Inserisci un banner che informa della presenza dei cookie e chiede il consenso. Blocca i cookie fino al consenso. Non solo i cookie di Adsense, ma anche quelli dei social network.

Ciao Angix,

no, quello che sei tenuto a fare è anonimizzare i suoi messaggi. Cioè l'utente può ottenere la rimozione dei suoi dati personali, tutti gli elementi che in qualche modo potrebbero, anche uniti ad altri, portare alla sua identificazione. Fatto ciò l'utente non può chiedere altro. Ovviamente nelle TOS del forum avrai avuto cura di inserire apposita clausola che prevede una licenza d'uso non esclusiva dei contenuti che l'utente cede al momento dell'immissione dei contenuti nel forum stesso.

Ciao Eljsa,

il tuo ragionamento è giusto, tranne per un particolare, non siamo di fronte ad un tribunale bensì a Facebook. Facebook ha le sue regole (termini d'uso del sito) e le applica più o meno a sua discrezione. Chi si iscrive accetta i termini d'uso del sito (al momento dell'iscrizione al sito si stipula un vero e proprio contratto dove i termini d'uso sono le condizioni contrattuali) e accetta di rispettarli in tutto e per tutto. In quei termini sostanzialmente Facebook si erge a tribunale unico per la valutazione dell'applicazione dei termini d'uso.
Quello che posso immaginare è che la società in questione abbia inviato una mail a Facebook (non ha seguito la normale procedura di segnalazione, in genere per le questioni relative ai marchi, che sono più complesse è preferibile), e chiesto che la pagina in questione gli fosse assegnata essendo altrimenti in violazione delle leggi in materia di marchi (per accaparramento di clientela e sottrazione di profitti indiretti). Facebook avrà fatto un'analisi sommaria della questione (più o meno ha verificato se fosse vero che il marchio corrispondesse) e ottemperato alla richiesta della società.
In teoria ci sarebbe la possibilità di avviare una azione contro la società in questione e Facebook (che in questo caso non si può trincerare dietro l'irresponsabilità degli intermediari) per valutare se effettivamente ci sia stata violazione del marchio e quindi, in caso negativo, ottenere il ripristino della pagina al titolare e un risarcimento del danno (dimostrando che tipo di danno si è subito). Non nascondo che l'azione giudiziaria è costosa e lunghissima (e incerta), in breve nella quasi totalità dei casi non ne vale la pena. E' proprio per questo che si verificano tali incresciose situazioni.

Si, i pulsanti sociali inviano cookie, Disqus invia cookie, anche il Login tramite Facebook dovrebbe utilizzare cookie. Quindi occorre banner e blocco dei cookie fino a consenso, con indicazione nell'informativa privacy della finalità dei cookie utilizzati.

Ciao Crillin,

no perchè il commento è volontariamente dato dall'utente e quindi i suoi dati (mail) sono forniti spontaneamente. Essendo tra l'altro dati non eccedenti non occorre alcuna accettazione dell'informativa, basta che nell'informativa sia chiaramente spiegato che nel commentare vengono raccolti i dati dell'utente e quali dati (mail) vengono raccolti e che tali dati vengono utilizzati solo per fornire il servizio (cioè pubblicare il commento).
Ovviamente se per ipotesi poi quella mail dovesse essere utilizzata per finalità ulteriori (tipo inviare materiale pubblicitario agli utenti) occorrerà specificare nell'informativa questa nuova e diversa finalità e, in questo caso, occorrerà specifica accettazione della policy privacy prima di poter inviare il commento (quindi checkbox sotto al box del commento).

PS La mail è dato personale non sensibile.

Ciao Matteo87m,

premesso che questa cosa dello "scroll" se l'è inventata il Garante italiano, la previsione è comunque di corretta e completa informazione degli utenti "prima" dell'invio dei cookie. ciò vuol dire che occorre sempre mettere il banner che informi della presenza dei cookie ecc..., con reinvio all'informativa estesa. Il Garante precisa anche che occorre comunque una discontinuità rispetto al sito, cioè che il bannere sia chiaramente visibile in modo da attirare l'attenzione dell'utente, per cui un banner affogato nel sito di pochi pixel e casomai con gli stessi colori del resto del sito deve ritenersi non conforme.
Poi, dopo di ché, basta che la pagina non invii cookie prima del consenso, il quale consenso può anche essere dato con lo scroll.

