- Home
- Categorie
- Impresa, Fisco e Leggi
- Consulenza Legale
- Cookie law, chiarimenti su cookie di terze parti
-
Esatto Lucia!
Oh, sembra quasi che non vogliano dirlo.
O, cosa più probabile, non lo sanno.
Non voglio fare il solito discorso all' italiana, anzi.. Ma in più che voglio mettermi in regola, ci remano pure contro.
Qualcuno dice, o meglio interpreta, tutto e il contrario di tutto, ma finché non lo dice il Garante per me quello che può estrapolare qualsiasi editore nei suoi articoli, anche se qualificati come Wired e compagia bella, rimane fuffa.
We want to know.
Attendo la email del Garante in merito alla notifica per i cookie di profilazione di terze parti, e posto.
Se non mi rispondono...avrò capito ancora meglio.Ps. Non riesco a modificare il mio messaggio.. In ogni caso correggo, hanno appena chiarito, nel link che ho riportato sopra, che lo scroll del mouse va bene, basta dichiarare nell' informativa stessa che esso sia un metodo di accettazione dell' informativa breve.
Un saluto
-
La questione si complica sempre più ogni volta che il Garante "chiarisce". L'impressione è che stiano cercando di mantenere una forte incertezza per favorire qualcuno. Comunque un dato di fatto è che la normativa è strutturata per disincentivare i servizi di terze parti, in particolare Google (già a livello europeo è visto col fumo negli occhi, il Garante italiano dice che combattere Google è questione di libertà).
Il punto è che allo stato non ci sono molte certezze. Però occorre necessariamente rifarsi alle regolamentazioni del Garante, perchè la direttiva europea è legge quadro che rimanda appunto ai singoli Garanti nazionali. Nel resto d'Europa si applica la normativa in maniera light, in Italia il Garante la intepreta nel modo pià restittivo possibile. addirittura peggio di quanto io immaginassi inizialmente.
In sintesi i cookie di terze parti vanno bloccati tutti, fino a consenso. Se non c'è consenso non vanno installati. Però il consenso è semplificato, cioè è sufficiente il banner (ben visibile, non deve essere enorme ma deve risaltare sul sito, se è "affogato" nel sito non va bene) che avverte della presenza di cookie di terze parti e che continuando la navigazione si accettano i cookie. L'utente che capita sul sito se non vuole i cookie se ne deve andare dal sito, se prosegue li accetta.
Per il resto la distinzione tra prima e terza parte è relativa. Comunque la prima parte, gestore del sito, dice il Garante, anche se non è responsabile dell'informativa estesa (cioè non deve indicare quali cookie sono e quali finalità anno, se non genericamente), deve sempre chiedere il consenso. In teoria sarebbe sbagliato (il gestore non tratta i dati della terza parte) ma il Garante dice che ne è corresponsabile, quindi tocca a lui chiedere il consenso prima di inviare tali cookie.
Per i cookie di analytics, devono essere anonimi (mascheramento di IP e blocco incroncio dei dati con altri servizi) per poter essere non cookie di profilazione. Altrimenti non solo vanno bloccati, ma sono cookie di profilaizone e anche la prima parte deve notificare il trattamento al Garante (150 euro di costo). Questo perchè comunque vede (quindi tratta) almeno parte dei dati (a differenza dei social plugin per i quali il gestore non vede i dati quindi non deve notificare nulla).
Il Garante francese (la normativa attuativa francese è uguale a quella italiana con la differenza che il CNIL ha fornito una marea di aiuti concreti agli utenti, mentre il Garante italiano se ne frega e lascia il campo a imprese privte che ci lucrano), dice che l'unico servizio che non è soggetto a consenso è Piwik. Google Analytics è soggetto a consenso se è anonimizzato e con blocco dell'incrocio dei dati con quelli degli altri servizi Google, se no è profilazione.Per Adsense al momento non ci sono certezze. In teoria Adsense è profilazione (quindi notifica al Garante se il gestore tratta i dati). I cookie vanno bloccati, ma, mi dicono, l'alterazione del funzionamento dello script può comportare ban da Google. IL problema è che Google ha messo a disposzione unos cript che rende conforme i suoi servizi tranne per l'Italia che ha una normativa più restrittiva rispetto al resto d'Europa. Insomma un casino.
