@hub said:

Suona molto strano detto da te che ti sei iscritto da pochi giorni e hai 10 messaggi, quasi tutti concentrati in questa discussione con l'evidente tentativo di fare terrorismo disinformativo.

E' evidente fin dal primo post che hai veramente voglia di perdere tempo e di farlo perdere agli altri.
La cosa è triste. Non solo per te ma per quanti, che nel settore lavorano, vorrebbero approfondire gli aspetti tecnico/legali di una faccenda che è complessa.
Se assicuri che non sia necessario rispettare la legge perchè tanto non lo fa nessuno (tua opinione), perchè i controlli non li faranno mai (tua opinione) oppure che basti usare il cookie consent per bloccare tutti i cookie (più che una opinione, una cretinata), si potrebbe vivere felici e contenti.
Peccato che la maggiorparte di noi non ha la fortuna di vivere nel paese dei balocchi e dei perditempo e con le leggi, e la loro applicazione, ha da farci tutti i giorni.

@hub said:

Ho paura che la tua ossessione sui cookies ti abbia fatto equivocare quello che ho scritto e che riporto:

Io invece ho paura che il tuo (troppo) tempo libero da dedicare al trolleggio ti abbia fatto equivocare la natura tecnica del presente forum, sezione per'altro dedicata alla legge sul web e in particolare sui cookie.

Nei siti di informazione penalizzati ci metti anche quelli sui complotti, le scie chimiche, il controllo mentale da parte del NWO, compreso i siti di divulgazione medico/scientifici per la cura delle più gravi malattie con il bicarbonato e un paio di gocce di limone?

A livello di informazione non mi attraggono nè i giornali mainstream nè i siti "alternativi" nè quelli degli ancora più inutili, perchè subordinati ai primi, cosidetti debunkers.
Detto questo non è una buona ragione per non difendere la libertà degli altri.
In ogni caso qualunque quotidiano, specie quelli locali, sarebbero penalizzati da una applicazione della legge.

Sto cercando di sdrammatizzare, mi rendo conto che non hai alcuna intenzione di cogliere il senso del mio ragionamento, anzi penso che tu mi stia dando tra le righe del superficiale,

Mica tanto tra le righe. Accusando prima gli altri di essere ignoranti di javascript e poi dando consigli tecnicamente errati e legalmente pericolosi agli utenti, ti sei già qualificato come una persona superficiale.

nel senso che non sto dando il tuo stesso valore di "drammaticità" alla normativa.

Evidentemente non hai da "lavorare". Come del resto si evince dai consigli che dai.

Tra l'altro mi chiedo, le grandi web agency come ad esempio aQuest di Verona, una 50ina di dipendenti e diciamo 200 clienti solo ecommerce, che busseranno alla loro porta con una multa da 120.000 Euro, avranno studiato anche loro secondo te questa situazione? Stiamo parlando, seguendo il tuo ragionamento, di un potenziale danno da 24 milioni di Euro.
Ma non c'è solo aQuest, di grandi agenzie web che sfornano ogni giorno strutture ecommerce ce ne sono parecchie in Italia.

Non ho prove che effettuino profilazione di terze parti senza opt-in (nè di prima parte senza comunicazione al garante) quindi, per quanto mi riguarda, sono in regola.
E comunque non spetta a noi fare nomi o accuse.

Forse è il caso di chiedere a loro?

Ed è infatti quello che si cercava di fare prima che venissi a esporre le tue "teorie alternative" (fossi in te ci andrei cauto con le "scie chimiche").
Si scherza, eh...

@hub said:

Se il sito, o i siti, sono dei tuoi clienti, questa sui cookies la dovresti trasformare in una nuova opportunità di lavoro e guadagno...

Il fatto che possa trovare vantaggi nel sensibilizzare i clienti o futuri clienti sull'argomento è indipendente dalla bontà della legge.

...e il costo che ricadrà sui tuoi clienti sarà inversamente proporzionale alle tue conoscenze e capacità. Se così non è ci rimetterai tu e i tuoi clienti.

Non so i tuoi clienti ma il costo che ricade sui miei è direttamente proporzionale alle mie conoscenze e capacità. Ti pare?
Però evidentemente non hai letto con attenzione il mio post precedente.
Il costo aggiuntivo sulle imprese italiane, dovendo rispettare la legge, è evidente e oggettivo e indipendente dal costo di sviluppo.
Aggiungo il fatto, non annotato precedentemente, che dover "nascondere" gli url delle risorse esterne nel codice HTML, può produrre un effetto negativo anche sull'indicizzazione.

