Joomla.it Forum
Joomla! 3 => Joomla! 3 => : danielecr 21 Apr 2018, 16:31:15
-
Ciao a tutti,
il GDPR 2018 è alle porte e iniziano a comparire domande su come adeguare le varie policies per essere in regola con la nuova norma.
Qui di seguito ho raccolto un po' di informazioni dalla norma stessa e da avvocati e consulenti.
Dopo la panoramica espongo come ho adeguato il mio sito internet.
Questa discussione è relativa ai soli cookies.
Ripeto che sono informazioni raccolte personalmente e in rete, le affermazioni che seguono possono essere giuste o sbagliate, c'è ancora parecchia confuzione a riguardo.
Generalità
Le persone fisiche possono essere associate ad identificatori online come indirizzi ip o identificatori di cookie o altri identificatori.
Ciò può lasciare tracce che se utilizzate insieme ad altre informazioni possono identificare l'utente.
Se ciò avviene, si stanno trattando dati personali, quindi bisogna adeguarsi al GDPR 2018.
Come adeguarsi?
1- Informare l'utente in via anticipata dell'impiego dei cookies
2- Informare l'utente delle finalità e modalità dell'impiego dei cookies
3- Informare l'utente circa i termini di cancellazione dei cookies
4- Consentire all'utente di attivare o disattivare i cookies in via anticipata
5- Informare l'utente circa i soggetti a cui eventualmente i dati raccolti sono trasferiti
Tipi di cookies:
6- Funzionali, autenticazione e sicurezza non persistenti, che si cancellano al termine della sessione dell'utente: non è necessaria la richiesta del consenso preventivo del visitatore. E' necessario tuttavia menzionarli all'interno della cookie policy, spiegandone la natura.
7- Cookies persistenti di prima parte: occorre la richiesta del consenso preventivo del visitatore.
8- Cookies analitici (non in forma anonima): raccolgono informazioni sui visitatori, quali indirizzi ip, provenienza geografica, sistema operativo, risoluzione dello schermo, pagine visitate, tempo di permanenza, etc.; è necessaria la richiesta preventiva del consenso dell'utente; solitamente il gestore del sito si appoggia a servizi di statistica esterni. Nella cookie policy occorre menzionarli, spiegandone l'utilizzo, menzionando anche i servizi terzi di statistica, con link alla loro cookie policy. Se presente, è buona regola inserire il link di opt-out per i cookies di terze parti.
9- Cookies utilizzati per finalità di marketing: ricadono in questa categoria anche i cookie analitici che sono utilizzati per finalità di marketing e/o profilazione. Occorre ottennere il consenso preventivo dell'utente.
Inoltre:
10- Occorre che l'utente in qualsiasi momento possa cancellare o accettare i cookie.
11- Occorre che ci sia riferimento alla cookie policy in ogni pagina del sito (ad esempio nel footer).
Cosa non fare:
12- Utilizzare un unico consenso per far accettare tutti i cookies: l'utente deve essere in grado di poter attivare o disattivare i cookies a sua scelta (??Non sono molto convinto..in quanto proprietario del sito potrei far accettare tutti i cookies insieme, o farli cancellare tutti quanti).
13- Il consenso implicito non va bene: il consenso va fornito attraverso una chiara azione del visitatore, come click su caselle di valutazione, o preferenze, o specifiche impostazioni.
Operazioni che il gestore del sito deve compiere:
14- Prevedere un box opt-in, con la possibilità dell'utente di cliccare e scegliere quali cookies attivare o disattivare (??anche questo non mi convince, il gestore potrebbe decidere di far accettare o disattivare tutti i cookies).
15- Prevedere un box opt-out, perchè la scelta dell'utente in qualsiasi momento può cambiare, e deve essere in grado di modificare le sue scelte.
16- Offrire una chiara definizione delle categorie dei cookies utilizzati sul sito, se si tratta di cookies di profilazione è necessario descrivere la logica usata, la finalità e i soggetti eventuali a cui i dati raccolti vengono trasferiti e gli effetti sull'utente.
17- Informare l'utente del periodo di permamenza dei cookies.
18- Informare l'utente dell'utilizzo dei cookies funzionali, per le altre tipologie dare la possibilità all'utente di attivarli o disattivarli.
19- Tenere traccia delle scelte dell'utente: il "click" deve essere memorizzato attraverso dei record, che provino che la scelta è stata raccolta
Come mi sono adeguato?
