- Home
- Categorie
- La Community Connect.gt
- Internet News
- PRIVACY: Cosa è veramente il consenso? Non ci sono più margini di interpretazione!
-
Ciao ragazzi.
Il tutto era ampiamente chiaro da prima. Già la stesura del regolamento ue 206/679 indicava che l'accettazione deve essere esplicita, vuol dire che il soggetto deve compiere un'azione a lui chiara e deve essere consapevole di quello che fa.
I cookie analitici, marketing e profilazione (lo metto così è più chiaro) devono rimanere bloccati fino a quando l'utente non li accetti, eseguendo un'azione esplicita (click su "accetta") o anche sulla x se sul banner è scritto che facendolo equivale ad accetarli.
Questo significa che:
Non devono comparire tutti quegli elementi che installano cookie:
Google analytics non anonimizzato,
Youtube senza il nocookie,
Google Maps,
Banner adsense,
Banner di altri canali per la monetizzazione, eccetera.Fanno eccezione i link di affiliazione per i quali però va specificata la presenza nella privacy policy.
Altro punto: se si adottano banner per i cookie con la possibilità di spuntare il tipo di cookie a cui si acconsente, tranne la casella dei cookie tecnici, tutte le altre non devono essere spuntate a priori.
Capitolo form contatti: li va una checkbox che informa l'utente di cosa si farà con i suoi dati (una sorta di informativa breve) e deve essere presente il link alla privacy policy.
Ma queste sono tutte cose già previste dal regolamento ue, solo che, a cominciare da alcuni grandi giornali, non mi sembra affatto che siano state rispettate.
La ragione è ovvia... C'è un calo di guadagni fino al 90%.
Ah e ovviamente... i cookie devono essere bloccati per davvero.
Se sbaglio qualcosa ditemelo.
-
Ciao Flavio è esattamente quello che si è detto sopra.
-
Dare il consenso con lo scrolling della pagina web non lo definirei da furbetti.. visto che è stato accettato e utilizzato (come opzione) da Iubenda che ha contatti diretti con il garante della privacy italiano.
Se vogliamo parlare di veri furbetti, sarebbe meglio parlare delle telefonate moleste, e del fatto che 80% dei siti italiani non ha adempito in modo completo (certi hanno fatto praticamente 0) sul proprio sito.Se vogliamo parlare invece di come queste attività di privacy, se pur giuste per proteggerci, uccide i piccoli creatori, allora è un'altra storia. Mi riferisco al fatto che 15 anni fa anche un adolescente poteva avere un piccolo sitino personale, o che una persona metteva giù un forum per una passione; ora con tutte queste nuove leggi e leggine e sistemi veramente complessi (bloccare i cookie non è una cosa da chiunque, registrare il form dati e privacy nello stesso form non è cosa proprio facile).
Tutto questo finisce con il fatto che i siti muoiono, le multinazionali vincono.Ci ha cambiato veramente la vita la cookie law proteggendoci da chissà quali mostri di cookie?
Ha veramente valore bloccare il cookie di google analytics e affini sui singoli siti?
Facciamo un esempio pratico: cerco con google una parola X come tartufo. Google sa già cosa voglio solo dal fatto che lo cerco nella sua barra di ricerca. Se volessi non dargli i mie dati non navigherei con un account google attivo. cosa gli cambia a google di sapere quanto tempo sto sul sito, quali pagine leggo se leggo di più su tartufo bianco o tartufo nero? Lo sa già dalla ricerca che faccio! Ma ovviamente, i cookie che dicono al proprietario del sito quali pagine sono di punta e dovrebbe migliorare, sono un orribile mostro a cui tutti dovrebbero far attenzione.
Per questo mettiamo banner Avvisi di stare attenti ai cookie: diciamo alle masse ignoranti del settore che i cookie dei siti sono pericolosi, ma nessuno fa caso che google di base già raccoglie tutti i dati che gli serve senza passare dai siti.
