Cookie Law

Pubblicità
B

BruceKetta007

Nuovo Utente
Messaggi
65
Reazioni
5
Punteggio
26
Ciao a tutti è giorni che giro sul web in cerca di informazioni ma non ho trovato nulla di perfettamente chiaro. Qualche altro proprietario di sito web sa dirmi se avendo cookies di profiliazione di terzi (adsense) sono obbligato a inviare una notifica al garante in via telematica? Grazie
 
inserito banner,
creato codice che blocca tutte le funzioni che andrebbero a creare cookie di profilazione finchè l'utente non accetta;

di fatto non è che devi comunicare che ti sei sistemato, perché devi essere a posto per legge..

il garante semmai verrà a controllarti se ti pescano.. per vedere che rispetti la normativa
 
Albo89 ha detto:
inserito banner,
creato codice che blocca tutte le funzioni che andrebbero a creare cookie di profilazione finchè l'utente non accetta;

di fatto non è che devi comunicare che ti sei sistemato, perché devi essere a posto per legge..

il garante semmai verrà a controllarti se ti pescano.. per vedere che rispetti la normativa
Clicca per espandere...
Da quello che ho capito io praticamente NESSUNO ha mai effettuato questa notifica... per quanto riguarda il blocco preventivo riusciresti a darmi una mano? Per ora utilizzando il plugin Eu Cookie Law anche spuntando "blocco preventivo" ho scoperto che in realtà non lo esegue...
 
per i siti dell'azienda dove lavoro abbiamo creato uno script che in mancanza del cookie "informativa accettata" modifica la pagina in modo che qualsiasi azione effettuata porti all'accettazione;
 
Dunque, che io sappia non c'è bisogno di informare il garante ma comunque è una cosa a livello legale, io mi occupo più di quello tecnico.
Riguardo quest'ultima parte, la Cookie Law viene interpretata in modi diversi dai siti web, eppure la legge è molto chiara a riguardo: in caso di profilazione con cookie di terzi, deve seguire l'accettazione della Cookie Policy e solo dopo abilitarne l'uso.
Il che significa, soprattutto se si usano plugin confezionati ad hoc etc... che buona parte dei siti web sotto l'aspetto tecnico sarebbero fuorilegge.
 
Albo89 ha detto:
occhio che rientrano nella norma anche i cookie di profilazione propri, non solo di terze parti.
Clicca per espandere...
Che io sappia, finché rimangono all'interno dell'attività circoscritta - tipo Piwik - non c'è bisogno. Da quanto so la Cookie Law serve appunto per limitare i danni dello scambio delle profilazioni tra i portali, non nei progetti internos.
 
Salve,
mi permetto di intervenire in questa discussione perché mi informai (a fondo) a suo tempo su questa faccenda.
La notifica al garante va inviata obbligatoriamete se TU STESSO decidi di inserire cookie di profilazione nel tuo sito (cookie di profilazione di prima parte o "dell'editore", ossia un cookie che risulta installato DIRETTAMENTE dal tuo sito) e ovviamente segnalarlo in una informativa estesa sui cookie o, in alternativa, una sezione delle privacy-policy del tuo sito espressamente dedicata ai cookie.

Per i cookie di profilazione di terze parti non devi necessariamente inviare una notifica al garante però sei obbligato a segnalarne l'esistenza nel banner dell'informativa breve che deve aprirsi automaticamente la prima volta che si visita il tuo sito. Attenzione però che qui c'è un inghippo: il Garante pretende che la terza parte si impegni a non incrociare le informazioni contenute nei cookie con altre di cui già dispongano IL CHE E' ASSOLUTAMENTE IMPOSSIBILE da sapere per chi realizza il sito... come fai ad esserne certo? Non puoi e se non puoi la notifica la devi inviare per forza (e pagare 120 euro).
Quando il cookie di terza parte è di tipo statistico (analytics) devi limitarne il potere identificativo/profilante, sempre che sia possibile (vedi più avanti quando parlo dei cookie Google Analytics).
A questo link del Garante c'è una tabella che può aiutarti:
http://www.garanteprivacy.it/cookie
Qui le FAQ: http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3585077

In entrambi casi devi sempre e comunque impedire l'installazione dei cookie di profilazione prima dell'accettazione da parte dell'utente; dei plug-in automatici non ci si suò fidare fino in fondo, se dovessi fare un sito mio per scrupolo mi armerei di PHP ed impedirei tout-court la visita delle pagine del sito fin quando l'utente non accetta; è una cosa davvero poco elegante ed odiosa ma è l'unica soluzione decente per essere certo al 100% di non ricevere le (potenziali) multe che, come saprai sono salatissime. Non mi risulta che sia successo ma in tempi di magra come questi lo Stato è capace di attaccarsi a tutto.

