Autore Topic: EU Cookie Law, cos'è e cosa comporta? (Letto 33266 volte)

Murphz · « **il:** 14 Giu 2012, 16:51:53 »

Una breve ma dettagliata spiegazione della legge europea sui cookies che sta interessando il web. Alcune informazioni per chi gestisce un sito web (con o senza Joomla) e non sa come muoversi.

Link all'articolo: http://www.joomla.it/articoli-community-16-e-17-tab/5598-eu-cookie-law-cose-e-cosa-comporta.html

alexred · « **Risposta #1 il:** 15 Giu 2012, 08:19:43 »

ciao Murphz,
grazie per il tuo articolo e per la tua ricerca di informazioni.
Ho trovato stamani questo riferimento:
http://www.h-online.com/security/news/item/EU-group-gives-extra-advice-on-cookies-1617656.html
Dove in questo pdf: http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2012/wp194_en.pdf
si fa riferimento a due criteri:

Citazione

Article 5.3 allows cookies to be exempted from the requirement of informed consent, if they
satisfy one of the following criteria:
CRITERION A: the cookie is used “for the sole purpose of carrying out the transmission of a
communication over an electronic communications network”.
CRITERION B: the cookie is “strictly necessary in order for the provider of an information
society service explicitly requested by the subscriber or user to provide the service”.

stefano.fenati · « **Risposta #2 il:** 15 Giu 2012, 10:56:31 »

grazie Murphz, un intervento veramente gradito ed interessante.

Ho fatto un po di verifiche con firebug su una installazione "pulita" di joomla, cioè senza aggiunta di estensioni.

Prima della login, i cookies contengono dati con scadenza al termine della sessione e della lingua (con scadenza il giorno successivo); i cookies sono comunque tutti del sito (se ho capito bene di tipo sessione o first party). La navigazione del sito non viene compromessa se il client non accetta cookies.

Al momento della login, tuttavia, i cookies devono essere attivati.
Anche in questo caso mi sembrano comunque cookies session o first party, e comunque cliccare il pulsante login significa accedere consapevolmente ad uno specifico servizio.

Concludendo, mi sembra che joomla non dovrebbe avere problemi di sorta con questa normativa.
Un discorso a parte va fatto per le estensioni, da valutare singolarmente.
Concordi?

andresb · « **Risposta #3 il:** 15 Giu 2012, 10:59:33 »

sinceramente mi sembra una legge assurda, nei suoi risvolti pratici...
Tutti i siti dinamici usano cookies.
Io ho sempre evitato pasticci come popup o pubblicità invasiva per mantenere un layout pulito e per favorire la massima facilità nella fruizione dei contenuti, e ora dovrei pasticciare il sito con popup o finestrelle che, visto anche l'argomento, finiranno per spaventare metà degli utenti...

Per il momento non metto assolutamente nulla, vedremo.

tonicopi · « **Risposta #4 il:** 15 Giu 2012, 11:31:52 »

Grazie dell'ottimo articolo Murphz

Però credo che sia inapplicabile a meno di rendere la navigazione una via crucis per gli utenti che praticamente in ogni dove dovranno continuare a cliccare consensi nelle forme più svariate. Poi si inseriranno i furbi che ti faranno accettare altro, e molti utenti assuefatti al clic del consenso ai cookies accetteranno.
Pazzesco...

simbus82 · « **Risposta #5 il:** 15 Giu 2012, 14:43:20 »

Opposizione completa unita e totale. L'OPT-IN è ridicolo, servirebbe ad ogni accesso di ogni sito.

Nessuno deve applicarlo se si vuole che questa ennesima cavolata europea diventi "seria".

Mettete nel footer un bel "L'accesso al sito prevede l'uso di cookies, se indesiderato lasciare il sito".
TOH!

iLorenz · « **Risposta #6 il:** 15 Giu 2012, 15:04:18 »

Grazie Murphz,

avevo sentito parlare dell'argomento ma non me ne ero interessato. A prescindere del tutto. "Questi" con i colletti bianchi non hanno proprio un beato xxxx da fare.

Come dicevano tonicopi e andresb, non è pensabile orientarsi in questa direzione. Fino a che, uno lascia i suoi dati ha un senso. Ma i dati di navigazione della web analytics per esempio, non violano assolutamente la privacy. Sapere quante persone arrivano sul sito e altri interessanti dati non violano i diritti dell'utente.

Legge ammazza blog, giveaway e compagnia bella. Ed ora questa. Non ci siamo proprio.
Governati da vecchi incompetenti e ladri.

Che delusione.

Però a vedere il positivo, se dovremo mettere pop up e xxxx mazzi sarà del nuovo lavoro per noi.

