Autore Topic: GDPR 2018 - Adeguamento della policy sui cookies - I miei consigli  (Letto 3387 volte)

Offline danielecr

  • Abituale
  • ****
  • Post: 924
    • Mostra profilo
Ciao a tutti,
il GDPR 2018 è alle porte e iniziano a comparire domande su come adeguare le varie policies per essere in regola con la nuova norma.
Qui di seguito ho raccolto un po' di informazioni dalla norma stessa e da avvocati e consulenti.
Dopo la panoramica espongo come ho adeguato il mio sito internet.
Questa discussione è relativa ai soli cookies.
Ripeto che sono informazioni raccolte personalmente e in rete, le affermazioni che seguono possono essere giuste o sbagliate, c'è ancora parecchia confuzione a riguardo.


Generalità

Le persone fisiche possono essere associate ad identificatori online come indirizzi ip o identificatori di cookie o altri identificatori.
Ciò può lasciare tracce che se utilizzate insieme ad altre informazioni possono identificare l'utente.
Se ciò avviene, si stanno trattando dati personali, quindi bisogna adeguarsi al GDPR 2018.

Come adeguarsi?
1- Informare l'utente in via anticipata dell'impiego dei cookies
2- Informare l'utente delle finalità e modalità dell'impiego dei cookies
3- Informare l'utente circa i termini di cancellazione dei cookies
4- Consentire all'utente di attivare o disattivare i cookies in via anticipata
5- Informare l'utente circa i soggetti a cui eventualmente i dati raccolti sono trasferiti

Tipi di cookies:
6- Funzionali, autenticazione e sicurezza non persistenti, che si cancellano al termine della sessione dell'utente: non è necessaria la richiesta del consenso preventivo del visitatore. E' necessario tuttavia menzionarli all'interno della cookie policy, spiegandone la natura.
7- Cookies persistenti di prima parte: occorre la richiesta del consenso preventivo del visitatore.
8- Cookies analitici (non in forma anonima): raccolgono informazioni sui visitatori, quali indirizzi ip, provenienza geografica, sistema operativo, risoluzione dello schermo, pagine visitate, tempo di permanenza, etc.; è necessaria la richiesta preventiva del consenso dell'utente; solitamente il gestore del sito si appoggia a servizi di statistica esterni. Nella cookie policy occorre menzionarli, spiegandone l'utilizzo, menzionando anche i servizi terzi di statistica, con link alla loro cookie policy. Se presente, è buona regola inserire il link di opt-out per i cookies di terze parti.
9- Cookies utilizzati per finalità di marketing: ricadono in questa categoria anche i cookie analitici che sono utilizzati per finalità di marketing e/o profilazione. Occorre ottennere il consenso preventivo dell'utente.

Inoltre:
10- Occorre che l'utente in qualsiasi momento possa cancellare o accettare i cookie.
11- Occorre che ci sia riferimento alla cookie policy in ogni pagina del sito (ad esempio nel footer).


Cosa non fare:
12- Utilizzare un unico consenso per far accettare tutti i cookies: l'utente deve essere in grado di poter attivare o disattivare i cookies a sua scelta (??Non sono molto convinto..in quanto proprietario del sito potrei far accettare tutti i cookies insieme, o farli cancellare tutti quanti).
13- Il consenso implicito non va bene: il consenso va fornito attraverso una chiara azione del visitatore, come click su caselle di valutazione, o preferenze, o specifiche impostazioni.

Operazioni che il gestore del sito deve compiere:
14- Prevedere un box opt-in, con la possibilità dell'utente di cliccare e scegliere quali cookies attivare o disattivare (??anche questo non mi convince, il gestore potrebbe decidere di far accettare o disattivare tutti i cookies).
15- Prevedere un box opt-out, perchè la scelta dell'utente in qualsiasi momento può cambiare, e deve essere in grado di modificare le sue scelte.
16- Offrire una chiara definizione delle categorie dei cookies utilizzati sul sito, se si tratta di cookies di profilazione è necessario descrivere la logica usata, la finalità e i soggetti eventuali a cui i dati raccolti vengono trasferiti e gli effetti sull'utente.
17- Informare l'utente del periodo di permamenza dei cookies.
18- Informare l'utente dell'utilizzo dei cookies funzionali, per le altre tipologie dare la possibilità all'utente di attivarli o disattivarli.
19- Tenere traccia delle scelte dell'utente: il "click" deve essere memorizzato attraverso dei record, che provino che la scelta è stata raccolta


