Quando la complessità tecnologica legiferata rende tutti fuori legge

juanin

Quando la complessità tecnologica legiferata rende tutti fuori legge

Questo è un altro di quei casi che mette in evidenza come siamo andati a legiferare su un terreno davvero minato.

Emblematico che lo stesso legiferante non sia in grado di rispettare le sue stesse regole.

Per come funziona Internet oggi è davvero difficile se non con uno sforzo immane creare piattaforme completamente conforme all'attuale set di regole. Di qui la vera ragione per cui secondo me questa cosa andava gestita diversamente sin dall'inizio.

E' un mondo fluido dove devi gestire n-mila casi, dove a mettere mani sono persone che non hanno neppure idea di cosa sia un cookie, una terza parte, delle implicazioni di un widget banalissimo di un tweet o simile etc etc...

Dovrebbero dare dei fondi a pioggia per dotare ogni azienda di un reparto IT sulla base del tipo di regole che hanno imposto. Il GDPR, le CMP, lo Iab che tira fuori il TCF2, la Apple che chiede mille autorizzazioni, Google lo stesso e poi tu devi comunque richiedere tutte quelle autorizzazioni perché il consenso è tuo e non di Apple o Google quindi devi dimostrare che il consenso lo hanno dato a te in caso di contenzioso. Chi più ne ha più ne metta. E poi i costi di dover sviluppare una CMP (proibitivi perché vai anche certificato e devi tenerti aggiornato su materie non tue) e allora la affitti o la prendi in licenza, ma devi integrarla negli applicativi e per rispettare la legge riguardo alle terze parti guarda caso che devi mettere dentro un'altra terza parte e quindi devi gestire eventuali problemi tecnici anche loro perché ovvio il consenso vincola tutto il resto e allora la CMP diventa uno SPOF (Single Point Of Failure) e allora non si finisce più e siamo tutti fuori legge peggiorando pure l'esperienza d'uso di un sito.

Profonda tristezza sebbene alla base il ragionamento è giusto e non fa una piega, ma hanno perso di vista il contesto.

In pratica il 21 gennaio 2021, l’organizzazione no-profit none of your business ("noyb") ha presentato un reclamo dinnanzi all’European Data Protection Supervisor contro
il Parlamento europeo, per conto di sei deputati dello stesso.

In particolare, l'accusa è di utilizzare banner cookie ingannevoli e informative privacy poco chiare nell’ambito di una sezione del sito relativa alla prenotazione di test per la rilevazione del Coronavirus, oltre
che di compiere trasferimenti illegittimi di dati personali verso gli Stati Uniti (Stripe & co.).

mirkomassarutto

Già... un gran bordello da far capire soprattutto a quei clienti "semplici" che fanno un "sitarello per l'idraulico" con un semplice form di contatto... e tu inizi a parlare di "consent solution" e del fatto che le costerà più del sito in WP che han messo in piedi

kal

@juanin ha detto in Quando la complessità tecnologica legiferata rende tutti fuori legge:

Profonda tristezza sebbene alla base il ragionamento è giusto e non fa una piega, ma hanno perso di vista il contesto.

Sì, anche io la penso allo stesso modo.

Il principio è giusto e anzi: SACROSANTO.

L'applicazione tecnica invece è un disastro abissale.

Ha anche un po' a che vedere con il tipo di tecnologia che si vorrebbe regolare... alla fine il web si basa sul protocollo HTTP, di cui i cookie sono una parte.

Ed il protocollo HTTP è per sua natura decentralizzato e frammentato: è infatti pensato per connettere tra di loro un certo (gran) numero di server ed un numero enormemente più grande di client.

Questa consapevolezza è mancata completamente al legislatore.

Probabilmente se agivano sui browser facevano moltissimo di più sul piano pratico, con molto meno sul piano normativo.

(a margine, e infatti guardacaso è proprio attorno ai browser che ruotano tutte le azioni di gestione della profilazione da parte di Google, Apple, etc.)

Non sono poi così tanti i vendor di browser (web o in-app) e la definizione di browser è facilmente ottenibile, anche in senso esteso... alla fine qualunque programma che permetta di connettersi ad un server remoto tramite HTTP è assimilabile a un browser.

Imponi ai browser delle norme stringenti lato privacy e sei a posto.

È anche più facili farci degli audit per l'autorità costituita.

juanin

@kal eh si. Bastavo obbligare i browser a mettere dei settings lato loro anche molto più usabili per gli utenti e ciaone. Finito il gioco. Niente più n-mila popup e un sistema unificato dove puoi gestire in modo granulare i consensi.

Ad esempio sulle App queste cose dei permessi esistono già, ma di fatto legalmente non valgono niente.

kal

@juanin sì ma non solo dei settings.

La legge può dire: "il browser è obbligato a salvare dati personali in questo e quest'altro modo e a fornirli solo dietro consenso esplicito dell'utente"

Poi tocca al vendor del browser creare le logiche tecniche per aderire alla legge.

Se la legge è chiara a sufficienza, emergeranno degli standard molto in fretta perché tutta l'industry ha interesse a valicare il guado in fretta ed in modo limpido.

