Legge sui cookie e Joomla!

[Daniele Pinna]

Se anonimizzo li rendo assimiliabili ai cookies tecnici e non serve il banner.

No, sono sempre cookie di terze parti per i quali NON puoi prenderti l'obbligo o il diritto di gestire la loro accettazione o negazione.

Ma se tutti anonimizzassimo faremmo perdere a gogole preziose informazioni a mezzo delle quali campiamo in tanti.

Anonimizzare non significa eliminare del tutto l'informazione IP, ma togliere solo le ultime cifre.
Se prendiamo l'IP v4 a caso (è quello di google.it ) 82.85.147.20, verrà memorizzato solo: 82.85.147
quindi senza il .20 finale, permettendo a google di fare cmq il suo lavoro, individuando varie informazioni, posizione compresa (che viene rilevata in base proprio in base all'IP se non erro).

Su IP v6 si fa ovviamente una cosa analoga troncando la parte finale.

[tonicopi]

Ciao bsaett, a me sembri tutt'altro che cretino.
Mentre considero sbagliato, o meglio, eccessivamente prudente, il tuo approccio per quanto riguarda i cookies profilanti di terze parti che a mio avviso non richiedono blocco preventivo devo dire che per quel che riguarda google analytics, se installato senza anonimizzazione, alla mluce del tuo ragionamento e dell'ultimo chiarimento del garante, richieda effettivamente il consenso preventivo (sempre a mio avviso ottenibile con procedura semplificata con banner ed informativa estesa e senza blocco preventivo dei cookies all'atterraggio) ma che in effetti comporti la segnalazione al garante  con relativo onere economico di una certa rilevanza.
Vedremo allora se sarà il caso di anonimizzare, o rinunciare a google analytics o pagare questi 150 euro, contribuendo al risanamento economico del paese... 

[tonicopi]

No, sono sempre cookie di terze parti per i quali NON puoi prenderti l'obbligo o il diritto di gestire la loro accettazione o negazione.

Daniele, il punto è questo: non sono di terze parti. Anch'io lo credevo. Ma alla luce di queste infinite discussioni mi sono convinto del contrario.
https://developers.google.com/analytics/devguides/collection/analyticsjs/cookie-usage#analyticsjs
Il dominio che rilascia quei cookies è il tuo! E quinid ne siamo pienamente responsabili, tanto da poter decidere in piena autonomia se anonimizzare o meno quel codice.
Lo so che non ci piace questa cosa ma se è così è così. La definizione di cookies prima o terza parte non può non messere chiara!

[Jegger]

Tornando un attimo alla questione iniziale, vorrei porre la vostra attenzione sul punto 2 della normativa del Garante. È la normativa che fa legge, non le FAQ.
Ve lo riporto integralmente per poi commentare due punti che ho evidenziato in grassetto.

