Senato.it — официальный сайт Сената Республики, верхней палаты парламента Италии. Замер главной страницы: 50 обращений, 6 доменов. Аналитика у Сената правильная — собственный Matomo на европейском хостинге. Но рядом, на первом же контакте и без какого-либо согласия, грузятся социальные плагины: кнопка Facebook «Нравится» и виджет Twitter/X. Плагин Facebook передаёт в Meta IP посетителя и адрес страницы — а из адреса видно, что человек смотрит раздел сенаторов; виджет Twitter обменивается идентификатором сессии и логирует показ. Баннера согласия нет вовсе, и в политике слово «согласие» не встречается, хотя сама же политика признаёт, что эти сервисы получают данные о визите. То есть конституционный орган отдаёт сведения о том, чьи депутатские страницы листает гражданин, американским соцсетям — без согласия.
Хронология утечки
Декларация против факта
Зафиксированные трекеры
- Facebook (плагин «Нравится»)
- Twitter / X (виджет)
- Matomo (ЕС-хостинг)
- Mailchimp (CSS виджета рассылки)
Зафиксированные нарушения
-
Art. 6(1)(a) GDPR — сторонние соцплагины передают данные о визите до согласия, без баннераВ чистом сеансе на первом контакте сайт загружает социальный плагин Facebook «Нравится» и виджет Twitter/X. Плагин Facebook при загрузке передаёт в Meta IP-адрес посетителя и адрес просматриваемой страницы — а в этом адресе видно, что посетитель находится в разделе списка сенаторов. Виджет Twitter обменивается с серверами Twitter идентификатором сессии и логирует показ через свой трекинговый эндпоинт. Оба — сторонние получатели в США. При этом баннера согласия на сайте нет: ни платформы сбора согласия, ни запроса выбора пользователю не предъявляется, а в самой политике слово «согласие» не встречается. Собственная privacy-страница Сената прямо признаёт, что Facebook и Twitter «acquisiscono i dati relativi alla visita» — получают данные о визите, — но никакого механизма согласия под эту передачу не предусмотрено. По правилам Garante сторонние соцплагины должны блокироваться до получения согласия; здесь они отрабатывают сразу.
Контекст
www.senato.it — официальный сайт Сената Республики, верхней палаты парламента Италии. Контролёр данных — Сенат Республики; обработка регулируется в том числе внутренним регламентом Сената о персональных данных. Сайт информационный: о структуре палаты, сенаторах, законодательной деятельности, документах.
Замер: 50 обращений к 6 доменам, главная страница (раздел со списком сенаторов), снят на чистом браузере Edge без VPN и блокировщика. Аналитика — собственный Matomo на европейском хостинге. Но помимо неё на странице работают сторонние социальные плагины.
Кто получает данные
Тут были замечены: Meta / Facebook, Twitter / X.
Facebook получает данные через плагин «Нравится»: при загрузке страницы в Meta уходит IP посетителя и адрес просматриваемой страницы. Twitter получает данные через свой виджет: обмен идентификатором сессии и запись о показе на трекинговом эндпоинте. Оба сервиса — в США. Отдельно: аналитика Matomo размещена на европейском хостинге и данные к рекламным третьим сторонам не передаёт — это наименее проблемная часть. Стили формы подписки подгружаются с CDN Mailchimp (США) — статический ресурс.
Был ли баннер согласия
Нет. На сайте не обнаружено ни платформы сбора согласия, ни cookie-баннера, а в тексте политики слово «согласие» не встречается ни разу. При этом сама privacy-страница Сената прямо описывает, что социальные виджеты Facebook и Twitter получают данные о визите пользователя.
Получается несостыковка: документ признаёт передачу данных сторонним соцсетям, но механизма согласия под неё не предусматривает. По правилам Garante сторонние соцплагины должны блокироваться до получения согласия — здесь же они отрабатывают на первом контакте.