Se realmente non esiste una possibilità tecnica, a prescindere dalle proprie conoscenze in materia, di adeguarsi al 100% alla normativa in quanto nel nostro paese la normativa è stata "riscritta" da emeriti incapaci, che paranoie ci stiamo facendo?

Paranoia da 120000??
Ogni sito può essere "messo in regola". Il problema è che può uscirne "zoppo" visto che alcuni servizi non puoi usarli senza cookie di profilazione e al primo impatto (ovvero prima dell'opt-in), il visitatore, può riceverne una impressione negativa. Che è un altro costo.

Tutti i siti saranno più o meno illegali, compreso quelli governativi e istituzionali e di conseguenza il nostro paese dovrà risponderne al'Europa che con molta probabilità ci sanzionerà, visto che è una legge europea.

Non spariamo panzanate. I siti governativi, proprio perchè pubblici e foraggiati da Pantalone, non hanno bisogno di chiedersi come tirare a campare.
Ho letto in giro che persino il sito del Garante sarebbe fuori norma. Ridicolo. Usa solo cookie tecnici di sessione e ha la policy scritta pure in inglese.
**La legge penalizza gli e-commerce e i siti di informazione italiani!
**

Il nostro compito è quello di adeguarci nel limite delle umane capacità, anzi delle possibilità tecniche.

Il mio compito qui è cercare di capire, da persone che sanno almeno di cosa si sta parlando, se la pratica di usare l'opt-out adottata da grandi siti nazionali (per'altro di informazione!) è pratica lecita oppure fino a che punto è tollerata ufficialmente.
Se la pratica è lecita allora deve esserlo per tutti.

@hub said:

Riduzione dei guadagni da parte di chi? Non è molto chiara questa affermazione.

Scusa ma viene da chiedersi se dici sul serio o ti diverti a prendere in giro.

Non serve competenza tecnica, basta la logica.
Ragioniamo.

Se lo stesso Garante si è accorto delle enormi difficoltà tecniche, tanto da concedere 12 (+12?) mesi per l'applicazione della legge, secondo te le enormi difficoltà tecniche le risolve Babbo Natale, la dea Kali oppure lo sviluppatore? Ottimo. Dunque quest'ultimo è costretto ad un lavoro extra, un maggior tempo di sviluppo e test più intensivi (tanto al giorno d'oggi abbiamo solo 13577 modelli di smartphone, tablet e versioni di browser diversi di cui occuparci).
Se lo sviluppatore riesca o meno a rifarsi sul cliente è un'altro discorso ma si tratta comunque di un costo aggiuntivo (in lavoro, tempo e denaro) che qualcuno deve pagare. E nel caso di e-commerce, dove è più facile prospettare una profilazione di prima parte, abbiamo anche la famigerata "tassa" di 150€. Tanto per gradire.

A livello tecnico, il dover bloccare tutti i contenuti "profilanti" crea certamente difficoltà tecnico/artistiche allo sviluppatore: come blocchiamo? Con quali contenuti riempiamo i "buchi" lasciati nel layout in attesa dell'opt-in? Come verifichiamo la compatibilità del banner su tutti i dispositivi?
Più complessità che può produrre errori di incompatibilità e malfunzionamenti assortiti derivanti dall'inevitabile spaghetti-script lato client.
Chi non si rende conto almeno di questo farebbe bene a cambiare mestiere altrimenti rischia di pensare di risolvere la noiosa cookie law con un bannerino che non serve ad una cippa ed espone potenzialmente l'editore, ovvero il committente del sito, a multe salate!

Ma ci sono altri tipi di problemi.
Chi incassa dalla pubblicità online - chi fa il blogger campa di questo - semplicemente perde la pubblicità da tutti quelli che non pigiano il consent. Se fosse "automatico" scegliere l'accettazione dei cookie evidentemente la legge non servirebbe a nulla - e forse è così - dunque, sempre per logica, deduciamo esserci una percentuale di visitatori che non vogliono l'installazione dei cookie.
Peggio ancora: in attesa del cookie consent il visitatore è lasciato con un sito "zoppo" in cui non solo alcuni contenuti sono stati sostituiti da altri ma il layout è ammorbato da un invasivo bannerone che ricorda le scritte anti-fumo sui pacchetti di sigarette.
In casi particolarmente sfortunati può capitare che lo stesso bannerone manco funzioni, non sia visibile o semplicemente spinga il visitatore ad abbandonare la pagina.
Una maggiore frequenza di rimbalzo produce quindi varie perdite: meno pubblicità, de-ranking da parte di MrG e meno visite sulle altre pagine del sito.