Premettendo che il mio sito è un sito vetrina aziendale, i cookie che vengono impostati sono:
a) cookie del frontend di joomla: il nome del cookie non cambia, è pari a md5(md5('$chiave-segreta-nel-configuration.php' . 'site'))
b) il cookie plg_system_eprivacy: è il cookie del plugin EU eprivacy, che contiene l'informazione che riguarda se il visitatore ha accettato o meno il consenso
c) il cookie sc_is_visitor_unique relativo al servizio analitico StatCounter, che raccogli i dati dei visitatori in forma non anonima (l'indirizzo ip viene registrato)
d) il cookie NID di google.com, in quanto ho un iframe con google maps
Innanzitutto ho installato l'estensione gratuita EU eprivacy plugin di RicheyWeb:
https://www.richeyweb.com/software/joomla/packages/9-eu-e-privacy-directive (https://www.richeyweb.com/software/joomla/packages/9-eu-e-privacy-directive)
Questo plugin, se opportunamente configurato permette di informare il visitatore con link alla cookie policy a qualsiasi pagina del sito internet, con un blocco preventivo di tutti i cookies e, se accettati con un click, permette di cancellarli, sempre con un click e, se cancellati, permette di riconsiderarli, sempre con un click, in qualsiasi momento (punti 1, 4, 10, 11, 13, 15).
Per poter avere il blocco preventivo dei cookies di terze parti occorre ad esempio inglobare il codice di tracking o l'iframe della mappa in moduli separati, e assegnarli a un nuovo gruppo utenti, diverso da Public, che viene impostato anche nel plugin.
Nelle impostazioni è inoltre presente l'opzione di log, che registra in una tabella del database indirizzo ip del visitatore e data dell'accettazione della cookie policy (punto 19).
Nel mio specifico caso, purtroppo questo plugin mi ha dato qualche problema, non riusciva a cancellare i cookies impostati dal mio dominio e ho dovuto agire sul codice; il cuore del discorso è che i cookies si cancellano impostando una data precedente alla data attuale ed essendo su un hosting condiviso si deve specificare il dominio per il quale si vogliono cancellare i cookie.
Ad esempio se voglio cancellare il cookie sc_is_visitor_unique impostato dal dominio www.dominio.com (http://www.dominio.com) basterà utilizzare il seguente codice:
<?php
setcookie('sc_is_visitor_unique', '', time()-1500,'/', 'www.dominio.com', 0);
?>
Nella cookie policy, che può essere raggiunta da qualsiasi pagina del sito, ho quindi:
a) Definito cosa sono i cookies (punto 2)
b) Quali categorie di cookies esistono (punto 2)
c) Quali delle categorie di cookies il mio sito utilizza, facendo riferimento per i cookie di terze parti ai link delle rispettive cookie policies e se presente riferimento al link di opt-out dei cookies di terze parti (punti 2, 5, 16, 18)
d) Descritto cosa succede se non si accettano i cookies
e) Come disabilitare i cookies per i browser specifici più comuni
f) Descritto quali cookies il mio sito utilizza, con riferimento a nome, tipologia (funzionale, analitico, etc, persitente, non persistente) con relativa durata (punto 17)
Infine, per dare all'utente la possibilità di visionare in ogni momento quali cookies sono impostati sul suo device (cookies di prima parte), mediante il seguente codice, che io ho inserito in uno spoiler nella cookie policy:
<?php
$cookieData = JFactory::getApplication()->input->cookie->getArray();
if ($cookieData) {
$names = implode( ', ', array_keys($cookieData));
$counter = 0;
foreach($cookieData as $value)
{
++$counter;
}
$exploded_names = explode(", ", $names);
for ($i = 0; $i <= ($counter-1); $i++)
{
echo "Nome del cookie: " . $exploded_names[$i] ."<br />";
}
}
else
{
echo "Nessun cookie impostato sul tuo device";
}
?>
PS: ovviamente non è possibile "cancellare" con php i cookies impostati da terze parti, questo deve farlo il visitatore manualmente, per questo nella cookie policy deve esserci il riferimento generale su come cancellare i cookies e a quali cookies far riferimento.
-
WOW!
Grazie mille!
-
...state attenti ad andare a prendere variabili facilmente manipolabili dall'esterno.... vi trovate in casa ospiti indesiderati
-
Grazie Lina Adrena, ho editato subito il post in quanto codice vulnerabile a XSS.
