• Contributor

    @filtro ha detto in Il Garante Privacy del Belgio multa IAB Europa per 250.000€ a causa di TCF:

    Nel tuo ragionamento allora un sito internet che chiede il login all'utente non dovrebbe salvare i dati, perché nel momento in cui li salva non è privacy by design.

    Ma no! Il login è necessario per fornire i servizi che stanno dietro login. In questo caso la privacy by design è non chiedere all'utente più dati di quelli strettamente necessari al servizio.

    Il problema del marketplace RTB è che una volta che il dato è venduto sulla piazza, non hai più il controllo su dove finisce.

    Se io utente acconsento che SITO-A fornisca i dati sui miei interessi a FORNITORE-ONESTO-B e questo fa da broker e permette l'accesso a FORNITORE-NON-SEMPRE-ONESTO-C e quest'ultimo per prassi fa da broker decine di SUB-FORNITORI-LADRI-XYZ... capisci che c'è un problema.

    Perché io il consenso l'ho dato solo al trasferimento del dato tra A e B. Ma il sistema stesso permette l'accesso a XYZ senza alcun controllo preventivo (e si può ben verificare che è così).

    Ora, non è il mio mestiere e qui mi fermo... ma il sistema perché sia compliant deve essere progettato per impedire questa cosa.


    F juanin 2 Risposte
  • Moderatore

    @kal ha detto in Il Garante Privacy del Belgio multa IAB Europa per 250.000€ a causa di TCF:

    Di fatto, qualunque operazione di brokeraggio di dati è già ora (e sarà ancora di più in futuro) da considerarsi illegale... a meno che le organizzazioni non siano in grado di fare auditing DI TUTTA LA SUPPLY CHAIN.

    Ma non è vero, la GDPR pretende che sia chiesto il permesso e che i vendor rispettino il consenso dell'utente. Certo se gli utenti non danno il consenso allora i dati non posso essere venduti, non posso profilarlo ecc. ecc.

    @kal continui a portare in tutti i modi la tua visione senza guardare il resto, posso anche condividere il fatto che alcune persone possono preferire non essere profilate, ma ti faccio una domanda: quando sei su un ecommerce quante volte le personalizzazioni dei risultati di ricerca o i prodotti consigliati ti hanno aiutato a fare l'acquisto?

    Buona parte di quei modelli sono sviluppati usando dati cross dominio, raccolti con il consenso degli utenti, profilando l'utente. usando un 3rdparty cookie, anche quello sono il male?


    kal 1 Risposta
  • Moderatore

    @kal ma il problema è il vendor, mappare il vendor che fanno schifezze si può fare è complicato, il problema non è RTB è cosa fanno i vendor.

    non capisci il principio, ma allora vietiamo di raccogli i permessi di marketing perché in realtà sappiamo tutti che non vengono rispettati?


  • Contributor

    @filtro ha detto in Il Garante Privacy del Belgio multa IAB Europa per 250.000€ a causa di TCF:

    Ma non è vero, la GDPR pretende che sia chiesto il permesso e che i vendor rispettino il consenso dell'utente.

    Peccato che nella pratica non succede.

    this study still observed many instances of ad tech vendors and data brokers creating unique user identifiers and performing user data syncs with other vendors.

    Utenti che acconsentono solo per il network di Google (che dovrebbe essere super bravo sulla carta) in un contesto di laboratorio (quindi con metodologia controllata), si vedono tracciati anche da altri network. Come mai succede questa cosa? Non dovrebbe succedere.

    Questo nei fatti.

    È un problema di auditing fatto coi piedi? È un problema del protocollo? Chi è da considerarsi responsabile?

    Il garante belga pensa che IAB Europa sia responsabile.

    Il resto sono miei pareri personali che poca rilevanza hanno con la questione 😁


    F 1 Risposta
  • Moderatore

    @kal e quindi???

    è un problema del TCF, del protocollo RTB o del vendor???

    direi del vendor.
    Come sei io raccogliessi i dati di contatto, e ritessi colpevole l'azienda che sviluppa il form perché l'azienda che ha il contatto lo vende senza aver il permesso.


    kal 1 Risposta
  • Contributor

    @filtro ha detto in Il Garante Privacy del Belgio multa IAB Europa per 250.000€ a causa di TCF:

    è un problema del TCF, del protocollo RTB o del vendor???

    Mah, secondo il Garante belga è un problema di TCF.

    Secondo me è un problema del marketplace RTB per sua stessa natura sregolato (l'esatto opposto di privacy by design... potremmo quasi dire spy by design), ma io non sono nessuno e non faccio testo 😁


  • Admin

    @kal ha detto in Il Garante Privacy del Belgio multa IAB Europa per 250.000€ a causa di TCF:

    Ma no! Il login è necessario per fornire i servizi che stanno dietro login. In questo caso la privacy by design è non chiedere all'utente più dati di quelli strettamente necessari al servizio.

