martedì 26 maggio 2015

Guida Cookie Law come fare adeguamento

GUIDA ALLA COOKIE LAW
COSA E’ E COME FARE ADEGUAMENTO PER METTERE A NORMA IL TUO SITO WEB
di www.padosoft.com  del 26/05/2015


DISCLAIMER:

Si avvisano i clienti ed i lettori di questa guida che PADOSOFT NON è uno studio legale, e tale documento NON è stato redatto tramite consulenza specifica legale di un professionista, MA E’ SOLTANTO DA INTENDERSI come aiuto o guida iniziale introduttiva al provvedimento del garante e alle misure necessarie per adempire a tale provvedimento.

Vi facciamo presente che, in caso di Tuo mancato adempimento alla norma, o in caso di mancato aggiornamento del Tuo sito internet o in caso tale documento risulti non conforme e non corretto rispetto alla norma, PADOSOFT non potrà essere ritenuta in alcun modo responsabile né potrà farsi carico di eventuali sanzioni emesse a Tuo carico.

PADOSOFT e gli strumenti indicati in questa guida (tra i quali le soluzioni iubenda.com e quelle nella sezione riferimenti) non possono sostituire IN ALCUN CASO la consulenza specializzata di un legale professionista di vostra fiducia che rimane l’UNICO MODO PER AVERE LA GARANZIA DI ESSERE A NORMA.
PADOSOFT quindi, prima di intraprendere qualsiasi decisione di implementazione, vi invita a consultare un legale di vostra fiducia il quale dovrà garantirvi circa gli adempimenti da eseguire.
PADOSOFT si limita a dare suggerimenti tecnici,  sostegno ed aiuto prettamente tecnico a montare sul vostro sito le soluzioni che VOI sceglierete autonomamente di implementare o che il vostro legale sceglierà e garantirà per voi. PADOSOFT è disponibile anche ad assistere e rispondere a tutte le domande che un vostro legale vorrà porci al fine di aiutarvi nel processo di messa a norme delle misure obbligatorie.


IL PROVVEDIMENTO DEL GARANTE
Il Provvedimento del Garante per la protezione dei dati personali n. 229/2014 http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3118884 relativo all’individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie diventerà obbligatorio il 2 giugno 2015.

LA LEGGE EUROPEA:
Le leggi europee a protezione della privacy sono molto ben sviluppate. I riferimenti legali che ci interessano sono la Data Protection Directive (95/46/EC) e la ePrivacy directive (2002/58/EC, come rivisto da 2009/136/EC). Queste direttive devono essere convertite in leggi degli Stati Membri, essendo sicuri che i requisiti minimi a livello di privacy vengano rispettati egualmente in ogni Stato europeo.
Secondo queste direttive l'utente europeo deve essere informato circa i processi di raccolta dei dati che avvengono attraverso i siti web, le app, o i servizi. I dati personali nel senso europeo sono stati ampiamente definiti.

CONTINUA A LEGGERE PER SCOPRIRE COME METTERE A NORMA IL TUO SITO WEB...

DEFINIZIONI:
Dati personali: Il concetto di dato personale corrisponde a qualsiasi informazione legata ad una persona identificata o identificabile ('interessato'); una persona identificabile è un soggetto che può essere identificato, direttamente o meno, particolarmente grazie ad una referenza, ad un numero identificativo o ad uno o più fattori specifici alla sua identità fisica, psicologica, mentale, economica, culturale o sociale;
Profilazione:
Si parla di profilazione quando i dati raccolti vengono utilizzati per finalità di profilazione, cioè per l'analisi e l'elaborazione di informazioni relative a utenti o clienti, al fine di suddividere gli interessati in "profili", ovvero in gruppi omogenei per comportamenti o caratteristiche sempre più specifici, con l'obiettivo di pervenire all'identificazione inequivoca del singolo utente (cd. single out) ovvero del terminale e, per il suo tramite, anche del profilo, appunto, di uno o più utilizzatori di quel dispositivo.

