Cookie Law

una guida per l'utente ed il webmaster

Come verificare se un sito web rispetta la normativa e cosa fare per metterlo a norma
Ivano Luberti
Cookie Law




(usa i tasti sinistra/destra per navigare nella presentazione)

Ivano Luberti

 

VP di Archimede Informatica, software architect, progetta e sviluppa applicazioni web da più 15 anni

Chief Developer del software di biglietteria MET Museum E-Ticket

Chief Developer del sistema di classificazione automatica testi VCSWEBservice

Si occupa anche dello sviluppo e della configurazione di siti di tipo istituzionale ed e-commerce, svolgendo compiti di TYPO3 integrator e web developer per lo sviluppo di nuove estensioni.

Come inzuppare il biscotto?

Cosa sono i cookie?

  • I cookie sono piccoli frammenti di informazione archiviati nel browser
  • Cookie di sessione e cookie persistenti
  • Il cookie contiene un identificatore
  • Chi memorizza i cookie?
  • Le informazioni inviate al proprietario del cookie possono riguardare qualunque comportamento del visitatore
Con cosa sono fatti i cookie?
Big brother is watching you

Davanti al PC non sei mai solo!

LigthBeam

Perchè
il garante

  • Legge 675/96 prima legge sulla tutela della privacy in Italia
  • La legge crea l'Ufficio del Garante che emana provvedimenti e fornisce pareri in materia
  • La normativa tecnica sui cookie non è una legge: trattandosi di gestione tecnica di dati personali, si è estesa la legge con un provvedimento del garante

La legge Italiana
sulla privacy

  • Il trattamento dei dati deve avvenire in modo sicuro e tracciabile
  • Le finalità per cui sono trattati devono essere chiare e pubbliche
  • Per i dati sensibili serve il consenso esplicito e preventivo e l'autorizzazione del Garante
  • Se i dati vengono comunicati a terzi questo deve essere pubblico
  • Per alcuni tipi di trattamento l'Ufficio del Garante deve essere informato prima dell'inizio del trattamento
  • Il trattamento dei cookie è fra questi e ci sono delle sanzioni

Il visitatore del
sito web

  • Naviga i siti web (anche involontariamente: pop up, e-mail che visualizzano contenuti HTML, Video Embedded, Google Maps)
  • I suoi dati vengono raccolti in modo implicito: i cookie vengono caricati senza essere visualizzati
  • I suoi dati vengono anche raccolti da servizi web che lui non visita: terze parti

Il proprietario
del sito web

  • Decide quali dati raccogliere sui propri visitatori
  • Decide a quali terze parti concedere di raccogliere i dati dei propri visitatori

La terza parte

 

  • Raccoglie dati che arrivano dalla visita di siti web non propri
  • Tipicamente raccoglie dati da più siti web e li incrocia
  • Tipicamente utilizza questi dati per profilare i visitatori dei siti e/o fornire statistiche di accesso
  • Fornisce servizi basati su queste analisi e li rivende anche ad entità quarte

Classificazione dei cookie

Content Management System

Tecnici o analitici prima parte

Analitici terze parti (anonimizzati)

Analitici terze parti (non anonimizzati)

Obbligo di:

Di profilazione prima parte

I cookie di profilazione sono quelli utilizzati per raccolgiere informazioni da usare successivamente o anche durante la visita per personalizzare il contenuto

Sono memorizzati ed utilizzati dal titolare del sito

Il titolare del sito può rivnderli a terzi (agenzie di marketing anche non web)

Obbligo di:

Di profilazione terze parti

Come i cookie di profilazione di prima parte ma memorizzati e utilizzati da terze parti

Obbligo di:

La notifica preventiva al garante la deve fare la terza parte

Schema Riassuntivo

Sito del Garante Privacy

Classificazione Cookie Garante Privacy

Diritti e doveri dei visitatori

  • La normativa è europea: i siti non europei non sono tenuti ad osservarla. Esempio: Columbia University (USA, NYC)
  • Leggere l'informativa e dare il consenso solo se convinti
  • Verificare che i cookie, se negato il consenso, vengano veramente disabilitati
  • Proteggersi dai cookie di terze parti
  • Utilizzare gli strumenti dati dalla legge

Diritti e doveri
dei proprietari dei siti web

  • Se previsto, comunicare al Garante l'inizio dell'uso dei cookie preventivamente
  • Informare i visitatori (banner, informativa estesa, link a informativa terza parte)
  • Fornire strumenti ai visitatori per gestire il consenso (concederlo e revocarlo)
  • Evitare che i cookie per cui il consenso è previsto ma non è stato dato vengano memorizzati
  • Evitare che i cookie di terze parti già presenti vengano aggiornati

Diritti e doveri delle terze parti

  • Se previsto, comunicare al Garante l'inizio dell'uso dei cookie preventivamente
  • Predisporre informativa che i titolari dei siti web possano linkare
  • e...

