• Contributor

    @juanin ha detto in Il Garante Privacy del Belgio multa IAB Europa per 250.000€ a causa di TCF:

    Se quel cookie si chiama con un nome uguale per tutti e c'è solo yes tu non puoi proprio dimostrare niente in caso di contenzioso.

    Puoi certamente dimostrare oltre ogni ragionevole dubbio che quel cookie era sul browser al momento della hit adv, assieme con il cookie identificativo associato al profilo utente.

    Il cookie booleano alla fine è un pulsantino sì/no. Se il pulsantino è settato sul sì, hai già la piena legittimità, perché è settato sul client che in quel momento sta facendo la request all'adserver.

    A me sembra che su sto argomento ci si voglia proprio complicare la vita...


    juanin 1 Risposta
  • Admin

    @kal ha detto in Il Garante Privacy del Belgio multa IAB Europa per 250.000€ a causa di TCF:

    assieme con il cookie identificativo associato al profilo utente.

    Attenzione tu potresti proprio non avere alcun profilo utente se il tuo sito non ha utenti registrati. Quindi stai ragionando partendo da uno scenario solamente. Che non è affatto la normalità per la maggior parte dei siti che non siano Google o Facebook.

    Se ho tutti gli utenti registrati il problema non si pone. Ho già il database che mi ha registrato i suoi consensi e anche qui il cookie non basta, perché altrimenti a ogni login su ogni device dovrei sempre richiedergli le preferenze. E da un punto di vista di UX è impensabile.


    kal 1 Risposta
  • Contributor

    @juanin ha detto in Il Garante Privacy del Belgio multa IAB Europa per 250.000€ a causa di TCF:

    Attenzione tu potresti proprio non avere alcun profilo utente

    C'è l'ID del cookie di terza parte, è equivalente. Anzi, è proprio il punto della questione.

    @juanin ha detto in Il Garante Privacy del Belgio multa IAB Europa per 250.000€ a causa di TCF:

    Se ho tutti gli utenti registrati il problema non si pone.

    Sì, in questo caso sì. Ma lì il "registro" è perfettamente legittimo e anzi davvero necessario, perché li stai archiviando per permettergli di accedere alle funzionalità dell'area privata.


    juanin 1 Risposta
  • Admin

    @kal ha detto in Il Garante Privacy del Belgio multa IAB Europa per 250.000€ a causa di TCF:

    C'è l'ID del cookie di terza parte, è equivalente. Anzi, è proprio il punto della questione.

    Secondo me non ci capiamo. E' proprio quello che ti serve per tenere un consenso registrabile e dimostrabile, ma al netto che sia di prima o terza parte. Ti serve lo stesso. Quindi anche prima o dopo il consenso lo stai comunque tracciando.

    Lo vuoi capire o no che è un gatto che si morde la coda?


    S 1 Risposta
  • Moderatore

    @kal ha detto in Il Garante Privacy del Belgio multa IAB Europa per 250.000€ a causa di TCF:

    Qua abbiamo un gestore tecnico in tutta la sua scintillante presenza. Non è solo un "protocollo". Altrimenti non gli avrebbero contestato il ruolo di jount controller.

    TCF è un framework, gli stanno contestando una funzionalità del framework in cui vengono raccolti i dati in un unico punto.
    Hai mai visto una Consent Management Platform sviluppata dalla IAB?
    TCF è un framework che una Consent Management Platforom (prodotto) può utilizzare o meno.
    E la stessa differenza che c'è tra OpenGL ed i videogiochi che usano OpenGL per funzionare.
    Ma non puoi chiamare framework un prodotto. E tu dicevi che il consorzio doveva sviluppare un prodotto, il consorzio può sviluppare protocolli, framework, ma non prodotti.
    Stai facendo la stessa confusione di quelli che chiamano la privacy sandobox di google il nuovo prodotto per la privacy di Google, ed invece è un insieme di proposte di protocolli e soluzioni. Il prodotto sarà nel caso google Chrome quando tali protocolli e framework verranno venduti.
    @kal questo è italiano nulla di più, il comportamento da troll è quello di negare rigirando la frittata, poco cambia.