In pratica si fa profilazione quando si raccolgono dati su individui che permettono l’identificazione univoca dell’individuo singolo e poi la successiva somministrazione di strumenti di marketing basandosi su questi dati raccolti sfruttandone cioè il comportamento, le abitudini, i gusti personali.
La profilazione può essere effettuata essenzialmente mediante:
a) trattamento, in modalità automatizzata, dei dati personali degli utenti autenticati in relazione all'utilizzo del servizio per l'inoltro e la ricezione di messaggi di posta elettronica;
b) incrocio dei dati personali raccolti in relazione alla fornitura ed al relativo utilizzo di più funzionalità diverse tra quelle messe a disposizione dell'utente;
c) ad eccezione dell'utilizzo dei cookie (per i quali si fa espresso richiamo, oltre alla disciplina di legge, alle prescrizioni rese dall'Autorità con il provvedimento n. 229, dell'8 maggio 2014, relativo alla "Individuazione delle modalità semplificate per l'informativa e l'acquisizione del consenso per l'uso dei cookie", in Gazzetta Ufficiale n. 126 del 3 Giugno 2014), utilizzo di altri identificatori (credenziali di autenticazione, fingerprinting etc.), necessari per ricondurre a soggetti determinati, identificati o identificabili, specifiche azioni o schemi comportamentali ricorrenti nell'uso delle funzionalità offerte (pattern);

SANZIONI:
Attenzione, come indicato dal Garante, la violazione della normativa relativa ai cookie potrebbe comportare l’applicazione di sanzioni molto onerose!
In particolare, per il caso di omessa informativa o di informativa inidonea, ossia che non presenti gli elementi indicati, oltre che nelle previsioni di cui all’art. 13 del Codice Privacy, nel Provvedimento del Garante, è prevista la sanzione amministrativa del pagamento di una somma da seimila a trentaseimila euro (art. 161 del Codice Privacy). 15
L’installazione di cookie sui terminali degli utenti in assenza del preventivo consenso degli stessi comporta, invece, la sanzione del pagamento di una somma da diecimila a centoventimila euro (art. 162, comma 2-bis, del Codice Privacy).
Inoltre, l’omessa o incompleta notificazione al Garante (art. 37, comma 1, lett. d), del Codice Privacy) è sanzionata con il pagamento di una somma da ventimila a centoventimila euro (art. 163 del Codice Privacy).


GLI ADEMPIMENTI NECESSARI
In breve, con l’entrata in vigore della cookie law, dal 2 giugno non sarà più possibile installare cookie (eccetto quelli tecnici del login, di sessione, carrello e preferenze) prima di:
  • Aver predisposto e mostrato all’utente un banner informativo (informativa breve)
  • Aver predisposto e mostrato all’utente una cookie policy completa
  • Aver richiesto ed ottenuto il consenso agli utenti
Più in dettaglio i cookies esenti da questa preventiva autorizzazione sono:
  • Cookie tecnici, ossia quelli strettamente necessari all’erogazione del servizio. Fra questi i cookie di preferenza, sessione, load balancing, carrello, preferenze.
  • Cookie di statistica aggregata di prima parte (gestiti direttamente dal titolare) es. Piwik o altri strumenti di statistica gestiti direttamente tra i quali dovrebbe rientrare anche AWStats.
  • Cookie di statistica aggregata di terza parte (es. Google Analytics), ma solo se alla terza parte è impedito di effettuare analisi dei dati in modo disaggregato ovvero qualora i dati vengano anonimizzati prima di essere salvati dal servizio terzo (vedere più avanti il caso specifico di Google analytics).
    ATTENZIONE: questo punto è ancora in fase di discussione sul tavolo del garante.
I cookies invece soggetti al provvedimento sono tipicamente i cookies propri o di terze parti di profilazione.
A questo link è riportato uno schema esplicativo:  https://www.iubenda.com/it/help/posts/674

Attenzione anche ai cookies dei social, che quasi tutti iniettano cookies di profilazione: condividi su facebook, twitter, linkedin, pinterest, google+, mi piace, +1, pinit, widgtet sociali, youtube etc..
Quindi un utente arrivando in una pagina del tuo sito la prima volta (quindi NON HA MAI ACCETTATO I COOKIES), il tuo sito non deve iniettare nessun tipo di cookies (eccetto quelli tecnici) e quindi deve bloccare o non caricare alcuno script che si pensa possa iniettare cookies non ritenuti tecnici!