2. Soggetti coinvolti: editori e "terze parti".
 Un ulteriore elemento da considerare, ai fini della corretta definizione della materia in esame, è quello soggettivo. Occorre, cioè, tenere conto del differente soggetto che installa i cookie sul terminale dell'utente, a seconda che si tratti dello stesso gestore del sito che l'utente sta visitando (che può essere sinteticamente indicato come "editore") o di un sito diverso che installa cookie per il tramite del primo (c.d. "terze parti").
 Sulla base di quanto emerso dalla consultazione pubblica, si ritiene necessario che tale distinzione tra i due soggetti sopra indicati venga tenuta in debito conto anche al fine di individuare correttamente i rispettivi ruoli e le rispettive responsabilità, con riferimento al rilascio dell'informativa e all'acquisizione del consenso degli utenti online.
 Vi sono molteplici motivazioni per le quali non risulta possibile porre in capo all'editore l'obbligo di fornire l'informativa e acquisire il consenso all'installazione dei cookie nell'ambito del proprio sito anche per quelli installati dalle "terze parti".
 In primo luogo, l'editore dovrebbe avere sempre gli strumenti e la capacità economico-giuridica di farsi carico degli adempimenti delle terze parti e dovrebbe quindi anche poter verificare di volta in volta la corrispondenza tra quanto dichiarato dalle terze parti e le finalità da esse realmente perseguite con l'uso dei cookie. Ciò è reso assai arduo dal fatto che l'editore spesso non conosce direttamente tutte le terze parti che installano cookie tramite il proprio sito e, quindi, neppure la logica sottesa ai relativi trattamenti. Inoltre, non di rado tra l'editore e le terze parti si frappongono soggetti che svolgono il ruolo di concessionari, risultando di fatto molto complesso per l'editore il controllo sull'attività di tutti i soggetti coinvolti.
 I cookie terze parti potrebbero, poi, essere nel tempo modificati dai terzi fornitori e risulterebbe poco funzionale chiedere agli editori di tenere traccia anche di queste modifiche successive.
 Occorre tenere conto inoltre del fatto che spesso gli editori, che comprendono anche persone fisiche e piccole imprese, sono la parte più "debole" del rapporto. Laddove invece le terze parti sono solitamente grandi società caratterizzate da notevole peso economico, servono normalmente una pluralità di editori e possono essere, rispetto al singolo editore, anche molto numerose.
 Si ritiene pertanto che, anche in ragione delle motivazioni sopra indicate, non si possa obbligare l'editore ad inserire sull'home page del proprio sito anche il testo delle informative relative ai cookie installati per il suo tramite dalle terze parti. Ciò determinerebbe peraltro una generale mancanza di chiarezza dell'informativa rilasciata dall'editore, rendendo nel contempo estremamente faticosa per l'utente la lettura del documento e quindi la comprensione delle informazioni in esso contenute, con ciò vanificando anche l'intento di semplificazione previsto dall'art. 122 del Codice.
 Analogamente, per quanto concerne l'acquisizione del consenso per i cookie di profilazione, dovendo necessariamente -per le ragioni suesposte  tenere distinte le rispettive posizioni di editori e terze parti, si ritiene che gli editori, con i quali gli utenti instaurano un rapporto diretto tramite l'accesso al relativo sito, assumono necessariamente una duplice veste.
 Tali soggetti, infatti, da un lato sono titolari del trattamento quanto ai cookie installati direttamente dal proprio sito; dall'altro, non potendo ravvisarsi una contitolarità con le terze parti per i cookie che le stesse installano per il loro tramite, si ritiene corretto considerarli come una sorta di intermediari tecnici tra le stesse e gli utenti. Ed è, quindi, in tale veste che, come si vedrà più avanti, sono chiamati ad operare nella presente deliberazione, con riferimento al rilascio dell'informativa e all'acquisizione del consenso degli utenti online con riguardo ai cookie delle terze parti.

Primo punto: non lascia spazio a fraintendimenti. È chiaro che la prima parte non può e non deve rilasciare l'informativa delle terze parti, né raccogliere i consensi all'uso dei cookie delle terze parti.

Secondo punto: a una lettura veloce potrebbe sembrare contraddire il precedente. Ma a una lettura più attenta capisco che con quel "con riferimento al..." si voglia intendere che la prima parte è tenuta a riportare il link all'informativa delle terze parti che a sua volta riporterà le modalità di acquisizione del consenso dei loro cookie. Nulla di più.

Come la pensate?

[tomtomeight]

Scusami bsaett non mi sembra di averti dato del cretino o di considerarti tale come qui come per te,  con nessuno si mette in discussione la buona fede, a quelli eventualmente glielo si dice direttamente o li si bannano.  Ho letto la tua guide e confermo che dici inesattezze, ma vedila nell'ottica
che stiamo discutendo di un problema e naturalmente non possiamo pensarla tutti allo stesso modo e quindi si discute.

Adesso mi devi spiegare perché se io tratto direttamente i miei analytics ed ho detto sopra che agirò in questa direzione, non devo fare nessuna segnalazione al garante e né pagare nulla.

