• User

    Cookie law, chiarimenti su cookie di terze parti

    Salve ho cercato fra le varie discussioni su questo forum non trovando però una risposta definitiva al come comportarsi con le nuove disposizioni europee circa i cookie di TERZE PARTI.
    Scrivo quanto ho capito (parole grosse) a mo di riassunto per tutti, sperando di avere un'integrazioni, correzioni e conferme.

    Entro il 2 giugno 2015 bisogna mettersi a norma.
    Va fatta una differenza fra
    - cookie tecnici(session) che svaniscono con la sessione.
    - cookie del sito traccianti
    - cookie di terze parti (analitics, pulsanti social, ecc..)

    Ora nel caso si utilizzano dei cookie per memorizzare informazioni degli utenti, va fatta un informativa breve, un informativa estesa, vanno bloccati i cookie e sbloccati su espressa volontà dell'utente, va fatta una comunicazione al garante + 150 euro !!!

    Ma in realtà a me interessa capire CHE FARE se si **UTILIZZANO ESCLUSIVAMENTE COOKIE DI TERZE PARTI?

    GRAZIE**


  • User Newbie

    bella domanda...
    a me più che una legge mi sembra una rapina 😮


  • User

    mi sono letto tutto il possibile ed immaginabile ma ci sono dele dinamiche pazzesche. L'esempio più banale è la mappa google che installa il cookie NID di terze parti (sia in API che in iFrame): è un cookie di profilazione.

    Secondo quanto ho capito dal testo e dalle varie discussioni sarebbe necessario informare l'utente dell'installazione di questo cookie, della sua privacy (quindi link a Google, al momento una pagina generica che può essere google.com/policies/technologies/types/) non si capisce però se va prima bloccato o basta l'informativa essendo di terze parti di profilazione ma non viene usato con scopo di profilare dal sito ma di far vedere una mappa.

    Allo stato attuale noto che grandi marchi non si sono ancora adeguati, mi auguro che almeno loro abbiano in procinto la consulenza di legali, attualmente iubenda.com ed altri si stanno distruggendo il cranio per capire ma c'è da uscire pazzi specialmente se si pensa all'uso di CMS Open di cui il web oramai fa un uso preponderante.

    Speriamo bene, questa legge rischia di mandare a bagno PMI e liberi professionisti.


  • User

    Bha è veramente una cosa assurda che si colpisca tutti indifferentemente, compresi i siti che usano solo cookie di terze parti e che quindi di fatto non profilano.
    Mi metto nei panni di quelle persone che tecnicamente non sanno neanche cosa sia un cookie, ma si sono scaricati un qualche cms (wp o altro) che li usa... e non lo sapranno mai.
    Nessuno sa dirti niente, la legge ancora non è entrata in vigore e quindi non ci sono neanche casi che hanno fatto giurisprudenza sui quali studiare.
    Sarebbe stato molto più semplice dire...tramite il sito profili? Ok adeguati. Quindi se usi cookie di terze parti di fatto non profili e la palla passa a chi li rilascia (che poi è chi profila).

    E poi un'altra domanda: I proprietari dei siti il più delle volte li commissionano a webmaster o webagency. Chi è il responsabile di fronte alla legge?


  • User

    @ZioAlfredo said:

    Bha è veramente una cosa assurda che si colpisca tutti indifferentemente, compresi i siti che usano solo cookie di terze parti e che quindi di fatto non profilano.
    Mi metto nei panni di quelle persone che tecnicamente non sanno neanche cosa sia un cookie, ma si sono scaricati un qualche cms (wp o altro) che li usa... e non lo sapranno mai.
    Nessuno sa dirti niente, la legge ancora non è entrata in vigore e quindi non ci sono neanche casi che hanno fatto giurisprudenza sui quali studiare.
    Sarebbe stato molto più semplice dire...tramite il sito profili? Ok adeguati. Quindi se usi cookie di terze parti di fatto non profili e la palla passa a chi li rilascia (che poi è chi profila).