Murphz · « **Risposta #7 il:** 15 Giu 2012, 15:50:32 »

Citazione da: alexred - 15 Giu 2012, 08:19:43

si fa riferimento a due criteri:
Article 5.3 allows cookies to be exempted from the requirement of informed consent, if they[/size]satisfy one of the following criteria:CRITERION A: the cookie is used “for the sole purpose of carrying out the transmission of acommunication over an electronic communications network”.CRITERION B: the cookie is “strictly necessary in order for the provider of an informationsociety service explicitly requested by the subscriber or user to provide the service”.

Come scritto nell'articolo infatti, tutti i cookie strettamente necessari a una esplicita richiesta utente sono esenti dall'ottenere un consenso. Nel caso del criterio A indicherebbe che non c'è obbligo di consenso se la comunicazione è impossibile senza l'uso di cookie (secondo regole specifiche).

Hai fatto bene a segnalare le opionioni dell'Article 29 Working Party (WP29), le trovo ottime. Seguirò l'argomento cookie per inserire sempre novità!

Citazione da: stefano.fenati - 15 Giu 2012, 10:56:31

Al momento della login, tuttavia, i cookies devono essere attivati.
Anche in questo caso mi sembrano comunque cookies session o first party, e comunque cliccare il pulsante login significa accedere consapevolmente ad uno specifico servizio.

Concludendo, mi sembra che joomla non dovrebbe avere problemi di sorta con questa normativa.
Un discorso a parte va fatto per le estensioni, da valutare singolarmente.
Concordi?

Un installazione di joomla normale con un login direi di no. Valuta bene le estensioni, il mio consiglio è di rinnovare la pagina privacy (modificandola in privacy & cookies magari) con le nuove direttive e inserire un elenco di tutti i cookie per tipo, utilizzati nel sito. Questo nel caso di piccoli siti o semplici blog, per tutti gli altri direi che conviene rispettare la normativa nel modo che preferiscono.

Citazione da: tonicopi - 15 Giu 2012, 11:31:52

Poi si inseriranno i furbi che ti faranno accettare altro, e molti utenti assuefatti al clic del consenso ai cookies accetteranno.

E' quello che ho pensato anche io, son proprio curioso di vedere come ci mangian su i soliti furbi. Ad ogni modo esistono molti siti che te lo chiedono una volta sola (anche in modo permanente), guarda il sito [size=78%]http://nocookielaw.com/[/size], trovo ottimo come sia stato fatto il consenso (ne esistono moltissimi altri esempi).

Citazione da: simbus82 - 15 Giu 2012, 14:43:20

Nessuno deve applicarlo se si vuole che questa ennesima cavolata europea diventi "seria".

Il fatto è, che è una legge del 2009

approvata nel 2011 in molti paesi UE e nel 2012 in moltissimi altri (l'Italia la ha approvata il 31 maggio, con 5 giorni di ritardo sull'ultima scadenza...altri avranno sanzioni per non averla ancora approvata). Se la non applicazione fosse virale, e magari di qualche anno fa, qualcosa si sarebbe ottenuto...allo stato attuale direi che non ci si può fare niente se non giocare sulla legge, che è confusa e poco precisa.

Citazione da: iLorenz - 15 Giu 2012, 15:04:18

Ma i dati di navigazione della web analytics per esempio, non violano assolutamente la privacy. Sapere quante persone arrivano sul sito e altri interessanti dati non violano i diritti dell'utente.

Legge ammazza blog, giveaway e compagnia bella. Ed ora questa. Non ci siamo proprio.
Governati da vecchi incompetenti e ladri.

Bhè, a mio parere i dati di navigazione per l'analisi sono più utili a pubblicitari rompiballe che ad altri e questo, spesso, in internet va ad essere contro la privacy. In sè la legge ha chiarito una cosa giusta, la "profilazione utente e la diminuzione della privacy stanno avendo dimensioni incontrollabili e nello stesso tempo gli utenti non ne hanno la minima idea"...ma chi ha fatto sta cosa ha preferito attaccare tutti che colpire con precisione ed è totalmente sbagliato.

I più colpiti saranno ecommerce e aziende medio-grandi che dovranno stare molto attenti e fare in modo di non spaventare gli utenti. Per tutto il resto: mettete un avviso cookie, rinnovate la pagina privacy o inserite un estensione di joomla se volete, niente panico (per il momento

).

linuxpac · « **Risposta #8 il:** 16 Giu 2012, 15:28:56 »

Nonostante gli strumenti di cui si può disporre per Joomla! (personalmente ho già sperimentato questo componente gratuito, il cui autore mette anche in guardia da alcuni che stanno proponendo estensioni a pagamento che non fanno quel che promettono), penso che - di fatto - questa direttiva sia difficilmente applicabile, oltre che stupida.
Personalmente mi sto "attrezzando" come posso, ma credo che metterò in pratica gli obblighi di legge non prima di aver visto la nostra "macchina" statale e quella europea dare l'esempio in svariati siti internet che gestiscono e che, in certi casi, abbondano di cookie generati anche da entità esterne, senza mostrare il benché minimo avviso coerente con la direttiva di cui stiamo parlando.
Mi scoccia infatti non poco rompere le scatole ai visitatori dei siti che realizzo con finestrine o inserti di vario tipo che finirebbero per disorientarli e scoraggiarli.