Meglio togliere lo spoiler con possibilità di visualizzare i cookies installati....
-
Ciao a tutti,
il GDPR 2018 è alle porte e iniziano a comparire domande su come adeguare le varie policies per essere in regola con la nuova norma.
Qui di seguito ho raccolto un po' di informazioni dalla norma stessa e da avvocati e consulenti.
Dopo la panoramica espongo come ho adeguato il mio sito internet.
Questa discussione è relativa ai soli cookies.
Ripeto che sono informazioni raccolte personalmente e in rete, le affermazioni che seguono possono essere giuste o sbagliate, c'è ancora parecchia confuzione a riguardo.
Intanto grazie per il tuo prezioso intervento! :)
Ma ho una domanda banale, se permetti...
Ma le "vecchie" cookie policy sono tutte da buttare? Nel senso che il GDPR coinvolge tutti i siti qualunque tipologia di cookie rilascino?
-
@danielecr
Puoi farlo usando Joomla https://api.joomla.org/cms-3/classes/Joomla.Input.Cookie.html
-
Ciao Limma,
direi di no, non sono da buttare, piuttosto da integrare.
Da quello che ho capito, nel caso tu abbia solo cookies funzionali e non persistenti non sei tenuto a banner e blocchi preventivi, negli altri casi si.
-
@danielecr
Puoi farlo usando Joomla https://api.joomla.org/cms-3/classes/Joomla.Input.Cookie.html (https://api.joomla.org/cms-3/classes/Joomla.Input.Cookie.html)
Grazie mille, son stato stupido e frettoloso, fortunatamente hai avvisato poco dopo.
Ci guardo e provo!
Grazie ancora!
-
danielecr grazie per aver condiviso la tua esperienza.
Sto provando ad utilizzare il modulo e vorrei cambiare il testo dall'inglese all'italiano: utilizzando il file
en-GB.plg_system_eprivacy.ini devo creare un nuovo file con la traduzione it-IT.plg_system_eprivacy.ini e poi caricarlo nella cartella Administrator/language/it-IT?
-
devo creare un nuovo file con la traduzione it-IT.plg_system_eprivacy.ini e poi caricarlo nella cartella Administrator/language/it-IT?
Si, esatto.
-
@Lina Adrena
Meglio per leggere ed elencare i cookies?Mi sembra non ci sia più pericolo di xss
<?php
$cookieData = JFactory::getApplication()->input->cookie->getArray();
if ($cookieData) {
$names = implode( ', ', array_keys($cookieData));
$counter = 0;
foreach($cookieData as $value)
{
++$counter;
}
$exploded_names = explode(", ", $names);
for ($i = 0; $i <= ($counter-1); $i++)
{
echo "Nome del cookie: " . $exploded_names[$i] ."<br />";
}
}
else
{
echo "Nessun cookie impostato sul tuo device";
}
?>
-
Grazie!
E' un articolo molto interessante e utile :)
-
Meglio per leggere ed elencare i cookies?Mi sembra non ci sia più pericolo di xss
--------------------------------------
...non dovrebbe :)
puoi provare a pasticciare per vedere cosa succede. Ci sono svariati tools di FFox per manipolare gli header
-
Grazie, ho fatto qualche test manipolando i cookies con risultato negativo, proverò ancora a cercare di aggirare.
-
Articolo molto interessante.
Ho provato a configurare il plugin inserendo il blocco di TUTTI i cookies, ma secondo me non li blocca tutti... non dovrei riuscire a visualizzare video da youtube, giusto?
Ho visto che si possono anche inserire manualmente i siti da cui provengono i cookies per eventualmente bloccarli, ma youtube non c'è verso di bloccarlo... ho verificato con gli strumenti web di firefox e lo vedo sempre lì....
-
Ti consiglio di guardare il video guida sul sito dello sviluppatore, crea un nuovo gruppo utenti per bloccare cookies di terze parti.
-
Alcune cose importanti apprese da un mio cliente per i suoi siti, fonte autorevole in quanto fanno anche consulenza aziendale pure per il dgpr.