Purtroppo (o per fortuna) è solo una legge italiana quindi i siti italiani hanno un oggettivo svantaggio rispetto a quelli europei (dove magari è stato adottato l'opt-out) o del resto del mondo. Ah... gli aiuti di Stato. :():

Tenuto infine conto, lo ripeto, che profilazione non vuol dire solo cookie, non ci vuole molto acume per capire che in questa legge la difesa della privacy del cittadino non centra assolutamente nulla!

@hub said:

Non è che voglio minimizzare il problema ma secondo me stai prospettando uno scenario a dir poco apocalittico

Considera solo le decine di migliaia di siti messi in piedi da ragazzini, ho visto alcune strutture ecommerce piccole ma da fare invidia a Amazon, senza contare tutte le omissioni fiscali, parlo nel nostro paese, se parte un controllo ci saranno decine di migliaia di famiglie a cui verranno notificate multe astronomiche? Una mattanza a confronto di Equitalia.

Infatti non è detto ci saranno controlli. Per questo ho usato il SE.
Come alcuni utenti hanno già osservato sono tantissimi i siti "AAA" che installano cookie platealmente di profilazione senza nemmeno il tentativo di opt-in.
Ma non è una buona ragione per evadere la legge, piuttosto sarebbe bene cambiarla se nemmeno i big riescono a rispettarla!

Leggiti con calma questo articolo, purtroppo non trovo più alcuni riferimenti più ufficiali riguardo quanto ho già accennato sulle comunicazioni fatte dallo stesso Garante che ha dichiarato che "ci andranno molto piano", per ovvie ragioni: wired.it/internet/regole/2015/06/04/cookie-law-chiarimento-garante/

Tecnicamente non dice nulla che non abbiamo già discusso alla nausea.
La frase del Garante (ATTENZIONE: è del giugno dell'anno scorso!):

Non temete, non abbiamo intenzione di metterci subito a fare le multe. Per ora vogliamo che la nuova legge venga recepita
è il massimo del ridicolo.
La legge c'è - e si fa rispettare - oppure non va bene e allora la si cambi!
Oltretutto il buonismo da sempre ottimi risultati: ora persino i banner stanno scomparendo forse perchè i furbi hanno capito che a parte pochi cookie dal nome "noto", è impossibile capire se un cookie è di profilazione o meno. Mentre il cittadino crede che non ci sia alcuna profilazione - perchè non c'è il banner - in realtà c'è n'è quanto prima!
E la situazione è quindi peggiorata!
Infatti prima avevamo la certezza di essere profilati, ora anche quella di essere presi per il culo.

A mio parere questa legge più che spaventare dovrebbe dare uno spunto per migliorare prima di tutto le proprie competenze e conoscenze e prendere coscienza del fatto che la gente dev'essere informata soprattutto quando si attuano strategie che violano palesemente la privacy.

Se un utente posta un video divertente in un forum secondo te il gestore del forum sta attuando strategie mirate a violare la privacy?

Quello che invece mi da fastidio e che puoi verificare per esempio leggendo alcuni commenti all'articolo che ti ho linkato, gente che blatera in nome della libertà di informazione affermando che ora dopo l'obbligo di studiare HTML ci sarà anche l'obbligo di studiare Javascript

In effetti... nel 99% dei casi è proprio l'uso sconsiderato di javascript a produrre cookie!

Ma insomma fammi capire (tu in senso lato), vuoi fare il webmaster e ritieni che studiare i linguaggi di base, troppo complicati, violino la libertà di informazione, in quanto non sai evidentemente una mazza, sei un improvvisato e probabilmente nemmeno consideri la possibilità di assumere un professionista perché non hai la più pallida idea di come adeguarti alla normativa? Forse è il caso di cambiare hobby o considerare seriamente di cambiare lavoro.

