- Home
- Categorie
- Impresa, Fisco e Leggi
- Leggi per le Professioni Web
- Cookie Law e Forum associazione no-profit
-
Cookie Law e Forum associazione no-profit
Ciao a tutti,
L'anno scorso avevo già avuto modo di leggere le lunghe, ma interessanti e costruttive, discussioni qui su giorgiotave.it.
Per correttezza premetto che ho già postato una domanda simile su html.it (forum.html.it/forum/showthread.php?threadid=2934523 chiaramente non è per mancanza di fiducia nei confronti degli utenti di html.it ma perchè ritengo si tratti di un'aspetto che mi sembra non sia stato del tutto approfondito e, vista l'esperienza maturata su questo forum, forse potete darmi una mano.Riassumo quanto ho scritto:
gestisco gratuitamente, essendone socio, il forum di una associazione no-profit APS (Fablab Imperia APS).
Tecnicamente utilizzo il servizio Google Analytics su tutte le pagine e, solo in home page, una Google Maps. Quest'ultima non richiederebbe nemmeno la Cookie Policy perchè inserita tramite il dominio cookieless (maps.googleapis.com) che, appunto, non usa cookie (in modo simile al dominio youtube-nocookie.com). Google Analytics viceversa deve usare i cookie ma, essendo usato in forma analitica (dati aggregati, IP anonimizzati, ecc...), richiede solo la cookie policy ovvero non necessita di opt-in.Appurato che ho studiato la lezione i miei dubbi nascono dal forum.
Dal momento che gli utenti registrati sono liberi di postare video e immagini esterne al dominio, un visitatore che approda su una pagina del forum corre il rischio di prendersi un cookie di profilazione da parte del server che fornisce la risorsa. Se ciò avviene prima dell'opt-in, credo che ciò sia in contrasto con la normativa italiana.
Se ci pensiamo, in generale qualsiasi chiamata HTTP può iniettare cookie: basta la richiesta di una semplice immagine, anche se l'utente ha i javascript disabilitati!
Peggio ancora: dal momento che si può essere profilati anche con i cookie disabilitati (per esempio exploit tramite ETags) è evidente come sia fondamentale bloccare qualsiasi chiamata HTTP esterna a rischio!Se la mia interpretazione è corretta, è evidente che risulta obbligatorio bloccare tutte le risorse "esterne" al sito in attesa dell'opt-in dell'utente che può essere ignaro di venire profilato (da terzi) tramite le pagine del sito.
Una soluzione brutale potrebbe essere quella di reindirizzare l'utente su una pagina "pulita" e obbligarlo ad accettare i cookie prima di tornare sui contenuti richiesti. Tale soluzione, per quanto semplice, non è molto entusiasmante: oltre alle ovvie penalizzazioni SEO (il rischio è addirittura quello di bloccare totalmente l'indicizzazione del forum) c'è una scarsa accessibilità del sito da parte dei visitatori. Inoltre l'avviso potrebbe allarmare inutilmente il visitatore e spingere molti utenti ad abbandonare il sito! E tutto questo solo per curare un numero limitato di post contenenti effettivamente risorse esterne che non è nemmeno detto siano davvero "profilanti"!La soluzione conservativa - e di più complessa implementazione - che ho adottato per il forum (fablabimperia.org/forum) è stata quella di rendere comunque visibili tutte le aree pubbliche anche a utenti non registrati ma con blocco preventivo di tutte le risorse esterne in attesa del opt-in sui cookie di terze parti. In allegato al banner principale e a quelli di blocco, link a informativa estesa Cookie Policy in cui informo l'utente del perchè dell'avviso: nonostante non usi direttamente cookie di profilazione non posso avere certezza sulle immagini o video postati da altri utenti.
L'unico modo per sbloccare le risorse è tramite opt-in via javascript.
Chiedo di nuovo: secondo voi è corretta la mia interpretazione oppure è esagerata?Come ulteriore misura di sicurezza blocco preventivamente anche i link esterni (i semplici anchor per intenderci) in attesa di un secondo opt-in (indipendente da quello "cookie") in cui l'utente deve declinare l'amministratore dalla responsabilità dei contenuti linkati. Capite bene che come admin e moderatore cerco sempre di controllare cosa viene postato - anche se in verità non abbiamo tutto questo traffico - però non si può controllare tutto!
Su questo punto, cosa pensate? Ho esagerato?La terza domanda riguarda un dubbio riguardo alla profilazione di prima parte.
Come associazione APS - inutile dirlo - non possiamo vendere nulla nè fare pubblicità di tipo commerciale però per la gestione del forum è necessario salvare su DB (con hash salvate nei cookie) diverse informazioni personali: post/thread letti, valutazioni tra utenti, lettura di un post. ecc... Ovviamente ho provveduto a pubblicare l'informativa sul Trattamento dati Personali (l'unico dato sensibile, in verità, credo sia solo l'email).
Dal momento che queste informazioni vengono usate in automatico dal CMS solo per migliorare l'utilizzo del forum da parte degli utenti e non, ribadisco, per fini promozionali possono considerarsi cookie tecnici? Ovverosia la profilazione (di prima parte) diventa tale solo in base all'effettivo utilizzo dei dati per fini commerciali oppure lo è a prescindere dalla finalità? Ovviamente nel secondo caso dovrei dare comunicazione al Garante: al di là dei 150€, mi sembrerebbe eticamente assurdo equiparare il piccolo forum di una associazione no-profit con quello dei big players che macinano miliardi di euro tramite profilazioni e pubblicità!Andrea