2. Utilizzo di cookie analitici di terze parti

Nell'ottica della semplificazione che l'Autorità sta perseguendo, è stato già chiarito nel provvedimento come i cookie analitici – che servono a monitorare l'uso del sito da parte degli utenti per finalità di ottimizzazione dello stesso – possano essere assimilati ai cookie tecnici laddove siano realizzati e utilizzati direttamente dal sito prima parte (senza, dunque, l'intervento di soggetti terzi).

E non mi dice nemmeno che devo anonimizzarli anche se per prudenza lo faccio, ma solo per prudenza.

Mentre qui

In molti casi, tuttavia, i siti utilizzano, per meri fini statistici, cookie analitici realizzati e messi a disposizione da terze parti. In questi casi, si ritiene che i succitati siti non siano soggetti agli obblighi e agli adempimenti previsti dalla normativa (notificazione al Garante in primis) qualora vengano adottati strumenti idonei a ridurre il potere identificativo dei cookie analitici che utilizzano (ad esempio, mediante il mascheramento di porzioni significative dell'indirizzo IP).

L'impiego di tali cookie deve, inoltre, essere subordinato a vincoli contrattuali tra siti e terze parti, nei quali si faccia espressamente richiamo all'impegno della terza parte o a utilizzarli esclusivamente per la fornitura del servizio, a conservarli separatamente e a non "arricchirli" o a non "incrociarli" con altre informazioni di cui esse dispongano.

Tu vedi che debba essere chi inserisce gli analytics a dover dare consenso, a fare la segnalazione e pagare i diritti. Io non lo vedo, altrimenti sarebbe una discriminazione bella e buona.

[Daniele Pinna]

Daniele, il punto è questo: non sono di terze parti. Anch'io lo credevo. Ma alla luce di queste infinite discussioni mi sono convinto del contrario.
https://developers.google.com/analytics/devguides/collection/analyticsjs/cookie-usage#analyticsjs
Il dominio che rilascia quei cookies è il tuo! E quinid ne siamo pienamente responsabili, tanto da poter decidere in piena autonomia se anonimizzare o meno quel codice.
Lo so che non ci piace questa cosa ma se è così è così. La definizione di cookies prima o terza parte non può non messere chiara!

Non sono convinto di questa tua interpretazione.
E' vero che è il mio sito che invia i cookie, ma lo fa tramite un servizio terzo.
Non posso decidere quali cookie usare oppure no, tipico di un servizio terzo. Posso al limite decidere di non usarlo.
Posso richiedere l'anonimizzazione  degli IP (non se se è che è sempre esistita, oppure è una funzione recente, introdotta perché in Germania l'anonimizzazione è stata resa obbligatoria).

Ammettiamo, per ipotesi, che la tua interpretazione sia corretta, cioè:
   i cookie di google analytics sono di prima parte.

Quindi:
- Sono cookie Tecnici.
- Sono però anche cookie che permettono di fare profilazione (ecco a maggior ragione, magari solo per prudenza, è necessaria l'anonimizzazione).


Ma la cosa più grave però e che i dati rilevati grazie a questi cookie di prima parte, li diamo in pasto ad un terzo, google, che non solo ce li mostra nel suo sito, ma che li può usare per quello che vuole.
Anche per questo sono convinto che NON è corretto definirli di prima parte.

Se fossero di prima parte, altro che multa... qui finiamo tutti in carcere!!! 
Nel caso... niente biscotti... solo arance 

[bsaett]

@tomtomeight
veramente mi hai detto che faccio "disinformazione". Il che: 1) sono cretino; 2) voglio ottenere qualche vantaggio specifico. Vedi un po' tu.


Il problema è che estrapolate singole frasi, casomai dalle FAQ (che non hanno valore giuridico) e ne volete ricavare regole generali. Purtroppo non funziona così. Comunque:

"• I cookie analitici sono assimilati a quelli tecnici solo quando realizzati e utilizzati direttamente dal sito prima parte per migliorarne la fruibilità." (da ultimo chiarimento del Garante)

Se non sono tecnici sono soggetti a consenso. Poi se non sono anonimizzati vuol dire che è profilazione.