Ovviamente le persone comuni che navigano con un account di google hanno già accettato una volta il consenso e non si rendono conto che praticamente i dati spiccioli che gli fregano la privacy sono già presi prima che entrano nei siti.Parliamo del consenso inequivocabile del Form contatti?
In questo caso è giusto mettere le spunte separate per l'uso di dati personali per scopi commerciali, è giusto non obbligare a spuntarle (cosa che molti siti hanno fatto nel tempo), ma il resto?
Prima di tutto sarebbe il caso di mettere un opzione con ,desidero che i mie dati non vengono venduti a terze parti (venduti non ceduti tipo per servizio di analisi), ma poi è veramente necessario avere una banca-dati con:
le caselle chieste all'utente (copia html del form), le risposte del cliente nelle caselle (per ogni casella copia della parte scritta inserita), la copia della privacy (quindi copia di un testo lungo una vita), versione della privacy (data privacy), data invio modulo (timestamp).
Questi sono i dati necessari per avere un consenso inequivocabile! E quindi sei obbligato a mette un sistema che prenda i dati e li spedisca assieme a quelli con cui viene compilato il form. Cosa non da 5 minuti, e assolutamente cosa che pochi contact form fanno oggi giorno.(iubenda te lo fa per 36€ al mense circa.. vedete un po' per un sitino di hobby, e devi pure associarlo al tuo form! )
Invece inviare un email cliccando sul link dell'email è ovviamente inequivocabile.Riassumendo
-nuove leggi che mettono pistille, ma ad esempio non semplificano la comunicazione di come vengono usati i dati (privacy police lunghissime e mai nessuno le legge!)
-Siamo obbligati a cliccare ogni sito visitato nuovo, per proteggere i nostri dati catturati invece prima, appena facciamo una ricerca web.
-I programmatori devono pescare dati in modo complesso quando basterebbe qualche spunta da inserire in un form per la dichiarazione e via.
-La vera privacy che tutti volevano ottenere, ovvero basta telefonate moleste e basta spam nell'email non si è assolutamente bloccata.
-E tutto questo avvantaggia le multinazionali rispetto ai piccoli lavoratori autonomi, creando disparità mondiali che vedrete ci spaventeranno a morte da una ventina d'anni.*Cosa è veramente il consenso? Il consenso non esiste.. o accetti o non usi la rete... (questa rete...)
-
Nel form contatti non bassa la spunta e link alla privacy police!
Qui dovrebbe essere spiegato in modo legale : https://www.iubenda.com/it/help/5424-guida-gdpr#registro-consensi
-
L'utilizzo dello scroll rappresenta un buco di normativa che ora hanno colmato. Era abbastanza intuibile che non potesse rappresentare un consenso prestato in maniera chiara e palese.
**E della "X" per chiudere il banner cosa ne pensate?
**
Flavio sopra scrive che la X è assimilabile al pulsante accetta ma lato UX a voler essere onesti mi sembrano due azioni dal peso molto diverso.
-
@bibi.lerici said:
Dare il consenso con lo scrolling della pagina web non lo definirei da furbetti.. visto che è stato accettato e utilizzato (come opzione) da Iubenda che ha contatti diretti con il garante della privacy italiano.
Se vogliamo parlare di veri furbetti, sarebbe meglio parlare delle telefonate moleste, e del fatto che 80% dei siti italiani non ha adempito in modo completo (certi hanno fatto praticamente 0) sul proprio sito.Lasciamo stare Iubenda che non centra niente. Sono anche amici e sono bravi ragazzi. Soprattutto ne sanno sicuramente più di me sul tema. Io mi limito a evidenziare una cosa già evidente e che ora è evidentissima.
LO SCROLL NON E' CONSENSO
Loro si adeguano a quanto ovviamente il garante ha predisposto, ma appunto nel mio messaggio per me il primo furbetto è il garante. Il regolamento era inequivocabile. Lo si è ignorato. Comunque se leggi tutti i messaggi sopra potrai capire come siamo tutti in accordo.
