- Home
- Categorie
- Impresa, Fisco e Leggi
- Consulenza Legale
- Cookie law, chiarimenti su cookie di terze parti
-
@criceto said:
Con me sfondi un portone ... anzi "un portale" spalancato ...
INTERNET viene a volte indicato come una jungla ... dove aggirarsi può essere pericoloso .... e di solito ci si va a "caccia" di qualche cosa ... sia in INTERNET che nella jungla ... togliere (in apparenza) le unghie e le zanne alle bestie feroci che vi circolano e permettere l'ingresso senza armi ai turisti illudendoli che non vi siano più pericoli é pericolosissimo per loro e fa perdere il gusto della caccia ai veri cacciatori ...
E dopo questo "autoerotismo" mentale del legislatore ...
Il turista di cui sopra apre una mail che gli comunica la vincita di un premietto del mercato rionale da confermare con un CLIK e ... questo gli installa un vermetto che comunica gli affaracci suoi a chissà chi compresi i codici della carta di credito etc ...oppure gli kripta i file del PC ... ma questo al legislatore non importa ... ammesso che sia a conoscenza di tali cose ...
Si, magari tolgono anche la patente di guida e costringono ai costruttori delle auto a dover mettere un'informativa estesa in modo tale che fai un incidente o non rispetti le regole stai per fare una c...ta.
Se non metti l'informativa estesa nella macchina e il guidatore (senza patente appunto) fa un guaio, è colpa del costruttore che non ha messo l'informativa che avvisava della sua presunta c...ta.
A questo punto il legislatore la sua strada la sa
-
Da un'intervista a Wired pare che adesso bisogna pure pagare 150 € se si utilizzano cookie di terze parti. Un semplice tasto mi piace o un banner Adsense va notificato e bisogna pagare per conto di altri... Siamo arrivati veramente alla frutta. La posizione delirante trova conferma in alcuni commenti nei social di webmaster basiti che hanno chiamato l'ufficio del Garante e trovato conferma da parte degli operatori.
-
Ragazzi, scusate l'intromissione, ma io non ho ancora capito una cosa: esiste un modo di bloccare il cookie di google maps o bisogna per forza eliminare le mappe o creare codice backend assurdo che le fa visualizzare solo a chi acconsente all'uso di cookie di profilazione?
-
@chano said:
Ragazzi, scusate l'intromissione, ma io non ho ancora capito una cosa: esiste un modo di bloccare il cookie di google maps o bisogna per forza eliminare le mappe o creare codice backend assurdo che le fa visualizzare solo a chi acconsente all'uso di cookie di profilazione?
Ciao Chano, ti posso dire come ho fatto io.
Io ho scritto il codice lato server per non far vedere le mappe di google e le ho sostituite con quelle di openstreetmap.org che non installa cookie. Se l'utente accetta i cookie rifaccio vedere le mappe di google.In alternativa e per tagliare la testa al toro se il tuo problema sono solo le mappe potresti sostituirle direttamente con quelle di openstreetmap.org (non sono il massimo e non si trovano tutte le vie... ma almeno stai tranquillo)
-
Ciao a tutti! Anche io credevo di essere apposto e invece, il nulla!
Allora:- per adsense bisogna pagare e fare la comunicazione??
- per i plug in sociali tipo facebook ecc?
Qualcuno ne sa qualcosa? Anche alcuni miei amici hanno contattato il garante e gli è stato risposto in due diversi modi. Per adsense non occorre e l'altro invece ha detto che serve la comunicazione e pagamento.
EDIT:
Mi sono dimenticata di aggiungere una cosa: Se io metto il pop-up, per esempio con jquery, se l'utente finale non ha attivato javascript e quindi non vede il messaggio sulla cookie law, di chi è la colpa se poi non lo legge??
Se davvero si presenta qualcuno alla mia porta che vuole darmi una multa per questa cosa, gli metto le mani in faccia!