Al di la dell’organizzazione interna aziendale (vostra, nostra, di clienti, ecc..) é importante che:
-i server con i dati siano nella UE;
-i dati di accesso siano crittografati;
-l’autorizzazione ai cookie deve essere di 3 tipi:
• cookie tecnici per il funzionamento del sito,
• cookie analitici / statistici
• cookie di profilazione dell’utente
-
Ciao tomtomeight, secondo te, riguardo l'ultimo punto, il visitatore dovrebbe avere anche la possibilità di attivare/disattivare i cookies a sua scelta?O in altre parole, il visitatore dovrebbe ad esempio essere in grado di attivare un cookie analitico e disattivare un cookie di profilazione?
L'ho letto in rete ma è una cosa che non concepisco..non può il gestore decidere di ottenere il consenso dei cookies in blocco, ovviamente spiegando e definendo quali cookies si vanno impostare?
Sembra quasi che il visitatore abbia più poteri del gestore sui contenuti del gestore!
Dato che ho il blocco preventivo, il visitatore se non vuole i cookies può tenersi il banner per tutto il tempo che naviga!
-
Sembra che la accettazione debba essere selettiva e non complessiva, per quelli tecnici ed anche per quello del cookie stesso basta la sola dichiarazione senza blocchi preventivi.
-
Accettarli in blocco sarebbe una forzatura, per esempio obbligarmi ad accettare di essere profilato da terzi per usufruire di una risorsa che non c'entra col servizio che sto utilizzando. Per capire meglio sarebbe come essere obbligato a fare una polizza infortuni per poter avere un prestito in banca. O situazioni simili. In definitiva devo essere libero di accettare solo quello che serve per utilizzare un servizio o un contenuto e non tutto il pacchetto.
-
Salve,
come avete risolto, quindi, con l'accettazione differenziata dei cookies?
Non si potrebbe rimandare l'utente a gestirli con i suo browser?
-
Non si potrebbe rimandare l'utente a gestirli con i suo browser?
Assolutamente no!
come avete risolto, quindi, con l'accettazione differenziata dei cookies?
Con questo:
https://extensions.joomla.org/extension/gdpr/
ma ti faccio notare che il GDPR non è una legge che regolamenta i cookie, sono molte altre le cose da adeguare in un sito web e nella azienda titolare del sito.
-
Ho visto la demo di questo componente, https://extensions.joomla.org/extension/gdpr/, suggerito da marine, ma la normativa non dice chiaramente che non sono ammesse spunte preimpostate.
-
mando una mail allo sviluppatore e vediamo che risponde a riguardo
-
ma la normativa non dice chiaramente che non sono ammesse spunte preimpostate.
Vero, i checkbox dovrebbero tutti non avere la spunta, deve essere l'utente a dare una chiara azione di accettazione, ovvero mettere le spunte.
Questo probabilmente nel 90% dei casi porterà a rifiutare tutti i cookies, perchè la maggior parte dei visitatori non spunterà le caselle... ::) :-X
-
Almeno per quelli tecnici non andrebbe messa nessuna scelta.
-
Almeno per quelli tecnici non andrebbe messa nessuna scelta.
(Credo) per quelli persistenti serve l'azione esplicita dell'utente (quindi nessuna spunta predefinita nel checkbox); solo per quelli tecnici di sessione non occorre nulla e/o può essere preimpostata la scelta.
-
Ho visto la demo di questo componente, https://extensions.joomla.org/extension/gdpr/ (https://extensions.joomla.org/extension/gdpr/), suggerito da marine, ma la normativa non dice chiaramente che non sono ammesse spunte preimpostate.
Vero, i checkbox dovrebbero tutti non avere la spunta, deve essere l'utente a dare una chiara azione di accettazione, ovvero mettere le spunte.
Ho scritto allo sviluppatore e mi ha riferito che per i cookie "tecnici" (necessary e preferences) quindi no marketing, statistiche o profilazioni varie, ma quelli per far funzionare il sito e che non registrano dati personali la spunta può essere già impostata, in ogni caso nel pannello di controllo del plugin si può scegliere di lasciarle già messe o meno.
-
ciao a tutti,
ho letto con molto interesse la discussione oltre ai cookie quali sono gli altri adempimenti per i siti internet?
esiste una guida in italiano per questo plugin EU e-Privacy Directive?
installando mi trovo un mod_privacy e due plugin:
System - EU e-Privacy Directive
AJAX - EU e-Privacy Directive
vanno abilitati tutti e due?
per far comparire il modulo a piè pagina o in testa alla pagina come succede ad esempio per joomla.it come bisogna procedere? selezionando Page Ribbon inserisce in testa alla pagina. una pagina cookie policy d'esempio dove la si può trovare? posso prendere come riferimento questa utilizzata da Joomla.it?
per la modifica in italiano e il css come bisogna procedere?
questo codice PHP va inserito nella pagina Policy Cookie?