Adeguarsi è sempre possibile e, nel 90% dei casi, anche immediato. Ma è innegabile un incremento dei costi di sviluppo e una riduzione dei guadagni a fronte di un risultato, in termini di lotta alla profilazione, totalmente nullo.
In ogni caso non tutti quelli che pubblicano sul web sono rapaci markettari dediti a sordide pratiche di profilazione: a volte sono semplici blogger o gente che di mestiere fa tutt'altro e usa il web a fini sociali e non commerciali.
Oltretutto se fosse tutto rose e fiori come dici, perchè molti Big disattendono alla grande? Semplice: perchè adeguare framework cresciuti nell'arco di un decennio è un casino terrificante pure per loro. Oppure, più probabilmente, gestendo in house la profilazione possono "camuffare" i cookie meglio di un piccolo blogger che al primo cookie NID viene multato!

Guarda... parlo del peccato e non del peccatore: proprio ieri ho fatto una prova. Sono andato sulla home page di un noto quotidiano online con cache vuota e cookie cancellati: niente opt-in e il browser si è beccato quasi una dozzina di cookie in una botta sola.
Cercando in fondo alla pagina, piccolo link nel footer, c'era l'informativa che spiegava o lasciava intendere - giurin giurella - che nessun cookie fosse di profilazione.
Peccato che tra questi c'era un __gads che a me ricorda quello di Google DoubleClick AdSense. Forse una coincidenza.
Gli altri? Chi lo sa.
Basta fidarsi, no?

Secondo te che serietà sarebbe? Una legge paranoica che nessuno è in grado nè di applicare nè di far rispettare. Mah...

Diciamoci le cose come stanno, tutta la polemica non nasce sulla base di una legge sbagliata ma sul semplice fatto che mancando le competenze risulta molto difficile adeguarsi.

E quando mancano le competenze in chi scrive le leggi, i risultati sono ancora più esileranti.
Ma quelli che scrivono le leggi, purtroppo, il mestiere non lo cambiano mai!

La cosa andrebbe contestualizzata, mica si può dare una risposta valida in generale.
Direi che oltre al rispetto della privacy altrui - chi ha stabilito che quelle persone commettevano un reato? - occorre che il video non possa in alcun modo essere interpretato come una istigazione a commettere lo stesso reato.

@hub said:

Partendo dal presupposto che i cookies tecnici non devono essere autorizzati e ci mancherebbe pure, ci sono diverse possibilità di verifica usando estensioni per Firefox o Chrome per esempio.
Per tutto ciò che riguarda situazione più complesse come analytics la stessa Google spiega cone anonimizzare i suoi script, ma devi comunque offrire all'utente la possibilità o meno di accettare di essere tracciato.
Fino a che l'utente non decide, nessun cookie tranne quello tecnico può essere scaricato.

Già qui si presenta un problema tecnico. Come ho già avuto modo di scrivere non è detto che l'iniezione di cookie di profilazione da parte di un server di terze parti sia sistematico oppure non possa avvenire in futuro: nel caso di modifica delle "condizioni del servizio" di chi è la responsabilità? Ovviamente dell'editore visto che normalmente gli script che si usano passano di mano in mano, di tema in tema o scaricati da repository gratuiti.

Il problema è in gran parte risolto usando uno dei tanti script opensource, uno su tanti forse uno dei più famosi: silktide.com/tools/cookie-consent/
Qui un semplicissimo wizard per generare lo script: silktide.com/tools/cookie-consent/download/
E qui un po' di documentazione: silktide.com/tools/cookie-consent/docs/

Non diamo informazioni pericolose! Il cookie-consent della silktide è solo un banale banner con un pomello da cliccare. Bello e carino ma non blocca assolutamente nulla!
Magari fosse così semplice...

Per WordPress, Joomla e altri ci sono decine e decine di plugins e estensioni sia gratuite che a pagamento, dalle più semplici del tipo "per non sapere né leggere né scrivere li blocco tutti", fino a quelli più sofisticati che permettono anche di far scegliere da chi essere tracciati, ad esempio do il consenso per i social ma non per Analytics. Ovvero un'assurdità e una gran perdita di tempo inutile per tutti.

Per quanto mi riguarda i plugin per wordpress sono uno più scassato dell'altro e mi ci guarderei bene dall'usarli per pararmi il culo da multe di centinaia di migliaia di euro.

Il vero lavoro che tu devi fare, forse quello più noioso e più lungo, riguarda i testi dell'informativa, cioè una pagina dedicata che dettagliatamente spiega per esempio il motivo per cui il sito vorrebbe scaricare uno o più cookies di tracciamento nel suo computer.