    Hai anche dichiarato che lo IAB secondo te è in conflitto di interessi perché accoglie tra i soci gli esponenti della tecnologia, di cosa stiamo parlando.

    Stai contestando anche @juanini come CTO di un publisher grande per il mercato italiano, membro di varie associazioni di settore ha sicuramente affrontato il tema GDPR e consenso in ambiti più complessi di quelli che hai affrontato tu e vuoi portare la tua visione come la visione assoluta, quando @juanin ti sta dicendo se ti chiedono di dimostrare che quell'utente ha il consenso lo devi registrare e tu rispondi basta che dimostro che il sistema funziona in generale facendo vedere che ho i flag.

    Già in altri tread ti ha detto che in ambiti complessi dove ci sono audit tale visione non può funzionare perché non supererebbe la compliant, eppure insisti dicendo che è così ed attaccandoti alla tua visione di dimostrabile. Che oltretutto va al di là di tutte le piattaforme di Consent Management Platform più importanti sul mercato che tengono un registro dei consensi, quindi o siamo tutti deficienti o forse la tua visione non è applicabile ovunque


    kal 1 Risposta
  • Moderatore

    @juanin ha detto in Il Garante Privacy del Belgio multa IAB Europa per 250.000€ a causa di TCF:

    Per gestire questo di fatto lo devi identificare in qualche modo.
    Quindi di fatto la direttiva che ti impone le regole viola essa stessa il GDPR.
    Questo è quanto. Punto. Sono finiti in un loop.

    Questo riassume tutta la discussione.

    Lo vuoi capire o no che è un gatto che si morde la coda?

    Questa è la versione breve.


    kal 1 Risposta
  • Contributor

    @filtro ha detto in Il Garante Privacy del Belgio multa IAB Europa per 250.000€ a causa di TCF:

    TCF è un framework, gli stanno contestando una funzionalità del framework in cui vengono raccolti i dati in un unico punto.
    Hai mai visto una Consent Management Platform sviluppata dalla IAB?
    TCF è un framework che una Consent Management Platforom (prodotto) può utilizzare o meno.
    E la stessa differenza che c'è tra OpenGL ed i videogiochi che usano OpenGL per funzionare.

    E allora se è così non ci sono le basi per la contestazione come Joint Controller. Sul provvedimento leggo i riferimenti ad un'analisi tecnica che però non si trova. Vedremo che succede nel ricorso. Mi rimane il dubbio che se sia una cosa così banale, perché allora gliel'abbiano contestata.

    (Anche se leggo commenti che sostanzialmente dicono "se il sistema l'hanno disegnato loro... ed il sistema è fallato in fase di progetto... allora sono responsabili perché la GDPR impone la Privacy by Design. Vedremo se è così...)

    Ma non puoi chiamare framework un prodotto. E tu dicevi che il consorzio doveva sviluppare un prodotto, il consorzio può sviluppare protocolli, framework, ma non prodotti.

    Un consorzio può fare qualunque cosa con il mandato degli associati. Se non sviluppa prodotti è perché non c'è la volontà politica di farlo. Chiaro che se hai al tuo interno fornitori di tecnologia questa cosa è politicamente impossibile. Ma andiamo oltre.

    @filtro ha detto in Il Garante Privacy del Belgio multa IAB Europa per 250.000€ a causa di TCF:

    Già in altri tread ti ha detto che in ambiti complessi dove ci sono audit

    Vogliamo parlare del fatto che IAB non può tecnicamente fare audit di nulla?

    Il problema di fondo è che non c'è alcun interesse nel fare le cose con trasparenza.


    juanin 1 Risposta
  • Admin

    Ma hai idea di quanto costa sviluppare tecnologia?

    Hai idea di quanto costa fare audit seri?