    E poi un'altra domanda: I proprietari dei siti il più delle volte li commissionano a webmaster o webagency. Chi è il responsabile di fronte alla legge?
    Prendiamo le parole del Garante

    **2. Soggetti coinvolti: editori e "terze parti".**Un ulteriore elemento da considerare, ai fini della corretta definizione della materia in esame, è quello soggettivo. Occorre, cioè, tenere conto del differente soggetto che installa i cookie sul terminale dell'utente, a seconda che si tratti dello stesso gestore del sito che l'utente sta visitando (che può essere sinteticamente indicato come "editore") o di un sito diverso che installa cookie per il tramite del primo (c.d. "terze parti").Sulla base di quanto emerso dalla consultazione pubblica, si ritiene necessario che tale distinzione tra i due soggetti sopra indicati venga tenuta in debito conto anche al fine di individuare correttamente i rispettivi ruoli e le rispettive responsabilità, con riferimento al rilascio dell'informativa e all'acquisizione del consenso degli utenti online.
    nel caso dei cookies di terze parti la responsabilità dei cookie è delle terze parti mentre l'editore - il garante della privacy del sito stesso quindi quello riportato nell'intestazione del documento - è tenuto ad informare sull'uso di questi ma non ha il dovere di farglieli accettare mentre ha il dovere di dirgli come bloccarli rimandando l'utente al link di opt-out ed informativa ove presente.

    Tu stai chiedendo "ti vendo/regalo il sito con Prestashop, mi dimentico di mettere avviso dei cookies di Analytics perché né ignoro l'esistenza" sulla carta - NON SONO UN LEGALE - dovrebbe essere che la colpa NON è della società/persona che ha creato il sito ma del cliente che è garante della privacy per quel sito e ha scelto il professionista sbagliato.

    Può rivalersi sul professionista ma avevo letto tempo fa miriade di sentenze perse (da parte del cliente), quindi sembra abbastanza chiaro che la responsabilità è dell'editore cioè colui che ci mette la faccia ed è proprietario del sito web.

    Bisognerebbe però sentire cosa ne pensa un vero esperto, purtroppo il web è una materia nuova ed intricata lo dimostra la stesura di questo documento voluto dal garante che dice sì cose giuste ma spesso si contraddice nell'esecuzione 😮

    Un problema grosso è stato quello delle web agency, mi sono confrontato con alcune di esse ed addirittura non avevano idea di questa nuova normativa, capisci bene che se è ad ignorare il professionista la norma difficilmente l'azienda saprà come comportarsi e sarà tutto in mano alla concorrenza sleale: io azienda conosco le regole, ti segnalo e ti faccio prendere una bella multa da 120.000€. Tu chiudi ed io domino il mercato.

    Se poi, come dici tu, l'azienda si è creata il sito con risorse interne (vedi siti Wix ad esempio) è spacciata perché molto difficilmente riuscirà a comprendere le modifiche prima dell'arrivo della notifica della multa. Girando per il web ho trovato nell'ultimo mese almeno 300 siti non idonei, non provo nemmeno a contattarli perché ti prendono per un pazzo che vuole speculare, senza rendersi conto che stanno per rischiare una multa e finire sulla strada. C'era un detto che diceva "ad esser troppo buoni lo si prende..."


  • User Attivo

    riguardo alle figure esistenti nel trattamento dei dati personali la legge distingue tra titore,responsabile e incaricato.

    Il cliente è il titolare, mentre il webmaster qualora tratti i dati derivanti dal sito può essere sia incaricato piuttosto che responsabile, dipende dal livello di autonomia che ha nel gestirli.
    Diversamente, se il webmaster crea il sito chiavi in mano al cliente e cura la manutenzione che non riguardi la conoscenza di dati veicolati attraverso il sito, non ricadrà in nesuna delle tre..


  • User

    @totinio said:

    riguardo alle figure esistenti nel trattamento dei dati personali la legge distingue tra titore,responsabile e incaricato.

    Il cliente è il titolare, mentre il webmaster qualora tratti i dati derivanti dal sito può essere sia incaricato piuttosto che responsabile, dipende dal livello di autonomia che ha nel gestirli.
    Diversamente, se il webmaster crea il sito chiavi in mano al cliente e cura la manutenzione che non riguardi la conoscenza di dati veicolati attraverso il sito, non ricadrà in nesuna delle tre..
    E se vi fossero 2 situazioni:

    1. Qualora non vi fosse nessun contratto tra titolare e webmaster, il webmaster fa sito/inserisce contenuti testuali e multimediali ma non si occupa della privacy?
    2. Sempre senza nessun contratto, se il webmaster compilasse autonomamente la privacy e la normativa cookie di sua spontanea volonta al cliente?