-
Ciao Lucia, andiamo per ordine. Cominciamo dall'ultima domanda, se l'utente non ha attivo Javascript non ha nemmeno cookie di terze parti installati. E comunque tu hai usato la migliore tecnologia possibile per avvertire l'utente.
Adsense e altro con notifica. Si, tra ieri e oggi, tra Wired e operatori al primo giorno di lavoro, sembrava essere così, ma nella normativa questa cosa non è scritta e tra l'altro oggi sono usciti dei chiarimenti sul sito internet del Garante che riportano l'accento sul ruolo di meri intermediari dei titolari del sito.
-
Ci sono anche delle petizioni online per abolire tutto o modificare la legge.
Se ci uniamo tutti forse possiamo cercare di farla abolire.
-
Ciao e grazie! Allora, sui miei siti ho:
-google adsense
-google analitycs
-plugin sociali tipo mi piace, +1, twitter.
-cookies per il funzionamento del sito.I cookies tecnici si attivano solo dopo aver fatto il primo login e ne resta uno permanente per il login automatico.
Quindi per stare al sicuro metto il banner in alto con uno link alla già presente pagina sulla pagina e in questa pagina aggiungo qualche link a google analitics, adsense, facebook ecc...
Nel banner in alto aggiungo che il sito usa un sistema esterno di pubblicità (adsense) e che usa cookies di terzi parti di profilizzazione.Ultima domanda, ma questo testo sulla privacy come deve essere scritto? c'è un modello vuoto?Come bisogna scriverle? Come avete fatto voi? Io ho fatto il classico copia e incolla e modificato di conseguenza, lo so che non è una cosa giusta... ma diciamo la verità, le attuali privacy policy sui miei siti sono state aperte circa 5000 volte, ma il tempo di permanenza su tali pagine è stato di 2 secondi.
Grazie per l'aiuto!
-
@ZioAlfredo said:
Ciao Chano, ti posso dire come ho fatto io.
Io ho scritto il codice lato server per non far vedere le mappe di google e le ho sostituite con quelle di openstreetmap.org che non installa cookie. Se l'utente accetta i cookie rifaccio vedere le mappe di google.In alternativa e per tagliare la testa al toro se il tuo problema sono solo le mappe potresti sostituirle direttamente con quelle di openstreetmap.org (non sono il massimo e non si trovano tutte le vie... ma almeno stai tranquillo)
Grazie per la dritta ZioAlfredo!Ora dovrei di aver trovato un plugin che blocca qualsiasi tipo di cookie, anche da iframe. Lo testo e se funziona penso di adottare quello, altrimenti cercherò di sistemare le cose con componenti che non emettono cookie..!
-
Ciao ragazzi, io ho acquistato il kit Iubenda ma non mi fido del tutto, visto che declinano ogni responsabilità di errori; pian piano sto implementando tutto ma sto sentendo più campane. Ovviamente lo sto modificando per attenermi il più possibile a quello che sembra dire la normativa.
Personalmente ho riletto più volte il testo del garante e mi sto convincendo di alcune cose male interpretate da molti e quindi a rischio multa, ma chiedo smentita o conferma (io, nel peggiore dei casi, sono troppo cautelativo, ma meglio qualche visitatore scontento che una multa che mi indebiterebbe a vita). Ecco i punti caldi!
Banner dell' informativa breve
- Piccolo non va bene. Ma puoi metterlo dove vuoi: non c' è scritto di metterlo "in alto", va bene anche in basso, basta che sia "in primo piano" (dunque non coperto a sua volta da un altro banner):
"deve immediatamente comparire in primo piano un banner"
I tuoi contenuti di quella pagina sono nel testo? Allora il banner deve coprire almeno una parte di testo, altrimenti non c' è discontinuità!
"di dimensioni tali da costituire una percettibile discontinuità nella fruizione dei contenuti della pagina web che si sta visitando".