Il vero lavoro è che bisogna mettersi a codare. Di brutto. L'unica possibilità è quella di prendere in consegna l'intero output HTML proveniente dal CMS e non mandare nulla al client prima di aver "nascosto" ogni maledetto video, immagine e controllato ogni url esterno. Usare epressioni regolari non se ne parla, occorrono librerie di alto livello per la manipolazione del DOM.
Tutti gli script che effettuano chiamate HTTP vanno bloccati e inizializzati solo DOPO l'opt-in dell'utente. Ancora meglio se iniettati nel documento perchè cosa si celi all'interno di uno script minificato nessuno può davvero saperlo. Potrebbe darsi che uno script, apparentemente innocuo, ad un certo punto si metta a "spammare", tramite l'esecuzione di una porzione di codice "offuscato e minificato", strane gif trasparenti 1x1.

Mi sembra irrealistico, a meno che uno non usi solo Google Analytics e Maps, stilare una lista completa dei cookie. Oltretutto andrebbe aggiornata quotidianamente perchè non puoi sapere cosa succeda su server che non sono tuoi! Anche la più banale immagine, ad un certo punto, potrebbe smettere di essere una banale immagine *"statica" *(ovvero inizia a servirti, insieme, anche qualche biscotto).
Cominci a intuire il problema che noi, geniali europei, ci siamo creati da soli?

Quindi se le soluzioni ci sono, giusta o sbagliata che sia questa legge, perché farsi un problema? Alla peggio si bloccano tutti, si informano dettagliatamente gli utenti e si lascia, come dev'essere, la possibilità di essere o meno monitorati, e viviamo sereni.

Ogni cosa che installi, a meno che non provenga da una fonte super affidabile, richiede da parte tua un lavoro attento per sincronizzare il blocco lato server e lo sblocco lato client. Non puoi inviare nulla - ripeto nulla - al client che possa far partire una chiamata http "anticipata".
Il resto del mondo, dove la profilazione senza consenso è legale, non è popolato da idioti: ovviamente tutti si stanno inventando tecniche per aggirare la Cookie Law Europea con vari tipi di exploit che, i normali webmaster, non hanno nemmeno idea che esistano (una specie di trojan javascript).
Del resto in un continente di pazzi dove tutti cercando di bloccare tutto, chi riesce a profilare meglio e prima ha un vantaggio sui competitor che invece, da bravi soldatini, attendono l'opt-in. Sull'opt-out, una italianata alla tedesca, meglio non fare commenti.

Nel dubbio nessuno script può essere, non dico avviato, ma nemmeno inviato al client! Al massimo lo inietti dinamicamente attraverso una chiamata ajax al tuo server.
Inoltre, a costo di ripetermi, la legge è fuorviante perchè la profilazione non avviene solo tramite i cookie!
Allora qual'è il problema? Il cookie o la profilazione?

Ma per il resto come i discorsi del tipo "risulta che molti siti se ne fregano" sono discorsi senza senso, i controlli e le multe prima o poi inizieranno a partire, questo anche grazie alle segnalazioni che la gente invierà al Garante, e allora saranno davvero dolori.

Se ci saranno davvero controlli, non hai idea di quanto sarà vera questa tua affermazione.

Se tutti diciamo che la legge europea è una puttanata, non diciamo così per dire...

Per carità... sulla carta la motivazione può essere lodevole ma è troppo comodo scaricare sulle piccole imprese l'onere di risolvere lo schifo che gli alti burocrati europei e la finanza internazionale hanno permesso negli anni.
E in ogni caso la Cookie Law, in pratica, non risolve nulla: ma chi ha mai letto davvero l'informativa privacy? Chi è solito non cliccare OK alla richiesta di accettazione cookie? Suvvia siamo seri!

@hub said:

Beh non a caso il Garante ha prolungato di ulteriori 12 mesi, che in totale sono 24 senza contare che la legge non è apparsa dall'oggi al domani, rendendosi conto che non sarebbe stato facile per tutti.

Da quanto leggo sul sito del Garante stesso (garanteprivacy.it/cookie) il Provvedimento è stato pubblicato sulla Gazzetta Ufficiale il 3 Giugno 2014 e poi è entrato in vigore, dopo una proroga di un anno, il 3 giugno del 2015.

Non voglio difendere né accusare nessuno però a mio parere 24 mesi sono un tempo più che sufficiente per comprendere almeno la differenza tra cookie di profilazione e cookie tecnico, se non altro per evitare una possibile multa

Io penso che persino fra dieci anni saremo ancora qui a chiederci quale cookie sia effettivamente di profilazione e quale no.