    In una registrazione non c'è nulla di Privacy By Design.

    Già il fatto che ho una mail lo rende potenzialmente soggetto a ogni tipo di truffa o breach se chi tratta quei dati è un truffatore.

    Quindi stai facendo assunti totalmente fuori luogo. Il problema è il vendor truffatore non il framework o protocollo. Secondo il tuo assunto la colpa dei DDoS è colpa del protocollo TCP/IP.


  • Contributor

    Probabilmente non ci capiamo su una cosa.

    Quando io acconsento al tracciamento, io acconsento con il sito che sto visitando. Il sito ha il mio permesso per condividere le informazioni con una terza parte.

    Se la terza parte poi rivende ulteriormente il dato senza il mio permesso... il responsabile è comunque il sito che gliel'ha passato. Perché io sono il proprietario del dato e con il sito ho fatto un contratto (sì, il consenso è un contratto).

    Nel caso di TCF, il Garante belga contesta a IAB Europe la corresponsabilità per aver progettato un sistema che permette alle terze parti di rivendere ulteriormente il dato (è dimostrabile e dimostrato) senza alcuna reale capacità di controllo sul processo (la capacità di auditing di IAB si ferma al client).

    A me pare assolutamente sensato e davvero non capisco l'incredulità o tutti questi paralleli strani.

    (poi ci sarebbe da toccare il tasto legale di quanto sia effettivamente da considerare legittimo per un sito richiedere il consenso e prendersi la responsabilità in vece dei vendor che poi fanno quello che gli pare... e questa cosa la dicevo ancora in tempi non sospetti eh...)


    juanin 1 Risposta
  • Admin

    Ma forse non capisci l'assurdità di quello che si sostiene.

    Un conto se punisco IAB perché è data controller e non ha in piedi un sistema di data processing agreement con le sotto parti con cui condivide i dati (e poi tutti i vendor in realtà sono listati con relativo accetta/rifiuta a livello atomico).

    Un conto è che punisco l'uso errato che viene fatto di un Framework.

    Attenzione perché sono cose parecchio, ma parecchio diverse.


  • Contributor

    Ora, potrei essermi perso dei pezzi anche perché ho letto soprattutto commenti ed il provvedimento non è sempre decifrabile, ma... il Garante ha punito e sanzionato chi quel sistema lo ha progettato.

    Gli viene contestato il ruolo di Joint Controller, perché è IAB Europe che ha determinato lo standard. Questo vuol dire che chi aderisce a TCF è solo in parte responsabile, perché s'è trovato 'na roba prendere o lasciare.

    Ma evidentemente è proprio lo standard a non essere compliant.

    Sul perché o il percome lascio il lavoro ad altri.


    juanin 1 Risposta
  • Admin

    @kal e infatti il problema è il ruolo di IAB nella vicenda. Non il framework. Almeno spero. Perché altrimenti sarebbe assurdo. Ogni sistema può essere utilizzato in modo che violi la legge. Non si scappa. Qualsiasi cosa che raccoglie un dato. Basti pensare alla storia che mette al bando gli IP. Abbastanza eloquente. Ma il problema non è l'IP mi pare chiaro.


    kal 1 Risposta
  • Contributor

    @juanin il dato può essere raccolto legittimamente dalla prima parte, sempre.

    I problemi nascono quando parte la catena della rivendita a terzi.


    F 1 Risposta
  • Moderatore

    @kal però il concetto di prima parte è molto labile legalmente.

    se io nel mio contratto scrivo che accettando quel contratto accetto anche i termini e condizioni dei vendor A, B, C

    e quindi nel momento in cui vendo il dato ad A che nei suoi termini e condizioni c'è scritto che lo può vendere a sua volta, il problema diventa legale non di audit, ma di quando sono bravi i legali a scrivere i contratti.

    poi siamo sempre lì se riteniamo personale un cookie od un ip perché in modo truffaldino una terza parte potrebbe far fare login alle persone ed arrivare a nome, cognome, indirizzo ecc. ecc. stiamo mettendo ad una pezza al fatto che il legislatore non riesce a fare controlli.

    Ma proprio per quest'ultimo motivo le truffe continueranno ad esserci perché chi vuole fare la truffa un modo lo trova.


    kal 1 Risposta
  • Admin

    Comunque è certo che dobbiamo aspettarci il peggio. I vari Garanti Europei pare che si siano accordati per svolgere azioni congiunte e dunque distribuirsi tematiche per stato.

    Pare che quello Belga si sia preso a cuore questa storia del Programmatic. Il problema poi sembra anche essere che i Garanti sono sotto l'occhio attento dei vari attivisti in cerca di attenzione quindi sono molto strict.