- Lo scroll del mouse non è valido come metodo di accettazione:
*"il superamento della presenza del banner al video deve essere possibile solo mediante un intervento attivo dell'utente (appunto attraverso la selezione di un elemento contenuto nella pagina sottostante il banner stesso)";
"la prosecuzione della navigazione mediante accesso ad altra area del sito o** selezione** di un elemento dello stesso (ad esempio, di un'immagine o di un link) comporta la prestazione del consenso all'uso dei cookie".
**Informativa estesa
*
Deve essere accessibile dal banner dell' informativa breve, e fin qui ci siamo capiti tutti. In merito invece al collocarla in tutte le pagine del sito, non deve invece essere necessariamente "in alto", anzi è consigliato in calce (=in basso / alla fine), su ogni pagina."Deve essere raggiungibile mediante un link inserito nell'informativa breve, come pure attraverso un riferimento su ogni pagina del sito, collocato in calce alla medesima.".
Se essa è inserita all' interno della Privacy Policy generale, si può dedurre che anche la privacy policy va bene in basso.
*Ed ecco ora invece la cosa più ambigua in assoluto, ovvero la notificazione del trattamento, in cui **manca il soggetto di notifica **e non si fa distinzione tra cookie di prime o di terze parti (escludendo invece dall' obbligo nel caso di cookie tecnici e di analytics con ip anonimizzato):
*
"Si ricorda" (IMPERSONALE: A CHI?) "che l'uso dei cookie" (DI PRIMA PARTE? DI TERZE PARTI? ENTRAMBI??) "rientra tra i trattamenti soggetti all'obbligo di notificazione al Garante ai sensi dell'art. 37, comma 1, lett. d), del Codice, laddove lo stesso sia finalizzato a "definire il profilo o la personalità dell'interessato, o ad analizzare abitudini o scelte di consumo" (...). Dal quadro sopra delineato, emerge pertanto che, (...) i cookie di profilazione," (DI PRIMA PARTE? DI TERZE PARTI? ENTRAMBI??) "i quali hanno caratteristiche di permanenza nel tempo," (GRAZIE, QUESTA COSA L' AVEVO GIA' CAPITA E QUI NON SERVIVA SPECIFICARLO) "sono soggetti all'obbligo di notificazione" (DA PARTE DI CHI?).Dunque un povero operatore al telefono a mio avviso non dice correttamente chi deve notificare, perché semplicemente **non c' è scritto.
**Si potrebbe obiettare che non c' è scritto perché l' obbligo di notifica spetta a entrambi i soggetti e il cookie in questione è sia di prima che di terza parte, ma in tal caso andava comunque specificato per non generare evidenti equivoci (esempio: "si ricorda A TUTTI".."cookie di profilazione, SIA DI PRIME CHE DI TERZE PARTI"). Non l' hanno invece specificato apposta, lasciando tutto sfumato, perché anche i relatori non hanno capito quello che stavano scrivendo, oppure per prendere tempo.Personalmente vorrei evitare di pensare a una doppia notifica (io notifico perché ho il pulsante like di facebook, e facebook notifica perchè nel suo sito profila), visto anche l' esborso per piccole spesucce di segreteria.
Ho cercato di interpretare nel modo più letterale il testo del Garante, senza contaminazioni da altre fonti, ma più leggo e meno capisco: dunque ho scritto una email al Garante in merito all' obbligo di notifica e vi aggiorno appena ho risposta, in modo da avere qualcosa di scritto e nulla di verbale e interpretabile!
Ciao a tutti.
-
Wops! E' uscito ieri fresco fresco un chiarimento ufficiale del garante, garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/4006878 , chiedo scusa se qualcun altro l' ha già postato nel forum.
-
@Quake88 said:
Wops! E' uscito ieri fresco fresco un chiarimento ufficiale del garante, garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/4006878 , chiedo scusa se qualcun altro l' ha già postato nel forum.
A dire la verità, ancora non è chiara la questione adsense e cookie profilizzazione di terzi debba fare la notifica al garante (sganciare i soldini)!
-
Esatto Lucia!
Oh, sembra quasi che non vogliano dirlo.
O, cosa più probabile, non lo sanno.