  • User Attivo

    Prima di tutto non mi stancherò mai di ricordare a tutti - lo so è pesante, ma necessario - che UN ACCORDO VERBALE E' UN CONTRATTO VALIDO A TUTTI GLI EFFETTI!! solo più difficile da dimostrare quanto ai contenuti, ma non impossibile, anzi!

    Altro esempio: ANCHE UN INCARICO PORTATO AVANTI ATTRAVERSO UNO SCAMBIO DI EMAIL DI PROPOSTA E' ACCETTAZIONE E' UN CONTRATTO VALIDO A TUTTI GLI EFFETTI.

    Detto ciò, quanto a 1, considerato che il lavoro sicuramente viene svolto in presenza di accordo (in qualunque modo venga raggiunto):

    • il webmaster deve esere autorizzato al trattamento dati personali eventualmente riguardanti la struttura del cliente (ad esempio se inserite nel sito dati dei dipendenti,agenti,etc..), ma riguardo a privacy nel senso che penso tu stia chiedendo, cioè la gestione delle mail in entrata dal form ad esempio, se non ne hai accesso in alcun modo è evidente che non ricadi nella normativa realtiva al trattamento privacy sotto questo aspetto.

    Quanto al punto 2:
    tralasciando l'aspetto più commerciale che lascio a te (perchè offrire un servizio non richiesto??), alla luce della complessità normativa, comprese le possibili sanzioni, ti sconsiglio di redigere da solo le informative.

    Se fai siti "chiavi in mano", richiedi una consulenza ad uno specialista ed esponi in fattura la relativa voce per la consulenza sulla privacy.

    quello che invece ti compete, alla luce della nuova normativa, è informare nela maniera più completa possibile il tuo cliente sulla tecnologia che inserisci nel sito, cioè il tipo di cookie che inserisci.


  • User Attivo

    Buongiorno a tutti, c'è molta confusione su questa legge prossima all'entrata in vigore. E c'è anche parecchio business dietro. Allora, il problema maggiore riguarda proprio l'uso dei cookie di terze parti, in un vademecum che potete scaricare qui techportal .it/privacy/GUIDA_COOKIES.pdf, si parla di bloccare i cookies di profilazione fino a che l'utente non clicca, non scrolla, insomma prosegue nella navigazione. Tra gli autori del documento spicca il marchio di Iubenda, che nel suo sito propone la soluzione definitiva (in fase d'implementazione per quanto riguarda il freezing dei cookies non tecnici).

    Tralasciando le considerazioni intrinseche, come le ripercussioni sul settore pubblicitario, mi concentrerei su due aspetti. Il primo è l'interpretazione estensiva della legge, nella quale io leggo : Vi sono molteplici motivazioni per le quali non risulta possibile porre in capo all'editore l'obbligo di fornire l'informativa e acquisire il consenso all'installazione dei cookie nell'ambito del proprio sito anche per quelli installati dalle "terze parti".

    Allora io a questo punto penso che il garante vuole tutelare l'editore, che il provvedimento è rivolto alle grandi aziende pubblicitarie, che effettuano di fatto la profilazione e sembro essere nel giusto quando leggo : Occorre tenere conto inoltre del fatto che spesso gli editori, che comprendono anche persone fisiche e piccole imprese, sono la parte più "debole" del rapporto. Laddove invece le terze parti sono solitamente grandi società caratterizzate da notevole peso economico, servono normalmente una pluralità di editori e possono essere, rispetto al singolo editore, anche molto numerose.

    Ma poi colpo di scena e il garante torna sui suoi passi : si ritiene corretto considerarli come una sorta di intermediari tecnici tra le stesse e gli utenti. Ed è, quindi, in tale veste che, come si vedrà più avanti, sono chiamati ad operare nella presente deliberazione, con riferimento al rilascio dell'informativa e all'acquisizione del consenso degli utenti online con riguardo ai cookie delle terze parti.

    Quel come si vedrà più avanti forse fa riferimento a un evento futuro perchè nel provvedimento non c'è più traccia delle terze parti.

