Legge sui cookie e Joomla!

[miao]

Sono alla follia pura senza controllo  
Si stanno arrampicando sugli specchi  ...  perchè sanno che non è fattibile tecnicamente.
La legge sui cookie interagisce ( o almeno dovrebbe) con la legge sulla privacy....Dove tu DEVI dare un consenso preventivo.


Cmq ...è bene  solo perchè cosi l'utente medio è consapevole .............
Ma non era meglio obbligare Chrome- safari explorer ...i browser a far ciò per tutti noi!!!

[Daniele Pinna]

Cmq ...è bene  solo perchè cosi l'utente medio è consapevole

Scusa ma temo che sei in errore e che l'utente medio NON è assolutamente consapevole.

Ho appena passato mezzore al telefono con un utente medio che, non sapendo come fare e non volendo nemmeno leggere l'informativa breve, non sta cliccando su [OK] su nessun sito che visita, e si chiede come mai in ogni sito compare questo banner.

E tieni presente che questo utente è stato anche da me informato, credo il mese scorso, riguardo l'informativa da mettere nel suo sitarello per il fatto di usare i cookie di Google Analytics (sto cercando di convincerlo a rifare il sito, ma sono anni che rimanda :-( )

[Jegger]

Ma nell'ufficio del garante fanno un corso apposito per scrivere in modo complicato o poco comprensibile?

Ciao Daniele e ciao a tutti. Anch'io ero caduto nella trappola delle FAQ e dei chiarimenti malamente scritti.
Poi ho letto la normativa che trovate qui e penso che il punto 2 sia sufficientemente chiaro nel voler sollevare la "prima parte" dal raccogliere i consensi per i cookie delle terze parti.

[tomtomeight]

La legge sui cookie interagisce ( o almeno dovrebbe) con la legge sulla privacy....Dove tu DEVI dare un consenso preventivo.

Ma che dici il consenso preventivo per la privacy, si deve solo quando si conferiscono dati non quando si apre un sito o si naviga. Al di la delle solite difficoltà a capire ed interpretare a proprio modo, credo che l'ultimo chiarimento che ha citato alex sia perfettamente chiaro e comprensibile e che tolga ogni dubbio in merito, altrimenti dovrò lasciare ancora per molto tempo la massima che ho in firma 

Parlare è una capacità di molti, ascoltare è una virtù di pochi e non capire un ca...o è una dote di tanti.

[mmleoni]

@tomtomeight
secondo me chiarisce che il consenso preventivo deve essere acquisito, con le modalità lì indicate, ma deve essere acquisito prima di installare i cookies di profilazione, siano essi del sito o di terze parti.

la presenza del banner, che genera l'evento idoneo a rendere il consenso documentabile

ergo: prima il consenso e poi i cookie. guardate la le legge base, niente qui la contraddice.
comunque questa sta diventando una discussione inutile, quindi io me ne chiamo fuori, e resto della mia idea.

ciao a tutti,
marco

[miao]

quoto mmeloni


Già....  Mi dici che posso non accettare  ma nel frattempo me li hai già installati
No non  mi sta bene e non rispecchia / rispetta la legge sulla privacy  imho


Ripeto secondo me non  sanno più che pesci pigliare
sempre imho
 
 

[alexred]

alcuni siti del mondo che stranamente non hanno ancora recepito la normativa del garante italiano:

swisscom.ch
You***.com
joomla.org
adobe.com
qq.com
souq.com
nicovideo.jp
sohu.com
Mail.ru
whitehouse.gov

veicolano cookie di terze parti e non hanno il banner dell'informativa breve.

Credo che dovremo organizzare una colletta per gestire le varie segnalazioni da fare in merito al garante

[Daniele Pinna]

@alexred

Ho notato che parlando di Analytics e simili, quindi cookie di terze parti per tracciare le visite del sito, non fai riferimento alla necessità di rendere anonimo il tracciamento; quoto una parte del "chiarimento" del garante:
http://garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/4006878

• Se i cookie analitici sono messi a disposizione da terze parti i titolari non sono soggetti ad obblighi (notificazione al Garante in primis) qualora:
 A) siano adottati strumenti che riducono il potere identificativo dei cookie (ad esempio tramite il mascheramento di porzioni significative dell'IP);
 B) la terza parte si impegna a non incrociare  le informazioni contenute nei cookies con altre di cui già dispone.