Come mi sono adeguato?
Premettendo che il mio sito è un sito vetrina aziendale, i cookie che vengono impostati sono:
a) cookie del frontend di joomla: il nome del cookie non cambia, è pari a md5(md5('$chiave-segreta-nel-configuration.php' . 'site'))
b) il cookie plg_system_eprivacy: è il cookie del plugin EU eprivacy, che contiene l'informazione che riguarda se il visitatore ha accettato o meno il consenso
c) il cookie sc_is_visitor_unique relativo al servizio analitico StatCounter, che raccogli i dati dei visitatori in forma non anonima (l'indirizzo ip viene registrato)
d) il cookie NID di google.com, in quanto ho un iframe con google maps

Innanzitutto ho installato l'estensione gratuita EU eprivacy plugin di RicheyWeb:
https://www.richeyweb.com/software/joomla/packages/9-eu-e-privacy-directive

Questo plugin, se opportunamente configurato permette di informare il visitatore con link alla cookie policy a qualsiasi pagina del sito internet, con un blocco preventivo di tutti i cookies e, se accettati con un click, permette di cancellarli, sempre con un click e, se cancellati, permette di riconsiderarli, sempre con un click, in qualsiasi momento (punti 1, 4, 10, 11, 13, 15).
Per poter avere il blocco preventivo dei cookies di terze parti occorre ad esempio inglobare il codice di tracking o l'iframe della mappa in moduli separati, e assegnarli a un nuovo gruppo utenti, diverso da Public, che viene impostato anche nel plugin.
Nelle impostazioni è inoltre presente l'opzione di log, che registra in una tabella del database indirizzo ip del visitatore e data dell'accettazione della cookie policy (punto 19).

Nel mio specifico caso, purtroppo questo plugin mi ha dato qualche problema, non riusciva a cancellare i cookies impostati dal mio dominio e ho dovuto agire sul codice; il cuore del discorso è che i cookies si cancellano impostando una data precedente alla data attuale ed essendo su un hosting condiviso si deve specificare il dominio per il quale si vogliono cancellare i cookie.
Ad esempio se voglio cancellare il cookie sc_is_visitor_unique impostato dal dominio www.dominio.com basterà utilizzare il seguente codice:
Codice: [Seleziona]
<?php
setcookie
('sc_is_visitor_unique'''time()-1500,'/''www.dominio.com'0);
?>


Nella cookie policy, che può essere raggiunta da qualsiasi pagina del sito, ho quindi:
a) Definito cosa sono i cookies (punto 2)
b) Quali categorie di cookies esistono (punto 2)
c) Quali delle categorie di cookies il mio sito utilizza, facendo riferimento per i cookie di terze parti ai link delle rispettive cookie policies e se presente riferimento al link di opt-out dei cookies di terze parti (punti 2, 5, 16, 18)
d) Descritto cosa succede se non si accettano i cookies
e) Come disabilitare i cookies per i browser specifici più comuni
f) Descritto quali cookies il mio sito utilizza, con riferimento a nome, tipologia (funzionale, analitico, etc, persitente, non persistente) con relativa durata (punto 17)

Infine, per dare all'utente la possibilità di visionare in ogni momento quali cookies sono impostati sul suo device (cookies di prima parte), mediante il seguente codice, che io ho inserito in uno spoiler nella cookie policy:
Codice: [Seleziona]

<?php
$cookieData 
JFactory::getApplication()->input->cookie->getArray();
if (
$cookieData) {
$names implode', 'array_keys($cookieData));
$counter 0;
foreach(
$cookieData as $value)
  {
     ++
$counter;
  }
$exploded_names explode(", "$names);
for (
$i 0$i <= ($counter-1); $i++)
  {
     echo 
"Nome del cookie: " $exploded_names[$i] ."<br />";
  }
}
else
{
   echo 
"Nessun cookie impostato sul tuo device";    
}
?>