A parte gli scherzi, dal momento che i fornitori di un servizio possono cambiare le condizioni, quello che oggi non è cookie di profilazione domani potrebbe diventarlo. La cosa non è affatto banale come sembra. Le penalty mi sembrano sproporzionate. E mal indirizzate. E' come obbligare i concessionari di auto a fare il test di guida e fornire il codice della strada ai clienti e poi multare i primi se questi ultimi fanno un incidente per imperizia o perchè lo Stato ha lasciato una buca in mezzo alla strada. Mah...
Non sarebbe meglio che lo Stato, se ci tiene tanto, informasse gli utenti finali (visto che è dotato di almeno 3 reti televisive nazionali) e togliesse le buche?

@hub said:

Non sono d'accordo. La gente deve essere messa al corrente che può essere monitorata e non solo, anche del fatto che alcune operazioni come un semplice click su un link può generare un guadagno (spesso a venditori di fumo, balle e bufale) anche a distanza di decine e decine di giorni, tanto per fare un esempio su tanti.

Sul fatto che la gente debba essere informata posso anche essere d'accordo - anche se forse ci sono cose più importanti su cui informarla! - ma non trovo affatto condivisibile che a farlo debba essere un webmaster o, peggio ancora, un "editore" che, nella maggiorparte dei casi è un piccolo imprenditore che si è fatto realizzare il sito vetrina. Magari anni prima. Pena multe da centinaia di migliaia di euro.

Inoltre, se hai dato un'occhiata al thread che ho aperto oggi nella stessa sezione, non parliamo di semplice informativa.
Per esempio molti (cosidetti) webmaster pensano che basti mostrare un bannerino dopodichè si è liberi di fare qualsiasi cosa:

Questo sito utilizza cookie anche di terze parti. Se non clicchi OK non vedi una cippa, se clicchi OK ti becchi 1357 cookie che manco io ho la più pallida idea di cosa memorizzino! ***

Bel modo di informare gli utenti!

Molti quando pensano a cookie di profilazione pensano a colorati plugin grafici. In realtà basta una immaginetta esterna, un css, uno script o un font (qualunque chiamata HTTP get/post) scaricato da un CDN esterno per riempire di cookie il browser dei visitatori! E non puoi mai essere del tutto tranquillo perchè non è detto che il CDN che oggi, insieme al simpatico plugin jquery, non ti inietta cookie continui a comportarsi onestamente. O magari, sulla base di sofisticate euristiche, a volte li inietta e altre volte no, vallo a capire.
Il cookie, quando non è cifrato, nel 99% dei casi è solo un hash identificativo che solo il fornitore sa a cosa serve e a quali informazioni si riferisce. Chi si può fidare?
Contratto del servizio? Ma di cosa stiamo parlando? Nell'era del cloud se scarico, per esempio, un apparentemente innocuo css bootstrap da un CDN, non so neanche da quale parte del mondo arriva! Spesso un tema wordpress - ah che belli i CMS e i temi già pronti - contiene decine per non dire centinaia di script che non sai manco cosa facciano.
Oltretutto già il nome Cookie Law è l'epifania dell'ignoranza: si può benissimo profilare anche se l'utente ha javascript e cookie disabilitati!

Per fortuna Google ha messo a disposizione degli sviluppatori semplici soluzioni per non usare cookie di profilazione o addirittura non usarli affatto (e pagine informative sulla policy utili da linkare a visitatori e committenti) ma non tutti i Big Players si sono comportati allo stesso modo.
In un mondo in cui visitatori (e quindi i committenti del sito) pretendono integrazioni a social network, piattaforme mobili e compagnia cantando capisci che i rischi sono enormi.
Scaricare le responsabilità sullo sviluppatore, molto spesso più simile ad un utente finale che a un potente e ricco profilatore, è ingiusto. E, lasciamelo dire, ridicolo: la maggiorparte degli sviluppatori non ha le competenze e/o il tempo per trovare e inventare soluzioni tecniche o non ha modo di fornire garanzie sulla totale non profilazione.
Del resto il topic del presente thread ne è la dimostrazione: pochi siti sono a norma. E' un dato di fatto, banale da verificare. Ma naturalmente non credo sia una buona ragione per non rispettare la legge.
Quello che mi fa incaxxare dell'Italia è che ci dotiamo delle leggi più severe al mondo e poi, puntualmente, finiamo per non rispettarle! mah...