    Secondo te IAB ha i soldi per imbarcarsi in questa cosa? E' difficile mettere d'accordo le teste dentro un'azienda di 30 persone figurati in un consorzio con un sacco di differenti aziende dentro.

    Ci vogliono soldi per fare queste cose. Soldi che dubito ci siano.


    kal 1 Risposta
  • Contributor

    @sermatica è un loop solo perché si insiste nel gestire la cosa in modo illegale.

    Qua qualche altro spunto: https://www.linkedin.com/pulse/problem-consent-management-platforms-unlawful-design-alexander/?trk=public_post-content_share-article

    Il punto chiave:

    This is the critical step - if the user does not consent to anything - DO NOT SET A COOKIE - setting a cookie saying the user hasn't consented is a breach of the ePrivacy Directive because (a) it is storage of information on the terminal equipment; and (b) it is not necessary. Why is it is not necessary? Because under the law the default is NO UNNECESSARY STORAGE which means if the user doesn't consent to anything there is no need to store anything - the absence of a preference cookie is enough to determine not to load any of these tracking technologies - only IF the end user consents to one or more of these technologies is a cookie needed.

    E il relativo rovescio della medaglia:

    If the user DOES consent to certain technologies - then feel free to set a preference cookie and then load the technologies which have been permitted - do not load any of those technologies until consent has been obtained.


    juanin 1 Risposta
  • Contributor

    @juanin ha detto in Il Garante Privacy del Belgio multa IAB Europa per 250.000€ a causa di TCF:

    Ma hai idea di quanto costa sviluppare tecnologia?

    Hai idea di quanto costa fare audit seri?

    Secondo te IAB ha i soldi per imbarcarsi in questa cosa? E' difficile mettere d'accordo le teste dentro un'azienda di 30 persone figurati in un consorzio con un sacco di differenti aziende dentro.

    Ci vogliono soldi per fare queste cose. Soldi che dubito ci siano.

    Lo capisco e lo accetto.


  • User Attivo

    Non è GA ma può essere relativo al discorso:

    In Germania hanno multato un sito per l'uso improprio di Google font (Una multa simbolica), penso sia la prima multa di questo tipo di cui sento parlare.

    (https://thehackernews.com/2022/01/german-court-rules-websites-embedding.html)


    juanin 1 Risposta
  • Admin

  • Admin

    @kal ha detto in Il Garante Privacy del Belgio multa IAB Europa per 250.000€ a causa di TCF:

    Qua qualche altro spunto: https://www.linkedin.com/pulse/problem-consent-management-platforms-unlawful-design-alexander/?trk=public_post-content_share-article

    Allora torniamo al principio.

    Questo è proprio quello che io dissi a @filtro al festival. Di fatto il cavallo di troia diventano quegli strumenti che servono proprio ad adempiere.

    E fin qui siamo tutti d'accordo che se la vogliamo vedere da quel punto di vista potremmo anche essere d'accordo. Però il compito di queste CMP sempre in linea teorica non è quello di tracciare i cristiani, ma di fornire strumenti tecnici per la gestione degli aspetti appunto legali. Adempimenti richiesti dalla direttiva stessa.

    Questo cookie che potremmo definire "Tecnico" perché di questo stiamo parlando. Le CMP non fanno profilazione (in teoria), non sparano ADV (in teoria), non fanno nulla di nulla di quello per cui qui c'è un capo di accusa. Ti informano solo sul consenso che quel browser (attenzione browser non persona) ha registrato.

    In Italia almeno fino a qualche mese fa si poteva sì essere compliant anche senza registrare un cookie pre-azione, semplicemente perché la non scelta veniva considerata appunto come non scelta, e in assenza di scelta tu riproponevi il banner di informativa.

    Da gennaio però questo non è possibile. Infatti la non scelta equivale a un rifiuta e di conseguenza io devo in qualche modo annotare che tu hai continuato la navigazione salvandomi l'informazione di rifiuto.