[tomtomeight]

Ho notato che parlando di Analytics e simili, quindi cookie di terze parti per tracciare le visite del sito, non fai riferimento alla necessità di rendere anonimo il tracciamento; quoto una parte del "chiarimento" del garante:

In merito a questo aspetto io, anche per altri motivo mi sto gestendo in proprio le statistiche, uso piwik che per certi aspetti è anche migliore di Google analytics, rispetta appieno la privacy anonimizzando gli ip e permette di scegliere l'output che metto disponibile nella cookie privacy. Mi son chiesto perché regalare a Google informazioni riguardante le visite nei miei siti (leggi siti miei e dei miei clienti) che vantaggi si ottengono in più?

[alexred]

ciao Daniele Pinna,
se hai letto bene l'articolo io consiglio di non fare mai la distinzione fra cookie di terze parti tecnici o cookie di terze parti di profilazione.
Si, puoi far rendere il cookie di Analytics o Youtube da profilazione a tecnici ed evitare di mettere così l'informativa breve, ma si entra in un ambito molto delicato e di difficile applicazione per l'utenza che utilizza Joomla.
Io consiglio sempre di mettere il banner con l'informativa breve se siamo in presenza di cookie di terze parti, così da non dover ogni giorno controllare se questi siano ancora solo tecnici e non siano divenuti di profilazione ecc...  non avendo alcun controllo su questi cookie ed essendo spesso gestiti da grandi aziende estere che sulla profilazione e la pubblicità ci campano e ci fanno i bilanci...  meglio non fidarsi ed addentrarsi a leggere complicate "policy" ecc...

Ma ovviamente, come ho scritto nell'articolo, se si è certi che il proprio sito (in tutte le sue possibili URL) veicola solo cookie tecnici sia di prima che di terza parte allora si può evitare di mettere l'odiato banner 

Comunque se credi che nell'articolo questa parte non sia chiara posso integrare il testo che vuoi suggerire su questo concetto. L'importante è non confondere ulteriormente gli utenti della community di Joomla.

[tomtomeight]

secondo me chiarisce che il consenso preventivo deve essere acquisito, con le modalità lì indicate, ma deve essere acquisito prima di installare i cookies di profilazione, siano essi del sito o di terze parti.

Scusami Marco ma io sinceramente il prima non lo vedo, beh allora può darsi che rientro anche io nei destinatari della mia stessa firma  Ovviamente l'ho detto e lo dico in tono scherzoso, ci mancherebbe che qualcuno si risentisse. 

[Daniele Pinna]

ciao Daniele Pinna,
se hai letto bene l'articolo io consiglio di non fare mai la distinzione fra cookie di terze parti tecnici o cookie di terze parti di profilazione.

Si certo, e concordo sono cookie di terze parti e basta.

Si, puoi far rendere il cookie di Analytics o Youtube da profilazione a tecnici ed evitare di mettere così l'informativa breve, ma si entra in un ambito molto delicato e di difficile applicazione per l'utenza che utilizza Joomla.
Io consiglio sempre di mettere il banner con l'informativa breve se siamo in presenza di cookie di terze parti, così da non dover ogni giorno controllare se questi siano ancora solo tecnici e non siano divenuti di profilazione ecc...  non avendo alcun controllo su questi cookie ed essendo spesso gestiti da grandi aziende estere che sulla profilazione e la pubblicità ci campano e ci fanno i bilanci...  meglio non fidarsi ed addentrarsi a leggere complicate "policy" ecc...

Ma ovviamente, come ho scritto nell'articolo, se si è certi che il proprio sito (in tutte le sue possibili URL) veicola solo cookie tecnici sia di prima che di terza parte allora si può evitare di mettere l'odiato banner 

Comunque se credi che nell'articolo questa parte non sia chiara posso integrare il testo che vuoi suggerire su questo concetto. L'importante è non confondere ulteriormente gli utenti della community di Joomla.

