Cookie Law

una guida per l'utente ed il webmaster

Come verificare se un sito web rispetta la normativa e cosa fare per metterlo a norma
Ivano Luberti
Cookie Law




(usa i tasti sinistra/destra per navigare nella presentazione)

Ivano Luberti

 

VP di Archimede Informatica, software architect, progetta e sviluppa applicazioni web da più 15 anni

Chief Developer del software di biglietteria MET Museum E-Ticket

Chief Developer del sistema di classificazione automatica testi VCSWEBservice

Si occupa anche dello sviluppo e della configurazione di siti di tipo istituzionale ed e-commerce, svolgendo compiti di TYPO3 integrator e web developer per lo sviluppo di nuove estensioni.

Come inzuppare il biscotto?

Il problema

Cosa sono i cookie?

Davanti al PC non sei mai solo!

Cosa sono i cookie?

  • I cookie sono piccoli frammenti di informazione archiviati nel browser
  • Cookie di sessione e cookie persistenti
  • Il cookie contiene un identificatore
  • Chi memorizza i cookie?
  • Le informazioni inviate al proprietario del cookie possono riguardare qualunque comportamento del visitatore
Con cosa sono fatti i cookie?
Big brother is watching you

Davanti al PC non sei mai solo!

LigthBeam

Gli attori

Il garante

Il visitatore del sito web

Il proprietario del sito web

La terza parte

Perchè
il garante

  • Legge 675/96 prima legge sulla tutela della privacy in Italia
  • La legge crea l'Ufficio del Garante che emana provvedimenti e fornisce pareri in materia
  • La normativa tecnica sui cookie non è una legge: trattandosi di gestione tecnica di dati personali, si è estesa la legge con un provvedimento del garante

La legge Italiana
sulla privacy

  • Il trattamento dei dati deve avvenire in modo sicuro e tracciabile
  • Le finalità per cui sono trattati devono essere chiare e pubbliche
  • Per i dati sensibili serve il consenso esplicito e preventivo e l'autorizzazione del Garante
  • Se i dati vengono comunicati a terzi questo deve essere pubblico
  • Per alcuni tipi di trattamento l'Ufficio del Garante deve essere informato prima dell'inizio del trattamento
  • Il trattamento dei cookie è fra questi e ci sono delle sanzioni

Il visitatore del
sito web

  • Naviga i siti web (anche involontariamente: pop up, e-mail che visualizzano contenuti HTML, Video Embedded, Google Maps)
  • I suoi dati vengono raccolti in modo implicito: i cookie vengono caricati senza essere visualizzati
  • I suoi dati vengono anche raccolti da servizi web che lui non visita: terze parti

Il proprietario
del sito web

  • Decide quali dati raccogliere sui propri visitatori
  • Decide a quali terze parti concedere di raccogliere i dati dei propri visitatori

La terza parte

 

  • Raccoglie dati che arrivano dalla visita di siti web non propri
  • Tipicamente raccoglie dati da più siti web e li incrocia
  • Tipicamente utilizza questi dati per profilare i visitatori dei siti e/o fornire statistiche di accesso
  • Fornisce servizi basati su queste analisi e li rivende anche ad entità quarte

Il provvedimento del Garante

Classificazione dei cookie

Diritti e doveri dei visitatori

Diritti e doveri dei proprietari dei siti web

Diritti e doveri delle terze parti

Classificazione dei cookie

Content Management System

Tecnici o analitici prima parte

Analitici terze parti (anonimizzati)

Analitici terze parti (non anonimizzati)

Di profilazione prima parte

Di profilazione terze parti

Tecnici o analitici prima parte

Analitici terze parti (anonimizzati)

Analitici terze parti (non anonimizzati)

Obbligo di:

Di profilazione prima parte

I cookie di profilazione sono quelli utilizzati per raccolgiere informazioni da usare successivamente o anche durante la visita per personalizzare il contenuto

Sono memorizzati ed utilizzati dal titolare del sito

Il titolare del sito può rivnderli a terzi (agenzie di marketing anche non web)

Obbligo di:

Di profilazione terze parti

Come i cookie di profilazione di prima parte ma memorizzati e utilizzati da terze parti

Obbligo di:

La notifica preventiva al garante la deve fare la terza parte

Schema Riassuntivo

Sito del Garante Privacy

Classificazione Cookie Garante Privacy

Diritti e doveri dei visitatori

  • La normativa è europea: i siti non europei non sono tenuti ad osservarla. Esempio: Columbia University (USA, NYC)
  • Leggere l'informativa e dare il consenso solo se convinti
  • Verificare che i cookie, se negato il consenso, vengano veramente disabilitati
  • Proteggersi dai cookie di terze parti
  • Utilizzare gli strumenti dati dalla legge

Diritti e doveri
dei proprietari dei siti web

  • Se previsto, comunicare al Garante l'inizio dell'uso dei cookie preventivamente
  • Informare i visitatori (banner, informativa estesa, link a informativa terza parte)
  • Fornire strumenti ai visitatori per gestire il consenso (concederlo e revocarlo)
  • Evitare che i cookie per cui il consenso è previsto ma non è stato dato vengano memorizzati
  • Evitare che i cookie di terze parti già presenti vengano aggiornati

Diritti e doveri delle terze parti

  • Se previsto, comunicare al Garante l'inizio dell'uso dei cookie preventivamente
  • Predisporre informativa che i titolari dei siti web possano linkare
  • e...