PRECISAZIONE SUGLI OBBLIGHI PER I COOKIES DI TERZE PARTI INSTALLATI:
Anche in caso di cookies di profilazione di terze parti, dove non si è di fatto titolari del servizio e dei dati stessi, l’onere di ottenere il consenso spetta ai titolari dei siti web in quanto essi sono visti come intermediari tecnici.
Piu’ in particolare, si legge sul sito di iubenda.com la loro interpretazione sull’argomento:
<<essendo che è obbligatorio per l’unione europea richiedere il consenso PREVENTIVO al trattamento dei dati personali, questo fa si che il Titolare, in mancanza di alcun modo attualmente esistente da parte del terzo di richiedere il consenso e considerando il suo ruolo di INTERMEDIARIO TECNICO che imporrebbe alla terza parte di passare comunque per il tramite del Titolare per richiedere questo consenso, così stando le cose il Titolare si renderebbe responsabile di una violazione palese del codice privacy, permettendo che il trattamento abbia luogo prima che l’utente sia stato informato ed abbia potuto esercitare il consenso.>>

Per quanto riguarda invece i dettagli delle privacy policy dei servizi di terze parti installati sul proprio sito, il garante ha accettato il fatto che sulla propria privacy policy ci siano solo riportati i nomi dei titolari del trattamento dati, e i link di rimando alle loro privacy policy specifiche e le loro pagine di optout/rifiuto cookies (se esistenti), in quanto l’onere di conoscere, riportare e tenere aggiornato sul proprio sito web tutte le policy delle terze parti risultava troppo elevato, sproporzionato e di difficile attuazione.


COME OTTENERE IL CONSENSO:
Il consenso dall’utente si può ottenere in uno dei seguenti tre modi:
1) Se l'utente clicca ACCETTA sul bottone dell’informativa
2) se l’utente continua a navigare su altre pagine interne del proprio sito (eccetto la pagina della policy e del cambio preferenza cookies)
3) (più rischioso) se l’utente effettua uno scroll sul browser e scorre la pagina (scroll down)
Se si verificano uno di questi punti sopra, il sito prende per buono il consenso dell’utente, può caricare gli script preventivamente bloccati e può salvare sull’utente un cookies tecnico per ricordare l’accettazione.
Ad ogni successiva visita dell’utente sul vostro sito, se viene trovato il cookie tecnico di accettazione è possibile non mostrare più il banner informativo e la relativa richiesta di consenso ed è possibile caricare subito tutti gli script che inseriscono cookies.

In ogni caso, deve essere sempre presente sul sito un link che rimanda alla privacy policy completa, e la possibilità di accettare o rifiutare in qualsiasi momento i cookies.

Qui trovate il video ufficiale del garante con le istruzioni per l’uso:



DURATA DEL CONSENSO
Questo consenso ottenuto dall’utente, deve essere impostato a 12mesi scaduti i quali deve essere richiesto nuovamente.
E' però possibile ad ogni visita del cliente successiva al consenso, rimpostare la data di scadenza ad oggi più 12 mesi, sembra cioè accettato dal garante la possibilità di rinnovare di altri 12 mesi la scadenza del cookie di consenso ad ogni visita successiva dell’utente.
COSA DEVE CONTENERE LA COOKIE POLICY
La privacy policy deve contenere il testo standard per il trattamento dei dati e poi deve contenere al suo interno (o come documento separato) una sezione dedicata alla cookies policy.
In particolare la cookies policy, non deve necessariamente prevedere una lista dettagliata di tutti i cookie – nome per nome – installati dal sito, ma deve invece descrivere con dettaglio le finalità di installazione dei cookie ed indicare tutte le terze parti che ne installano o che potrebbero installarne, con anche un link alla rispettiva privacy policy, alla cookie policy e agli eventuali moduli di consenso.
Il titolare del sito deve:
- identificare tutte le categorie di cookie installati dal proprio sito e le loro finalità (cookie di prima parte);
- identificare le terze parti che, attraverso il sito del titolare, potrebbero inviare dei cookie;
- catalogare i cookie in base alle finalità di trattamento;
- identificare i link alle privacy policy e ai moduli di consenso delle terze parti con le quali il titolare/gestore del sito ha stipulato accordi per l’invio dei cookie dal medesimo sito (ove disponibili).
Qualora non abbia contatti diretti con le terze parti o nel caso in cui fosse particolarmente difficile individuare tutte le terze parti inserire: - link alle privacy policy degli intermediari (solitamente il concessionario di pubblicità del sito) ove disponibili, - link al sito www.youronlinechoices.com/it  (limitatamente ai servizi censiti da tale piattaforma, ovvero, al momento, quelli di profilazione pubblicitaria);
- aggiornare le privacy policy.
ESEMPI DI COOKIE POLICY:
https://www.cookiebot.com/it/cookiedeclaration
- vedi riferimenti in fondo a questo documento.