Oltretutto non si capisce nemmeno cosa voglia dire "profilare". Dal momento che il web è basato su richieste HTTP, in cui lo scambio di dati è bidirezionale, c'è sempre una profilazione! Cookie ma anche IP, stringhe UA, referral, etag, e Dio-solo-sa quali euristiche si stiano inventando per tracciare gli utenti!
Il web non è la TV o il satellite!
Allora semmai il problema è controllare l'uso, l'abuso e la finalità della profilazione. Sono ignorante ma, a leggere la normativa italiana, sembra che basti informare il Garante, pagare 150€ e mettere un bannerino colorato dopodichè puoi profilare anche gli orari in cui gli utenti vanno al gabinetto! Pazzesco!

E comunque è tutto inutile. Il problema andrebbe risolto in altro modo. La UE dovrebbe obbligare i big player a darsi una regolata anzichè premiarli con paradisi fiscali nel cuore dell'europa, legalizzando la grande evasione fiscale (pardon: differenziale IVA).
Ma rimarrebbe comunque un problema globale: bisognerebbe coinvolgere venditori, profilatori e sviluppatori di browser. Basterebe che il browser, cookie per cookie, chiedesse l'autorizzazione all'installazione anzichè cookie sì/cookie no.

Credo però che il problema sia talmente irrisolvibile - manco ci si riesce a mettere d'accordo su uno standard su script e fogli di stile - che sarebbe meglio investire le risorse, anzichè in ridicole caccia alle streghe, nella sensibilizzazione degli utenti. Ma a farlo non possiamo farlo noi.

@luca1317 said:

Si, anche io faccio lo stesso e da tempo ho notato che la quasi totalità dei siti invece non aspettano l'accettazione dei cookies

seguo volentieri questa discussione perché o molti non sono a norma o noi abbiamo sbagliato ad interpretare la legge oppure c'è stata una modifica recente.

Verissimo però propendo di più sulla tua prima ipotesi...

Ovviamente la legge europea non andava fatta: è una sciocchezza perchè in un mondo globalizzato serve solo a penalizzare le aziende europee e sopratutto i piccoli sviluppatori!

Ma, andando contro corrente, credo che l'implementazione italiana sia corretta: l'opt-out tedesco, secondo me, è ridicolo. Prima ti infilo i cookie e poi arrangiati su come eliminarli!

@matteoraggi said:

Se il mio sito mostra solo un cookie NID di google.com devo mostrare il popup di avviso dei cookie sul sito?

Dal sito di Google (google.com/policies/technologies/types/) leggo che
*Google utilizza i cookie, come i cookie NID e SID, per contribuire alla personalizzazione degli annunci nelle proprietà di Google, come la Ricerca Google. Ad esempio, li utilizziamo per memorizzare le tue ricerche più recenti, le tue interazioni precedenti con gli annunci di un inserzionista o i risultati di ricerca e le tue visite al sito web di un inserzionista. **In questo modo possiamo mostrarti annunci personalizzati su Google.
**
Direi sia profilante però, probabilmente dipende dal servizio specifico che usi e da come lo hai impostato.
Con Google Analytics ti serve almeno la Cookie Policy mentre il popup (con blocco dei cookie) solo se lo utilizzi in forma non anonimizzata. *GA però utilizza _ga e _gat quindi è probabile che NID derivi da una Google Maps. Se, per esempio, usi la Google Map solo per visualizzare una semplice mappa, potresti utilizzare il dominio cookieless maps.googleapis.com della stessa (senza cookie non ti servirebbe nè popup nè informativa).

Ciao a tutti,

L'anno scorso avevo già avuto modo di leggere le lunghe, ma interessanti e costruttive, discussioni qui su giorgiotave.it.
Per correttezza premetto che ho già postato una domanda simile su html.it (forum.html.it/forum/showthread.php?threadid=2934523 chiaramente non è per mancanza di fiducia nei confronti degli utenti di html.it ma perchè ritengo si tratti di un'aspetto che mi sembra non sia stato del tutto approfondito e, vista l'esperienza maturata su questo forum, forse potete darmi una mano.

Riassumo quanto ho scritto:
gestisco gratuitamente, essendone socio, il forum di una associazione no-profit APS (Fablab Imperia APS).
Tecnicamente utilizzo il servizio Google Analytics su tutte le pagine e, solo in home page, una Google Maps. Quest'ultima non richiederebbe nemmeno la Cookie Policy perchè inserita tramite il dominio cookieless (maps.googleapis.com) che, appunto, non usa cookie (in modo simile al dominio youtube-nocookie.com). Google Analytics viceversa deve usare i cookie ma, essendo usato in forma analitica (dati aggregati, IP anonimizzati, ecc...), richiede solo la cookie policy ovvero non necessita di opt-in.