PS: ovviamente non è possibile "cancellare" con php i cookies impostati da terze parti, questo deve farlo il visitatore manualmente, per questo nella cookie policy deve esserci il riferimento generale su come cancellare i cookies e a quali cookies far riferimento.
« Ultima modifica: 23 Apr 2018, 20:09:11 da danielecr »

Offline adottauncane

  • Team Joomla.it
  • Fuori controllo
  • *******
  • Post: 18070
  • Sesso: Femmina
    • Mostra profilo
    • Adotta un cane
Re:GDPR 2018 - Adeguamento della policy sui cookies - I miei consigli
« Risposta #1 il: 21 Apr 2018, 16:41:41 »
WOW!
Grazie mille!

Offline Lina Adrena

  • Nuovo arrivato
  • *
  • Post: 8
    • Mostra profilo
Re:GDPR 2018 - Adeguamento della policy sui cookies - I miei consigli
« Risposta #2 il: 21 Apr 2018, 17:22:07 »
...state attenti ad andare a prendere variabili facilmente manipolabili dall'esterno.... vi trovate in casa ospiti indesiderati

Offline danielecr

  • Abituale
  • ****
  • Post: 924
    • Mostra profilo
Re:GDPR 2018 - Adeguamento della policy sui cookies - I miei consigli
« Risposta #3 il: 21 Apr 2018, 17:31:33 »
Grazie Lina Adrena, ho editato subito il post in quanto codice vulnerabile a XSS.
Meglio togliere lo spoiler con possibilità di visualizzare i cookies installati....
« Ultima modifica: 21 Apr 2018, 17:33:45 da danielecr »

Offline Limma

  • Abituale
  • ****
  • Post: 887
  • Sesso: Maschio
    • Mostra profilo
Re:GDPR 2018 - Adeguamento della policy sui cookies - I miei consigli
« Risposta #4 il: 21 Apr 2018, 17:55:48 »
Ciao a tutti,
il GDPR 2018 è alle porte e iniziano a comparire domande su come adeguare le varie policies per essere in regola con la nuova norma.
Qui di seguito ho raccolto un po' di informazioni dalla norma stessa e da avvocati e consulenti.
Dopo la panoramica espongo come ho adeguato il mio sito internet.
Questa discussione è relativa ai soli cookies.
Ripeto che sono informazioni raccolte personalmente e in rete, le affermazioni che seguono possono essere giuste o sbagliate, c'è ancora parecchia confuzione a riguardo.

Intanto grazie per il tuo prezioso intervento!  :)

Ma ho una domanda banale, se permetti...
Ma le "vecchie" cookie policy sono tutte da buttare? Nel senso che il GDPR coinvolge tutti i siti qualunque tipologia di cookie rilascino?

Offline Lina Adrena

  • Nuovo arrivato
  • *
  • Post: 8
    • Mostra profilo

Offline danielecr

  • Abituale
  • ****
  • Post: 924
    • Mostra profilo
Re:GDPR 2018 - Adeguamento della policy sui cookies - I miei consigli
« Risposta #6 il: 21 Apr 2018, 18:00:34 »
Ciao Limma,
direi di no, non sono da buttare, piuttosto da integrare.

Da quello che ho capito, nel caso tu abbia solo cookies funzionali e non persistenti non sei tenuto a banner e blocchi preventivi, negli altri casi si.

Offline danielecr

  • Abituale
  • ****
  • Post: 924
    • Mostra profilo
Re:GDPR 2018 - Adeguamento della policy sui cookies - I miei consigli
« Risposta #7 il: 21 Apr 2018, 18:01:33 »
@danielecr
Puoi farlo usando Joomla https://api.joomla.org/cms-3/classes/Joomla.Input.Cookie.html

Grazie mille, son stato stupido e frettoloso, fortunatamente hai avvisato poco dopo.
Ci guardo e provo!
Grazie ancora!