@bibi.lerici said:
Se vogliamo parlare invece di come queste attività di privacy, se pur giuste per proteggerci, uccide i piccoli creatori, allora è un'altra storia. Mi riferisco al fatto che 15 anni fa anche un adolescente poteva avere un piccolo sitino personale, o che una persona metteva giù un forum per una passione; ora con tutte queste nuove leggi e leggine e sistemi veramente complessi (bloccare i cookie non è una cosa da chiunque, registrare il form dati e privacy nello stesso form non è cosa proprio facile).
Tutto questo finisce con il fatto che i siti muoiono, le multinazionali vincono.Su questo invece secondo me stiamo esagerando. Oggi come allora puoi fare tutto quello che vuoi e fare il sito che vuoi. Se non includi nulla di terze parti non hai neanche necessità di mostrare il banner di informativa breve quindi parliamo di niente.
Inoltre le sanzioni sono solitamente commisurate al danno che puoi creare in caso di trattamenti illeciti etc etc quindi anche qui parliamo di nienti.
Siti personali, piccoli blog, siti semplici si possono fare ora come allora.@bibi.lerici said:
Ci ha cambiato veramente la vita la cookie law proteggendoci da chissà quali mostri di cookie?
I cookie sono solo una briciola rispetto a ciò che è il GDPR. Quindi secondo me qui stiamo confondendo un po' le cose. Pensare che il GDPR sia il cavaliere in lotto contro i cookie ci porta solo fuori strada.
Il GDPR era NECESSARIO.@bibi.lerici said:
Ha veramente valore bloccare il cookie di google analytics e affini sui singoli siti?
I cookie di analytics non sono da bloccare necessariamente fintanto che disattivi la parte di profilazione che spesso è implicita nell'installazione.
In ogni caso non è che se uno usa un bazooka e non sa come usarlo allora accettiamo che stia uccidendo persone.
Serve consapevolezza nell'utilizzo degli strumenti. I siti li devono fare le persone in grado di farli. Infatti l'abbassamento della barriera all'ingresso grazie a CMS etc etc ha reso internet terra di conquista da parte di hacker e malintenzionati. Prima la barriera all'ingresso, sebbene con tecnologie molto più semplici, era molto più alta. Le più evolute tecnologie hanno abbassato la barriera all'ingresso con tutti i problemi del caso, ma ci sono anche benefici non fraintendetemi.@bibi.lerici said:
Facciamo un esempio pratico: cerco con google una parola X come tartufo. Google sa già cosa voglio solo dal fatto che lo cerco nella sua barra di ricerca. Se volessi non dargli i mie dati non navigherei con un account google attivo. cosa gli cambia a google di sapere quanto tempo sto sul sito, quali pagine leggo se leggo di più su tartufo bianco o tartufo nero? Lo sa già dalla ricerca che faccio! Ma ovviamente, i cookie che dicono al proprietario del sito quali pagine sono di punta e dovrebbe migliorare, sono un orribile mostro a cui tutti dovrebbero far attenzione.
Google può fare lo stesso le sue attività utilizzando dati aggregati e già lo fa in questo modo. Diverso invece è quando profili l'utente e questo è una cosa che esula da quanto scrivi nell'esempio.
@bibi.lerici said:
Parliamo del consenso inequivocabile del Form contatti?
In questo caso è giusto mettere le spunte separate per l'uso di dati personali per scopi commerciali, è giusto non obbligare a spuntarle (cosa che molti siti hanno fatto nel tempo), ma il resto?
Prima di tutto sarebbe il caso di mettere un opzione con ,desidero che i mie dati non vengono venduti a terze parti (venduti non ceduti tipo per servizio di analisi), ma poi è veramente necessario avere una banca-dati con:
le caselle chieste all'utente (copia html del form), le risposte del cliente nelle caselle (per ogni casella copia della parte scritta inserita), la copia della privacy (quindi copia di un testo lungo una vita), versione della privacy (data privacy), data invio modulo (timestamp).