PROFILAZIONE
QUANDO E’ NECESSARIO EFFETTUARE LA COMUNICAZIONE AL GARANTE
In alcuni casi si rende necessario informare il garante ed effettuare una comunicazione formale al garante stesso.
Questo è il caso di quando facciamo una profilazione dei clienti direttamente noi stessi (vedi definizione sopra di profilazione).
Cioè quando usiamo profilare gli utenti e siamo noi stessi direttamente i titolari di tali dati e li usiamo per profilare gli utenti per successivamente studiarne i comportamenti,  adattare i contenuti del sito in base al singolo individuo identificato univocamente, monitorarlo fare marketing diretto.
In generale se raccogliamo dati profiliamo l’individuo singolo e ne sfruttiamo i comportamenti, i gusti, le emozioni etc.. per fare marketing sull’individuo specifico.
In questo caso dobbiamo indicare nella policy che facciamo profilazione ma anche effettuare una comunicazione al garante.
Per fare la comunicazione basta usare il modulo che mette a disposizione il garante a questo link: https://web.garanteprivacy.it/rgt/NotificaTelematica.php

La disciplina della profilazione, è molto delicata e bisogna stare molto attenti ai dati che raccogliamo e cosa ne facciamo in quanto è molto facile sconfinare nella profilazione e negli obblighi che ne derivano. Per questo ribadiamo come affidarsi ad un buon legale di fiducia esperto in materia sia la cosa migliore.
ALCUNI ESEMPI DI PROFILAZIONE:

1) DEM e Strumenti di email marketing:
es. MAIL-UP o software-newsletter (piattaforma branded mailup).
In caso si usino strumenti di DEM o marketing email, se la piattaforma permette e fa uso di analisi statistiche sui comportamenti degli utenti registrati alla newsletter, come ad esempio, le statistiche sulle aperture delle mail, gli orari di apertura, i click etc.. quando questi dati non sono generalizzati ma sono riconducibili al singolo individuo (tramite la mail o il profilo registrato io so che Mario Rossi a aperto a questi orari le email, ha cliccato su questi link, dopo ha visitato su queste pagine etc.. ) e con questi dati effettuo un’azione di marketing mirata, siamo in presenza di profilazione ed è necessario specificarlo nella privacy policy ed è necessario fare la comunicazione al garante.