Offline Mozartino

  • Appassionato
  • ***
  • Post: 358
    • Mostra profilo
Re:GDPR 2018 - Adeguamento della policy sui cookies - I miei consigli
« Risposta #8 il: 22 Apr 2018, 18:37:01 »
danielecr grazie per aver condiviso la tua esperienza.

Sto provando ad utilizzare il modulo  e vorrei cambiare il testo dall'inglese all'italiano: utilizzando il file
en-GB.plg_system_eprivacy.ini devo creare un nuovo file con la traduzione it-IT.plg_system_eprivacy.ini e poi caricarlo nella cartella Administrator/language/it-IT?

Offline danielecr

  • Abituale
  • ****
  • Post: 924
    • Mostra profilo
Re:GDPR 2018 - Adeguamento della policy sui cookies - I miei consigli
« Risposta #9 il: 22 Apr 2018, 18:38:42 »
Citazione
devo creare un nuovo file con la traduzione it-IT.plg_system_eprivacy.ini e poi caricarlo nella cartella Administrator/language/it-IT?
Si, esatto.
« Ultima modifica: 23 Apr 2018, 09:39:10 da danielecr »

Offline danielecr

  • Abituale
  • ****
  • Post: 924
    • Mostra profilo
Re:GDPR 2018 - Adeguamento della policy sui cookies - I miei consigli
« Risposta #10 il: 23 Apr 2018, 09:34:48 »
@Lina Adrena

Meglio per leggere ed elencare i cookies?Mi sembra non ci sia più pericolo di xss

Codice: [Seleziona]
<?php
$cookieData 
JFactory::getApplication()->input->cookie->getArray();
if (
$cookieData) {
$names implode', 'array_keys($cookieData));
$counter 0;
foreach(
$cookieData as $value)
  {
     ++
$counter;
  }
$exploded_names explode(", "$names);
for (
$i 0$i <= ($counter-1); $i++)
  {
     echo 
"Nome del cookie: " $exploded_names[$i] ."<br />";
  }
}
else
{
   echo 
"Nessun cookie impostato sul tuo device";    
}
?>

« Ultima modifica: 23 Apr 2018, 09:51:12 da danielecr »

Offline Stefano Ulivieri

  • Nuovo arrivato
  • *
  • Post: 20
  • Sesso: Maschio
    • Mostra profilo
Re:GDPR 2018 - Adeguamento della policy sui cookies - I miei consigli
« Risposta #11 il: 23 Apr 2018, 15:10:38 »
Grazie!
E' un articolo molto interessante e utile :)

Offline Lina Adrena

  • Nuovo arrivato
  • *
  • Post: 8
    • Mostra profilo
Re:GDPR 2018 - Adeguamento della policy sui cookies - I miei consigli
« Risposta #12 il: 23 Apr 2018, 19:23:47 »
Meglio per leggere ed elencare i cookies?Mi sembra non ci sia più pericolo di xss
--------------------------------------

...non dovrebbe :)
puoi provare a pasticciare per vedere cosa succede. Ci sono svariati tools di FFox per manipolare gli header

Offline danielecr

  • Abituale
  • ****
  • Post: 924
    • Mostra profilo
Re:GDPR 2018 - Adeguamento della policy sui cookies - I miei consigli
« Risposta #13 il: 23 Apr 2018, 19:42:07 »
Grazie, ho fatto qualche test manipolando i cookies con risultato negativo, proverò ancora a cercare di aggirare.

Offline mirro

  • Esploratore
  • **
  • Post: 87
    • Mostra profilo
Re:GDPR 2018 - Adeguamento della policy sui cookies - I miei consigli
« Risposta #14 il: 25 Apr 2018, 12:54:52 »
Articolo molto interessante.
Ho provato a configurare il plugin inserendo il blocco di TUTTI i cookies, ma secondo me non li blocca tutti... non dovrei riuscire a visualizzare video da youtube, giusto?
Ho visto che si possono anche inserire manualmente i siti da cui provengono i cookies per eventualmente bloccarli, ma youtube non c'è verso di bloccarlo... ho verificato con gli strumenti web di firefox e lo vedo sempre lì....