"In molti casi, tuttavia, i siti utilizzano, per meri fini statistici, cookie analitici realizzati e messi a disposizione da terze parti. In questi casi, si ritiene che i succitati siti non siano soggetti agli obblighi e agli adempimenti previsti dalla normativa (notificazione al Garante in primis) qualora vengano adottati strumenti idonei a ridurre il potere identificativo dei cookie analitici che utilizzano (ad esempio, mediante il mascheramento di porzioni significative dell'indirizzo IP)".

I succitati siti non sono soggetti agli obblighi (tra i quali la notificazione) se.....
Quindi se non è il caso del se, vuol dire che sono soggetti agli obblighi.


Comunque, il problema non è tanto il dominio dal quale vengono i cookie (la legge non tiene conto di queste problematiche tecniche, queste sono solo semplificazioni che lasciano il tempo che trovano), quanto piuttosto chi ha accesso ai dati. Se io leggo (o  recepisco, o raccolgo, o conservo) i dati sono (co)responsabile del loro trattamento. Poi eventualmente si può discutere se avere accesso ad un IP costituisce profilazione (es. un Firewall non dovrebbe costituire profilazione perchè io ho solo l'IP e non ho altri dati con cui incronciarlo, ma se avessi una mail....), la UE ha ampiamento chiarito che i dati bisogna valutarli non singolarmente ma in relazione ai possibili incroci tra loro. Quindi anche un dato sostanzialmente anonimo (o eventualmente troncato - cosidetta pseudoanonimizzazione, se ne discute nella riforma Data Protection in discussione nei prossimi giorni-) può diventare personale e quindi costituire profilazione ecc....

[tomtomeight]

Ecco vedi tu trai conclusioni sempre secondo il tuo modo di vedere e vedi disinformazioni come ottenere vantaggi essere cretini ecc.

[alexred]

Ciao tonicopi,
anche io non credo che il servizio Google Analytics sia assimilabile a cookie di prima parte. Non credo che quelle poche stringhe di codice permettano la trasmissione di quel cookie e non credo che quel cookie provenga dal mio dominio. Ho provato a fare qualche veloce test ed effettivamente quel cookie appare con il dominio Google, ma non sono esperto in materia quindi ti invito a condividere un test comune così da risolvere la questione.
Hai un sito + dominio con solo una pagina HTML con una riga di testo ed il relativo codice di Google Analytics inserito nel sorgente?
Credo tu possa realizzarla velocemente. Quando fatto indicaci il link a questa pagina così proviamo tutti a verificare.
Poi magari mettici a disposizione anche il file html di quella pagina (un link al file zip che la contiene) così proviamo a testarla in locale sul nostro PC e senza connessione ad internet per vedere se viene ugualmente generato il cookie di Google Analytics come dici tu.

[alexred]

Primo punto: non lascia spazio a fraintendimenti. È chiaro che la prima parte non può e non deve rilasciare l'informativa delle terze parti, né raccogliere i consensi all'uso dei cookie delle terze parti.

Secondo punto: a una lettura veloce potrebbe sembrare contraddire il precedente. Ma a una lettura più attenta capisco che con quel "con riferimento al..." si voglia intendere che la prima parte è tenuta a riportare il link all'informativa delle terze parti che a sua volta riporterà le modalità di acquisizione del consenso dei loro cookie. Nulla di più.

Come la pensate?

Ciao Jegger,
certo, se hai letto l'articolo sai che la penso come te. Nulla di più 

[Jegger]

Ciao Jegger,
certo, se hai letto l'articolo sai che la penso come te. Nulla di più 

Grazie mille! 