    F 1 Risposta
  • Moderatore

    @juanin mi chiedo se siano loro ad aver scelto ho Shremps mandando i diversi casi. Sono 101 casi, ne sono uscita 3/4 ad oggi. Sarà divertente nelle prossime settimane


    kal 1 Risposta
  • Contributor

    @filtro non credo che questo del Garante belga dipenda dai reclami di NOYB, comunque sì ci sono anche quelli che bollono in pentola e verranno tutti fuori nei prossimi mesi.

    La lista sta qui: https://noyb.eu/en/eu-us-transfers-complaint-overview

    Ruotano tutti o quasi attorno all'esportazione di dati in USA, questo caso di IAB Europe / TCF è differente.


  • Contributor

    @filtro ha detto in Il Garante Privacy del Belgio multa IAB Europa per 250.000€ a causa di TCF:

    se io nel mio contratto scrivo che accettando quel contratto accetto anche i termini e condizioni dei vendor A, B, C
    e quindi nel momento in cui vendo il dato ad A che nei suoi termini e condizioni c'è scritto che lo può vendere a sua volta, il problema diventa legale non di audit, ma di quando sono bravi i legali a scrivere i contratti.

    O di quanto sono brave le Autorità Garanti a stracciare i contratti scritti dai suddetti avvocati 😁

    Perché a occhio, visti i principi fondativi della GDPR, una terza parte non può tanto legittimamente rivendere oltre senza il consenso diretto (libero, informato, inambiguo, etc.) del proprietario dei dati personali.


    aMorloi 1 Risposta
  • User

    @kal è che il dato lo puoi anche vendere, è il consenso che non vendi. Nei fatti i dati, se lo specifichi nei termini, possono essere ceduti (a meno che non siano sensibili), ma poi chi li riceve, diventando titolare del trattamento, deve ottenere il consenso ex-novo, sottoponendo all'utente i termini del trattamento, le policy etc.


  • User

    @juanin concordo con la poca chiarezza nella "forma" di implementazione di diverse scelte del GDPR, ad esempio quella relativa a come registrare il consenso.

    Di fatto stiamo ancora aspettando a breve la eDirective che dovrebbe chiarire diversi aspetti.

    In ogni caso la mia interpretazione della questione "come registrare il consenso", è, per analogia con i cookie tecnici:
    tutto ciò che serva per far funzionare il sito web o per tenere fede al motivo legale sono costretto a renderlo indispensabile e quindi di conseguenza registrabile.

    Ci sono però due cose molto "sottili" da notare.

    1- il Garante italiano ha precisato in una delle FAQ sui cookie, che il cookie tecnico sia una modalità necessaria e sufficiente come prova del consenso (anche se lascia sott'inteso che il titolare non è obbligato a questa sola modalità tecnologica).

    2- nel GDPR si precisa che in caso di utilizzo di dati personali come l'ip, si debba separare certe informazioni e renderle anonimizzate a sufficienza, e dimostrare di aver evitato di ricondurle a sistemi che possano profilare o comunque associare l'informazione personale al profilo di comportamento (in caso di assenza di consenso in tal senso) sopratutto se girate a terze parti.

    Quindi la conseguenza è che è da evitare l'utilizzo di esportazione dati fuori EU, (cosa che avviene con i cloud americani), senza seguire le 48 pagine di Raccomandazioni di giugno 2021 dei Garanti europei (EDPB), o in assenza di specifiche deroghe (come il privacy US shield prima della sua invalidazione il 16 luglio 2020), ed evitare il trasferimento dati personali a terze parti (diverse da chi informa, richiede il consenso, e gestisce il consenso dietro le quinte, a meno di avere dei meccanismi per supervisionare cosa si fa con i dati) in modi che possano essere riconducibili alle persone e associabili ad altre informazioni connesse (es. comportamenti, dati finanziari, sanitari, ecc. insomma anche dati sensibili o di profilazione).

    Ti dò però ragione sul fatto che il GDPR dica che la PROVA del consenso, comunque sia a carico del titolare del trattamento.

    Quindi, è ragionevole chiedersi se non sia il caso di registrare una prova lato server, di quel cookie tecnico, come prova del consenso (in caso ci sia qualche problema con il cookie del browser...).

    Il gatto SI MORDE LA CODA, come dici tu.

    Non è chiaro, ma la mia interpretazione quando una cosa non è chiara è il "buon senso" e trovare una spiegazione ragionevole in caso di ispezione che precisi le scelte compiute e per quale ragione (principio di accountability).


    juanin 1 Risposta
  • Admin

    Chissà se sarà il caso di iniziare a montarsi un ad server in casa 😄

    Sarebbe interessante iniziare a fare un bell'elenco. Il successore di OpenX è questo https://www.revive-adserver.com/


    kal S sermatica 3 Risposte