N.B.: ricordiamo anche che in caso di DEM e raccolta indirizzi occorre sempre
1) avere raccolto il consenso informato dell’utente al trattamento dati (o in questi casi alla profilazione) e salvare la “prova” del consenso per poterla esibire in caso di controllo o denuncia.
In generale non basta la mail che arriva dal sito con il modulo compilato, ma è necessario e più rigoroso effettuare la conferma della registrazione inviando alla mail dell’utente un link di conferma da cliccare esplicitamente (tecnicamente il processo si chiama double optin http://en.wikipedia.org/wiki/Opt-in_email e serve ad autenticare la mail).
Nella pratica, per fare questo si può utilizzare il meccanismo di double optin messo a disposizione della maggior parte dei software di mailing professionali.
Il consiglio è quello di passate ad uno strumento che abbia questa funzionalità se non presente nello strumento che usate adesso e se non siete certi di essere a norma contattateci per un controllo e verifica sul software montato per le raccolte email consensi e DEM.
2) mostrare sul modulo di raccolta consenso il check di esplicita accettazione di iscriversi alla newsletter da parte dell’utente e mostrare l’informativa specifica della newsletter (diversa dall’informativa normale che si monta per il trattamento dati standard di un modulo richiesta informazioni).
2) Statistiche e dati raccolti per uso interno del sito
In questo caso dipende dal software interno o esterno al sito che tipo di dati raccoglie e l’uso che se ne fa. In generale per non rientrare nella disciplina della profilazione, la condizione è che tali strumenti non possano effettuare attività di analisi disaggregata. Nel concreto (vedi più avanti il caso specifico di Google Analitycs) , l’autorità garante tedesca ci viene in aiuto in quanto ha già obbligato la gran parte degli strumenti di statistica che effettuano profilazione ad evitare il salvataggio dell’IP degli utenti, che può consentire l’attività di analisi disaggregata.
Quindi se non prendiamo dati particolare che permettono il riconoscimento unico della persona e successiva analisi disaggregata non siamo nel caso di profilazione.
Per esempio un altro caso sono i dati raccolti per l’evasione dell’ordine di un sito ecommerce e i dati di log delle transazioni. In questo caso è possibile che il software di  ecommerce tracci per ogni utente ed ordine durante l’acquisto del suo IP, del transaction ID dell’acquisto, il paese di connessione, il tipo di dispositivo con cui naviga etc..
Sentendo alcuni legali che seguono i nostri clienti, ci rassicurano del fatto che in questo caso, se questi dati raccolti vengono usati per le finalità stesse del servizio, ovvero salvare l’IP per sicurezza o per fornirlo alle autorità competenti in caso di frode, per sapere se l’utente è mobile o desktop e offrire la versione opportuna del sito, etc.. in questi casi non si tratta di profilazione.
Attenzione però, anche qui è facile incappare in profilazioni. Ad esempio se io raccolgo l’IP dell’utente lo lego ad un login del mio sito, ne controllo le preferenze e i gusti in base alla navigazione etc.. e poi in base a questo eseguo azioni di marketing o modificazione dei contenuti del sito ai fini della vendita, sto facendo di nuovo profilazione!
3) Dati raccolti da moduli contatti, sondaggi etc.
Il classico modulo contattaci o richiedi informazioni presente in tutti i siti, generalmente non pone problematiche di profilazione, se fatto correttamente.
Per prima cosa ricordiamo che tali form devono mostrare l’informativa al trattamento dati per le persone giuridiche e oltre a questo il classico check di spunta per accettazione in caso di privato.
Se il form non contiene dati sensibili non ci sono altri ostacoli (http://www.garanteprivacy.it/web/guest/home/diritti/cosa-intendiamo-per-dati-personali ).
Dopo di che, se questa attività rientra o meno nella disciplina della profilazione, dipende dai dati raccolti.

In generale ci si può basare sul principio di proporzionalità dei dati raccolti.
Ovvero, quando c’è sproporzione tra i dati richiesti e le finalità dello stesso, allora si può andare incontro a Profilazione, mentre se i dati richiesti sono quelli strettamente necessari al fine di erogare il servizio non si tratta di profilazione.
Quindi nel form di contatti, può non essere profilazione chiedere lo sport che pratichiamo se siamo in un negozio di sport, o in caso di assistenza  hardware o software chiedere si si usa Windows o MAC.
Mentre chiedere quante volte si va a comprare al supermercato rispetto che al negozio specializzato può avere delle complicazioni di profilazione.
ATTENZIONE:  se raccolgo i dati telefonici per fare poi marketing telefonico o telemarketing, entriamo in una nuova disciplina che è regolamentate con regole proprie aggiuntive. Si veda la sezione F.A.Q. più avanti per i riferimenti.

COSA FARE DA SUBITO
Da subito vanno predisposti:
  • Il banner con l’informativa breve
  • La cookie policy
  • Il sistema di consenso tramite proseguimento della navigazione
Il consiglio infatti è quello di raccogliere quanti più consensi possibile da oggi fino al 2 giugno in modo da  ridurre drasticamente l’impatto della cookie law quando entrerà in vigore.


COSA FARE DA 2 GIUGNO IN POI
Da questa data sarà necessario aderire in toto alla legge e quindi, bloccare i codici che eseguono cookie quando non è ancora stato acquisito il consenso, in linea con quanto richiesto dal Garante.