Non voglio fare il solito discorso all' italiana, anzi.. Ma in più che voglio mettermi in regola, ci remano pure contro.
Qualcuno dice, o meglio interpreta, tutto e il contrario di tutto, ma finché non lo dice il Garante per me quello che può estrapolare qualsiasi editore nei suoi articoli, anche se qualificati come Wired e compagia bella, rimane fuffa.
We want to know.
Attendo la email del Garante in merito alla notifica per i cookie di profilazione di terze parti, e posto.
Se non mi rispondono...avrò capito ancora meglio.Ps. Non riesco a modificare il mio messaggio.. In ogni caso correggo, hanno appena chiarito, nel link che ho riportato sopra, che lo scroll del mouse va bene, basta dichiarare nell' informativa stessa che esso sia un metodo di accettazione dell' informativa breve.
Un saluto
-
La questione si complica sempre più ogni volta che il Garante "chiarisce". L'impressione è che stiano cercando di mantenere una forte incertezza per favorire qualcuno. Comunque un dato di fatto è che la normativa è strutturata per disincentivare i servizi di terze parti, in particolare Google (già a livello europeo è visto col fumo negli occhi, il Garante italiano dice che combattere Google è questione di libertà).
Il punto è che allo stato non ci sono molte certezze. Però occorre necessariamente rifarsi alle regolamentazioni del Garante, perchè la direttiva europea è legge quadro che rimanda appunto ai singoli Garanti nazionali. Nel resto d'Europa si applica la normativa in maniera light, in Italia il Garante la intepreta nel modo pià restittivo possibile. addirittura peggio di quanto io immaginassi inizialmente.
In sintesi i cookie di terze parti vanno bloccati tutti, fino a consenso. Se non c'è consenso non vanno installati. Però il consenso è semplificato, cioè è sufficiente il banner (ben visibile, non deve essere enorme ma deve risaltare sul sito, se è "affogato" nel sito non va bene) che avverte della presenza di cookie di terze parti e che continuando la navigazione si accettano i cookie. L'utente che capita sul sito se non vuole i cookie se ne deve andare dal sito, se prosegue li accetta.
Per il resto la distinzione tra prima e terza parte è relativa. Comunque la prima parte, gestore del sito, dice il Garante, anche se non è responsabile dell'informativa estesa (cioè non deve indicare quali cookie sono e quali finalità anno, se non genericamente), deve sempre chiedere il consenso. In teoria sarebbe sbagliato (il gestore non tratta i dati della terza parte) ma il Garante dice che ne è corresponsabile, quindi tocca a lui chiedere il consenso prima di inviare tali cookie.
Per i cookie di analytics, devono essere anonimi (mascheramento di IP e blocco incroncio dei dati con altri servizi) per poter essere non cookie di profilazione. Altrimenti non solo vanno bloccati, ma sono cookie di profilaizone e anche la prima parte deve notificare il trattamento al Garante (150 euro di costo). Questo perchè comunque vede (quindi tratta) almeno parte dei dati (a differenza dei social plugin per i quali il gestore non vede i dati quindi non deve notificare nulla).
Il Garante francese (la normativa attuativa francese è uguale a quella italiana con la differenza che il CNIL ha fornito una marea di aiuti concreti agli utenti, mentre il Garante italiano se ne frega e lascia il campo a imprese privte che ci lucrano), dice che l'unico servizio che non è soggetto a consenso è Piwik. Google Analytics è soggetto a consenso se è anonimizzato e con blocco dell'incrocio dei dati con quelli degli altri servizi Google, se no è profilazione.Per Adsense al momento non ci sono certezze. In teoria Adsense è profilazione (quindi notifica al Garante se il gestore tratta i dati). I cookie vanno bloccati, ma, mi dicono, l'alterazione del funzionamento dello script può comportare ban da Google. IL problema è che Google ha messo a disposzione unos cript che rende conforme i suoi servizi tranne per l'Italia che ha una normativa più restrittiva rispetto al resto d'Europa. Insomma un casino.
