Технический аудит · 2026-06-15

tigem.it

Научный институт генетики и медицины

TIGEM (Институт генетики и медицины Телетон; контролёр данных — Fondazione Telethon, Рим) — научный институт в Поццуоли под Неаполем. Замер главной страницы: 71 обращение, 5 доменов. Тяжёлого рекламного слоя здесь нет, но есть две сцепленные проблемы. Первая: на сайте вообще нет баннера согласия, хотя собственные политики TIGEM прямо требуют согласия при открытии сайта для сторонних cookie и аналитики. Вторая: при этом на первом визите без всякого согласия грузится социальный виджет Twitter/X (с обменом идентификатором сессии) и аналитика Cloudflare Insights — оба сторонние, оба в США. Плюс расхождение документов с реальностью: политики называют YouTube, Google Maps, Google Analytics и соцплагины Facebook/LinkedIn, но ни один из них не сработал, а реально работающие Twitter и Cloudflare нигде не упомянуты.

Хронология утечки

461 мс · иконочный шрифт с CDN в США

Загружается иконочный шрифт Font Awesome со стороннего американского CDN. Статический ресурс, cookie не ставит, но IP посетителя уходит в США.

472 мс · скрипт виджета Twitter/X

Загружается скрипт социального виджета Twitter/X. Это сторонний сервис социальной сети, и его подключение происходит на первом контакте, без какого-либо согласия.

474 мс · аналитика Cloudflare Insights

Подключается аналитика Cloudflare Insights и отправляет аналитический запрос. Сторонний получатель в США, обращение до согласия.

1349–1420 мс · виджет Twitter обменивается данными

Догружается рамка виджета Twitter, после чего на сервер Twitter уходит запрос с идентификатором сессии. То есть виджет не просто отрисован — он обменялся с Twitter данными, по-прежнему без согласия.

Декларация против факта

+ Twitter / X — не заявлен

+ Cloudflare Insights — не заявлен

+ Font Awesome — не заявлен

Зафиксированные трекеры

Twitter / X
Cloudflare Insights
Font Awesome

Зафиксированные нарушения

Art. 6(1)(a) GDPR — сторонние трекеры срабатывают до согласия, а механизма согласия нет вовсе

В чистом сеансе на первом контакте сайт загружает социальный виджет Twitter/X и при этом обменивается с серверами Twitter идентификатором сессии, а также отправляет аналитический запрос в Cloudflare Insights. Оба — сторонние получатели в США. При этом баннера согласия на сайте нет вообще: ни платформы сбора согласия, ни запроса на выбор пользователю не предъявляется. Это прямо противоречит собственным документам площадки: и privacy-политика, и cookie-политика TIGEM дословно указывают, что для сторонних cookie и аналитики правовое основание — согласие, собираемое при открытии сайта. То есть согласие, которое сама площадка объявляет обязательным, технически не запрашивается, а сторонние сервисы отрабатывают без него.
Art. 13(1)(e) GDPR — фактические сторонние получатели в политике не названы

Cookie-политика перечисляет сторонние сервисы YouTube, Google Maps и Google Analytics (последний — как «будущее внедрение»), а privacy-политика упоминает соцплагины Facebook, Google и Microsoft (LinkedIn). Однако ни один из этих сервисов на главной странице не сработал. Реально отрабатывают Twitter/X, Cloudflare Insights и сторонний шрифтовой CDN Font Awesome — и ни один из них в документах не назван. Получается зеркальное расхождение: названо то, чего нет, и не названо то, что есть. Документы при этом датированы 2019 годом (privacy) и несут следы недонастроенного шаблона (cookie), то есть рассинхронены с фактическим устройством сайта.

Контекст

www.tigem.it — сайт TIGEM (Telethon Institute of Genetics and Medicine), научного института генетики и медицины в Поццуоли под Неаполем. Контролёр данных — Fondazione Telethon (Рим, Via Varese 16/B). Сайт информационный: о структуре института, исследованиях, публикациях и обучении; платный доступ или регистрация на главной не требуются.

Замер: 71 обращение к 5 доменам, главная страница, снят на чистом браузере Edge без VPN и блокировщика. Сайт работает на Plone за Cloudflare. Тяжёлого рекламно-аналитического слоя нет, но сторонние сервисы на первом визите присутствуют — и согласия под них не собирается.

Кто получает данные

Тут были замечены: Twitter / X, Cloudflare.

Twitter/X — социальный виджет, который при загрузке обменивается с Twitter идентификатором сессии (то есть сторонняя соцсеть получает данные о визите). Cloudflare Insights — сторонняя веб-аналитика Cloudflare, отправляющая аналитический запрос. Оба сервиса размещены в США. Отдельно загружается иконочный шрифт Font Awesome с американского CDN — он cookie не ставит, но IP туда передаёт.