Per quanto riguarda i cookie di Google Analytics si può indebolirne il potere identificativo (cioè di profilazione degli utenti) con una modifica al codice (una cosa semplice da fare, devi cercare su Google). Se non lo fai vale la regola di prima: impedire a tutti i costi l'installazione del cookie sul sito ed inoltre devi inviare notifica al Garante (vedi tabella).
EDIT del 12/05/2017: LA PARTE SCRITTA IN ROSSO NON è CORRETTA, LEGGETE QUELLA BLU
Per i cookie Adsense però c'è poco da fare a prescindere dal codice: se li hai l'unico modo sicuro (non il migliore e non il più elegante) è impedire l'installazione del cookie con le cattive maniere (il che potenzialmente fa perdere introiti) e inviare notifica al Garante (vedi tabella).
Per i cookie AdSense l'obbligo di notifica è a carico del soggetto profilante (vedi tabella); al realizzatore del sito rimanga l'onere di impedire l'installazione dei cookie profilanti prima del consenso dell'utente.
[Ringrazio @Stefano Novelli per la correzione]

In breve: la notifica va inviata al Garante quando hai cookie profilanti di qualunque tipo sia di prima che di terza parte e non hai modo di
1. limitarne il potere profilante
2. essere certo che la terza parte non si metta a profilare.
Fermo restando che in ogni caso ne va impedita l'installazione prima che l'utente li accetti.

Chiudo segnalandoti l'ottima guida che scrisse a suo tempo il prof. Antonio Cantaro (purtroppo venuto a mancare a Febbraio di quest'anno per gravi problemi di salute); per la sua guida venne contattato via email persino dagli uffici del Garante che gli fecero i complimenti per la chiarezza dell'esposizione (cosa che loro non hanno saputo fare emettendo un'informativa incredibilmente restrittiva, punitiva verso chi sviluippa siti-web e nebulosa da comprendere):
http://www.istitutomajorana.it/index.php?option=com_content&task=view&id=2425&Itemid=33
la guida è molto lunga (15 punti in 15 pagine diverse) ma spiega per filo e per segno come ti dovresti comportare.
Ho letto un paio di mesi fa che le "pretese" dell'informativa sui cookie potrebbero essere "indebolite" in futuro, ma di sicuro ancora non c'è nulla.
 
Ultima modifica:
BAT00cent ha detto:
Salve,
mi permetto di intervenire in questa discussione perché mi informai (a fondo) a suo tempo su questa faccenda.
La notifica al garante va inviata obbligatoriamete se TU STESSO decidi di inserire cookie di profilazione nel tuo sito (cookie di profilazione di prima parte o "dell'editore", ossia un cookie che risulta installato DIRETTAMENTE dal tuo sito) e ovviamente segnalarlo in una informativa estesa sui cookie o, in alternativa, una sezione delle privacy-policy del tuo sito espressamente dedicata ai cookie.

Per i cookie di profilazione di terze parti non devi necessariamente inviare una notifica al garante però sei obbligato a segnalarne l'esistenza nel banner dell'informativa breve che deve aprirsi automaticamente la prima volta che si visita il tuo sito. Attenzione però che qui c'è un inghippo: il Garante pretende che la terza parte si impegni a non incrociare le informazioni contenute nei cookie con altre di cui già dispongano IL CHE E' ASSOLUTAMENTE IMPOSSIBILE da sapere per chi realizza il sito... come fai ad esserne certo? Non puoi e se non puoi la notifica la devi inviare per forza (e pagare 120 euro).
Quando il cookie di terza parte è di tipo statistico (analytics) devi limitarne il potere identificativo/profilante, sempre che sia possibile (vedi più avanti quando parlo dei cookie Google Analytics).
A questo link del Garante c'è una tabella che può aiutarti:
http://www.garanteprivacy.it/cookie
Qui le FAQ: http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3585077