[tonicopi]

Ecco qua alexred. Puro testo e codice analytics non anonimizzato, peraltro di vecchissima maniera.
http://www.tonicopi.it/simone/nato.html
Come potrai vedere i cookies sono rilasciati dal dominio tonicopi.it e questo, a detta di un mio amico sviluppatore che non teme smentite,  lo rende senza ombra di dubbio cookies di prima parte.
Cosa posso vedere io dell'utente che visita quella pagina? In forma anonima posso vedere provenienza, età, dispositivo che usa, e un sacco di altre informazioni. Google oltre a questo, può incrociare i dati e mandargli pubblicità mirata? Io credo di si.
Temo che questa sia profilazione e che siamo soggetti alla comunicazione al garante. Ma forse no perchè la profilazione la fa google? Quando si parla di terze parti si intende soggetti terzi o proprio e solo la tipologia di cookies?

[alexred]

ma come può stabilire l'età esatta? 

Comprimi la pagina e metti a disposizione il link così facciamo il test anche in locale.  Comunque confermo che i cookie di quella pagina generati solo da Google Analytic sono associati al dominio tonicopi.it

[tomtomeight]

Scusa toni da cosa deduci anche l'età?

[tonicopi]

L'età in forma aggregata ed anonima. Per esempio in joomla.it solo il 5,5 per cento dei navigatori si trova nella mia fascia di età...
Allego lo zip.
Non ho messo le immagini ma per il test fa lo stesso.

[alexred]

l'età non credo sia un valore veritiero ma solo qualche strana stima che arriva da qualche strana statistica o dato.

Ho provato il locale ma non mi genera alcun cookie anche con connessione attiva 
A voi come è andato il test in locale?
Anche scaricando il file urchin.js,  e richiamandolo direttamente nel file html, non mi genera cookie in locale. E questo è un poco strano se vogliamo far passare questo cookie come prima parte.

[alexred]

Però rileggendo l'ultimo chiarimento del Garante pare sollevare anche in questo coso tutti i dubbi.
I cookie di statistica di prima parte sono sempre tecnici.
I cookie di statistica di terza parte se di profilazione devono avere l'IP mascherato e così rientrano nei tecnici.

Quindi come dice tonicopi, e come dimostrato dal suo file, Google Analytic è di prima parte e non c'è da farci nulla a livello di normativa, è un normalissimo cookie tecnico 

[Daniele Pinna]

Anche a me non genera cookie. Penso che lo scritp rileva che il file è in locale e non fa nulla.

Ho messo quindi quel file, nella cartella htdocs del mio NAS (che ovviamente ha anche funzioni di webserver) e il cookie è stato generato.

Quindi come dice tonicopi, e come dimostrato dal suo file, Google Analytic è di prima parte e non c'è da farci nulla a livello di normativa, è un normalissimo cookie tecnico 

Se questa tesi viene confermata (e io NON  sono convinto che sia cosi), significa che i siti che hanno solo:
- cookie tecnici (es. quelli standard di Joomla)
- cookie di GA

e niente altro, per adeguarsi alla normativa, non devono avere il banner, ma solo la normativa.


Però voglio vedere i siti che, per non avere il banner, si tolgono i pulsanti sociali, i video youtube etc.

 

[alexred]

Però voglio vedere i siti che, per non avere il banner, si tolgono i pulsanti sociali, i video youtube etc.

io non lo vedo un sacrificio così grande, meglio non avere il banner.
Per i pulsanti social possono sostituirli con dei semplici bottoni o gif o altro che rimandano ai loro profili. Per youtube c'è il rimendio utilizzando l'apposito link senza cookie.
Credo che per chi ha gli adsense convenga mettere il banner per tenere gli adsense, mentre gli altri per youtube, social ed altro di dubbio profilatore meglio fare pulizia sul sito e tenerlo pulito anche dal banner.

[Daniele Pinna]

A conferma della vostra tesi, riguardo che i cookie di Google Analytics, sono da considerarsi tecnici c'è il sito della Guardia di Finanza:

www.gdf.gov.it

Non usa il banner e nell'informativa:
http://www.gdf.gov.it/GdF/it/Servizi/info-712268090.html

scrive:
"cookie analytics, assimilati ai cookie tecnici laddove utilizzati direttamente dal gestore del sito per raccogliere informazioni, in forma aggregata, sul numero degli utenti e su come questi visitano il sito stesso;"