Al momento ci sono due petizioni, io personalmente ho inviato comunicaizoni al Garante per chiarimenti e per invitarlo e riportare la normativa su una posizione più light (tipo UK per intenderci dove è tutto opt out), ma non credo che il Garante ci ascolti. Comunque nei prossimi giorni dovrebbe partire una nuova petizione con annessa proposta di regolamentazione. Spero che ci sia adesione a questa proposta, perchè se non siamo in tanti non otterremo nulla.
NB. Non vendo nulla, non vendo kit, non vendo soluzioni, sto cercando di riportare la normativa su posizioni che rendano possibile adeguarsi gratis e senza difficoltà per i tantissimi piccoli gestori di siti. Sono contrario a questa posizione del Garante, ma credetemi allo stato è questo che il Garante chiede.
-
Ma non scherziamo ! Se il provvedimento pubblicato in GU, quindi con valore legale, differenzia il ruolo tra editore e terza parte, definendo il primo come un intermediario tecnico, da dove esce fuori che bisogna pagare per conto di Facebook e Google ? Aggiungo che fino a quando non fu distribuito il kit di sapete chi, al blocco preventivo dei cookies terze parti non ci pensava nessuno.. Ora esce fuori un articolo su un sito web e ci viene il dubbio della notifica ?
-
Chi ha detto di pagare per conto di FB e Google? Nessuno.
Per FB non c'è bisogno di alcuna notifica. Per i cookie di Analytics di Google (se non opportunamente anonimizzati) è profilazione. IL gestore del sito tratta anche lui i dati (anche vederli è trattamento), e quindi paga per il suo trattamento, mica per quello di Google.
Prima e terza parte sono opportunamente differenziate sotto il profilo della responsabilità, ma per i cookie di analytics entrambi trattano.
-
bsaett, stavamo scrivendo insieme, non avevo visto neanche il tuo messaggio Sul fatto di Analytics ci sta, certo, vediamo dati anonimizzati che non identificano nessuno, gli IP non li vedevamo neanche prima. Comunque nel pannello di amministrazione si può settare le impostazioni come dice il garante nel suo "chiarimento".
L'unica speranza viene da Google, che potrebbe benissimo fornire un codice diverso per gli sfortunati e primitivi utenti italiani, adeguando i servizi alla nostra legislazione. Che poi dico, una legge sui cookie ci può anche stare, ma che senso ha affidarla al Garante della Privacy ? Un dato personale identifica una persona, un cookie è una stringa di testo che non contiene nulla, solo dati di sessione.
A questo punto ti chiedo, mi sembra di ricordare che nel codice civile sia stabilito che chi accusa deve fornire le prove. Come farebbe il garante a dimostrare che i cookie di un qualsiasi servizio siano di profilazione ?
-
Ah, scusa.
Comunque Google ha già fornito il suo pacchetto per mettere in regola i siti (non è conforme con l'Italia), aspettare che ci venga incontro di nuovo.... mah.
Io vorrei provare a far ragionare il Garante. Però occorre una certa massa.
La mia proposta è applicare l'opt out (come è in UK e Germania), cioè l'utente viene sul sito, si becca i cookie e l'informativa. Se non li vuole modifica i settaggi del browser, scarica Privacy Badger quello che vuole, ma è assurdo che noi dobbiamo o rinunciare a Google oppure diventare tutti ingegneri per modificare i codici.
Del resto l'informativa serve a rendere consapevole l'utente, quindi ad informarlo, non a scaricare sui gestori dei siti oneri che sono teoricamente dei gradni editori.
-
Bene ! Tralasciando chi sta lucrando con blocchi a rischio ban, il resto della rete si sta lamentando alla grande. In questo gruppo di FB siamo oltre 1000 facebook[.]com/groups/fattidicookies/, se tu o chiunque altro volesse unirsi, un buon punto di partenza c'è.
Se poi il link non si può mettere, per spam o cose simili, cancellalo pure...
-
Mi iscrivo subito.