Nel caso dei plugin sociali mi permetto di consigliare il progetto Shariff (sviluppato in Germania dove alcuni Land sono molti rigidi sulla privacy), il quale consiste in pulsanti sociali che rispettano totalmente la privacy degli utenti, cioè non inviano cookie prima che l'utente li usi effettivamente. Nel momento dell'utilizzo i pulsanti sono da ritenersi servizio richiesto dall'utente e quindi i loro cookie sono esantati da consenso, per cui non vanno bloccati (ma va comunque dato conto all'interno dell'informativa cookie della presenza di tali cookie con rinvio alle policy privacy dei social network).

Purtroppo è l'unico plugin che inserisce i pulsanti social senza necessita di bloccarlo fino a consenso (per colpa della cookie law). Cioè ce ne sono altri due, ma non hanno il pulsante linkedin.

https://github.com/joomla-agency/plg_jooag_shariff

Comunque aspetto una risposta dallo sviluppatore. Speriamo...

Allora,

dall'hosting mi dicono che è corretto come avevo io:

public $tmp_path = '/data/vhosts/xxx.it/httpdocs/tmp';
public $log_path = '/data/vhosts/xxx.it/httpdocs/logs';

Mi dicono anche che "E' probabile che il plugin utilizzato, non voglia l'open_basdir attivo, ma cio' al momento non e' possibile per motivi di sicurezza."

A questo punto non so che fare.

Allora, ho chiesto all'hosting che mi dicono che il percorso corretto è:

/data/vhosts/jomguide.it:/tmp

Ma se imposto questo poi non mi installa più nulla e alcuni componenti non funzionano nemmeno.

Ciao FDA,

no, non ho risolto.

Io ho Joomla 3.4. Vale anche per questa versione?

Ciao Nobody.1990,

ho controllato, sembra corretto:

public $tmp_path = '/data/vhosts/xxx.it/httpdocs/tmp';

public $log_path = '/data/vhosts/xxx.it/httpdocs/logs';

Tra l'altro entrambi scrivibili.
Ho anche settato a "nessuno" i rapporti errori.

Però noto una cosa strana, entrando nel pannello, in Impostazioni PHP, questo parametro sembra diverso:

Open basedir /data/vhosts/xxx.it:/tmp

Salve,

ho installato un plugin e mi esce l'avviso
[h=4]Attenzione JFolder::create: Path not in open_basedir paths

Come posso risolvere? Grazie.

PS Il plugin funziona

Ciao Slideshow, purtroppo la documentabilità dell'evento consenso è la novità dell'ultima intervista del funzionario del Garante. Ogni giorno si svegliano con una novità. Generalmente in sede giudiziaria si considera valido ai fini di prova la documentabilità del corretto funzionamento dello script. Se funziona si presume che abbia funzionato anche in quello specifico caso, fino a prova contraria.
In questo caso il Garante ha detto che occorre documentare l'evento. Come? Non lo ha detto.

Ciao Wolfango_amadeo,

ovviamente quella è la mia opinione. Ma per me è quello che ha detto il Garante. Qua non si tratta della normativa che è legge quadro (non ha dettaglio), ma di quello che dice il Garante (la direttiva rimanda espressamente alla regolamentazione di dettaglio del Garante. I Garanti europei si sono orientati per una normativa light (UK, Germania hanno opt out, Francia ha opt in ma a differenza del Garante italiano mette a disposizione strumenti, chiarimenti -chiari-, esercitazioni pratiche e tutto quello che occorre per mettere in regola il sito web).
Quindi IMHO:

• terze parti: blocco preventivo;
• G. Analytrics, blocco (è terza parte) e anonimizzazzione e blocco incrocio dati con altri servizi Google (ci sono istruzioni di Google per farlo), se no occorre notifica al Garante (lo dice il Garante quindi è profilazione).