Questi sono i dati necessari per avere un consenso inequivocabile! E quindi sei obbligato a mette un sistema che prenda i dati e li spedisca assieme a quelli con cui viene compilato il form. Cosa non da 5 minuti, e assolutamente cosa che pochi contact form fanno oggi giorno.(iubenda te lo fa per 36€ al mense circa.. vedete un po' per un sitino di hobby, e devi pure associarlo al tuo form! )
Invece inviare un email cliccando sul link dell'email è ovviamente inequivocabile.Io sinceramente non riesco a seguirti neanche qui. Se ci sono delle leggi da rispettare si rispettano. Se è difficile farlo tecnicamente e tu non sei in grado vuol dire che non è il tuo lavoro e lo devi far fare ad altri. In alternativa metti la tua mail senza form contatti.
Insomma non starei a stabilire cosa è giusto e cosa è sbagliato basandomi sul fatto che farlo è difficile. Altrimenti saremmo tutti medici, ingegneri, astronauti.
@bibi.lerici said:
*Cosa è veramente il consenso? Il consenso non esiste.. o accetti o non usi la rete... (questa rete...)
E infatti il punto è proprio questo. Si sta cercando di lavorare per dargli un senso.
Ovvio che non c'è molto interesse perché questo lo abbia.O accetti o non usi la rete è quello che ci ha portato all'attuale stato delle cose.
L'approccio dovrebbe essere quello di dire invece: "come possiamo fare in modo che il consenso possa essere fornito nel modo più chiaro e informato possibile senza tediare le persone e senza influire troppo sull'usabilità?"
Ci sarebbero molti modi qualora ci fosse uno standard e uno sforzo comune in questa direzione. Cosa che ovviamente non c'è.
-
@panese said:
**E della "X" per chiudere il banner cosa ne pensate? **
Che non è sicuramente consenso.
-
Non posso che lasciare la parola ai moderatoli, e ovviamente alla maggioranza visto che sono tutti d'accordo: @Juanin said:
Comunque se leggi tutti i messaggi sopra potrai capire come siamo tutti in accordo.
Io farei solo attenzione al INEQUIVOCABILE: perché il testo inglese ha certe sfumature che "con la giusta informazione" permette tutto.
esempio 15, sezione 86: > may be options to indicate agreement, as long as clear information is provided,
-
@bibi.lerici said:
Io farei solo attenzione al INEQUIVOCABILE: perché il testo inglese ha certe sfumature che "con la giusta informazione" permette tutto.
esempio 15, sezione 86:
Si ma non puoi estrarre solo il pezzo che ti interessa poi viene fatto un esempio parecchio esplicito e poi nell'example 16 lo spiega ancora più esplicitamente che un'azione affine a normale utilizzo della pagina in sostanza non può essere tale.
(e.g. if you swipe this bar to the left, you agree to the use of information X for purpose Y. Repeat the motion to confirm.”).
-
- Example 15:** Swiping a bar on a screen**, waiving in front of a smart camera, turning a smartphonearound clockwise, or in a figure eight motion **may be options to indicate agreement, as long as clearinformation is provided, **and it is clear that the motion in question signifies agreement to a specificrequest (e.g. if you swipe this bar to the left, you agree to the use of information X for purpose Y.Repeat the motion to confirm.”). The controller must be able to demonstrate that consent wasobtained this way and data subjects must be able to withdraw consent as easily as it was given.
- Example 16: Based on recital 32,** actions such as scrolling or swiping through a webpage** or similar useractivity will not under any circumstances satisfy the requirement of a clear and affirmative action: suchactions may be difficult to distinguish from other activity or interaction by a user and thereforedetermining that an unambiguous consent has been obtained will also not be possible. Furthermore,in such a case, it will be difficult to provide a way for the user to withdraw consent in a manner that isas easy as granting it.
Si hai ragione, questi sopra sono i 2 testi citati nel pdf linkato.
**Swiping a bar on a screen | **** actions such as scrolling or swiping through a webpage.
**Quindi: Swiping significa o rubare o colpire (verbo), scroll significa far scorrere su video (verbo).
Noi parliamo di accettare cookie con un scroll della pagina con mouse o con dito, ma questi 2 esempio di cosa stanno veramente parlando con i loro esempi?