CASI PARTICOLARI
CASI PARTICOLARI: GOOGLE ANALYTICS
Dal sito di iubenda.com si legge: https://www.iubenda.com/it/help/posts/674
<<Come parte del lavoro di approfondimento con il Garante a cui iubenda ha partecipato, sono state chiarite le modalità per far rientrare Google Analytics e strumenti statistici simili all’interno di quelli che non richiedono il consenso preventivo. La condizione è che tali strumenti non possano effettuare attività di analisi disaggregata. Nel concreto, l’autorità garante tedesca ci viene in aiuto in quanto ha già obbligato la gran parte degli strumenti di statistica ad evitare il salvataggio dell’IP degli utenti, che può consentire l’attività di analisi disaggregata.>>
Grazie ad uno strumento messo a disposizione da Google (_anonymizelp function), è possibile anonimizzare l’IP di Google Analytics. A tale scopo infatti basta aggiungere al codice di monitoraggio di Google Analytics una riga aggiuntiva di configurazione informando Google che si desidera anonimizzare l’IP. Facendo questo Google offuscherà le ultime cifre dell’IP del visitatore rendendo di fatto impossibile l’identificazione del soggetto (vedi definizione dati personali sopra).
Vedere nella sezione riferimenti i link utili. In pratica cosa vuol dire? I discorsi sopra portano a questa conclusione: In caso si utilizzi google analytics e gli altri suoi strumenti di tracciamento di GA, se non si anonimizza l'IP è necessario il blocco preventivo degli script prima del consenso. Nel caso invece che si usi l'opzione di anonimizzazione dell'IP, pur non essendoci una chiara e formale decisione da parte del garante (quindi non esiste la garanzia legale 100%), chi ha partecipato al tavolo di discussione del garante riporta che in maniera informale il garante sembra accettare la pratica dell'IP anonimizzato.
In soldoni, usare _anonymizelp ti da una tutela in più rispetto a non utilizzarlo, usata dalla maggior parte dei portali, ma nessuno può garantirti (non essendoci posizione scritta e chiara del garante) che in caso di ispezione non si venga multati.

Webtrekk e molti altri strumenti di statistica, in base a quanto dichiarato da iubenda.com sono già adeguati rispetto alla normativa senza necessità di configurazioni speciali.

Altri strumenti che garantiscano di non avvalersi di cookie

Qualora altri strumenti terzi garantiscano di non avvalersi di cookie, magari a condizione di utilizzare specifiche opzioni di configurazione, tali strumenti possono essere considerati esenti dall’obbligo di blocco preventivo.
CASI PARTICOLARI: YOUTUBE
In particolare, questo è il caso di Youtube, che offre una funzionalità specifica per evitare che, alla visita, l’utente venga tracciato tramite cookie. Se si adotta questo stratagemma, non c’è bisogno di bloccare preventivamente il codice di youtube.
ATTENZIONE: questo vale anche per eventuali video che si incorporano nella pagina o nei testi del sito!
Vediamo come fare: stando alle informazioni reperite in rete esiste un modo per ottemperare alla norma della policy cookies con youtube per i video incorporati nel sito.
Normalmente per incorporare andiamo sul sito di youtube, individuiamo il video da incorporare, clicchiamo su condividi e prendiamo il codice dell’iframe da incollare sul nostro sito/blog.
Un esempio per il video https://www.youtube.com/embed/4N3N1MlvVc4?list=FLhY9x60pLBxHB7HthvXNqoQ   è:
<iframe width="853" height="480" src="https://www.youtube.com/embed/4N3N1MlvVc4?list=FLhY9x60pLBxHB7HthvXNqoQ" frameborder="0" allowfullscreen></iframe>

Bene per renderlo conforme alla privacy basterà cambiare il dominio da www.youtube.com a www.youtube-nocookie.com , cosi facendo il codice da incollare sul proprio sito diventerà:
<iframe width="853" height="480" src="https://www.youtube-nocookie.com/embed/4N3N1MlvVc4?list=FLhY9x60pLBxHB7HthvXNqoQ" frameborder="0" allowfullscreen></iframe>
Con questo trucco il player non inietterà cookies di profilazione finché l’utente spontaneamente non cliccherà sul player per avviarlo.

N.B.: per i video già esistenti sul vostro sito e già incorporati occorre che modifichiate uno ad uno i link.
In caso vogliate un aiuto tecnico da parte nostra contattateci pure tramite email assistenza o tramite form contatti https://www.padosoft.com/contatti/
CASI PARTICOLARI: DoubleClick for Publisher by Google
Google  mette a disposizione una guida per disabilitare i cookie su richiesta per gli annunci illustrati ospitati da Google.
Per tutte le informazioni tecniche visitare l’url: https://support.google.com/dfp_premium/answer/3202794?hl=it