Soluzioni adottate

Cookie at work

Cosa hanno fatto i grandi siti web

Cosa hanno fatto le terze parti

Cosa hanno fatto i blogger ed i piccoli siti web

Cosa possono fare i visitatori

Cosa hanno fatto i grandi siti web

Big WebSite
  • Il Corriere della Sera
  • La Repubblica
  • La Stampa

Il Corriere della Sera

Logo Corriere Della Sera
  • Il consenso viene registrato con qualunque atto che non sia click su link informativa
  • In ogni caso sono tutti attivi anche senza consenso
  • Non tutte le terze parti consentono di gestire il consenso

    Gestione dei cookies su Corriere.it

La Repubblica

Logo Repubblia
  • Non ci sono strumenti di rimozione dei cookie di profilazione

    Gestione dei cookies su Repubblica.it

  • Il consenso viene registrato con qualunque atto che non sia click su link informativa
  • Se si va sull'infromativa è correttamente rispecchiata la situazione rispetto al consenso

La Stampa

Logo La Stampa
  • Non ci sono strumenti di rimozione dei cookie a parte quelli forniti dalle terze parti sui loro siti

    Gestione dei cookies su lastampa.it

  • Il consenso viene registrato con qualunque atto che non sia click su link informativa
  • In ogni caso sono tutti attivi anche senza consenso

Cosa hanno fatto le terze parti

Non vedo, non sento, non parlo
  • Forniscono informative da linkare (spesso oscure e comunque non conformi alla Legge Privacy)
  • Forniscono link per opt out (curiosamente trovare il link per l'opt out dalla informativa di Google è praticamente impossibile e comunque poi richiede l'installazione di un add-on del browser)
  • Buono l'esempio di LinkedIn

Cosa hanno fatto i blogger ed i piccoli siti web

Fry
  • Il Disinformatico: si appoggia a Blogspot e delega tutto alla piattaforma
  • Salvatore Aranzulla: usa Wordpress con il plugin iubenda: offre strumenti di OptIn/optOut dei provider, non mette cookie perchè in home page non c'e' nulla pero' qualunque click siginifica accettazione e non c'è modo di navigare negando il consenso)
  • Beppe Grillo: memorizza cookie prima di accettazione, informativa fatta bene con strumenti di OptIn/optOut dei provider
  • Molti piccoli siti si sono limitati a mettere il banner, qualcuno usando plugin ma iubenda costa

Cosa possono fare i visitatori

Riot
  • Browsers add ons
  • Gestione cookies nei browser (come indicato in molte informative sui siti)
  • youronlinechoices.com

Your OnLine Choices

Riot
  • Strumento di gestione dei cookie fatto dalle società di advertising
  • Si guardano bene dal dirlo: io l'ho trovato su Yahoo
  • Memorizza i cookie di tutti con associata la scelta
  • Quindi prima rende noto il visitatore a chi lo traccia e poi gli da modo si non essere tracciato
  • Sposta il problema: io non voglio essere tracciato in quanto utente di un sito
  • Manca Google (ovviamente)

Cosa hanno fatto i visitatori

Logo Lercio.it

Lercio.it

Lercio.it

Prevedere una soluzione completa per un sito web

Soluzione completa

La teoria:
devi sapere in anticipo quali cookie userà il tuo sito

La pratica:soluzioni alla portata di tutti

La teoria: devi sapere in anticipo quali cookie userà il tuo sito

Un sito per ottemperare alla normativa deve:

La pratica

Ci sono due aspetti da curare:

Server side

Indipendentemente da come è implementato il server:

Client side

Content Management System

CMS (Content Management System)

  • I CMS sono applicazioni per la gestione dei contenuti WEB
  • Forniscono strumenti per organizzare, editare e pubblicare contenuti sul WEB
  • Possono essere estesi con componenti per compiti specifici
  • Molti di questi CMS offrono componenti aggiuntivi per la gestione dei cookie
  • Si tratta sempre di soluzioni miste: una parte gestisce i contenuti sul server, l'altra li governa nel browser

Wordpress

Wordpress

TYPO3

  • EXT: Cookies
  • EXT:koning_cookie_control
  • Archimede Cookie Solution
TYPO3
Lunga vita e prosperità

Saluti e Ringrazimenti