Ci guardiamo anche questo famoso "RECITATO 32" citato nel 86?
- Article 7(4) is only relevant where the requested data are not necessary for the performance of thecontract, (including the provision of a service), and the performance of that contract is madeconditional on the obtaining of these data on the basis of consent. Conversely, if processing isnecessary to perform the contract (including to provide a service), then Article 7(4) does not apply.33.
Example 6: A bank asks customers for consent to allow third parties to use** their payment details** fordirect marketing purposes. This processing activity is not necessary for the performance of the contractwith the customer and the delivery of ordinary bank account services. If the customer’s refusal to consent to this processing purpose would lead to the denial of banking services, closure of the bankaccount, or, depending on the case, an increase of the fee, consent cannot be freely given.
Quindi se l'esempio 86 si basa sul citato 32 troviamo che : non possiamo dare dati di pagamento a terzi con un semplice scrolling di pagina. Mi sembra abbastanza ovvio. Però possiamo veramente paragonale la cessione di dati di pagamento con il consenso di trasmissione del proprio ip? A me sembra quasi come dire che aver camminato sul marciapiede davanti alla banca è uguale a chiedere un conto in quella banca. E' abbastanza abissale la differenza nel mondo reale, ma nel web diventa tutto molto irreale, tanto che una navigazione viene paragonata alla consegna di dati personali come carta di credito, numero di telefono ecc.
Sto solo dicendo che il testo non è inequivocabili ma rende la cosa ancora più dubbia se letto giusto 4 paragrafi su 31 pagine che lascio volentieri da studiare al garante. Ricordando anche che la traduzione testuale in italiano fa la vera differenza del'interpretazione.
Quindi prima di dire è tutto inequivocabile, vediamo come verrà tradotto dal garante della privacy che tanto consideri furbetto.
-
@bibi.lerici said:
Quindi: Swiping significa o rubare o colpire (verbo), scroll significa far scorrere su video (verbo).
Credo che sia probabile che molte interpretazioni latine siano dovute a una poca comprensione dell'inglese e probabilmente anche dei termini tecnici del web.
Swiping non significa rubare o colpire. Swiping è una delle gesture di uso comune sugli smartphone.
@bibi.lerici said:
Ci guardiamo anche questo famoso "RECITATO 32" citato nel 86?
Il 32 non è quello del documento stesso, ma fa riferimento alla direttiva GDPR originale. Come già scritto qui ossia
"Il consenso dovrebbe essere espresso mediante un atto positivo inequivocabile con il quale l'interessato manifesta l'intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali (...) Se il consenso dell'interessato è richiesto attraverso mezzi elettronici, la richiesta deve essere chiara, concisa e non interferire immotivatamente con il servizio per il quale il consenso è espresso"
nello stesso documento trovi anche vari spezzoni che citano sempre il RECITAL 32 del GDPR.
@bibi.lerici said:
Però possiamo veramente paragonale la cessione di dati di pagamento con il consenso di trasmissione del proprio ip? A me sembra quasi come dire che aver camminato sul marciapiede davanti alla banca è uguale a chiedere un conto in quella banca. E' abbastanza abissale la differenza nel mondo reale, ma nel web diventa tutto molto irreale, tanto che una navigazione viene paragonata alla consegna di dati personali come carta di credito, numero di telefono ecc.
Anche qui certo che la differenza è abissale e infatti tale differenza va espressamente fatta anche sul web. Ci devono essere consensi informati e accettazione di contratti etc etc etc in ogni punto dove è necessaria una ulteriore conferma. La questione IP invece è un po' diversa, ma andremmo negli abissi di una discussione senza fine.
@bibi.lerici said:
Sto solo dicendo che il testo non è inequivocabili
Quando parlavo di interpretazioni fantasiose mi riferivo proprio a questo. Qui non c'è nulla di equivocabile a meno che noi non vogliamo auto-convincerci che sia così.