    Passiamo all'aspetto tecnico, in 11 mesi nessuno ha scritto due righe su come gestire l'acquisizione del consenso, perchè se operiamo a rigor di logica, il cookie va installato dopo che il visitatore è stato avvisato e gli è stata fornita la spiegazione su come non essere profilato. Modifiche al codice di Adsense sono escluse pena ban, modificare la pagina dinamicamente richiede competenze che il blogger medio non ha, al quale conviene a questo punto chiudere tutto e dedicarsi ad altro.


  • User

    In genere siamo noi Italiani che facciame le leggi idiote... x fortuna che questa è Europea! Quello che non mi spiego è come mai non vengano interpellate tutte le parti compresi gli editori.

    Il tutto sarebbe quasi comico SE non fosse per il fatto che sto "adeguando" (sia fa per dire perchè nessuno ad oggi può dirmi se quello che sto facendo è corretto) 300 siti di miei clienti.
    L'altro aspetto comico è che non uso cookie, ma solo cookie di terze parti, MA ora per registrare il consenso dell'utente finale ad accettare le condizioni.... DEVO installare un cookie....è pazzesco!


  • User Newbie

    Io ho solo un blog e un sito (ma ne gestisco momentaneamente altri tre per, diciamo, amici), ma sto già impazzendo.
    credevo di aver capito che i cookie di terze parti, quali quelli creati dai widget di facebook o G+, non rientrino nei cookie di profilazione, giusto?
    Io mi sono creato da solo il banner su cui dare l'ok per continuare la navigazione e ho scritto l'informativa prendendo spunto qua e là e inserendo un elenco non esaustivo dei cookie che vengono installati e che l'utente deve accettare. Non avendo praticamente nessun guadagno da adSense ho preferito toglierlo, quindi nè blog nè sito hanno pubblicità.
    Questa cosa della mappa di google la scopro solo ora e mi spaventa parecchio...


  • Super User

    Ma esiste un tool online per verificare su un sito genera cookie e quali esso genera?

    Grazie.


  • User Attivo

    Ciao felino, prova questo app.cookies.coffee, è proprio l'url con i nuovi tld. A me ha fatto un buon lavoro, poi in una successiva scansione si è impallato e non ho ricevuto più news. Prova...


  • Super User

    Si tratta di un'app?


  • User Attivo

    Ragazzi, ho letto di questa scadenza adesso, sono nel panico più totale, chiedo gentilmente il vostro aiuto!

    Ho vari siti statici, Joomla!, WordPress, PrestaShop.

    Come mi devo comportare? Dove trovo informazioni semplici e dettagliate nonché testo descrittivo da copiare/incollare/utilizzare?

    Ma soprattutto vorrei capire su quali siti è obbligatorio una cosa del genere e dove no.

    Ma è vero che va fatta una comunicazione al garante + 150 euro da pagare?

    Vi faccio un elenco di quello che utilizzo e vorrei che metteste a fianco un SI o NO se serve o non serve il bannerino.

    • Google Analytics
    • Pulsanti social
    • Sito con registrazione utente
    • Google Maps
    • CMS come Joomla!, WordPress, PrestaShop senza registrazione, stile vetrina
    • CMS come Joomla!, WordPress, PrestaShop con registrazione utenti
    • Modulo contatti (ho già informativa "Autorizzo al trattamento dei mie dati personali ai sensi della legge 196/2003.")
    • Iscrizione newsletter (ho già informativa "Autorizzo al trattamento dei mie dati personali ai sensi della legge 196/2003.")
      servizio di booking
    • Shinystat Free

    Un sito web di un ente come un Comune, è esente?
    E se usa Google Analytics, pulsanti social, Google Maps, realizzato in Joomla!, con modulo contatti (ho già informativa "Autorizzo al trattamento dei mie dati personali ai sensi della legge 196/2003.")?

    Stò provando cookies.coffee (lo spider non ha ancora completato la visita), può essere la soluzione ha tutti i problemi?

    Credo che questo specchietto possa essere d'aiuto non solo a me ma a tanti altri utenti.

    Attendo vostre!


  • User Attivo

    @Harry80 said:

    Ma soprattutto vorrei capire su quali siti è obbligatorio una cosa del genere e dove no.

    Ma è vero che va fatta una comunicazione al garante + 150 euro da pagare?