In entrambi casi devi sempre e comunque impedire l'installazione dei cookie di profilazione prima dell'accettazione da parte dell'utente; dei plug-in automatici non ci si suò fidare fino in fondo, se dovessi fare un sito mio per scrupolo mi armerei di PHP ed impedirei tout-court la visita delle pagine del sito fin quando l'utente non accetta; è una cosa davvero poco elegante ed odiosa ma è l'unica soluzione decente per essere certo al 100% di non ricevere le (potenziali) multe che, come saprai sono salatissime. Non mi risulta che sia successo ma in tempi di magra come questi lo Stato è capace di attaccarsi a tutto.

Per quanto riguarda i cookie di Google Analytics si può indebolirne il potere identificativo (cioè di profilazione degli utenti) con una modifica al codice (una cosa semplice da fare, devi cercare su Google). Se non lo fai vale la regola di prima: impedire a tutti i costi l'installazione del cookie sul sito ed inoltre devi inviare notifica al Garante (vedi tabella).
Per i cookie Adsense però c'è poco da fare a prescindere dal codice: se li hai l'unico modo sicuro (non il migliore e non il più elegante) è impedire l'installazione del cookie con le cattive maniere (il che potenzialmente fa perdere introiti) e inviare notifica al Garante (vedi tabella).

In breve: la notifica va inviata al Garante quando hai cookie profilanti di qualunque tipo sia di prima che di terza parte e non hai modo di
1. limitarne il potere profilante
2. essere certo che la terza parte non si metta a profilare.
Fermo restando che in ogni caso ne va impedita l'installazione prima che l'utente li accetti.

Chiudo segnalandoti l'ottima guida che scrisse a suo tempo il prof. Antonio Cantaro (purtroppo venuto a mancare a Febbraio di quest'anno per gravi problemi di salute); per la sua guida venne contattato via email persino dagli uffici del Garante che gli fecero i complimenti per la chiarezza dell'esposizione (cosa che loro non hanno saputo fare emettendo un'informativa incredibilmente restrittiva, punitiva verso chi sviluippa siti-web e nebulosa da comprendere):
http://www.istitutomajorana.it/index.php?option=com_content&task=view&id=2425&Itemid=33
la guida è molto lunga (15 punti in 15 pagine diverse) ma spiega per filo e per segno come ti dovresti comportare.
Ho letto un paio di mesi fa che le "pretese" dell'informativa sui cookie potrebbero essere "indebolite" in futuro, ma di sicuro ancora non c'è nulla.
Clicca per espandere...
In sostanza OGNI sito che utilizzi AdSense normalmente dovrebbe inviare una notifica al garante e pagare quei famosi 150€. a questo punto visto che credo il 99,99999% non l'abbia mai fatto inviare questa notifica potrebbe quasi essere una cosa che richiama attenzioni su di essi, e se prima manco sapevano che esistessi ora possono invece iniziare a seguirti e cercare qualche passo falso.
 
Qualunque sito abbia AdSense perché sono cookie profilanti: su questo non c'è nessuna possibilità di interpretazione.[Edit 12/05/17: l'invio della notifica è a carico del profilante]
Che poi quasi nessuno lo faccia è un altro discorso, poi però, se un giorno dovessero arrivare delle multe non è possibile appellarsi:
la mancata notifica al Garante implica 30000 euro di multa, tutti e subito;
puoi essere certo che tutti i grossi siti in regola ci sono già, perché pagare 150 euro di invio della notifica è meglio che pagarne 30000 ed inoltre hanno o pagano risorse/programmatori/società che blocchino i cookie profilanti fino all'accettazione.

Ci sono tanti motivi per cui la notifica al Garante spesso non viene inviata:
uno sicuramente è quello citato da te, un altro è che la maggior parte di queste siti sono fatti da dilettanti che si sono lanciati dentro al circuito AdSense sperando in chissà quali guadagni, si sono affiliati ma semplicemente non sanno quali siano gli obblighi previsti, oppure lo sanno ma non hanno la capacità/possibilità di adeguare tecnicamente il sito.