Attenzione a non confondere. Tecnicamente (Convenzione 108) le prime parti sono destinatari terzi del trattamento, in tale senso hanno una responsabilità, e occorre una base legale per il trattamento. Il Resposanbile del trattamento (Google ad esempio) ha responsabilità distinte.
Qui sono d'accordo nella necessità di distinguere tra chi fa trattamento e chi no. Per i social plugin infatti io non vedo nulla, quindi non tratto. I dati li prende FB (ad esempio) e non da nulla a me. Per GA invece io vedo dati. Sono dati di quel trattamento complessivo, e quindi io rispondo di quel trattamento complessivo (come destinatario terzo, da non confondere con le terze parti -cioè Google-), anche se poi vedo solo una piccola parte dei dati.

La questione è complessa ma gli equivoci sorgono perchè molti leggono il provvedimento del Garante (e le FAQ) estrapolando singole frasi, senza tenere conto del quadro normativo generale.
Poi sono perfettamente d'accordo che l'attuazione del Garante italiano è la più restrittiva in Europa (notare che molti commentatori anche giuristi in questi giorni ci hanno raccontato -falsamente- che l'Italia in fondo si attiene alle istruzioni delll'Europa, ma non è vero). Ho già inviato al Garante una proposta per mitigare la sua regolamentazione ma non ho ottenuto risposta. La mia idea è di proseguire su questa linea. Nei prossimi giorni avvierà iniziative per mostrare come è la cookie law nel resto d'Europa (perchè in UK e Germania -che ha ottenuto la conformità dalla Commissione europea c'è l'opt out e solo da noi l'opt in?) e chiedere una modifica.
E poi, boh. Vedremo.

Mi iscrivo subito.

Ciao ivan88,

purtroppo dall'ultimo chiarimento del Garante l'ambito territoriale si valuta in base all'utente. Cioè tu installi cookie sul computer di un utente italiano, quindi fai il trattamento in Italia (dove sono installati i cookie), quindi devi rispondere alla normativa italiana. Si lo so, è assurdo, perchè così in teoria dovresti rispondere a tutte le leggi del mondo dove sono i tuoi utenti. Ma il concetto alla base e che se sei residente in Italia ti possono multare, ma se sei residente all'estero il Garante non può farti nulla. E' un disastro

Ah, scusa.
Comunque Google ha già fornito il suo pacchetto per mettere in regola i siti (non è conforme con l'Italia), aspettare che ci venga incontro di nuovo.... mah.
Io vorrei provare a far ragionare il Garante. Però occorre una certa massa.
La mia proposta è applicare l'opt out (come è in UK e Germania), cioè l'utente viene sul sito, si becca i cookie e l'informativa. Se non li vuole modifica i settaggi del browser, scarica Privacy Badger quello che vuole, ma è assurdo che noi dobbiamo o rinunciare a Google oppure diventare tutti ingegneri per modificare i codici.
Del resto l'informativa serve a rendere consapevole l'utente, quindi ad informarlo, non a scaricare sui gestori dei siti oneri che sono teoricamente dei gradni editori.

Chi ha detto di pagare per conto di FB e Google? Nessuno.
Per FB non c'è bisogno di alcuna notifica. Per i cookie di Analytics di Google (se non opportunamente anonimizzati) è profilazione. IL gestore del sito tratta anche lui i dati (anche vederli è trattamento), e quindi paga per il suo trattamento, mica per quello di Google.
Prima e terza parte sono opportunamente differenziate sotto il profilo della responsabilità, ma per i cookie di analytics entrambi trattano.

L'informativa occorre sempre se tratti dati personali. Nel caso della newsletter visto che è servizio chiesto dall'utente (esenzione criterio B), al momento dell'iscrizione, non occorre chiedere consenso per i cookie rilasciati. Però devi comunque indicare quali cookie sono, nell'informativa privacy.
Poi genericamente indichi quali dati vengono rilevati e chi li tratta, e rimandi all'informativa della terza parte.