Al momento ci sono due petizioni, io personalmente ho inviato comunicaizoni al Garante per chiarimenti e per invitarlo e riportare la normativa su una posizione più light (tipo UK per intenderci dove è tutto opt out), ma non credo che il Garante ci ascolti. Comunque nei prossimi giorni dovrebbe partire una nuova petizione con annessa proposta di regolamentazione. Spero che ci sia adesione a questa proposta, perchè se non siamo in tanti non otterremo nulla.
NB. Non vendo nulla, non vendo kit, non vendo soluzioni, sto cercando di riportare la normativa su posizioni che rendano possibile adeguarsi gratis e senza difficoltà per i tantissimi piccoli gestori di siti. Sono contrario a questa posizione del Garante, ma credetemi allo stato è questo che il Garante chiede.
-
Ma non scherziamo ! Se il provvedimento pubblicato in GU, quindi con valore legale, differenzia il ruolo tra editore e terza parte, definendo il primo come un intermediario tecnico, da dove esce fuori che bisogna pagare per conto di Facebook e Google ? Aggiungo che fino a quando non fu distribuito il kit di sapete chi, al blocco preventivo dei cookies terze parti non ci pensava nessuno.. Ora esce fuori un articolo su un sito web e ci viene il dubbio della notifica ?
-
Chi ha detto di pagare per conto di FB e Google? Nessuno.
Per FB non c'è bisogno di alcuna notifica. Per i cookie di Analytics di Google (se non opportunamente anonimizzati) è profilazione. IL gestore del sito tratta anche lui i dati (anche vederli è trattamento), e quindi paga per il suo trattamento, mica per quello di Google.
Prima e terza parte sono opportunamente differenziate sotto il profilo della responsabilità, ma per i cookie di analytics entrambi trattano.
-
bsaett, stavamo scrivendo insieme, non avevo visto neanche il tuo messaggio Sul fatto di Analytics ci sta, certo, vediamo dati anonimizzati che non identificano nessuno, gli IP non li vedevamo neanche prima. Comunque nel pannello di amministrazione si può settare le impostazioni come dice il garante nel suo "chiarimento".
L'unica speranza viene da Google, che potrebbe benissimo fornire un codice diverso per gli sfortunati e primitivi utenti italiani, adeguando i servizi alla nostra legislazione. Che poi dico, una legge sui cookie ci può anche stare, ma che senso ha affidarla al Garante della Privacy ? Un dato personale identifica una persona, un cookie è una stringa di testo che non contiene nulla, solo dati di sessione.
A questo punto ti chiedo, mi sembra di ricordare che nel codice civile sia stabilito che chi accusa deve fornire le prove. Come farebbe il garante a dimostrare che i cookie di un qualsiasi servizio siano di profilazione ?
-
Ah, scusa.
Comunque Google ha già fornito il suo pacchetto per mettere in regola i siti (non è conforme con l'Italia), aspettare che ci venga incontro di nuovo.... mah.
Io vorrei provare a far ragionare il Garante. Però occorre una certa massa.
La mia proposta è applicare l'opt out (come è in UK e Germania), cioè l'utente viene sul sito, si becca i cookie e l'informativa. Se non li vuole modifica i settaggi del browser, scarica Privacy Badger quello che vuole, ma è assurdo che noi dobbiamo o rinunciare a Google oppure diventare tutti ingegneri per modificare i codici.
Del resto l'informativa serve a rendere consapevole l'utente, quindi ad informarlo, non a scaricare sui gestori dei siti oneri che sono teoricamente dei gradni editori.