    Ciao, premesso che l'unica cosa che ha valore legale è il provvedimento del Garante pubblicato in GU, le indicazioni "tecniche" migliori le ho trovate in questo articolo : alfonsostriano[.]it/cosa-fare-per-adeguarsi-al-cookie-law-in-italia/

    @felino said:

    Si tratta di un'app?

    No, è un website.


  • User Attivo

    Grazie, sto leggendo tutto, e assimilando piano piano, rimangono per me sempre delle incertezze.

    Vorrei un aiuto pratico su questa situazione, visto che potrei assimilarla anche ad altre e quindi avere più chiara la situazione.

    Sito Ente (Comune):

    • Joomla! senza possibilità di registrarsi e commentare
    • Google Analytics (andrò ad anonimizzare l'IP)
    • pulsanti social AddThis
    • Google Maps
    • modulo invio articolo ad amico via e-mail (gestito da Joomla!, usa 4 campi testo compilabili, ma non registra nulla in database)
    • iframe ilMeteo.it

    Ci sono funzioni di profilazione che mi obblighino ad inviare il resoconto al garante e pagare i 150 ??

    Come mi devo comportare? Di quanto elencato, mi identificate quando è necessario il banner con descrizione breve e quando è necessaria la spiegazione estesa? Dove posso reperire un testo descrittivo delle funzioni che ho citato prima?

    Stò provando cookies.coffee ma ancora sta lavorando, non so cosa aspettarmi.

    Vorrei aiutarmi con qualche script da salvare in locale, anziché usare servizi esterni, per non essere dipendente.

    P.s. Ma ad esempio il Comune di Milano e Roma, non hanno questo avviso, lo pubblicheranno sul filo di lana oppure sono esenti perchè siti istituzionali?


  • User Attivo

    Mi fate gentilmente anche qualche esempio di profilazione dove devo inviare il resoconto al garante e pagare i 150 ?? E' importante perché devo avvertire le persone interessate che dovranno pagare questa tassa.


  • User Attivo

    Ciao Harry:
    cookies profilazione propietaria : blocco preventivo + banner + informativa + notifica garante
    Cookies tecnici : niente
    Cookies terze parti : link verso policy del servizio + (forse) banner

    Indipendente se il cookie serve per vedere che tipo di porno scarica l'utente o per misurare l'area dello schermo... la legge dice che TU non puoi sapere essere responsabile di quello che fa la terza parte, il ruolo é mettere un link verso quello che la terza parte dichiara.

    Allo stesso tempo non puoi scrivere a che serve il cookies della terza parte, perché non lo sai a che serve... lo elenchi, puoi vedere se scade alla fine della sessione o se é persistente e linki la policy e l'eventuale opt out della terza parte.


  • User Attivo

    @supercapocc said:

    Ciao Harry:
    cookies profilazione propietaria : blocco preventivo + banner + informativa + notifica garante
    Cookies tecnici : niente
    Cookies terze parti : link verso policy del servizio + (forse) banner

    Indipendente se il cookie serve per vedere che tipo di porno scarica l'utente o per misurare l'area dello schermo... la legge dice che TU non puoi sapere essere responsabile di quello che fa la terza parte, il ruolo é mettere un link verso quello che la terza parte dichiara.

    Allo stesso tempo non puoi scrivere a che serve il cookies della terza parte, perché non lo sai a che serve... lo elenchi, puoi vedere se scade alla fine della sessione o se é persistente e linki la policy e l'eventuale opt out della terza parte.Quindi, in questi casi:

    • Joomla! senza possibilità di registrarsi e commentare - (Cookies tecnici: niente)
    • Google Analytics (andrò ad anonimizzare l'IP) - (Cookies terze parti: link verso policy del servizio + (forse) banner)
    • pulsanti social AddThis - (Cookies terze parti: link verso policy del servizio + (forse) banner)
    • Google Maps - (Cookies terze parti: link verso policy del servizio + (forse) banner)
    • modulo invio articolo ad amico via e-mail (gestito da Joomla!, usa 4 campi testo compilabili, ma non registra nulla in database) - (Cookies tecnici: niente)
    • iframe ilMeteo.it - (Cookies terze parti: link verso policy del servizio + (forse) banner)

    Ho capito bene?

    Esempi di profilazione?

    Grazie!