In pratica creare cose come quella che Google ha presentato come "Privacy Sandbox"... solo nell'interesse dell'utente invece che nell'interesse di qualche colosso del settore adtech.

juanin

@kal ha detto in Quando la complessità tecnologica legiferata rende tutti fuori legge:

In pratica creare cose come quella che Google ha presentato come "Privacy Sandbox"... solo nell'interesse dell'utente invece che nell'interesse di qualche colosso del settore adtech.

Per la serie...
https://www.gov.uk/government/news/cma-to-investigate-google-s-privacy-sandbox-browser-changes

kal

@juanin ha detto in Quando la complessità tecnologica legiferata rende tutti fuori legge:

@kal ha detto in Quando la complessità tecnologica legiferata rende tutti fuori legge:

In pratica creare cose come quella che Google ha presentato come "Privacy Sandbox"... solo nell'interesse dell'utente invece che nell'interesse di qualche colosso del settore adtech.

Per la serie...
https://www.gov.uk/government/news/cma-to-investigate-google-s-privacy-sandbox-browser-changes

Ecco, appunto.

Per la sorpresa di assolutamente nessuno.

merlinox

Implementazione di software per

• banner
• informativa
• tracking / block tracking
• database consensi

...poi si parla della lobby del petrolio!

juanin

Comunque ad oggi la situazione è assurda.

Quando Apple renderà obbligatorio AppTrackingTransparency si verificheranno robe assurde.

Del tipo che tu nella tua CMP hai ottenuto il consenso a tutto e poi al popup in questione invece bloccherai tutto a monte. Si creeranno dunque paradossi assurdi dove di fatto il consenso più forte e con valore legale in realtà non varrà un bel niente.

kal

@juanin ha detto in Quando la complessità tecnologica legiferata rende tutti fuori legge:

Del tipo che tu nella tua CMP hai ottenuto il consenso a tutto e poi al popup in questione invece bloccherai tutto a monte. Si creeranno dunque paradossi assurdi dove di fatto il consenso più forte e con valore legale in realtà non varrà un bel niente.

Dimostrazione PER-FET-TA che bisognava fin da subito agire a monte.

Che poi del resto son proprio le piattaforme le prime a trattare dati personali. Tutti i principali OS hanno telemetria/diagnostica... sì, ANCHE APPLE.

Agisci sui vendor delle piattaforme e le tratti come gateway normandole in modo strettissimo.

juanin

@claudiosaitta eh sì questo è un tema.

Tu comunque puoi tranquillamente obbligare gli utenti a registrarsi per leggere le notizie.

Poi cmq la pubblicità puoi erogarla anche non personalizzata sebbene meno redditizia, ma secondo me vedrai che troveranno soluzioni.

Però il problema vero è che per editori che non fanno volumi TOP gli adempimenti e i costi sono di fatto troppo alti rispetto a quanto effettivamente la pubblicità riesce a generare.

Non è un fattore da poco. Come dicevo sopra hanno legiferato in un mondo difficile perdendo di vista il contesto.

kal

@claudiosaitta ti faccio una domanda un po' provocatoria: hai mai pensato a raccogliere DIRETTAMENTE la pubblicità?

Sono molti i magazine che lo fanno. Moltissimi di questi manco hanno i banner di Google, ho analizzato in passato ad esempio le riviste del settore birraio: hanno TUTTI quasi solo sponsorizzazione diretta.

Come inserzionista ci entri solo facendo trattativa diretta.

Lato editore è margine 100% in tasca e zero sbattimenti con la profilazione.

kal

@claudiosaitta ha detto in Quando la complessità tecnologica legiferata rende tutti fuori legge:

ma con le testate di news locali non la vedo così semplice.

La mia provocazione vuole essere proprio questa: se non è "semplice", allora vuol dire che sei schiavo delle soluzioni di terze parti. E sono soprattutto le soluzioni di terze parti a costringerti a fare i conti con le restrizioni legislative.

Non è una bella situazione in cui ritrovarsi, da un punto di vista strategico in generale.

Qualunque editore a mio parere, IN PARTICOLAR MODO quelli più piccoli e con poco potere contrattuale, dovrebbe sforzarsi creare un contenuto che sia appetibile per le sponsorizzazioni dirette e fare uno sforzo commerciale attivo per la loro raccolta.

Leggi come: se non sei tematico, diventalo.

Se sei generalista locale, ma non sei appetibile per le aziende locali... trova un modo per diventarlo.

Anche perché nel prossimo futuro le cose non andranno affatto meglio, anzi.

Tra adblocker, tecnologie di mitigazione dei cookie di terze parti e altre amenità... la pubblicità per interessi subirà un duro colpo. Occorre pensare ad una strategia di differenziazione, ma non per domani: per l'altroieri

juanin

Questa gente secondo me non capisce niente.

Per essere in regola basta che informi nel modo giusto e agisci solo se hai consenso. Quindi sinceramente mi sembrano le solite aberrazioni di chi non sa.

kal

Ci sono comunque delle soluzioni alternative, Google Analytics non è un must.

Google Analytics è molto comodo in quanto:

1. usi (GRATIS) la potenza di raccolta e di elaborazione dati di Google
2. si integra in modo nativo con altri prodotti di Google (primo tra tutti, Google Ads)

Ma detto questo... si può anche installare un Matomo On Premise su server proprietario... ed in quel caso ve lo dico: non c'è neanche bisogno del bannerino cookie o della raccolta del consenso! Puoi semplicemente avvisare nell'informativa estesa e morta lì.

Non esiste un modo solo di fare le cose.