Cookie Law

Aperto da emanuele, Domenica - 30 Novembre 2014 - 21:34

0 Utenti e 1 Visitatore stanno visualizzando questa discussione.

emanuele

Per altre ragioni, stavo "investigando" la legge.
Devo ammettere che non ho ancora avuto modo di leggere il recepimento italiano della direttiva europea, ma fortunatamente, l'Europa ha spesso dei siti con parecchie informazioni, e così son capitato su:
http://ec.europa.eu/ipg/basics/legal/cookies/index_en.htm
purtroppo solo in inglese, ma non è un grosso problema.

Due sono i punti "fondamentali" che vedo, il primo è:
CitazioneIn other words, you must ask users if they agreeto most cookies and similar technologies (e.g. web beacons, Flash cookies, etc.) before the site starts to use them.
il quale significa che mostrare un box "sappi che il sito usa i cookie, li ha già usati e non puoi farci niente.", non è accettabile.

Il secondo passo interessante è:
CitazioneCookies clearly exempt from consent according to the EU advisory body on data protection- WP29 include:

  • user‑input cookies (session-id) such as first‑party cookies to keep track of the user's input when filling online forms, shopping carts, etc., for the duration of a session or persistent cookies limited to a few hours in some cases
  • authentication cookies, to identify the user once he has logged in, for the duration of a session
  • user‑centric security cookies, used to detect authentication abuses, for a limited persistent duration
  • multimedia content player cookies, used to store technical data to play back video or audio content, for the duration of a session
  • load‑balancing cookies, for the duration of session
  • user‑interface customisation cookies such as language or font preferences, for the duration of a session (or slightly longer)
  • third‑party social plug‑in content‑sharing cookies, for logged‑in members of a social network.
che tradotto spannometricamente potrebbe suonare più o meno così:
CitazioneCookies dispensati dall'esplicito consenso, in base a quanto definito dal EU advisory body on data protection -WP29, includono:

  • user‑input cookies (session-id) ad esempio cookies impostati dal dominio per tenere traccia degli input degli utenti quando vengono compilati form, oppure carrelli di shopping, ecc, per la durata della sessione o persistenti, ma limitati a poche ore
  • authentication cookies, utilizzati per identificare un utente una volta che ha effettuato un login per la durata della sessione
  • user‑centric security cookies, utilizzati per individuare abusi del sistema di autenticazione ed utilizzati per un periodo di tempo limitato
  • multimedia content player cookies, utilizzati per archiviare dati tecnici riguardandi la riproduzione di conttenuti video o audio per la durata della sessione
  • load‑balancing cookies, per la durata della sessione
  • user‑interface customisation cookies come per scelta della lingua, preferenze sulla dimensione dei font, per la durata della sessione o periodi leggermente più lunghi
  • third‑party social plug‑in content‑sharing cookies, per utenti loggati di un social network.
Ora, per quanto mi possa ricordare, i cookie usati da SMF rientrano tutti in queste categorie, quindi sono tutti usabili senza che sia richiesto né consenso, né informazione. L'unico potenziale problema minore è che in alcuni casi particolari, SMF potrebbe impostare cookie senza scadenza, ma non mi pare una cosa tragica.

I cookie che effettivamente richiederebbero un assenso informato, sarebbero quelli di cose come analytics e adwords o similari, perché sono di terze parti, e non sono strettamente necessari a fornire il servizio. E qui, però, entriamo in un vespaio, quindi direi che per stasera (e forse anche per il futuro) io mi fermo qui. xD

Flavio93Zena

Questo sì che è un papiro... LOL. Boh io non l'ho ancora fatto, non saprei...