Alexred probabilmente mi sono espresso male 

Poiché il garante dice che se si usano, per le statistiche del sito, strumenti di terze parti che rilasciano i cookie (come Google Analytics) occorre rendere "anonime" le statistiche.

Quindi suggerivo di aggiungere questo suggerimento alla tua Guida.
In definitiva si stratta di aggiungere il seguente codice allo script (se si usa il codice Univeral)

Codice: [Seleziona]

ga('set', 'anonymizeIp', true);
Il codice potrebbe essere differente se si usa il vecchio codice asynchronous (mi pare quello che usate qui su joomla.it)

https://support.google.com/analytics/answer/2763052?hl=it

[tonicopi]

Marco, fai un sforzo e prova a leggere le norme del garante come le vediamo io alex,  tomtom e molti altri, anche avvocati:
- fino al 2 giugno ognuno poteva installare cookies anche profilanti senza il consenso di nessuno;
- a partire dal 3 giugno nessun sito può più farlo senza il consenso preventivo per quelli profilanti;
- il consenso preventivo si ottiene in maniera semplificata per chi installa cookies profilanti di terze parti. Il modo semplificato costituisce consenso preventivo anche se i cookies si sono già installati poichè l'utente imparerà, attraverso l'informativa estesa, a gestire i cookies a mezzo del  proprio browser o andando ad impostare le sue preferenze nei vari account google e social. Tua mamma chiederà a te. Non trovi che la legge sia sostanzialmente rispettata? Nello spirito e nella lettera perchè così ha voluto il garante italiano, proprio per semplificare le cose a chi gestisce sitarelli.

Un discorso a parte merita google  analytics, che, a differenza da quello che sostiene alex, io mi sono convinto essere di prima parte. Certo è un servizio fornito da google ma sei tui che installa il codice nel tuo sito ne risulti tu essere il dominio che rilascia i cookies. Quindi in questo caso sei tu responsabile della profilazione. Secondo alcuni solo anonimizzando l'IP dei navigatori puoi continuare ad u7sarlo senza il blocco preventivo. Ma io, rifacendomi al ragionamento fatto sopra, ritengo che si può anche non anonimizzarlo, purchè su faccia espresso riferimento nella informativa estesa al suo uso con tutti i link alle policy di google.
Potrebbe essere questa sufficiente? A mio avviso si:

Google Analytics
Il sito si avvale del servizio Google Analytics della società Google, Inc. (di seguito “Google”) per la generazione di statistiche sull’utilizzo dei siti web; Google Analytics utilizza cookie (non di terze parti) che non memorizzano dati personali. Le informazioni ricavabili dai cookie sull’utilizzo del sito web da parte degli utenti (compresi gli indirizzi IP) verranno trasmesse dal browser dell’utente a Google, con sede a 1600 Amphitheatre Parkway, Mountain View, CA 94043, Stati Uniti, e depositate presso i server della società stessa. In particolare, di seguito trovi i cookies utilizzati da Google Analytics:
 

Nome del Cookie	Durata
__utma	2 anni
__utmb	30 minuti
__utmc	Sessione
__utmt	10 minuti
__utmz	6 mesi
_ga	2 anni
_gat	10 minuti

Utilizzando il sito si acconsente al trattamento dei propri dati da parte di Google per le modalità e i fini sopra indicati.
Secondo i termini di servizio in essere, Google utilizzerà queste informazioni, in qualità di titolare autonomo del trattamento, allo scopo di tracciare e esaminare l’utilizzo del sito web, compilare report sulle attività del sito ad uso degli operatori del sito stesso e fornire altri servizi relativi alle attività del sito web, alle modalità di connessione (mobile, pc, browser utilizzato etc.) e alle modalità di ricerca e raggiungimento delle pagine web di questo sito. Google può anche trasferire queste informazioni a terzi ove ciò sia imposto dalla legge o laddove tali terzi trattino le suddette informazioni per conto di Google.
Per consultare l’informativa privacy della società Google, relativa al servizio Google Analytics, si prega di visitare il sito Internet http://www.google.com/intl/en/analytics/privacyoverview.html.
Per conoscere le norme sulla privacy di Google, si invita a vistare il sito Internet http://www.google.com/intl/it/privacy/privacy-policy.html.
I cookie di monitoraggio possono essere disabilitati senza nessuna conseguenza sulla navigazione dei siti web: per disabilitarli si veda la sezione successiva “Come disabilitare i cookie mediante configurazione del browser (opt-out)”.