Appurato che ho studiato la lezione i miei dubbi nascono dal forum.

Dal momento che gli utenti registrati sono liberi di postare video e immagini esterne al dominio, un visitatore che approda su una pagina del forum corre il rischio di prendersi un cookie di profilazione da parte del server che fornisce la risorsa. Se ciò avviene prima dell'opt-in, credo che ciò sia in contrasto con la normativa italiana.
Se ci pensiamo, in generale qualsiasi chiamata HTTP può iniettare cookie: basta la richiesta di una semplice immagine, anche se l'utente ha i javascript disabilitati!
Peggio ancora: dal momento che si può essere profilati anche con i cookie disabilitati (per esempio exploit tramite ETags) è evidente come sia fondamentale bloccare qualsiasi chiamata HTTP esterna a rischio!

Se la mia interpretazione è corretta, è evidente che risulta obbligatorio bloccare tutte le risorse "esterne" al sito in attesa dell'opt-in dell'utente che può essere ignaro di venire profilato (da terzi) tramite le pagine del sito.
Una soluzione brutale potrebbe essere quella di reindirizzare l'utente su una pagina "pulita" e obbligarlo ad accettare i cookie prima di tornare sui contenuti richiesti. Tale soluzione, per quanto semplice, non è molto entusiasmante: oltre alle ovvie penalizzazioni SEO (il rischio è addirittura quello di bloccare totalmente l'indicizzazione del forum) c'è una scarsa accessibilità del sito da parte dei visitatori. Inoltre l'avviso potrebbe allarmare inutilmente il visitatore e spingere molti utenti ad abbandonare il sito! E tutto questo solo per curare un numero limitato di post contenenti effettivamente risorse esterne che non è nemmeno detto siano davvero "profilanti"!

La soluzione conservativa - e di più complessa implementazione - che ho adottato per il forum (fablabimperia.org/forum) è stata quella di rendere comunque visibili tutte le aree pubbliche anche a utenti non registrati ma con blocco preventivo di tutte le risorse esterne in attesa del opt-in sui cookie di terze parti. In allegato al banner principale e a quelli di blocco, link a informativa estesa Cookie Policy in cui informo l'utente del perchè dell'avviso: nonostante non usi direttamente cookie di profilazione non posso avere certezza sulle immagini o video postati da altri utenti.
L'unico modo per sbloccare le risorse è tramite opt-in via javascript.
Chiedo di nuovo: secondo voi è corretta la mia interpretazione oppure è esagerata?

Come ulteriore misura di sicurezza blocco preventivamente anche i link esterni (i semplici anchor per intenderci) in attesa di un secondo opt-in (indipendente da quello "cookie") in cui l'utente deve declinare l'amministratore dalla responsabilità dei contenuti linkati. Capite bene che come admin e moderatore cerco sempre di controllare cosa viene postato - anche se in verità non abbiamo tutto questo traffico - però non si può controllare tutto!
Su questo punto, cosa pensate? Ho esagerato?

La terza domanda riguarda un dubbio riguardo alla profilazione di prima parte.
Come associazione APS - inutile dirlo - non possiamo vendere nulla nè fare pubblicità di tipo commerciale però per la gestione del forum è necessario salvare su DB (con hash salvate nei cookie) diverse informazioni personali: post/thread letti, valutazioni tra utenti, lettura di un post. ecc... Ovviamente ho provveduto a pubblicare l'informativa sul Trattamento dati Personali (l'unico dato sensibile, in verità, credo sia solo l'email).
Dal momento che queste informazioni vengono usate in automatico dal CMS solo per migliorare l'utilizzo del forum da parte degli utenti e non, ribadisco, per fini promozionali possono considerarsi cookie tecnici? Ovverosia la profilazione (di prima parte) diventa tale solo in base all'effettivo utilizzo dei dati per fini commerciali oppure lo è a prescindere dalla finalità? Ovviamente nel secondo caso dovrei dare comunicazione al Garante: al di là dei 150€, mi sembrerebbe eticamente assurdo equiparare il piccolo forum di una associazione no-profit con quello dei big players che macinano miliardi di euro tramite profilazioni e pubblicità!

Andrea