In ogni caso rispetto la tua opinione e interpretazione, ma non la condivido affatto e credo che sia un modo molto fantasioso di voler leggere il GDPR e gli esempi forniti.
-
Ciao
ora vado OT. Qui parliamo di Flag, Banner che avvisano gli utenti per accettare la Privacy e poi ci sono aziende italiane che fanno ancora scraping di email, raccolta brutale di numeri di cellulari e invio massivo di Sms senza la possibilità di cancellarsi.Trovo corretto quanto detto ma non sarebbe meglio sistemare prima questi problemi?
Altro esempio, i Call center chiamano cellulari senza avere il consenso del proprietario per offrire le loro offerte. Provate a cancellarvi da quelle liste.
-
@Sermatica said:
Ciao
ora vado OT. Qui parliamo di Flag, Banner che avvisano gli utenti per accettare la Privacy e poi ci sono aziende italiane che fanno ancora scraping di email, raccolta brutale di numeri di cellulari e invio massivo di Sms senza la possibilità di cancellarsi.Trovo corretto quanto detto ma non sarebbe meglio sistemare prima questi problemi?
Altro esempio, i Call center chiamano cellulari senza avere il consenso del proprietario per offrire le loro offerte. Provate a cancellarvi da quelle liste.
Il GDPR in generale e tra le altre cose legate alla privacy cerca di evitare anche questo e chi viola queste cose rischia.
Però questa discussione voleva solo evidenziare il minuscolo aspetto del consenso su una pagina web a prescindere dal consenso per quale attività.
-
Magari vado controcorrente... però basta parlare di cookie, parliamo di cose più concrete.
Spesso la tutela dei dati personali / GDPR è stata fatta passare come una semplice Privacy / Cookie Policy da piazzare sul sito (senza neppure sapere cos’è, tanto si genera con pochi click) , poi vediamo questi banner odiosi con il consenso ottenuto in maniera più o meno regolare.Fiumi di parole per la gestione di cookie che rappresenta meno dello 0,001% di quello che richiede il GDPR.
Pochissima attenzione, praticamente nulla, per la gestione RESPONSABILE dei dati personali che poi è quello che chiede realmente il regolamento Europeo.Registro dei trattamenti, nomina dei responsabili, analisi rischi, ma soprattutto formazione sono i veri cardini del GDPR.
Non sono un avvocato, mi occupo di privacy a me francamente non preoccupa troppo chi installa cookie anche con lo scroll(formalmente sbagliato).
A me preoccupa chi mi chiede di concludere la transazione su un server senza certificati SSL, con la versione 3.xx di WordPress.
Poi l’ impiegato / stagista che non sa cosa sia il GDPR, scarica l’intero database in Excel, con un computer obsoleto, senza antivirus e mette i miei dati su una penna usb che porta a casa, questi sono aspetti importanti da evitare.Credo sia necessaria maggiore responsabilità da parti di tutti coloro che trattano dati personali, più formazione, chiarezza, concretezza, meno tecnicismi.
Oltretutto la gestione dei cookie, potrebbe cambiare completamente quando sarà pubblicato il nuovo regolamento eprivacy.
In sintesi dal mio punto di vista è giusto parlare di cookie, ma la gestione responsabile dei dati personali, l’analisi dei rischi, le misure di sicurezza adottate, audit interni, un buon organigramma e la formazione (obbligatoria come previsto dall' art. 29, 32 e 39 del Regolamento UE 2016/679 GDPR), sono e saranno sempre i veri pilastri dove fondare la Privacy, dovremmo confrontarci maggiormente su questi aspetti per una corretta gestione dei dati personali.
-
Fabbio io quoto in toto il tuo messaggio e quoto me stesso...
I cookie sono solo una briciola rispetto a ciò che è il GDPR. Quindi secondo me qui stiamo confondendo un po' le cose. Pensare che il GDPR sia il cavaliere in lotto contro i cookie ci porta solo fuori strada.
Il GDPR era NECESSARIO.