-
Bene ! Tralasciando chi sta lucrando con blocchi a rischio ban, il resto della rete si sta lamentando alla grande. In questo gruppo di FB siamo oltre 1000 facebook[.]com/groups/fattidicookies/, se tu o chiunque altro volesse unirsi, un buon punto di partenza c'è.
Se poi il link non si può mettere, per spam o cose simili, cancellalo pure...
-
Mi iscrivo subito.
-
Grazie per le info (ora mi iscrivo anche io alla petizione)!
Comunque ragazzi, ci mancherebbe, io posso usare tutto il buon senso del mondo e mi scoccia non poco passare per l' antipatico di turno, però..qui purtroppo il buon senso da solo lascia il tempo che trova.
In più che avrò letto ormai una ventina di volte il testo del garante, preso appunti e analizzato ogni singola locuzione, e integrato il tutto con il suo "chiarimento" (è l' espressione meno idonea con cui chiamare questa sua comunicazione ufficiale), io tuttora non riesco a capire, se non *interpretando, *se l' obbligo di notifica spetta anche per chi ha cookie di profilazione di terze parti.
Anche io sono d' accordo con voi, so che è impensabile e assurdo, ma carta canta, e finché non c' è scritto chiaramente.. Magari voi siete più tranquilli e vi invidio, perché io no.
Non sono qui a dire che ho ragione, anzi tra tutti i presenti qui io sono quello che più spera di sbagliarsi, ma se leggo il testo senza alcuna libera interpretazione, non ho alcuna informazione diretta (se non, appunto, tramite eventuali deduzioni personali) riguardante questo obbligo di notifica.
Se ho preso un abbaglio mi scuso per il rumore che sto facendo per nulla, in tal caso chiedo solo gentilmente se mi si può evidenziare la parte di testo del Garante in cui si declina l' obbligo di notifica per un cookie profilante di terza parte o, se non presente, almeno i passaggi in cui si evinca tutto ciò con un ottimo margine di certezza.Nel frattempo attendo una loro mail, ancora nulla da sabato ma tenendo conto che è appena lunedì paziento con im-pazienza.
Grazie mille, un saluto.
Simone
-
@chano said:
Grazie per la dritta ZioAlfredo!
Ora dovrei di aver trovato un plugin che blocca qualsiasi tipo di cookie, anche da iframe. Lo testo e se funziona penso di adottare quello, altrimenti cercherò di sistemare le cose con componenti che non emettono cookie..!
Ma che dite ragazzi? Che bisogno c'è di bloccare i cookie di terze parti? Basta sengalarli e inoltre è solo un'accortezza perchè tecnicamente i responsabili del trattamento sono i fornitori del serivizo (nel caso di google maps è Google )
-
@bsaett said:
In sintesi i cookie di terze parti vanno bloccati tutti, fino a consenso. Se non c'è consenso non vanno installati. Però il consenso è semplificato, cioè è sufficiente il banner (ben visibile, non deve essere enorme ma deve risaltare sul sito, se è "affogato" nel sito non va bene) che avverte della presenza di cookie di terze parti e che continuando la navigazione si accettano i cookie. L'utente che capita sul sito se non vuole i cookie se ne deve andare dal sito, se prosegue li accetta.
Vedo che sei avvocato e quindi immagino tu abbia studiato a fondo la normativa, però da quanto mi risulta, non solo non è necessario bloccare i cookie di terze parti (ma solo segnalarli), ma l'autore / editore non è nemmeno responsabile del trattamento e quindi di eventuali conseguenze legate (lo è infatti il fornitore di terza parte es.: google / facebook etc...)
Non sarebbe possibile bloccare cookie di terze parti in alcun modo, se non oscurando widget o social button fino alla conferma dell'informativa dato che i cookie vengono attiva non appena un utente visita la pagina.