F.A.Q.
Come posso identificare i Cookies che inietta il mio sito web?
Questo non è un operazione semplice purtroppo, ma devi imparare a farlo. Il modo più veloce per identificare quali cookie sono installati dal tuo sito/app è visitando il proprio sito web tramite Google chrome e poi ispezionare i cookies iniettati. Iubenda qui riporta una veloce guida su come fare con chrome e con altri browser:  https://www.iubenda.com/it/help/posts/290
In questo sito http://www.cookielaw.org/cookie-audit/ invece è possibile usare un tools gratuito per l’audit dei cookies o ordinare un cookie Audit ad hoc per il proprio sito.
Un altro sistema è installare questa estensione per chrome e navigare il proprio sito web: http://www.attacat.co.uk/resources/cookies (l’estensione non viene aggiornata dal 2012 ma sembra funzionare).
Altre estensioni per chrome sono: https://chrome.google.com/webstore/detail/cookies/iphcomljdfghbkdcfndaijbokpgddeno , https://chrome.google.com/webstore/detail/editthiscookie/fngmhnnpilhplaeedifhccceomclgfbg
Attenzione: con l’introduzione delle nuove tecnologie, si usa per semplicità ed in gergo parlare solo di cookies, ma esistono altre tecniche per iniettare dati sul pc dell’utente come il local storage etc.. occorre quindi verificare anche questi.
Qui sotto nelle prossime faq viene affrontato questo tema.
Ho un sito che fa uso di nuove tecnologie HTML5, local storage, o flash devo controllare anche queste?
SI. In rete e nei richiami alle normative si usa per semplicità ed in gergo parlare solo di cookies, ma è una semplificazione.
Esistono infatti altre tecniche per iniettare dati sul pc dell’utente come il local storage, session storage, indexedDB  o FLASH cookies.
Occorre quindi verificare anche questi strumenti quando creiamo la nostra cookie policy.
E’ possibile vedere questi dati per esempio su chrome con Strumenti per sviluppatori (F12) e poi andare sulla scheda Resources, oppure esiste un estensione per chrome interessante che permette di vedere e gestire questo tipo di dati ed è gratuita e presente sul chrome web store a questo link: https://chrome.google.com/webstore/detail/html5-storage-manager-all/giompennnhheakjcnobejbnjgbbkmdnd
Trovate un esempio di local storage policy qui: http://www.terencebunch.co.uk/local-storage-policy/

Ho un sito multilingua, basta la cookie policy scritta in italiano?
A nostro avviso è necessario tradurre la privacy policy e il banner informativo nelle lingue che gestisce il sito.
Posso fare Copia e incolla da un altro sito o testo in rete?
Il copia e incolla è uno dei modi usati da molti per evitare di pagare migliaia di euro per una consulenza legale.
Puoi trovare molti modelli che ti aiutano ad iniziare. Ma trovare un modello davvero di qualità è difficile. E chi dice che quel modello non sia inadatto o semplicemente che non sia al passo con la normativa?
Gran parte delle volte ciò che trovi online si colloca su casi specifici e non adatti al tuo. Devi necessariamente spiegare come usi determinati dati e a quale scopo. Non farlo potrebbe trascinarti nello stesso tipo di problema che cercavi di risolvere.
Se mi affido al kit Iubenda.com e lo faccio montare da PADOSOFT sul mio sito sono coperto 100% da eventuali multe?
In caso il cliente ci contatti e scelga di installare sul proprio sito web la soluzione a pagamento di iubenda.com, PADOSOFT si limiterà a seguire le istruzioni presenti sul sito di iubenda.com e niente altro. A carico di PADOSOFT quindi c’è il montaggio dei plugin come indicato da iubenda.com, e nessuna altro onere può essere associato, richiesto ed imposto a PADOSOFT. PADOSOFT non ha nessun contatto diretto con iubenda.com ne ha verificato con suoi legali la bontà del loro kit e dei loro strumenti.
Il cliente è tenuto ad informarsi e farsi suggerire e tutelare da un proprio legale professionista di fiducia e chiedere di essere garantito circa la messa a norma seguendo le indicazioni di iubenda.com.
PADOSOFT declina ogni responsabilità qual ora in fase di ispezione delle autorità il kit di iubenda NON risultasse non idoneo.
Per aiutarvi nella scelta con il vostro legale e darvi alcune informazioni aggiuntive, riportiamo a questo riguardo un estratto dal sito iubenda.com su questo argomento:  Link: https://www.iubenda.com/it/help/posts/640 Estratto:
<< A questo punto la domanda ricorrente: Possiamo fidarci del kit?
A questo proposito posso fornire queste motivazioni:
Il Kit, al di là di iubenda, hanno lavorato numerosi avvocati e tutti gli esponenti più importanti del mondo online italiano. Fra questi, iubenda è stato partner tecnico.
Il Kit è stato più volte rivisto dal Garante, con cui abbiamo chiarito DIRETTAMENTE tutte le ambiguità della normativa, a cominciare dal fatto che in nessun caso i cookie devono essere installati prima di aver richiesto il consenso.
Il Kit è stato presentato DAL GARANTE in una conferenza stampa da lui presieduta il giorno Martedì 5 Maggio 2015
Il motivo per cui il Garante non ancora ha firmato né pubblicato sui propri canali questi Kit viene dal fatto che il Kit è stato ultimato a ridosso della conferenza stampa e non c’è stato il tempo tecnico sufficiente perché l’iter interno di approvazione del Garante avesse luogo. >>
Iubenda consiglia di dire ai clienti delle agenzie e liberi professionisti del settore questo:
<< Chiarire molto bene al cliente che iubenda, qualora si scelga di utilizzarlo, è uno strumento che ad un corrispettivo ridotto permette di avere un risultato altamente professionale ed è molto più sicuro del fai da te.
Se invece si vogliono le garanzie classiche di una consulenza legale, si può rivolgersi ad un avvocato (anche iubenda ne mette a disposizione) per un esame ad hoc, ma i corrispettivi sono molto superiori.>>
In pratica registrandosi a iubenda.com al servizio a pagamento, a fronte di una piccola somma, è possibile entrare nell’area FAI DA TE, e costruirsi una privacy policy molto elaborata e installare i tecnicismi che loro rilasciano per ottemperare alle norme sulla cookies law, ma
LA CERTEZZA DI ESSERE COMPLETAMENTE A NORMA VE LA PUO’ DARE SOLO UN LEGALE PROFESSIONISTA CHE VI SEGUE AD-HOC LA PRATICA.


