EUGDPR Audit
RU EN
Технический аудит · 2026-06-15

poliziadistato.it

Сайт Государственной полиции Италии
IT

Poliziadistato.it — официальный сайт Государственной полиции Италии. Замер главной страницы: 150 обращений, 14 доменов. Для правоохранительного ведомства набор сторонних сервисов Google тяжёлый: Google Analytics, рекламный домен DoubleClick, полноценный трекинговый эмбед YouTube с автозапуском видео, система тегов и шрифты Google. Баннер согласия на сайте есть, но согласие не дано (cookie за сеанс не выставлено), а режим согласия Google не задействован вовсе — теги работают в обычном режиме. До согласия Google Analytics шлёт просмотр, DoubleClick обращается за рекламным идентификатором, а встроенное видео автоматически запускается и больше 25 секунд отправляет в Google телеметрию просмотра. Всё это вступает в прямое противоречие с собственной политикой сайта, которая заявляет, что профилирование и иные методы отслеживания не применяются.

Хронология утечки

95 мс · система тегов Google
Загружается Google Tag Manager — менеджер тегов, через который затем запускаются остальные сервисы Google.
105 мс · баннер согласия
Загружается баннер согласия. То есть механизм согласия на сайте предусмотрен — и значит то, что отрабатывает раньше выбора, происходит до согласия.
552–631 мс · загрузка видео YouTube
Загружается встроенное видео — в том числе через полный трекинговый домен youtube.com, а не только через приватный youtube-nocookie. Плеер начинает разворачиваться до согласия.
1440–1455 мс · рекламный домен DoubleClick
Рекламный домен Google DoubleClick обращается за рекламным идентификатором и проверяет статус видеорекламы. Это инфраструктура рекламы и ремаркетинга Google.
1947 мс и далее · телеметрия воспроизведения YouTube
Эмбед YouTube начинает отправлять в Google события воспроизведения: отметки о просмотре, события плеера, служебные обращения трекинга.
5585 / 15586 / 25588 мс · время просмотра
Видео автоматически проигрывается, и YouTube периодически отправляет в Google время просмотра — на 5-й, 15-й и 25-й секундах. То есть факт и длительность просмотра отслеживаются, по-прежнему без согласия.
5623 мс · Google Analytics шлёт просмотр
Google Analytics отправляет событие просмотра страницы. Сигнала согласия Google в обращении нет — тег работает в обычном режиме.
баннер есть, согласие не дано
Баннер согласия на сайте присутствует, решение в этом визите не делалось, cookie за сеанс не выставлено. Все перечисленные обращения произошли до согласия.

Декларация против факта

Google Analytics — заявлен
YouTube — заявлен
+ DoubleClick — не заявлен

Зафиксированные трекеры

Зафиксированные нарушения

Контекст

www.poliziadistato.it — официальный сайт Государственной полиции Италии. Контролёр данных — Министерство внутренних дел / Государственная полиция. Это правоохранительное ведомство, и сайт информационный: новости, услуги для граждан (паспорта, заявления), сведения о работе полиции.

Замер: 150 обращений к 14 доменам, главная страница, снят на чистом браузере Edge без VPN и блокировщика. На сайте есть баннер согласия. Технический стек заметно завязан на сервисы Google, включая рекламный домен и полноценный трекинговый эмбед видео.

Кто получает данные

Тут были замечены: Google, DoubleClick.

Google присутствует несколькими сервисами: аналитика (Google Analytics), система тегов (Tag Manager), встроенное видео (YouTube) и шрифты. DoubleClick — рекламно-ремаркетинговый домен Google, который обращается за рекламным идентификатором и проверяет статус видеорекламы. Встроенное видео загружается в том числе через полный трекинговый домен youtube.com, а не только через приватный youtube-nocookie, и автоматически проигрывается, отправляя в Google телеметрию просмотра.

Был ли баннер согласия

Да, баннер согласия на сайте есть, он загружается на 105-й миллисекунде. Решение «принять/отклонить» в этом визите не делалось, и cookie за сеанс не выставлено ни одной — то есть согласие не дано.

При этом важная деталь: сигнала режима согласия Google (Consent Mode) в обращениях нет вовсе. Это значит, что теги Google работают не в режиме «согласие не дано» (как на некоторых других сайтах серии, где Google придерживает данные), а в обычном режиме — и просто отправляют данные.

Что срабатывает до согласия

До какого-либо решения пользователя успевает отработать:

  • Google Analytics — событие просмотра страницы;
  • рекламный домен DoubleClick — обращение за рекламным идентификатором и проверка статуса видеорекламы;
  • полный трекинговый эмбед YouTube — автозапуск видео с отправкой в Google телеметрии просмотра (отметки, время просмотра на 5-й, 15-й, 25-й секундах);
  • система тегов Google и шрифты Google Fonts.