Ritengo non sia questo quanto pensato dal garante, e in effetti nessuno si è comportato in questo modo.@bsaett said:
Per i cookie di analytics, devono essere anonimi (mascheramento di IP e blocco incroncio dei dati con altri servizi) per poter essere non cookie di profilazione. Altrimenti non solo vanno bloccati, ma sono cookie di profilaizone e anche la prima parte deve notificare il trattamento al Garante (150 euro di costo). Questo perchè comunque vede (quindi tratta) almeno parte dei dati (a differenza dei social plugin per i quali il gestore non vede i dati quindi non deve notificare nulla).
Anche qui mi pare che le indicazioni siano tutt'altre. Per profilazione mi pare si faccia esplicito riferimento al remarketing e al trattamento dei dati per fini pubblicitari. Mi permetto di verificare ulteriormente, perchè a questo punto mi fai venire qualche dubbio.
-
Ciao Wolfango_amadeo,
ovviamente quella è la mia opinione. Ma per me è quello che ha detto il Garante. Qua non si tratta della normativa che è legge quadro (non ha dettaglio), ma di quello che dice il Garante (la direttiva rimanda espressamente alla regolamentazione di dettaglio del Garante. I Garanti europei si sono orientati per una normativa light (UK, Germania hanno opt out, Francia ha opt in ma a differenza del Garante italiano mette a disposizione strumenti, chiarimenti -chiari-, esercitazioni pratiche e tutto quello che occorre per mettere in regola il sito web).
Quindi IMHO:- terze parti: blocco preventivo;
- G. Analytrics, blocco (è terza parte) e anonimizzazzione e blocco incrocio dati con altri servizi Google (ci sono istruzioni di Google per farlo), se no occorre notifica al Garante (lo dice il Garante quindi è profilazione).
Attenzione a non confondere. Tecnicamente (Convenzione 108) le prime parti sono destinatari terzi del trattamento, in tale senso hanno una responsabilità, e occorre una base legale per il trattamento. Il Resposanbile del trattamento (Google ad esempio) ha responsabilità distinte.
Qui sono d'accordo nella necessità di distinguere tra chi fa trattamento e chi no. Per i social plugin infatti io non vedo nulla, quindi non tratto. I dati li prende FB (ad esempio) e non da nulla a me. Per GA invece io vedo dati. Sono dati di quel trattamento complessivo, e quindi io rispondo di quel trattamento complessivo (come destinatario terzo, da non confondere con le terze parti -cioè Google-), anche se poi vedo solo una piccola parte dei dati.La questione è complessa ma gli equivoci sorgono perchè molti leggono il provvedimento del Garante (e le FAQ) estrapolando singole frasi, senza tenere conto del quadro normativo generale.
Poi sono perfettamente d'accordo che l'attuazione del Garante italiano è la più restrittiva in Europa (notare che molti commentatori anche giuristi in questi giorni ci hanno raccontato -falsamente- che l'Italia in fondo si attiene alle istruzioni delll'Europa, ma non è vero). Ho già inviato al Garante una proposta per mitigare la sua regolamentazione ma non ho ottenuto risposta. La mia idea è di proseguire su questa linea. Nei prossimi giorni avvierà iniziative per mostrare come è la cookie law nel resto d'Europa (perchè in UK e Germania -che ha ottenuto la conformità dalla Commissione europea c'è l'opt out e solo da noi l'opt in?) e chiedere una modifica.
E poi, boh. Vedremo.
-
Grazie per il chiarimento Bsaett, in effetti specialmente per analytics è così (rileggeno l'ultimo chiarimento del garante - lo trovate sempre in questa discussione), ed è quindi necessario disattivare tutti i servizi aggiuntivi di analytics e anonimizzare l'IP (troncando l'ultima parte).
