• User

    cookies law ... dubbi su applicazione

    Non so se la sezione è giusta, ma ogni tanto mi risoffermo ad analizzare il problema della cookie law e mi rendo ogni volta conto che sembra una terra di nessuno.
    Mi spiego meglio analizzando 3 sistemi di gestione dei cookie

    cookiebot
    iubenda
    cookie-script

    Inizio con il dire che parlare di "cookies law " ha portato secondo me ad interpretare in maniera errata il problema da parte di molti. Nella normativa non c'è mai un esplicito riferimento ai cookie ma si parla genericamente di qualsiasi sistema che possa identificare l'utente (ed in particolare c'è scritto ad esempio i cookie)

    Ora rientrano sicuramente nella fattispece qualsiasi cosa messa in local storage e session storage

    Esempio specifico
    https://www.corriere.it/privacy.shtml?cookiePrivacy=true

    è facile verificare come ci siano diversi oggetti in local storage che non sono dichiarati nel loro documento

    In giro vedo le follie. Iubenda li elenca a modo suo e non ho mai capito sinceramente se faccia riferimento solo ai cookie
    cookiebot scansiona tutto e sarebbe a mio avviso la cosa più giusta. Se non fosse che poi, tanto per fare un esempio, ti ritrovi con oggetti in local storage lasciati da stripe che nemmeno stripe dichiara e che restano non classificati.
    cookie-script scansione solo i cookie ma si dichiare gdpr compliance

    Analizzando nello specifico i provider indicati
    iubenda è italiano
    cookiebot è americano e allo stato attuale secondo me non andrebbe usato
    cookie-script sta in lituania, quindi europeo e anche come prezzi credo che sia un buon compromesso

    Nello specifico, dove possibile preferisco usare soluzioni europee. Ad esempio i video di cui fare embed ho migrato tutto da vimeo a bunny.net

    Voi cosa ne pensate?


  • User

    Nessuna opinione ragazzi? Mi piacerebbe capire se sto prendendo un abbaglio.
    Grazie


  • Contributor

    Intanto rispondo al volo così poi ricevo le notifiche: parti dal presupposto che:

    1. le CMP non sono obbligatorie per legge. Sono solo comode per assolvere agli obblighi di legge, semplicemente incaricando un terzo che ti fornisce il servizio (e che comunque devi integrare nella tua privacy policy).
    2. sono uno strumento legale e non tecnico. Questo vuol dire che devi sempre essere tu a configurarle, ti promettono mari e monti ma poi la responsabilità è sempre tua.

    Il problema che tu stai proponendo in sintesi è un problema LEGALE e non può essere affrontato con il piglio del tecnico.

    @sabaxaba ha detto in cookies law ... dubbi su applicazione:

    In giro vedo le follie.

    È così. Perché NESSUNO ha veramente messo in pratica la cosa della "Privacy By Design", usano tutti tool commerciali di terze parti e si mettono la mano davanti agli occhi mentre cliccano su "Accetto termini e condizioni".


  • Contributor

    Aggiungo una cosina: secondo me le CMP vanno necessariamente usate in tandem con un sistema di Tag Management che permetta di inibire A MONTE il firing dei tag sulla base del consenso rilasciato dall'utente.

    Solo in questo modo hai veramente il controllo di quello che stai tracciando al tuo cliente.


    S 1 Risposta
  • User

    @kal Grazie kal della risposta.

    Allargo un pò l'orizzonte argomentando un pò meglio.
    Tecnicamente io ho già fatto ciò che suggerisci su un progetto che gestisco in maniera completa.
    https://www.camping.it

    Qui è tutta programmazione fatta in casa, controlliamo ogni singolo aspetto, i tag partono solo se c'è il consenso dell'utente. Io so cosa lascio in ogni momento. Il sistema dei cookie ce lo siamo rifatti da soli, non usiamo cmp. La stessa cosa su qualsiasi progetto fatto per cliente utilizzando il nostro framework proprietario.

    Ora però si pone un problema quando:

    1. sei costretto ad usare plugin di terze parti (es. stripe o lo stesso GA4 o altro). Devi sempre stare a controllare che ad un certo punto o in determinate condizioni non rilascino altri cookie o in html local storage

    2. se ti trovi a gestire un progetto che fa cross domain e l'altro dominio non lo gestisci tu diventa tutto complicato. Ad esempio ci sono cliente che hanno un sistema di booking su un dominio di terzo livello gestito da altri, ad esempio booking.nomedom.ext. Qui convincerli ad usare il mio sistema di cmp diventa complesso, dargli cookiebot e analogo mi risparmia parecchi mal di testa e mi preserva dall'ulcera.

    3. sistemi di cmp fanno da soli la scansione periodica, noi ho ci dobbiamo costruire lo scanner (ma a sto punto inizio a vendere anche io il mio sistema 🙂 o tocca farlo a mano periodicamente)

    tagliando la testa al toro in alcune situazioni mi sono detto, ok cookie bot, è il più diffuso, ma poi mi ritrovo con oggetti ion html local storage non classificati che nemmeno il produttore del plugin dichiara (vedi stripe ad esempio)

    Io sono convinto che gli oggetti in html local storage andrebbero dichiarati.
    Sono inoltre convinto che cookie-script.com come soluzione europea sia una scelta più opportuna, tra l'altro costa pure molto meno il che non guasta)

    Sono giorni che scrivo all'assistenza di cookie-script ma mi rispondono continuamente fuori contesto, o non capiscono o fanno finta di non capire


    kal 1 Risposta
  • Contributor

    @sabaxaba ha detto in cookies law ... dubbi su applicazione:

    ma poi mi ritrovo con oggetti ion html local storage non classificati che nemmeno il produttore del plugin dichiara (vedi stripe ad esempio)
    Io sono convinto che gli oggetti in html local storage andrebbero dichiarati.

    È il far west.

    Anzi, era il far west prima della normativa... poi con la normativa il far west è stato coperto da un velo di servizi di terze parti che promettono la compliance... generando un secondo far west.

    Praticamente è un sandwich di far west con una fetta di legalità in mezzo.


  • User

  • Contributor

    @homeworker concordo, la perfezione è MOLTO difficile. E soprattutto ci vuole una volontà di ferro e delle policy molto rigide.

    Personalmente le ho viste molto di rado applicate in contesti reali... ma in giro inizia a vedersi qualcosa.

    Ad esempio: https://twitter.com/prevenzione/status/1635606283041619968