La questione si complica sempre più ogni volta che il Garante "chiarisce". L'impressione è che stiano cercando di mantenere una forte incertezza per favorire qualcuno. Comunque un dato di fatto è che la normativa è strutturata per disincentivare i servizi di terze parti, in particolare Google (già a livello europeo è visto col fumo negli occhi, il Garante italiano dice che combattere Google è questione di libertà).
Il punto è che allo stato non ci sono molte certezze. Però occorre necessariamente rifarsi alle regolamentazioni del Garante, perchè la direttiva europea è legge quadro che rimanda appunto ai singoli Garanti nazionali. Nel resto d'Europa si applica la normativa in maniera light, in Italia il Garante la intepreta nel modo pià restittivo possibile. addirittura peggio di quanto io immaginassi inizialmente.
In sintesi i cookie di terze parti vanno bloccati tutti, fino a consenso. Se non c'è consenso non vanno installati. Però il consenso è semplificato, cioè è sufficiente il banner (ben visibile, non deve essere enorme ma deve risaltare sul sito, se è "affogato" nel sito non va bene) che avverte della presenza di cookie di terze parti e che continuando la navigazione si accettano i cookie. L'utente che capita sul sito se non vuole i cookie se ne deve andare dal sito, se prosegue li accetta.
Per il resto la distinzione tra prima e terza parte è relativa. Comunque la prima parte, gestore del sito, dice il Garante, anche se non è responsabile dell'informativa estesa (cioè non deve indicare quali cookie sono e quali finalità anno, se non genericamente), deve sempre chiedere il consenso. In teoria sarebbe sbagliato (il gestore non tratta i dati della terza parte) ma il Garante dice che ne è corresponsabile, quindi tocca a lui chiedere il consenso prima di inviare tali cookie.
Per i cookie di analytics, devono essere anonimi (mascheramento di IP e blocco incroncio dei dati con altri servizi) per poter essere non cookie di profilazione. Altrimenti non solo vanno bloccati, ma sono cookie di profilaizone e anche la prima parte deve notificare il trattamento al Garante (150 euro di costo). Questo perchè comunque vede (quindi tratta) almeno parte dei dati (a differenza dei social plugin per i quali il gestore non vede i dati quindi non deve notificare nulla).
Il Garante francese (la normativa attuativa francese è uguale a quella italiana con la differenza che il CNIL ha fornito una marea di aiuti concreti agli utenti, mentre il Garante italiano se ne frega e lascia il campo a imprese privte che ci lucrano), dice che l'unico servizio che non è soggetto a consenso è Piwik. Google Analytics è soggetto a consenso se è anonimizzato e con blocco dell'incrocio dei dati con quelli degli altri servizi Google, se no è profilazione.

Per Adsense al momento non ci sono certezze. In teoria Adsense è profilazione (quindi notifica al Garante se il gestore tratta i dati). I cookie vanno bloccati, ma, mi dicono, l'alterazione del funzionamento dello script può comportare ban da Google. IL problema è che Google ha messo a disposzione unos cript che rende conforme i suoi servizi tranne per l'Italia che ha una normativa più restrittiva rispetto al resto d'Europa. Insomma un casino.

Al momento ci sono due petizioni, io personalmente ho inviato comunicaizoni al Garante per chiarimenti e per invitarlo e riportare la normativa su una posizione più light (tipo UK per intenderci dove è tutto opt out), ma non credo che il Garante ci ascolti. Comunque nei prossimi giorni dovrebbe partire una nuova petizione con annessa proposta di regolamentazione. Spero che ci sia adesione a questa proposta, perchè se non siamo in tanti non otterremo nulla.

NB. Non vendo nulla, non vendo kit, non vendo soluzioni, sto cercando di riportare la normativa su posizioni che rendano possibile adeguarsi gratis e senza difficoltà per i tantissimi piccoli gestori di siti. Sono contrario a questa posizione del Garante, ma credetemi allo stato è questo che il Garante chiede.