[tomtomeight]

Scusa toni ma se come dici giustamente gli analytics di Google si assimiliano a cookie primari, se non si anonimizzano vengono considerati di profilazione e qui siamo in difetto perché non essendo più di terze parti ma profilanti primari credo la gestione debba essere diversa e non rientrare nella semplificata. Ecco perché come dicevo sopra io preferisco gestirmeli direttamente.

[tonicopi]

No tom tom perchè al pari di quelli di adsense si gestiscono con banner ed informativa estesa.
Se anonimizzo li rendo assimiliabili ai cookies tecnici e non serve il banner.
Ma se tutti anonimizzassimo faremmo perdere a gogole preziose informazioni a mezzo delle quali campiamo in tanti. Io dico campiamo, senza essere uno del settore, s'intende, perchè mi godo la mia pensione  e sono pagato dallo stato per rendere felici le donzelle 
Ma se mi mangio una pizza ogni tanto con i proventi di adsense non mi lamento. Pizza che può diventare una mangiatina di pesce grazie al fatto che google riesce  a mandare pubblicità mirata aumentando il rendimento degli annunci. A se setsso, ma anche a me.... 
Per non parlare di tutto quello che ruota attorno al webmarketing. Una campagna di remarketing efficace con gogole si farà solose una massa maggioritaria di utenti si lascerà profilare. Ecco perchè io eviterei una anonimizzazione di massa.

[bsaett]

Temo che il problema dei cookie non sia stato chiarito adeguatamente. Anche alla luce del chiarimento (per modo di dire) del Garante di ieri, è il caso di sintetizzare:

1) cookie plugin sociali: devono essere bloccati fino a consenso (semplificato) perchè chi li installa (il gestore del sito) è considerato intermediario della terza parte, cioè è delegato alla raccolta del consenso. E' ridicolo come sistema, sono d'accordo, perchè col consenso semplificato (tipo clicco sul link dell'informativa, quindi navigo e accetto i cookie) mi ritrovo ad avere i cookie prima di leggere l'informativa delle terze parti (linkata nella mia informativa estesa) e quindi prima di aver espresso un consenso informato (il punto essenziale è che il consenso dovrebbe essere informato). Unica possibilità, utilizzare plugin che non usano cookie o che sono inattivi all'arrivo. Se l'utente ci clicca sopra si attivano e quindi è esenzione B (servizio richiesto dall'utente), quindi non occorre nè consenso nè informativa. Ci sono plugin per Joomla di questo tipo? LI sto cercando, se qualcuno me li indica gli sono grato.

2) analytics: è profilazione, e siccome io vedo i dati e li tratto anche io sono cogestore e quindi non solo devo chiedere il consenso ma anche notificare il trattamento al Garante (leggasi ultimo chiarimento del Garante). Alternativa: anonimizzare i dati (Google Analytics, e impedire l'incroncio con altri servizi Google, c'è apposita opzione su G.A.).

3) ambito di applicazione. Tutti i siti che trattano dati in Italia. Il trattamento, si intenda, è fatto dai cookie (secondo le istruzioni del Garante, ma è cosa nota dall'epoca dei marcatori) quindi se io che sto in Russia deposito cookie ad un utente italiano di fatto faccio trattamento in Italia. E' assurdo ma è così che il Garante intende la cosa.

[tomtomeight]

Sì forse devo ancora convincermi,, sarà come dici. Dico convincermi perché mi piace riflettere e approfondire. 

