• Contributor

    @sermatica è un loop solo perché si insiste nel gestire la cosa in modo illegale.

    Qua qualche altro spunto: https://www.linkedin.com/pulse/problem-consent-management-platforms-unlawful-design-alexander/?trk=public_post-content_share-article

    Il punto chiave:

    This is the critical step - if the user does not consent to anything - DO NOT SET A COOKIE - setting a cookie saying the user hasn't consented is a breach of the ePrivacy Directive because (a) it is storage of information on the terminal equipment; and (b) it is not necessary. Why is it is not necessary? Because under the law the default is NO UNNECESSARY STORAGE which means if the user doesn't consent to anything there is no need to store anything - the absence of a preference cookie is enough to determine not to load any of these tracking technologies - only IF the end user consents to one or more of these technologies is a cookie needed.

    E il relativo rovescio della medaglia:

    If the user DOES consent to certain technologies - then feel free to set a preference cookie and then load the technologies which have been permitted - do not load any of those technologies until consent has been obtained.


    juanin 1 Risposta
  • Contributor

    @juanin ha detto in Il Garante Privacy del Belgio multa IAB Europa per 250.000€ a causa di TCF:

    Ma hai idea di quanto costa sviluppare tecnologia?

    Hai idea di quanto costa fare audit seri?

    Secondo te IAB ha i soldi per imbarcarsi in questa cosa? E' difficile mettere d'accordo le teste dentro un'azienda di 30 persone figurati in un consorzio con un sacco di differenti aziende dentro.

    Ci vogliono soldi per fare queste cose. Soldi che dubito ci siano.

    Lo capisco e lo accetto.


  • User Attivo

    Non è GA ma può essere relativo al discorso:

    In Germania hanno multato un sito per l'uso improprio di Google font (Una multa simbolica), penso sia la prima multa di questo tipo di cui sento parlare.

    (https://thehackernews.com/2022/01/german-court-rules-websites-embedding.html)


    juanin 1 Risposta
  • Admin

  • Admin

    @kal ha detto in Il Garante Privacy del Belgio multa IAB Europa per 250.000€ a causa di TCF:

    Qua qualche altro spunto: https://www.linkedin.com/pulse/problem-consent-management-platforms-unlawful-design-alexander/?trk=public_post-content_share-article

    Allora torniamo al principio.

    Questo è proprio quello che io dissi a @filtro al festival. Di fatto il cavallo di troia diventano quegli strumenti che servono proprio ad adempiere.

    E fin qui siamo tutti d'accordo che se la vogliamo vedere da quel punto di vista potremmo anche essere d'accordo. Però il compito di queste CMP sempre in linea teorica non è quello di tracciare i cristiani, ma di fornire strumenti tecnici per la gestione degli aspetti appunto legali. Adempimenti richiesti dalla direttiva stessa.

    Questo cookie che potremmo definire "Tecnico" perché di questo stiamo parlando. Le CMP non fanno profilazione (in teoria), non sparano ADV (in teoria), non fanno nulla di nulla di quello per cui qui c'è un capo di accusa. Ti informano solo sul consenso che quel browser (attenzione browser non persona) ha registrato.

    In Italia almeno fino a qualche mese fa si poteva sì essere compliant anche senza registrare un cookie pre-azione, semplicemente perché la non scelta veniva considerata appunto come non scelta, e in assenza di scelta tu riproponevi il banner di informativa.

    Da gennaio però questo non è possibile. Infatti la non scelta equivale a un rifiuta e di conseguenza io devo in qualche modo annotare che tu hai continuato la navigazione salvandomi l'informazione di rifiuto.

    Come la giri e la svolti anche se uno rifiuta devi annotarti qualcosa. E per avere un valido consenso anche in caso di rifiuto te lo devi annotare. Fine. Altrimenti andresti contro la regola proponendo a oltranza il banner.

    Se si guarda con attenzione non è difficile da capire.

    Ma poi il punto lo sappiamo tutti che è facilmente raggirabile proxy passando tutto e facendo il modo che questo cookie sia un cookie tecnico di prima parte e il gioco è finito.