<?php
$cookieData = JFactory::getApplication()->input->cookie->getArray();
if ($cookieData) {
$names = implode( ', ', array_keys($cookieData));
$counter = 0;
foreach($cookieData as $value)
{
++$counter;
}
$exploded_names = explode(", ", $names);
for ($i = 0; $i <= ($counter-1); $i++)
{
echo "Nome del cookie: " . $exploded_names[$i] ."
";
}
}
else
{
echo "Nessun cookie impostato sul tuo device";
}
?>
esiste da qualche parte una traduzione in italiano già pronta di tutte le parti di questo plugin?
il plugin falcon media per i cookies già esistente sul sito può bastare? o come bisogno implementarlo?
se si incorporano su di un sito fatto in joomla video di youtube o di facebook, si "incorporano" anche i cookies di questi ultimi?
grazie a tutti
-
ciao a tutti,
generatore legge sulla privacyhttps://www.wonder.legal/it/creation-modele/privacy-policy-sito-internet
cosa ne pensate?
grazie
-
esiste una guida in italiano per questo plugin EU e-Privacy Directive?
Non credo
installando mi trovo un mod_privacy e due plugin:
System - EU e-Privacy Directive
AJAX - EU e-Privacy Directive
vanno abilitati tutti e due?
per far comparire il modulo a piè pagina o in testa alla pagina come succede ad esempio per joomla.it come bisogna procedere? selezionando Page Ribbon inserisce in testa alla pagina.
Ti consiglio di visitare il sito dello sviluppatore, lì potrai trovare un video di durata di circa mezzora dove spiega il funzionamento e tutte le impostazioni dell'estensione.
posso prendere come riferimento questa utilizzata da Joomla.it?
No
per la modifica in italiano e il css come bisogna procedere?
Vedi video guida
questo codice PHP va inserito nella pagina Policy Cookie?
Si, ma è solo un di più, per mostrare i cookies impostati dal sito, e richiede sourcerer o estensione analoga.
esiste da qualche parte una traduzione in italiano già pronta di tutte le parti di questo plugin?
Forse..ma puoi tradurre il file in /administrator/language/en-GB/en-GB.plg_system_eprivacy.ini e salvare la traduzione in /administrator/language/it-IT/it-IT.plg_system_eprivacy.ini
se si incorporano su di un sito fatto in joomla video di youtube o di facebook, si "incorporano" anche i cookies di questi ultimi?
Basta che controlli con il tuo browser quali cookies vengono salvati.Cancella tutti i cookies e la cache, accedi al tuo sito, quindi analizza i cookies salvati.
-
Vero, i checkbox dovrebbero tutti non avere la spunta, deve essere l'utente a dare una chiara azione di accettazione, ovvero mettere le spunte.
Questo probabilmente nel 90% dei casi porterà a rifiutare tutti i cookies, perchè la maggior parte dei visitatori non spunterà le caselle... ::) :-X
La GDPR prevede il blocco preventivo dei cookies (a parte quelli tecnici di cui io ho provato a bloccare e neanche riesci a navigare) per cui già devi averli disabilitati in partenza! spunte o non spunte! poi sicuramente senza spunte subentrerà la tua teoria :D ;)
-
Buonasera a tutti.
tornando al plug in EU e-Privacy Directive
[/size]Ho uno strano problmea.
Mi blocca il sito. Cioè se vedo l'anteprima del mio sito ho schermata bianca.
A qualcuno ha dato lo stesso errore?
Grazie in anticipo
[/color]
-
Buonasera a tutti.
tornando al plug in EU e-Privacy Directive
Ho uno strano problmea.
Mi blocca il sito. Cioè se vedo l'anteprima del mio sito ho schermata bianca.
A qualcuno ha dato lo stesso errore?
Grazie in anticipo
Apri un tuo post con titolo inerente ed una descrizione chiara e dettagliata del problema.
-
ciao grazie per le risposte,posso prendere come riferimento questa utilizzata da Joomla.it?
NO
No
esiste un modello di riferimento per la policy cookie ?
grazie
-
Ale Grafic non accodarti MAI a messaggi di altri utenti ma devi aprire SEMPRE un tuo post con un titolo esplicativo del problema e fornire più dettagli possibili.