P.S. - Qualcuno conosce per caso qualche sito italiano famoso che stia già applicando questa normativa?

iLorenz · « **Risposta #9 il:** 16 Giu 2012, 18:06:09 »

Sì LinuxPac,
hai ragione. La maggiore parte dei siti governativi ed istituzionali sono siti vecchi di dieci anni fa o come dici tu pieno di cose che nemmeno loro sanno di avere come per esempio cookies da terze parti. Queste legge sono vergognose e senza senso di logica e fattibilità fatte da chi, il web non lo conosce affatto.
Ma senz'altro come dici tu e questo post, dovremo iniziare ad attrezzarci.

Murphz · « **Risposta #10 il:** 16 Giu 2012, 19:52:58 »

L'Italia ha approvato la legge il 31 maggio 2012, l'ultima data di scadenza per approvarla era il 25 maggio per non rischiare sanzioni (altri paesi devono ancora approvarla). Per quanto non penso abbia ricevuto sanzioni è chiaro che non si è ancora pronti (anche se bisognerebbe esserlo

), nè siti istituzionali nè nessun altro sito, a quanto ne so, ha ancora inserito queste modifiche.

Chiaramente quindi c'è ancora molto tempo, prima di sparare scelte di cookies gli utenti italiani dovranno capire cos'è questa legge e vederne il funzionamento altrimenti molte persone strizzerebbero gli occhi alla visione di popup o avvisi, a parer mio. Per il momento l'unico paese che è a norma di legge (pochi siti istituzionali e altri) è l'UK, guarda caso chi ha "creato" ste modifiche

stefano.fenati · « **Risposta #11 il:** 18 Giu 2012, 08:34:18 »

Una domanda mi viene spontanea:
per saper che un utente non ha accettato di ricevere i cookies, devo utilizzare un cookie ...

Murphz · « **Risposta #12 il:** 18 Giu 2012, 16:52:16 »

No, altrimenti non avrebbe senso l'intera legge direi

Il funzionamento dei codici/estensioni o quant'altro che c'è in giro è più o meno questo:

- Se il cookie esiste continua ad usarlo (ma dai la possibilità di bloccarlo)
- Se non esiste chiedo il permesso ecc ecc.

- Prima di inserire il codice ga o i vari social controlla se l'utente ha dato il permesso.

Con javascript non hai nessun problema a farlo (ti serve una lista dei cookies del tuo sito ovviamente).

Da quel che vedo in internet si sta affermando sempre di più la semplice informazione che il sito utilizza cookies senza popup o richieste esplicite da parte dell'utente. Direi che è un ottimo compromesso, come avevo consigliato tempo fa sull'articolo e sulle risposte qui.

bsaett · « **Risposta #13 il:** 18 Giu 2012, 17:14:16 »

Salve a tutti, a me pare che la normativa sia piuttosto chiara nel suo scopo, cioè la tutela dei dati personali degli utenti. Se vado in un luogo dove sono presenti telecamere di videosorveglianza, la legge impone che io sia informato della loro presenza (quindi non sia controllato a mia insaputa). Il concetto è il medesimo per i cookie. La quasi totalità degli internauti credo non sappia nemmeno cosa sono i cookie, se vengono usati da siti e per quali motivi. Il concetto è quindi semplice, prima di tutto avvertire i visitatori della presenza dei cookie e di cosa fanno (come per le telecamere), e poi richiedere il consenso per i soli cookie invasivi (quelli dei social, quelli di analisi del web, tutto ciò che porta alla raccolta dei dati di navigazione e alla profilazione degli utenti). Non è consentito usare cookie ad insaputa degli utenti, quindi, e solo quelli che vengono utilizzati per la profilazione dell'utente sono soggetti al consenso.
Comunque le regole dovranno essere specificate dalle autorità per le garanzie dei singoli Stati (Garante privacy per l'Italia), come già fatto in UK (dove ilgarante ha definito quali cookie sono soggetti a consenso).

Detto ciò, volevo chiedere quanto segue. L'impressione mia, dando un occhio ai moduli già realizzati per Joomla, è che questi blocchino tutti i cookie. Chiedevo quindi se vi risulta una qualche estensione che differenzia tra i cookie come vuole la normativa.