Pare basti aggiungere un parametro allo snippet analytics 'anonymizeIp' In ogni caso quello che sto vedendo è che per le attività che seguo (e parliamo anche di clienti finali molto importanti a livello nazionale), nessuno si sta adeguando in questo modo. Le agenzie non si preoccupano più di tanto quando sottopongo la gravità della questione e delle possibili sanzioni, la responsabilità viene ribaltata sugli studi legali.
Dal mio punto di vista vedo molto improbabile che il garante possa multare qualcuno perchè non maschera l'IP di analytics (intanto bisogna capire se c'è qualcuno atto a fare le dovute valutazioni che sappia ciò di cui parliamo, perchè mi pare che il garante stesso non sia tanto sul pezzo).
Ciò detto, per quanto mi riguarda, sui siti di mia proprietà sto aggiungendo ora il mascheramento (si sa come vanno le cose in Italia... se rubi una mela poi ti tocca il carcere )
-
Per i siti statici, senza form di iscrizione, pubblicità mirata od ecommerce... bisogna fare il banner per accettare i cookie?
-
@yabeforg said:
Per i siti statici, senza form di iscrizione, pubblicità mirata od ecommerce... bisogna fare il banner per accettare i cookie?
se non ci sono cookie no. Potrebbe esserci qualche cookie legato al dominio però, nel caso dovresti comunque indicarlo.
-
@wolgango_amadeo said:
se non ci sono cookie no. Potrebbe esserci qualche cookie legato al dominio però, nel caso dovresti comunque indicarlo.
come si capisce se ci sono dei cookies?
-
@yabeforg said:
come si capisce se ci sono dei cookies?
Trovi svariati metodi anche in questo thread. La soluzione migliore per me è quella di usare la console di chrome developer.chrome.com/devtools/docs/resources
oppure ancora meglio** firebug **su Firefox tab "Cookie" e *il comodissimo esporta tutti i cookie del sito in un file .txt *
-
Grazie mille!!
Ho trovato alcuni mie lavori che hanno dei cookie (pochissima roba)... non sapevo nemmeno.
Ma come posso eliminarli visto che non vorrei che ci fossero sui miei siti? Cioè come posso individuarli nel codice del template?
-
Se sono cookie di terze parti, l'unico modo è quello di rimuovere l'eventuale codice embed. Ci riferiamo in questo caso per esempio a social share button (esempio più comune I like facebook), oppure google maps o un video youtube embeddato. In questo caso se vuoi usare questi servizi non puoi fare a meno dei cookie.
Stesso discorso per cookie di dominio (alcuni registrant li utilizzano) : non puoi rimuoverli.
Se sono legati a funzionalità lato server invece, dovresti rimuovere queste funzionalità (p.e. login o altre funzionalità che registrano lo stato dell'utente).
Fondamentalmente però non ha senso rimuovere nessuno di questi, perchè inficierebbe il senso del sito web.
Ti conviene applicare la normativa e inserire un bel banner con relativa pagina informativa. Se invece proprio non vuoi / puoi ci sono diversi siti che offrono questo servizio (individuando tra l'altro tutti i cookie presenti), non ho idea di quali siano i costi. Se cerchi su google trovi sicuramente, io ne ho in mente uno (il più conosciuto), che però non cito perchè non mi va di fargli pubblicità gratuita
-
@ Bsaett, vorrei ringraziarti per il duro lavoro di divulgazione fatto in questi giorni.
Quando partiranno le nuove iniziative aggiornaci, visto che la situazione è ormai insostenibile.Ormai credo di aver capito come adottare soluzioni tecniche (paranoiche quanto questa legge) per quasi tutti i problemi sollevati dalla Cookie Law italiana.
Il dubbio che mi resta (e la soluzione tecnica che mi manca) è nella documentabilità dell'avvenuto consenso.Dobbiamo creare dei log dei consensi che recepiamo dagli utenti dei siti?
Come facciamo a dimostrare che abbiamo settato un cookie per l'acquisizione del consenso, a fronte di una segnalazione al Garante?
Grazie mille.