Soluzioni adottate

Cookie at work

Cosa hanno fatto i grandi siti web

Big WebSite
  • Il Corriere della Sera
  • La Repubblica
  • La Stampa

Il Corriere della Sera

Logo Corriere Della Sera
  • Il consenso viene registrato con qualunque atto che non sia click su link informativa
  • In ogni caso sono tutti attivi anche senza consenso
  • Non tutte le terze parti consentono di gestire il consenso

    Gestione dei cookies su Corriere.it

La Repubblica

Logo Repubblia
  • Non ci sono strumenti di rimozione dei cookie di profilazione

    Gestione dei cookies su Repubblica.it

  • Il consenso viene registrato con qualunque atto che non sia click su link informativa
  • Se si va sull'infromativa è correttamente rispecchiata la situazione rispetto al consenso

La Stampa

Logo La Stampa
  • Non ci sono strumenti di rimozione dei cookie a parte quelli forniti dalle terze parti sui loro siti

    Gestione dei cookies su lastampa.it

  • Il consenso viene registrato con qualunque atto che non sia click su link informativa
  • In ogni caso sono tutti attivi anche senza consenso

Cosa hanno fatto le terze parti

Non vedo, non sento, non parlo
  • Forniscono informative da linkare (spesso oscure e comunque non conformi alla Legge Privacy)
  • Forniscono link per opt out (curiosamente trovare il link per l'opt out dalla informativa di Google è praticamente impossibile e comunque poi richiede l'installazione di un add-on del browser)
  • Buono l'esempio di LinkedIn

Cosa hanno fatto i blogger ed i piccoli siti web

Fry
  • Il Disinformatico: si appoggia a Blogspot e delega tutto alla piattaforma
  • Salvatore Aranzulla: usa Wordpress con il plugin iubenda: offre strumenti di OptIn/optOut dei provider, non mette cookie perchè in home page non c'e' nulla pero' qualunque click siginifica accettazione e non c'è modo di navigare negando il consenso)
  • Beppe Grillo: memorizza cookie prima di accettazione, informativa fatta bene con strumenti di OptIn/optOut dei provider
  • Molti piccoli siti si sono limitati a mettere il banner, qualcuno usando plugin ma iubenda costa

Cosa possono fare i visitatori

Riot
  • Browsers add ons
  • Gestione cookies nei browser (come indicato in molte informative sui siti)
  • youronlinechoices.com

Your OnLine Choices

Riot
  • Strumento di gestione dei cookie fatto dalle società di advertising
  • Si guardano bene dal dirlo: io l'ho trovato su Yahoo
  • Memorizza i cookie di tutti con associata la scelta
  • Quindi prima rende noto il visitatore a chi lo traccia e poi gli da modo si non essere tracciato
  • Sposta il problema: io non voglio essere tracciato in quanto utente di un sito
  • Manca Google (ovviamente)

Cosa hanno fatto i visitatori

Logo Lercio.it

Prevedere una soluzione completa per un sito web

Soluzione completa

La teoria: devi sapere in anticipo quali cookie userà il tuo sito

Un sito per ottemperare alla normativa deve:

La pratica

Ci sono due aspetti da curare:

Server side

Indipendentemente da come è implementato il server:

Client side

Content Management System

CMS (Content Management System)

  • I CMS sono applicazioni per la gestione dei contenuti WEB
  • Forniscono strumenti per organizzare, editare e pubblicare contenuti sul WEB
  • Possono essere estesi con componenti per compiti specifici
  • Molti di questi CMS offrono componenti aggiuntivi per la gestione dei cookie
  • Si tratta sempre di soluzioni miste: una parte gestisce i contenuti sul server, l'altra li governa nel browser
Wordpress

TYPO3

  • EXT: Cookies
  • EXT:koning_cookie_control
  • Archimede Cookie Solution
TYPO3
Lunga vita e prosperità

Saluti e Ringrazimenti