Ci sono dei requisiti tecnici per realizzare il banner informativo?
Il banner dovrà preferibilmente avere le seguenti caratteristiche:
- dimensioni tali da rendere il banner facilmente visibile, o - in alternativa - espandibile (ad esempio, strip autoespandibile o Pushbar);
- caratteri (font) più evidenti rispetto a quello del sito;
- un colore del fondo contrastante rispetto allo sfondo del sito e al testo del banner stesso.
In sostanza il banner deve “STACCARE” dal sito web e non uniformarsi nella grafica del sito, in quanto deve saltare subito all’occhio dell’utente senza possibilità di non essere visto.
Se contatto telefonicamente i clienti e i privati, magari facendo marketing o vendendo devo fare qualcosa di particolare?
In questo caso c’è una disciplina a parte che regola questo tipo di attività. Qui un link alle nuove regole del marketing telefonico sul sito del garante: http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/export/1794339
OK ho compreso che bisogna adeguarsi per norma, ma c’è proprio bisogno di questa legge sulla privacy? Non se ne poteva fare a meno?
Per capire quanto è delicato e di fondamentale importanza il problema della privacy al giorno di oggi con l’avvento di internet, social, big data etc.. consiglio a tutti la lettura di alcuni articoli o video, ed a tal scopo vi invito a leggere sotto in fondo ai riferimenti i link nella sezione “Perché la privacy è importante”.


RIFERIMENTI
LINEE GUIDA UFFICIALI COOKIES redatte dalle associazioni di categoria con l’approvazione del garante:  http://andrea.s3.iubenda.com/gkHRyw3pg6/GUIDA-COOKIES.pdf


COOKIE POLICY GENERATOR, ESEMPI DI POLICY e TOOLS
ESEMPIO PRIVACY POLICY:
ESEMPIO COOKIE POLICY:
TOOLS, KIT, GENERATORI:
SCRIPT PER SITO
 
HTML5 - LOCAL STORAGE


Perché è importante la privacy - Why privacy matters

Alessandro Acquisti: Why privacy matters: https://www.youtube.com/watch?v=H_pqhMO3ZSY


1 commento:

  1. As the name GDPR Data Protection Officer suggests, the primary function of a DPO is ensuring that all company data (concerning employees and customers alike) processes in adherence to data protection laws and policies. Due to its emphasis on adhering to existing data protection laws, DPO role can also be described as data protection compliance. Likewise, the focus on securing data can result in the role of a DPO as a data security officer. Still, its a unique combination of security and compliance that makes DPO an indisposable part of a company.
    outsourced dpo

    RispondiElimina