    Ma siamo seri però. Perché fare un circo simile quando non avviene nella fattispecie alcuna violazione di privacy? E' questo che fa ridere.

    L'intento vero è quello di tutelare la privacy oppure è quello di fare le pulci a tutti per vendersi come consulente come questo tipo di cui hai linkato il post?


    raffaele.conte kal 2 Risposte
  • Moderatore

    @juanin ha detto in Il Garante Privacy del Belgio multa IAB Europa per 250.000€ a causa di TCF:

    L'intento vero è quello di tutelare la privacy oppure è quello di fare le pulci a tutti per vendersi come consulente come questo tipo di cui hai linkato il post?

    c'è bisogno di farsi la domanda? Le aziende che seguo sono pedinata da avvocati per farsi pagare somme alte molto alte per fare cosa, per tutelare noi persone o semplicemente per avere un pezzo di carta per sperare che poi ti dicono vabbè almeno ci hai provato


  • Contributor

    @juanin ha detto in Il Garante Privacy del Belgio multa IAB Europa per 250.000€ a causa di TCF:

    L'intento vero è quello di tutelare la privacy

    Al netto di posizioni personali come quella del tizio o anche la mia, l'intento del legislatore è quello di limitare e regolamentare tecnologie e pratiche di spionaggio digitale di massa.

    La scala del problema non è affatto secondaria nel giudizio complessivo.

    Una piccola violazione della privacy se fatta a centinaia di milioni di persone diventa una violazione enorme.

    Vedremo che succede ora, ma secondo me possiamo aspettarci molte altre situazioni simili.


    juanin 1 Risposta
  • Admin

    @kal certo. Ma una CMP di lavoro non vende dati utenti o profila. La CMP gestisce solo il consenso. Se poi un giorno decide di farci altro allora saranno giustamente fatti suoi riguardo la legge. Ma prima della legge fallirebbe come azienda e sulle sue premesse.


  • Contributor

    Segnalo uno studio che non riguarda direttamente il provvedimento ma è molto dettagliato e fa capire la scala del problema:

    https://adalytics.io/blog/adtech-not-checking-user-tcf-consent

    I risultati dell'esperimento in sintesi:

    In most of these experiments, the user consented only to a very small number of ad tech vendors to receive data about the user - usually only Google or another major ad exchange.

    Yet, despite the fact that EU users:

    1. only consented to basic ads with no personalization,
    2. explicitly dis-allowed all ad tech vendors besides Google,
    3. had their consent signals correctly stored by the publisher and CMP platform;

    this study still observed many instances of ad tech vendors and data brokers creating unique user identifiers and performing user data syncs with other vendors.


    juanin 1 Risposta
  • Admin

    @kal e questo conferma due cose:

    • Non è un problema del Transparency Consent Framework che fa quello per cui è stato progettato.
    • Non è un problema delle CMP che erogano le preferenze presenti nel consenso.

    I colpevoli sono quelli che non rispettano il framework. Ma questo potrebbe succedere benissimo anche mettendo un booleano.


    kal 1 Risposta
  • Contributor

    @juanin ha detto in Il Garante Privacy del Belgio multa IAB Europa per 250.000€ a causa di TCF:

    I colpevoli sono quelli che non rispettano il framework.

    Privacy by design... Un framework che permette l'abuso senza la possibilità di un controllo a monte, è fallato in partenza e non potrà mai sperare di essere GDPR compliant.


    juanin F 2 Risposte
  • Admin

    @kal controllo a monte di chi?

    Anche un cookie booleano è fallato se a valle scambi true per false.


    juanin 1 Risposta
  • Admin

    Comunque notavo con somma sorpresa che il sito del garante belga in Italia non sarebbe compliant in quanto ti mostra il banner a tutte le page view.

    Poi per carità...di default non ti butta dentro niente, ma comunque ad ogni view di fatto ti vuole propinare la scelta. Che di per se non ha nulla di male, ma va contro le direttive del Garante Italiano.