Vorrei far presente che un sito "in difetto" non è solo esposto al (rarissimo) controllo del garante ma al controllo di eventuali concorrenti:
facciamo conto che ci siano 3 siti specializzati su un determinato argomento, che uno si sia completamente adeguato, gli altri 2 no...
chi si è adeguato potrebbe testare il tuo sito tecnicamente non in regola e, per "uccidere" un concorrente, informi l'Ufficio del Garante con cui segnala il mancato bloccaggio di cookie profilanti (prima multa salatissima):
il Garante a questo punto DEVE controllare per forza e se hai cookie profilanti sul sito e non glieli hai segnalati ti fa la seconda multa (30000 euro) di mancata notifica e poi va a fare le pulci alla tua privacy-policy e se la trova inadeguata ti commina una terza multa (sempre salatissima).

E' sicuramente un caso limite ma tu pensi davvero di non rischiare nulla se non adegui il sito?
Estremamente improbabile non significa impossibile, non pensare solo al garante, pensa ai dispetti che ti possono fare i concorrenti e non solo quelli: basta un invidioso qualunque. La mia sarà paranoia, ma da informatico, posso solo suggerirti di adeguarti pensando a quali conseguenza catastrofiche potresti avere nel caso peggiore. Il mio suggerimento è di non essere avidi pensando solo che bloccando i cookie pubblicitari smetti di guadagnare; i passi giusti da fare sono
- prima di tutto scrivere la policy-privacy e la cookie policy in modo conforme a quanto previsto
- bloccare a tutti i costi i cookie profilanti se l'utente non accetta
- quando tutto è a posto dal punto di vista tecnico testare AdSense e , se tutto va come deve (cookie bloccati prima del consenso) solo allora informare il garante altrimenti disattivare la pubblicità fino a quando il problema non è risolto.
Solo così puoi stare tranquillo: se con AdSense non fai decine di migliaia di euro al mese non ha senso rischiare decine di migliaia di euro in multe per colpa di un sito (magari bellissimo ed interessante) tecnicamente non conforme.

Come ricordo scherzosamente nella mia firma ai post:
Legge di Murphy: SE QUALCOSA PUO' ANDAR MALE, LO FARA'
Versione quantistica della Legge di Murphy: TUTTO VA MALE CONTEMPORANEAMENTE
 
Ultima modifica:
BAT00cent ha detto:
In entrambi casi devi sempre e comunque impedire l'installazione dei cookie di profilazione prima dell'accettazione da parte dell'utente; dei plug-in automatici non ci si suò fidare fino in fondo, se dovessi fare un sito mio per scrupolo mi armerei di PHP ed impedirei tout-court la visita delle pagine del sito fin quando l'utente non accetta; è una cosa davvero poco elegante ed odiosa ma è l'unica soluzione decente per essere certo al 100% di non ricevere le (potenziali) multe che, come saprai sono salatissime.
Clicca per espandere...
E lì c'è il problema lato "tecnico": se mi affido a PHP e l'utente accetta quest'ultimo deve ricaricare la pagina (regola dei cookie sugli header in PHP). Meglio Javascript, giusto per chiarire la cosa :)

BAT00cent ha detto:
Per quanto riguarda i cookie di Google Analytics si può indebolirne il potere identificativo (cioè di profilazione degli utenti) con una modifica al codice (una cosa semplice da fare, devi cercare su Google). Se non lo fai vale la regola di prima: impedire a tutti i costi l'installazione del cookie sul sito ed inoltre devi inviare notifica al Garante (vedi tabella).
Clicca per espandere...
Immagino tu ti riferisca all'anonimizzazione IP: https://developers.google.com/analytics/devguides/collection/analyticsjs/ip-anonymization
Ma comunque a distanza di mesi anche Analytics

BruceKetta007 ha detto:
In sostanza OGNI sito che utilizzi AdSense normalmente dovrebbe inviare una notifica al garante e pagare quei famosi 150€. a questo punto visto che credo il 99,99999% non l'abbia mai fatto inviare questa notifica potrebbe quasi essere una cosa che richiama attenzioni su di essi, e se prima manco sapevano che esistessi ora possono invece iniziare a seguirti e cercare qualche passo falso.
Clicca per espandere...
BAT00cent ha detto:
non il 99,99999%... ma il 100%!
Clicca per espandere...
Cito dal sito ufficiale (http://194.242.234.211/documents/10160/0/Infografica+cookie+e+privacy+-+cosa+devi+fare): " La notificazione è a carico del soggetto terza parte che svolge l’attività di profilazione " - che detto in soldoni se ne scaricano le responsabilità ad Adsense, quindi se un sito usa Adsense - come publisher e non editore - allora può sbolognare la faccenda.

