства
Я посетил сайт chicco.it и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 20.06.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) На сайте стоит платформа сбора согласия Cookiebot, но в чистом сеансе целый ряд сервисов отрабатывает в первые три секунды, ещё до какого-либо решения пользователя. Поведенческое профилирование Salesforce (Interaction Studio, домены Evergage) отправляет свой beacon и начинает фиксировать события; коммерческий профилировщик Salesforce Einstein (CQuotient) загружается и запрашивает персональные рекомендации; платёжный сервис Klarna ведёт свой трекинг; Google запрашивает рекламную активность. Сигнал согласия Google в этот момент показывает, что аналитика разрешена по умолчанию, а реклама — нет, то есть аналитическая часть включена без явного выбора. Поведенческое профилирование для маркетинга по правилам ЕС требует предварительного согласия, а здесь оно разворачивается до него.

2) В этом сеансе пользователь в итоге отказал в согласии — платформа Cookiebot зафиксировала отказ. Однако профилирование Salesforce (Interaction Studio) не остановилось: уже после отказа оно дважды отправило на свои серверы поведенческие события. То есть отказ был проигнорирован той частью стека, которая как раз и строит маркетинговый профиль. Это прямо противоречит и закону, который требует прекратить обработку при отзыве или отказе в согласии, и собственному обещанию политики, что согласие можно отозвать так же легко, как оно было дано. Для сравнения: рекламные обращения Google после отказа прекратились — то есть технически соблюсти отказ возможно, но профилирующий сервис этого не сделал.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/chicco-it/

3. Нарушенные положения
Art. 6(1)(a) GDPR — поведенческое профилирование и реклама срабатывают до согласия; Art. 7(3) GDPR — после отказа профилирование Salesforce продолжается

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата]                                    [Подпись/имя]