Что срабатывает до согласия
На первом визите, без какого-либо выбора пользователя, отрабатывают:
- плагин Facebook «Нравится» — с передачей в Meta IP и адреса страницы (раздел сенаторов);
- виджет Twitter/X — с обменом идентификатором сессии и записью показа на эндпоинт Twitter;
- собственная аналитика Matomo (европейский хостинг, наименее проблемная);
- загрузка стилей формы подписки с CDN Mailchimp.
Ключевые — два соцплагина. Под устоявшейся практикой (дело Fashion ID и гайдлайны Garante) соцплагин, передающий данные о визите в соцсеть при загрузке страницы, требует предварительного согласия. Здесь оно не запрашивается вовсе.
Чем это особенно чувствительно
Это сайт парламента, и утечка касается политически значимых сведений. Адрес страницы, который плагин Facebook передаёт в Meta, показывает, что посетитель находится в разделе сенаторов — то есть Meta получает информацию о том, чьи депутатские страницы и какие парламентские материалы просматривает конкретный пользователь. Для коммерческого сайта это уже спорно; для конституционного органа передача данных о политическом интересе граждан американским соцсетям без согласия — отдельно серьёзный вопрос.
Вывод
Senato.it показывает разрыв между правильной частью и непродуманной. Аналитику Сенат сделал грамотно — собственный Matomo на европейском хостинге, без рекламных третьих сторон. Но социальные плагины Facebook и Twitter отрабатывают на первом контакте и передают данные о визите в Meta и Twitter в США — без согласия и без баннера, хотя сама политика признаёт факт этой передачи. Главное, что должен вынести читатель: даже у парламента сторонние соцплагины оказываются включены по умолчанию и передают сведения о том, что именно гражданин смотрит на сайте Сената, в зарубежные соцсети — притом что согласие на это не запрашивается, а правила требуют блокировать такие плагины до согласия. Достаточно было либо убрать виджеты, либо поставить настоящий баннер с предварительной блокировкой.
96bb4556df0f6894d727c38730d22880fa010d10781780918984f4c5ad0a6c00Куда подавать: Garante — Итальянский гарант защиты данных — garanteprivacy.it
Кому: Garante — Итальянский гарант защиты данных От: [Ваше имя], [контактный email] 1. Предмет жалобы Я подаю жалобу в отношении обработки моих персональных данных сайтом senato.it. 2. Обстоятельства Я посетил сайт senato.it и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 15.06.2026 (открытая методология, воспроизводимые измерения), документирует следующее: 1) В чистом сеансе на первом контакте сайт загружает социальный плагин Facebook «Нравится» и виджет Twitter/X. Плагин Facebook при загрузке передаёт в Meta IP-адрес посетителя и адрес просматриваемой страницы — а в этом адресе видно, что посетитель находится в разделе списка сенаторов. Виджет Twitter обменивается с серверами Twitter идентификатором сессии и логирует показ через свой трекинговый эндпоинт. Оба — сторонние получатели в США. При этом баннера согласия на сайте нет: ни платформы сбора согласия, ни запроса выбора пользователю не предъявляется, а в самой политике слово «согласие» не встречается. Собственная privacy-страница Сената прямо признаёт, что Facebook и Twitter «acquisiscono i dati relativi alla visita» — получают данные о визите, — но никакого механизма согласия под эту передачу не предусмотрено. По правилам Garante сторонние соцплагины должны блокироваться до получения согласия; здесь они отрабатывают сразу. Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/senato-it/ 3. Нарушенные положения Art. 6(1)(a) GDPR — сторонние соцплагины передают данные о визите до согласия, без баннера 4. Требование Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR. 5. Приложения Полная доказательная база — HAR-файл, контрольная сумма SHA-256 и цитата из политики конфиденциальности сайта, документирующая указанное противоречие — опубликована и проверяема по ссылке в пункте 2 выше. [Дата] [Подпись/имя]