Albo89 ha detto:
occhio che rientrano nella norma anche i cookie di profilazione propri, non solo di terze parti.
Clicca per espandere...
Si però attenzione non facciamo confusione tra cookie analitici e di profilazione: i primi servono per fare analisi statistiche (con dei limiti su ciò che puoi raccogliere) i secondi servono fondamentalmente a raccogliere i dati per riusarli a fini pubblicitari. I cookie di profilazione proprietari se li possono permettere i grandi network, e per loro 150€ sono spiccioli.

Riassumendo, quando si deve contattare il garante?
  • Cookie tecnici o analitici di prima parte: NO. Si intendono cookie per l'uso del sito (vedesi la Night Mode qui su Tom's) oppure di analisi visite interne (Piwik o simili)
  • Analitici di terze parti limitati: NO. Si intendono le analisi gestite da servizi esterni (Analytics, Shinystats etc...) con le limitazioni.
  • Analitici di terze parti: SI. Si intendono le analisi gestite da servizi esterni con la possibilità di sfruttare le analytics per le campagne pubblicitarie come editore (vedesi Analytics)
  • Profilazione di prima parte: SI. Si intendono circuiti proprietari di profilazione (solo grandi network)
  • Profilazione di terze parti: NO. Se l'accollano direttamente i circuiti pubblicitari
Poi ripeto, quando si tratta del piano legale per motivi di responsabilità si consiglia sempre di contattare un legale che si occuperà della redazione delle varie Cookie Policy e del controllo che tutto vada per il verso giusto.
 
Stefano Novelli ha detto:
E lì c'è il problema lato "tecnico": se mi affido a PHP e l'utente accetta quest'ultimo deve ricaricare la pagina (regola dei cookie sugli header in PHP). Meglio Javascript, giusto per chiarire la cosa :)


Immagino tu ti riferisca all'anonimizzazione IP: https://developers.google.com/analytics/devguides/collection/analyticsjs/ip-anonymization
Ma comunque a distanza di mesi anche Analytics



Cito dal sito ufficiale (http://194.242.234.211/documents/10160/0/Infografica+cookie+e+privacy+-+cosa+devi+fare): " La notificazione è a carico del soggetto terza parte che svolge l’attività di profilazione " - che detto in soldoni se ne scaricano le responsabilità ad Adsense, quindi se un sito usa Adsense - come publisher e non editore - allora può sbolognare la faccenda.


Si però attenzione non facciamo confusione tra cookie analitici e di profilazione: i primi servono per fare analisi statistiche (con dei limiti su ciò che puoi raccogliere) i secondi servono fondamentalmente a raccogliere i dati per riusarli a fini pubblicitari. I cookie di profilazione proprietari se li possono permettere i grandi network, e per loro 150€ sono spiccioli.

Riassumendo, quando si deve contattare il garante?
  • Cookie tecnici o analitici di prima parte: NO. Si intendono cookie per l'uso del sito (vedesi la Night Mode qui su Tom's) oppure di analisi visite interne (Piwik o simili)
  • Analitici di terze parti limitati: NO. Si intendono le analisi gestite da servizi esterni (Analytics, Shinystats etc...) con le limitazioni.
  • Analitici di terze parti: SI. Si intendono le analisi gestite da servizi esterni con la possibilità di sfruttare le analytics per le campagne pubblicitarie come editore (vedesi Analytics)
  • Profilazione di prima parte: SI. Si intendono circuiti proprietari di profilazione (solo grandi network)
  • Profilazione di terze parti: NO. Se l'accollano direttamente i circuiti pubblicitari
Poi ripeto, quando si tratta del piano legale per motivi di responsabilità si consiglia sempre di contattare un legale che si occuperà della redazione delle varie Cookie Policy e del controllo che tutto vada per il verso giusto.
Clicca per espandere...
In poche parole se anonimizzo analitycs e uso adsense NON devo inviarla perchè l'unico terzo di profilazione che uso è AdSense e dovrebbe occuparsene google?
 
Pubblicità
Pubblicità
Indietro
Top