Offline danielecr

  • Abituale
  • ****
  • Post: 924
    • Mostra profilo
Re:GDPR 2018 - Adeguamento della policy sui cookies - I miei consigli
« Risposta #15 il: 25 Apr 2018, 18:59:42 »
Ti consiglio di guardare il video guida sul sito dello sviluppatore, crea un nuovo gruppo utenti per bloccare cookies di terze parti.

Online tomtomeight

  • Global Moderator
  • Fuori controllo
  • ********
  • Post: 29121
  • Sesso: Maschio
  • Gli automatismi aiutano ma non insegnano nulla.
    • Mostra profilo
    • Xataface Italia
Re:GDPR 2018 - Adeguamento della policy sui cookies - I miei consigli
« Risposta #16 il: 27 Apr 2018, 19:03:56 »
Alcune cose importanti apprese da un mio cliente per i suoi siti, fonte autorevole in quanto fanno anche consulenza aziendale pure per il dgpr.
Al di la dell’organizzazione interna aziendale (vostra, nostra, di clienti, ecc..) é importante che:
-i server con i dati siano nella UE;
-i dati di accesso siano crittografati;
-l’autorizzazione ai cookie deve essere di 3 tipi:
•         cookie tecnici per il funzionamento del sito,
•         cookie analitici / statistici
•         cookie di profilazione dell’utente
NEWS DataGrill Xataface Installer (Ver. 1.0.1) per Joomla 3.8.x - DEMO Gestione Magazzino

Offline danielecr

  • Abituale
  • ****
  • Post: 924
    • Mostra profilo
Re:GDPR 2018 - Adeguamento della policy sui cookies - I miei consigli
« Risposta #17 il: 27 Apr 2018, 21:22:43 »
Ciao tomtomeight, secondo te, riguardo l'ultimo punto, il visitatore dovrebbe avere anche la possibilità di attivare/disattivare i cookies a sua scelta?O in altre parole, il visitatore dovrebbe ad esempio essere in grado di attivare un cookie analitico e disattivare un cookie di profilazione?
L'ho letto in rete ma è una cosa che non concepisco..non può il gestore decidere di ottenere il consenso dei cookies in blocco, ovviamente spiegando e definendo quali cookies si vanno impostare?
Sembra quasi che il visitatore abbia più poteri del gestore sui contenuti del gestore!
Dato che ho il blocco preventivo, il visitatore se non vuole i cookies può tenersi il banner per tutto il tempo che naviga!
« Ultima modifica: 27 Apr 2018, 21:29:49 da danielecr »

Online tomtomeight

  • Global Moderator
  • Fuori controllo
  • ********
  • Post: 29121
  • Sesso: Maschio
  • Gli automatismi aiutano ma non insegnano nulla.
    • Mostra profilo
    • Xataface Italia
Re:GDPR 2018 - Adeguamento della policy sui cookies - I miei consigli
« Risposta #18 il: 27 Apr 2018, 21:59:35 »
Sembra che la accettazione debba essere selettiva e non complessiva, per quelli tecnici ed anche per quello del cookie stesso basta la sola dichiarazione senza blocchi preventivi.
NEWS DataGrill Xataface Installer (Ver. 1.0.1) per Joomla 3.8.x - DEMO Gestione Magazzino

Online tomtomeight

  • Global Moderator
  • Fuori controllo
  • ********
  • Post: 29121
  • Sesso: Maschio
  • Gli automatismi aiutano ma non insegnano nulla.
    • Mostra profilo
    • Xataface Italia
Re:GDPR 2018 - Adeguamento della policy sui cookies - I miei consigli
« Risposta #19 il: 27 Apr 2018, 22:07:25 »
Accettarli in blocco sarebbe una forzatura, per esempio obbligarmi ad accettare di essere profilato da terzi per usufruire di una risorsa che non c'entra col servizio che sto utilizzando. Per capire meglio sarebbe come essere obbligato a fare una polizza infortuni per poter avere un prestito in banca. O situazioni simili. In definitiva devo essere libero di accettare solo quello che serve per utilizzare un servizio o un contenuto e non tutto il pacchetto.
NEWS DataGrill Xataface Installer (Ver. 1.0.1) per Joomla 3.8.x - DEMO Gestione Magazzino

 

Torna su