PS avvertire gli utenti che il sito usa cookie e quindi chi non vuole i cookie può evitare quel sito non è conforme alla legge, perchè alla visita i cookie sono già stati inviati. E questo che non è permesso.

Murphz · « **Risposta #14 il:** 18 Giu 2012, 17:54:03 »

Lo scopo della normativa è impedire l'aumento delle profilazioni utente incontrollate (non a caso sono i cookie di terze parti ad essere maggiormente interessanti). La tua spiegazione è corretta senza dubbio, non a caso nei luoghi con telecamere ci sono informazioni...un po' quello che c'è nelle pagine di privacy & cookies (presenti in quasi la totalità dei siti) e che nessuno ha mai letto.

Direi che l'unico modo per differenziare i cookie è usare alcuni script jquery presenti nel web che data una certa lista di cookie li bloccano ecc ecc lasciando altri liberi.

Per risponderti, il 90% dei siti web in europa non è conforme ancora oggi...ma è comunemente accettato anche la sola informazione, come fa il sito della bbc [size=78%]http://www.bbc.co.uk/[/size]. C'è una semplice informazione "questo sito usa cookies (stranamente) se ti va rimani altrimenti setta le impostazioni come preferisci".

Al momento non è nè giusto nè sbagliato (ma ripeto, è comunemente accettato), a parer mio è meglio prima informare gli utenti e poi dargli la possibilità di scelta...che senso ha fare le cavie per questa legge quando neanche un solo sito governativo italiano è stato modificato?

bsaett · « **Risposta #15 il:** 18 Giu 2012, 18:36:52 »

Comunque la normativa sarà modificata ulteriormente proprio per chiarire la situazione. La proposta di Regolamento privacy della Commissione europea dice al considerando 25 (art. 4 n. 8 ) in materia di marcatori: "Il consenso dovrebbe essere prestato esplicitamente con qualsiasi modalità appropriata che permetta all'interessato di manifestare una volontà libera, specifica e informata, mediante dichiarazione o azione positiva inequivocabile da cui si evinca che consapevolmente acconsente al trattamento dei suoi dati personali, anche selezionando un'apposita casella in un sito Internet o con altra dichiarazione o comportamento che indichi chiaramente in questo contesto che accetta il trattamento proposto. Non dovrebbe pertanto configurare consenso il consenso tacito o passivo".

Murphz · « **Risposta #16 il:** 18 Giu 2012, 19:07:48 »

Hai fatto bene a segnalarlo bsaett, c'è scritto anche nell'articolo che deve esserci il consenso esplicito per essere a norma di legge e su questo ci siamo tutti...ora, è la sua applicazione pratica che va analizzata.

Se io ho un ecommerce e dal giorno alla notte comincio a far spuntare segnali di fantomatici cookie, google analytics, social share, session cookie, privacy e tanto altro almeno la metà dei clienti in preda a paranoia setterebbe tutto a no, lasciandomi con cosa in mano?

Il mio è un consiglio pratico (ovviamente per chi può permetterselo, grandi aziende e fornitori di servizi pubblicitari ecc ecc dovranno darsi una mossa magari), finchè la normativa non prende piede: far capire ai clienti/visitatori cosa sono i cookie, come è cambiata la legge, come e quali disabilitare e perchè farlo ecc ecc...La legge è legge, ma siamo in una specie di limbo ora

ps: per l'esempio dell'ecommerce guarda come amazon (escluso il .co.uk che ha inserito una nota fantasma in qualche angolo del sito) non abbia mosso un dito per tutto questo...e personalmente sono anche d'accordo con loro, per il momento.

opsosa · « **Risposta #17 il:** 20 Giu 2012, 15:48:20 »

Ciao, ho installato il plugin che ho trovato all'interno dei commenti:
http://extensions.joomla.org/extensions/site-management/browsers-a-web-standards/21043

cosa dite è valido?
in pratica avvisa gli utenti che si accettano i cookie per visitare il sito (anche se non dice quali).....
come si fa a sapere quali cookie si hanno abilitati nel proprio sito?
grazie a tutti

bsaett · « **Risposta #18 il:** 20 Giu 2012, 15:59:09 »

Usa questo servizio in versione trial. C'è l'opzione per controllare la conformità alla normativa UE. Li ti dice anche quali cookie usa una pagina web: sitebeam.net

Murphz · « **Risposta #19 il:** 20 Giu 2012, 18:21:00 »

Citazione da: opsosa - 20 Giu 2012, 15:48:20

come si fa a sapere quali cookie si hanno abilitati nel proprio sito?
grazie a tutti

All'interno della guida c'è scritto. Utilizza firebug con l'estension firecookies per trovare tutti i cookies impostati dal tuo sito all'accesso.

Utilizzo anche io sitebeam, è ottimo! Però se non hai voglia di aspettare report o registrati ti consiglio firebug...