Ключевое — здесь нет смягчения, которое было у некоторых других сайтов. Режим согласия Google не задействован, поэтому теги не придерживают данные. Рекламный домен DoubleClick и трекинговый видеоэмбед — это полноценное отслеживание, а не обезличенная статистика.

Прямое противоречие с политикой

Это узловой пункт. Политика сайта прямо заявляет, что профилирующие cookie не используются и иные методы отслеживания не применяются, а аналитика собирается в агрегированной форме. Но фактически работают и рекламный домен DoubleClick (инфраструктура рекламы и ремаркетинга Google), и полный трекинговый эмбед YouTube с поминутной телеметрией просмотра. И то, и другое — именно методы отслеживания, наличие которых документ отрицает. Google Analytics и YouTube в политике названы, но DoubleClick не упомянут вообще. То есть обещание «никаких методов отслеживания» расходится с тем, что сайт реально делает.

Вывод

Poliziadistato.it — один из более серьёзных случаев серии, и серьёзность усиливается тем, что это правоохранительное ведомство. На сайте Государственной полиции до согласия отрабатывают Google Analytics, рекламно-ремаркетинговый домен DoubleClick и полный трекинговый эмбед YouTube, который автоматически проигрывает видео и больше 25 секунд шлёт в Google телеметрию просмотра, — притом что режим согласия Google не задействован, а сама политика прямо отрицает использование методов отслеживания. Главное, что должен вынести читатель: расхождение между обещанным и происходящим здесь не оттенок, а прямое противоречие — документ говорит «не отслеживаем», а провод показывает рекламный домен и трекинговое видео до согласия. Достаточно было перевести видео в приватный режим с запуском по клику, убрать рекламный домен и поставить теги Google за согласие — инфраструктура согласия на сайте уже есть."

Доказательство
Оригинал (разбор)
HAR-файл: it/poliziadistato-it-2026-06-15.har
SHA-256: 8fdd59b0665199fca3bbba3c30996c381845bc004df0322d6a040afd6e5338c2
Контрольный снимок
Ждём изменений
HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.
ВАЖНО: прежде чем подавать жалобу регулятору — сначала обратитесь напрямую в компанию и дайте 30 дней на ответ. Без этого шага регулятор может отклонить жалобу. Подробности и шаблон письма компании — в разделе Методология.
Готовое письмо для подачи жалобы

Куда подавать: Garante — Итальянский гарант защиты данныхgaranteprivacy.it 

Кому: Garante — Итальянский гарант защиты данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом poliziadistato.it.

2. Обстоятельства
Я посетил сайт poliziadistato.it и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 15.06.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) На сайте есть баннер согласия, но в чистом сеансе, без какого-либо решения пользователя и без работающего режима согласия Google, до согласия отрабатывают сразу несколько сервисов Google. Google Analytics отправляет просмотр страницы. Рекламный домен DoubleClick обращается за рекламным идентификатором и проверяет статус видеорекламы. А встроенное видео загружается через полный трекинговый домен youtube.com (а не через приватный youtube-nocookie), автоматически запускается и в течение более чем 25 секунд отправляет в Google подробную телеметрию воспроизведения — отметки о просмотре, время просмотра, события плеера. Сигнала согласия Google (Consent Mode) в замере нет вовсе, то есть теги работают в обычном режиме, а не в режиме «согласие не дано». Всё это происходит до согласия, которое баннер на сайте предлагает запросить.

2) Политика сайта прямо утверждает, что профилирующие cookie не используются и иные методы отслеживания не применяются, а аналитика собирается в агрегированной форме. Однако фактически работает рекламный домен DoubleClick (обращение за рекламным идентификатором — инфраструктура рекламы и ремаркетинга Google) и полноценный трекинговый эмбед YouTube, отправляющий поминутную телеметрию просмотра. И то, и другое — методы отслеживания, наличие которых документ прямо отрицает. При этом Google Analytics и YouTube в политике названы, а DoubleClick не упомянут вовсе. Таким образом заявление «никаких методов отслеживания» не соответствует тому, что сайт реально делает.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/poliziadistato-it/

3. Нарушенные положения
Art. 6(1)(a) GDPR — аналитика, рекламный домен и трекинговое видео срабатывают до согласия; Art. 13 GDPR — политика заявляет «никаких методов отслеживания», что прямо противоречит факту

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата]                                    [Подпись/имя]