Был ли баннер согласия

Нет. И это здесь — самостоятельная проблема, а не оговорка. На сайте не обнаружено ни платформы сбора согласия, ни cookie-баннера: пользователю вообще не предъявляется выбор. При этом и privacy-политика, и cookie-политика TIGEM прямо пишут, что для сторонних cookie и аналитики правовое основание — согласие, собираемое при открытии сайта.

Получается, что площадка сама объявляет согласие обязательным, но технически его не запрашивает — а сторонние сервисы (Twitter, Cloudflare) тем временем отрабатывают на первом контакте. Любое срабатывание здесь по определению происходит «до согласия», потому что собрать его попросту негде.

Что срабатывает до согласия

На первом визите, без какого-либо выбора пользователя, отрабатывают:

социальный виджет Twitter/X — с обменом идентификатором сессии с серверами Twitter;
сторонняя аналитика Cloudflare Insights;
загрузка иконочного шрифта с американского CDN Font Awesome.

Социальный виджет — ключевой пункт. Под устоявшейся практикой соцплагин, передающий данные о визите в соцсеть при загрузке страницы, требует предварительного согласия; здесь оно не запрашивается вовсе.

Расхождение документов с реальностью

Вторая нестыковка — зеркальная. Политики TIGEM называют сторонними сервисами YouTube, Google Maps, Google Analytics (причём как «будущее внедрение») и соцплагины Facebook, Google, Microsoft (LinkedIn). Но в замере не сработал ни один из них. Реально работают Twitter/X, Cloudflare Insights и Font Awesome — и ни один не упомянут ни в одном из документов. Документы датированы 2019 годом и несут следы недонастроенного шаблона, то есть описывают не тот сайт, что работает сейчас. Для читателя это наглядно: политика, оторванная от фактического устройства сайта, не выполняет своей функции — она информирует не о тех получателях.

Вывод

TIGEM — случай, где проблема не в обилии трекеров, а в отсутствии самого механизма согласия при наличии сторонних получателей. На первом визите без всякого выбора пользователя социальный виджет Twitter/X обменивается с соцсетью идентификатором сессии, а Cloudflare Insights шлёт аналитику — притом что собственные политики института прямо требуют для этого согласия, собираемого при открытии сайта. Баннера же нет вовсе. Вдобавок документы перечисляют одних сторонних получателей, а работают совсем другие. Главное, что должен вынести читатель: формальное наличие политики, обещающей согласие, ничего не значит, если согласие технически не запрашивается, а названные в документе получатели не совпадают с теми, кто реально получает данные. Проверяется это только сетевым замером — и здесь он показывает разрыв между обещанным и происходящим..

Доказательство

Оригинал (разбор)

HAR-файл: it/tigem-it-2026-06-15.har

SHA-256: 5be2d2f8547913ae884a7f771c59f2bf274cc09989ccb1889b97149163e94605

Контрольный снимок

Ждём изменений

HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.

Готовое письмо для подачи жалобы

Куда подавать: Garante — Итальянский гарант защиты данных — garanteprivacy.it

Кому: Garante — Итальянский гарант защиты данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом tigem.it.

2. Обстоятельства
Я посетил сайт tigem.it и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 15.06.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) В чистом сеансе на первом контакте сайт загружает социальный виджет Twitter/X и при этом обменивается с серверами Twitter идентификатором сессии, а также отправляет аналитический запрос в Cloudflare Insights. Оба — сторонние получатели в США. При этом баннера согласия на сайте нет вообще: ни платформы сбора согласия, ни запроса на выбор пользователю не предъявляется. Это прямо противоречит собственным документам площадки: и privacy-политика, и cookie-политика TIGEM дословно указывают, что для сторонних cookie и аналитики правовое основание — согласие, собираемое при открытии сайта. То есть согласие, которое сама площадка объявляет обязательным, технически не запрашивается, а сторонние сервисы отрабатывают без него.

2) Cookie-политика перечисляет сторонние сервисы YouTube, Google Maps и Google Analytics (последний — как «будущее внедрение»), а privacy-политика упоминает соцплагины Facebook, Google и Microsoft (LinkedIn). Однако ни один из этих сервисов на главной странице не сработал. Реально отрабатывают Twitter/X, Cloudflare Insights и сторонний шрифтовой CDN Font Awesome — и ни один из них в документах не назван. Получается зеркальное расхождение: названо то, чего нет, и не названо то, что есть. Документы при этом датированы 2019 годом (privacy) и несут следы недонастроенного шаблона (cookie), то есть рассинхронены с фактическим устройством сайта.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/tigem-it/

3. Нарушенные положения
Art. 6(1)(a) GDPR — сторонние трекеры срабатывают до согласия, а механизма согласия нет вовсе; Art. 13(1)(e) GDPR — фактические сторонние получатели в политике не названы

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата]                                    [Подпись/имя]