    Tanto per dire che è tutto molto opinabile. Per la serie le cose sono chiarissime.


  • User

    ho tentato di leggermi tutto, ma avete scritto uno sfracello. Io torno a ripetere quello che dicevo ancora nel 2018 quando è arrivato il GDPR: il gdpr è un backbone normativo, che stabilisce dei principi, assai generali e applicabili in mille maniere. Serviva una cosa, sola, a livello europeo, l'aggiornamento della direttiva ePrivacy, che, guarda caso, è al palo proprio perché non ne vengono a capo IN NESSUNA MANIERA. Questo agitarsi dei vari garanti dei singoli paesi è solamente MOAR CHAOS, senza dare soluzioni. Ha ragione @juanin quando dice che servono regole CHIARE e che permettano un modello di sviluppo tenendo conto del fatto che l'internet non è il giardino di casa dell'Europa. Poi possiamo litigare mille volte sul legalese: di fatto pure tutto l'email marketing, con il tracciamento singolo del comportamento dell'utente è non solo borderline, proprio illegale. Che famo? bruciamo Chrome [cit.] e scappiamo?


    kal 1 Risposta
  • Contributor

    @amorloi ha detto in Il Garante Privacy del Belgio multa IAB Europa per 250.000€ a causa di TCF:

    Questo agitarsi dei vari garanti dei singoli paesi è solamente MOAR CHAOS, senza dare soluzioni.

    Non sono d'accordo.

    Questi provvedimenti appaiono caotici solo a chi non ha seguito l'evolversi della cosa nel mondo legale/privacy. La legge è chiara (consenso, privacy by design) ed il regolamento ePrivacy non sarà differente, ha gli stessi principi fondanti della GDPR (ovvero un sostanziale e radicale protezionismo dei dati personali per i cittadini EU).

    Di fatto, qualunque operazione di brokeraggio di dati è già ora (e sarà ancora di più in futuro) da considerarsi illegale... a meno che le organizzazioni non siano in grado di fare auditing DI TUTTA LA SUPPLY CHAIN.

    A monte, non a valle.

    Questa è la direzione e a me pare davvero limpida, non capisco davvero quando si dice che è caotica e incongruente.

    Il dato personale va gestito accuratamente, come se fosse una persona.

    Tutte le situazioni da mercato del pesce (incluso il marketplace RTB, visto che di quello si parla) non hanno futuro per come sono concepite oggi all'interno dell'EU.

    PS:

    @amorloi ha detto in Il Garante Privacy del Belgio multa IAB Europa per 250.000€ a causa di TCF:

    ho tentato di leggermi tutto, ma avete scritto uno sfracello.

    I forum ❤


    F 1 Risposta
  • Moderatore

    @kal la privacy by design che tu millanti è rendere il programmatic illegale, che si può fare, ma è un'altra questione.

    La GDPR descrive che se vuoi tracciare l'utente devi chiedergli il consenso, il TCF è un framework che ha generalizzato e reso comune il modo di chiedere il consenso, se poi dei vendors non rispettano il sistema non è colpa del framework che fa il suo lavoro: chiedere il consenso e renderlo disponibile ai vendor.

    Nel tuo ragionamento allora un sito internet che chiede il login all'utente non dovrebbe salvare i dati, perché nel momento in cui li salva non è privacy by design. Ma il GDPR prevede invece che gli chieda il permesso per:

    • marketing
    • profilazione
    • vendita del dato

    sono dei semplici flag che puoi rispettare o meno, se non li rispetti non sei compliant, sta succedendo esattamente la stessa cosa con il TCF che sopra descrivi, non è un problema di TCF.

    Nel dettaglio, visto che l'ho affrontato con il team, Criteo sta usando una schifezza che è un opzione del consenso previsto dalla legge del GDPR che è l'interesse legittimo, na schifezza non più prevista dall'ultima direttiva del garante della privacy italiano.

    Il problema è sempre il vendor e possono essere fatte schifezze immani vedi il bug di safari che permetteva di creare il finger printing leggendo la history.
    Ma allora puniamo anche Apple perché Safari non è privacy by design per colpa di vendor che cercano il limite.
    Allora il programmatic è il male perché ci sono vendor a limite.