A questo punto una domanda sorge spontanea e cioè a chi è imputabile una eventuale sanzione, corna facendo, al titolare del contenuto del sito, azienda, associazione, oppure all'intestatario del dominio? Mi si è presentato un caso in cui un associazione ha il dominio intestato direttamente al gestore dello spazio o comunque la persona che gli gestisce il sito.

[tomtomeight]

@bsaet

Scusa ma sintetizzare non significa interpretare secondo il proprio modo di vedere o comunque come si vorrebbe che fosse la normativa. Stai dando interpretazioni assolutamente sbagliate. Poi se vuoi pagare fallo pure ma non venire quì a dire che per analytics non anonimizzate bisogna pagare perché fai disinformazione.

[bsaett]

"come si vorrebbe che fosse la normativa"
Guarda che non sono iubenda, nè ci guadagno nulla. Ho scritto personalmente al Garante spiegandogli come la direttiva europea dovrebbe essere interpretata alal luce della sua ratio e il Garante per tutta risposta tira fuori quel chiarimento dal quale si ricava quanto ho scritto sopra. Non è la mia interpretazione, è quello che dice il Garante. Ho anche scritto numerosi articolo con i quali speigo come mettere in regola il sito web senza incorrere in multe (e senza guadagnarci nulla!).

Poi ognuno la può leggere come vuole.
Anche io mi aspettavo che il Garante dicesse "si, l'editore è il terzo quindi tu non devi fare nulla", invece: "per la natura "distribuita" di tale trattamento, che vede il sito prima parte comunque coinvolto nel processo, il consenso all'uso dei cookie terze parti si sostanzia nella composizione di due elementi entrambi necessari: da un lato la presenza del banner, che genera l'evento idoneo a rendere il consenso documentabile (a carico della prima parte) e, dall'altro, la presenza dei link aggiornati ai siti gestiti dalle terze parti in cui l'utente potrà effettuare le proprie scelte in merito alle categorie e ai soggetti da cui ricevere cookie di profilazione".

Consenso a carico della prima parte, natura distribuita, evento documentabile.....

Per i cookie di analytics:
"In molti casi, tuttavia, i siti utilizzano, per meri fini statistici, cookie analitici realizzati e messi a disposizione da terze parti. In questi casi, si ritiene che i succitati siti non siano soggetti agli obblighi e agli adempimenti previsti dalla normativa (notificazione al Garante in primis) qualora vengano adottati strumenti idonei a ridurre il potere identificativo dei cookie analitici che utilizzano (ad esempio, mediante il mascheramento di porzioni significative dell'indirizzo IP)".

Quindi se non anonimizzi e impedisci l'incrocio allora sei soggetti agli obblighi "(Notificazione al Garante in primis)".

Se riuscite a convincermi con argomenti giuridici valido che ho torto, sarà il primo ad essere contento. Ho perso un sacco di tempo a cercare (inutilmente) di mettere in regola il mio sito JOomla, ma al momento leggo solo intepretazione basate sulla lettura formale dei FAQ e chiarimenti. Quindi assolutamente non convincenti.

Ribadisco quanto detto sopra. Qualcuno conosce plugin di social share che sono disattivi (non inviano cookie) fino al primo click?
Qualcosa del genere: http://panzi.github.io/SocialSharePrivacy/ (spero si possa mettere questo link)

[bsaett]

Poi se vuoi pagare fallo pure ma non venire quì a dire che per analytics non anonimizzate bisogna pagare perché fai disinformazione.

Rispondo alla modifica. Mi rendo conto che il nervo è sensibile, visto che c'è in giro un sacco di gente che sta lucrando sull'incertezza vendendo licenze privacy e chissà chè. Il problema è serio, se non lo vedete è perchè la questione giuridica è complessa e non basta una lettura della Faq del Garante per capirlo. Il Garante continua ad evitare di rispondere puntualmente ai quesiti postigli.
Il mio intento era, invece, di cercare di capire insieme a voi (di Joomla.it) come ovviare a questo problema serio. Ma ovviamente siete liberi di considerarmi un cretino e vi assicuro che non scriverò più alcun commento qui. cercherò soluzioni da altra parte.