emanuele

Trattandosi di leggi, è solamente un piccolo trafiletto. xD

Flavio93Zena

Già :( boh io non lo so ci penserò un po' su, tanto martedì vado all'Agenzia delle Entrate per vedere un po' di roba burocratica... E sì, lo so, vorrei tanto NON andarci ma devo >_< e se manco loro sanno un accidente gli faccio una leva e me ne frego, poi quando mi viene a cercare la finanza li rimando a loro ;D

emanuele


Flavio93Zena

In realtà mi sono preso la briga di controllare: http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2012/wp194_en.pdf
I cookie di SMF rientrano nel criterio di esenzione A e parzialmente anche in quello B. Non è pertanto necessario avere il banner rompipalle. E' tuttavia richiesto avere una spiegazione durante la registrazione (già presente di default), ma credo anche una pagina relativa alla "Privacy Policy" e/o "Cookie Policy" consultabile da qualsiasi parte del sito (una roba da mettere assieme al copyright in pratica), a quanto ho letto.

Inoltre
Citazione di: http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2012/wp194_en.pdf
A cookie that is exempt
ed from consent should have a lifespan that is in direct relation to the
purpose it is used for, and must be set to expire once it is not needed, taking into account the
reasonable  expectations  of  the  average  user  or  subscriber.

Pertanto, essendo i cookie dei visitatori di questo tipo, sicuramente non sarà d'obbligo, ma sto parlando solo ed esclusivamente di SMF.

emanuele

Flavio, come credo di aver scritto in passato, la direttiva europea da quelle indicazioni e son d'accordo.
L'attuazione italiana della direttiva, però, ha una sfumatura diversa, e di fatto richiede che l'informativa sia presente sempre.
Onestamente non ho avuto la testa in questi giorni per rileggerla come si deve, quindi non ho pareri da fornire, ma anch'io, in mancanza d'altro, mi adeguerò al trend per evitare "beghe".

Flavio93Zena

Beh il mio server non è  italiano per cui... :P

wild56

Citazione di: Flavio93Zena il Mercoledì - 27 Maggio 2015 - 22:00
Beh il mio server non è  italiano per cui... :P

mi spiace ma credo che dove sia il server c'entri poco :)

emanuele

ehhh... la giurisdizione è una questione spinosa.
Non ho conoscenze sufficienti per dare risposte "sensate", posso solo ipotizzare.

Quanto segue è un ipotesi basata sulla logica (mia) ed il buon senso (mio), quindi potrebbero essere completamente sbagliati.

Il server "all'estero" protegge in casi come DMCA americani (nel senso che se un americano usa un server estero, l'host non è tenuto a far niente in seguito ad una take-down notice e quindi il sito può continuare ad operare). Il problema è che poi è l'intestatario del sito a venir perseguito, e questi verrà perseguito nel paese di residenza secondo le relative leggi. E se un americano è il proprietario di un sito che infrange copyright probabilmente verrà perseguito anche se il server si trova fisicamente in un altro paese. <= SPECULAZIONE MIA PERSONALE!!
Nel mio immaginario, la cosa funzionerà più o meno così: il sito non rispetta la normativa italiana, verrà fatta una denuncia verso... ammettiamo ignoti. Gli investigatori faranno le loro indagini e risaliranno al proprietario del sito che diventerà quindi l'indagato. A quel punto la magistratura potrà formulare il suo giudizio e se l'indagato è perseguibile (e vale la pena perseguirlo), verrà punito. <= IPOTESI PERSONALE, NON BASATA SU FATTI REALI E SENZA FONTI A SUPPORTO!!

Flavio93Zena

Meh, io dico fancuore e metto un coso piccolo giusto per non farmi rompere le palle. Ma non il robo gigante che c'è qui xD

wild56

#11
rilancio la domanda che mi pare sia rimasta senza riposta: cosa bisogna scrivere in questa benedetta cookie policy?

emanuele

Credo che l'unico modo per saperlo sia un patto col diavolo...

Guardati in giro, pigliane uno "che ti piace" ed adattalo al tuo.

Flavio93Zena

#13
Strano che sia una legge direttiva Europea, sembra fatta in Italia da quanto fa schifo.

emanuele

E' una *direttiva* europea, non un "regolamento" (c'è differenza, ma non ho voglia di spiegare, basta cercare e si trova la differenza ;)).