    Se ragioniamo così quante attività sarebbero da chiudere?


    kal 1 Risposta
  • Contributor

    @filtro ha detto in Il Garante Privacy del Belgio multa IAB Europa per 250.000€ a causa di TCF:

    Nel tuo ragionamento allora un sito internet che chiede il login all'utente non dovrebbe salvare i dati, perché nel momento in cui li salva non è privacy by design.

    Ma no! Il login è necessario per fornire i servizi che stanno dietro login. In questo caso la privacy by design è non chiedere all'utente più dati di quelli strettamente necessari al servizio.

    Il problema del marketplace RTB è che una volta che il dato è venduto sulla piazza, non hai più il controllo su dove finisce.

    Se io utente acconsento che SITO-A fornisca i dati sui miei interessi a FORNITORE-ONESTO-B e questo fa da broker e permette l'accesso a FORNITORE-NON-SEMPRE-ONESTO-C e quest'ultimo per prassi fa da broker decine di SUB-FORNITORI-LADRI-XYZ... capisci che c'è un problema.

    Perché io il consenso l'ho dato solo al trasferimento del dato tra A e B. Ma il sistema stesso permette l'accesso a XYZ senza alcun controllo preventivo (e si può ben verificare che è così).

    Ora, non è il mio mestiere e qui mi fermo... ma il sistema perché sia compliant deve essere progettato per impedire questa cosa.


    F juanin 2 Risposte
  • Moderatore

    @kal ha detto in Il Garante Privacy del Belgio multa IAB Europa per 250.000€ a causa di TCF:

    Di fatto, qualunque operazione di brokeraggio di dati è già ora (e sarà ancora di più in futuro) da considerarsi illegale... a meno che le organizzazioni non siano in grado di fare auditing DI TUTTA LA SUPPLY CHAIN.

    Ma non è vero, la GDPR pretende che sia chiesto il permesso e che i vendor rispettino il consenso dell'utente. Certo se gli utenti non danno il consenso allora i dati non posso essere venduti, non posso profilarlo ecc. ecc.

    @kal continui a portare in tutti i modi la tua visione senza guardare il resto, posso anche condividere il fatto che alcune persone possono preferire non essere profilate, ma ti faccio una domanda: quando sei su un ecommerce quante volte le personalizzazioni dei risultati di ricerca o i prodotti consigliati ti hanno aiutato a fare l'acquisto?

    Buona parte di quei modelli sono sviluppati usando dati cross dominio, raccolti con il consenso degli utenti, profilando l'utente. usando un 3rdparty cookie, anche quello sono il male?


    kal 1 Risposta
  • Moderatore

    @kal ma il problema è il vendor, mappare il vendor che fanno schifezze si può fare è complicato, il problema non è RTB è cosa fanno i vendor.

    non capisci il principio, ma allora vietiamo di raccogli i permessi di marketing perché in realtà sappiamo tutti che non vengono rispettati?


  • Contributor

    @filtro ha detto in Il Garante Privacy del Belgio multa IAB Europa per 250.000€ a causa di TCF:

    Ma non è vero, la GDPR pretende che sia chiesto il permesso e che i vendor rispettino il consenso dell'utente.

    Peccato che nella pratica non succede.

    this study still observed many instances of ad tech vendors and data brokers creating unique user identifiers and performing user data syncs with other vendors.

    Utenti che acconsentono solo per il network di Google (che dovrebbe essere super bravo sulla carta) in un contesto di laboratorio (quindi con metodologia controllata), si vedono tracciati anche da altri network. Come mai succede questa cosa? Non dovrebbe succedere.

    Questo nei fatti.

    È un problema di auditing fatto coi piedi? È un problema del protocollo? Chi è da considerarsi responsabile?

    Il garante belga pensa che IAB Europa sia responsabile.

    Il resto sono miei pareri personali che poca rilevanza hanno con la questione 😁


    F 1 Risposta