    Come la giri e la svolti anche se uno rifiuta devi annotarti qualcosa. E per avere un valido consenso anche in caso di rifiuto te lo devi annotare. Fine. Altrimenti andresti contro la regola proponendo a oltranza il banner.

    Se si guarda con attenzione non è difficile da capire.

    Ma poi il punto lo sappiamo tutti che è facilmente raggirabile proxy passando tutto e facendo il modo che questo cookie sia un cookie tecnico di prima parte e il gioco è finito.

    Ma siamo seri però. Perché fare un circo simile quando non avviene nella fattispecie alcuna violazione di privacy? E' questo che fa ridere.

    L'intento vero è quello di tutelare la privacy oppure è quello di fare le pulci a tutti per vendersi come consulente come questo tipo di cui hai linkato il post?


    raffaele.conte kal 2 Risposte
  • Moderatore

    @juanin ha detto in Il Garante Privacy del Belgio multa IAB Europa per 250.000€ a causa di TCF:

    L'intento vero è quello di tutelare la privacy oppure è quello di fare le pulci a tutti per vendersi come consulente come questo tipo di cui hai linkato il post?

    c'è bisogno di farsi la domanda? Le aziende che seguo sono pedinata da avvocati per farsi pagare somme alte molto alte per fare cosa, per tutelare noi persone o semplicemente per avere un pezzo di carta per sperare che poi ti dicono vabbè almeno ci hai provato


  • Contributor

    @juanin ha detto in Il Garante Privacy del Belgio multa IAB Europa per 250.000€ a causa di TCF:

    L'intento vero è quello di tutelare la privacy

    Al netto di posizioni personali come quella del tizio o anche la mia, l'intento del legislatore è quello di limitare e regolamentare tecnologie e pratiche di spionaggio digitale di massa.

    La scala del problema non è affatto secondaria nel giudizio complessivo.

    Una piccola violazione della privacy se fatta a centinaia di milioni di persone diventa una violazione enorme.

    Vedremo che succede ora, ma secondo me possiamo aspettarci molte altre situazioni simili.


    juanin 1 Risposta
  • Admin

    @kal certo. Ma una CMP di lavoro non vende dati utenti o profila. La CMP gestisce solo il consenso. Se poi un giorno decide di farci altro allora saranno giustamente fatti suoi riguardo la legge. Ma prima della legge fallirebbe come azienda e sulle sue premesse.


  • Contributor

    Segnalo uno studio che non riguarda direttamente il provvedimento ma è molto dettagliato e fa capire la scala del problema:

    https://adalytics.io/blog/adtech-not-checking-user-tcf-consent

    I risultati dell'esperimento in sintesi:

    In most of these experiments, the user consented only to a very small number of ad tech vendors to receive data about the user - usually only Google or another major ad exchange.

    Yet, despite the fact that EU users:

    1. only consented to basic ads with no personalization,
    2. explicitly dis-allowed all ad tech vendors besides Google,
    3. had their consent signals correctly stored by the publisher and CMP platform;

    this study still observed many instances of ad tech vendors and data brokers creating unique user identifiers and performing user data syncs with other vendors.


    juanin 1 Risposta
  • Admin

    @kal e questo conferma due cose:

    • Non è un problema del Transparency Consent Framework che fa quello per cui è stato progettato.
    • Non è un problema delle CMP che erogano le preferenze presenti nel consenso.

    I colpevoli sono quelli che non rispettano il framework. Ma questo potrebbe succedere benissimo anche mettendo un booleano.


    kal 1 Risposta
  • Contributor

    @juanin ha detto in Il Garante Privacy del Belgio multa IAB Europa per 250.000€ a causa di TCF:

    I colpevoli sono quelli che non rispettano il framework.

    Privacy by design... Un framework che permette l'abuso senza la possibilità di un controllo a monte, è fallato in partenza e non potrà mai sperare di essere GDPR compliant.


    juanin F 2 Risposte
  • Admin

    @kal controllo a monte di chi?

    Anche un cookie booleano è fallato se a valle scambi true per false.


    juanin 1 Risposta