Quoto direttamente da questa pagina:
Per proteggere la privacy degli utenti e consentire loro scelte più consapevoli, il Garante ha dunque stabilito che, d'ora in poi quando si accede alla home page o ad un'altra pagina di un sito web deve immediatamente comparire un banner ben visibile, in cui sia indicato chiaramente:
1) che il sito utilizza cookie di profilazione per inviare messaggi pubblicitari mirati;
E' giusto che appaia l'informativa, ma sappiamo pure che quello che muove l'utente è la voglia
di accedere ad un contenuto o ad un servizio. La mia personale opinione sulla crescita costante
di 'banner di segnalazione' è che questi non vengano veramente letti nei contenuti, ma
abituino l'utente al fatto che "clickando OK ottengo quello che prima ottenevo in fretta", e
questo è un comportamento estremamente deleterio per la comunicazione di scelte consapevoli e
è avvenuto negli anni anche con windows/android la compulsiva richiesta di privilegi da
parte di applicazioni, senza che l'utente avesse modo di capire veramente cosa stesse abilitando. Ora abbiamo utenti che sanno che escono talvolta delle finestre di allarme, ma nulla è mai andato male dicendo loro "ok", quindi diranno "ok" anche la prossima volta.
2) che il sito consente anche l'invio di cookie di "terze parti", ossia di cookie installati da un sito diverso tramite il sito che si sta visitando;
In alcuni browser questo è disabilitato di default. In alcune configurazioni, questo viene impostato
dall'installatore e l'utente ne è ignaro.
Questo vuol dire che il banner apparirà, con un'estensione di allarme "inoltre permetto a terze
parti di impostati cookie" quando in verità non sarebbe accettato. Aumenta la percezione del
rischio senza che il rischio ci sia davvero.
3) un link a una informativa più ampia, con le indicazioni sull'uso dei cookie inviati dal sito, dove è possibile negare il consenso alla loro installazione direttamente o collegandosi ai vari siti nel caso dei cookie di "terze parti";
Questo mi sembra assurdo. Ok che è un bel messaggio politico dire ad un fornitore estero di
servizi "se vuoi vendere in Italia, devi mettere la possibilità dell'utente, tramite click di
non ricevere cookie da parte tua", ma si tratta di sviluppare una nuova funzionalità che va
contro il modello di business di questi soggetti. Quanti lo faranno ?
Questa cosa dovrebbe essere implementate non dai siti, ma da un'estensione del browser, (fatta
nel mondo ideale dal GPDP), nella quale tiene traccia dei siti ai quali ti stai affidando
(spiegandoti, sempre nel mondo ideale, a quali leggi non italiane tu utente sei esposto [1]), e
lavorando sulle impostazioni del browser)
agire sulle impostazioni del browser è necessario affinché non scatti la trappola che spiego
4) l'indicazione che proseguendo nella navigazione (ad es., accedendo ad un'altra area del sito o selezionando un'immagine o un link) si presta il consenso all'uso dei cookie.
E questo è l'effetto "next next next" (ops! ho accettato il termine di servizio nel quale vendevo
Per quanto riguarda l'obbligo di tener traccia del consenso dell'utente, al gestore del sito è consentito utilizzare un cookie tecnico, in modo tale da non riproporre l'informativa breve alla seconda visita dell'utente
Quindi significa che, anche dicendo al sito "non voglio i tuoi cookie" lui ti può mettere un cookie.
Quindi, l'utente non può neppure avere un meccanismo di controllo basato sul "guardo la lista
dei cookie presenti e verifico se il sito ha onorato la mia richiesta", perché un cookie comunque
lo metterà. un cookie è composto da un contenuto e da un nome. SEMPRE. supponendo che il
contenuto sia "biscottizzami" o "non voglio biscotti", ci sarà un nome, un ID, un numero. questo
numero chi saprà se non si tratta di un numero univoco, utilizzato per tener traccia ancora
una volta delle nostre attività ?
La cosa che mi sembra assurda, è che un sistema di protezione dal tracciamento esiste, si chiama
Do Not Track (non agisce a livello di cookie per non cadere in fallo al punto qui sopra, ma
a livello di header), è più maturo, è implementato nei server web, non obbliga il fornitore di
servizio ad adeguarsi ad una legge solo italiana, e non obbliga il fornitore di servizio a
creare un banner scritto in una lingua molto probabilmente non sua (italiano ? o lo si scrive
Nota cinica: Entrambe le soluzioni, DNT e questa richiesta del garante, sono analghe ad
una promessa della volpe che non toccherà le galline. (non si tratta di una protezone client
side, ma di una protezione server side)
questa mail ha un secondo significato: rispondere alla domanda Politics or technology – which will save the world?. Finché i policy maker non sanno cosa succede sotto... cosa potranno produrre di stabile ? già la tecnologia è più rapida delle policy, se le policy non riescono minimamente a influenzare questi modelli di business... [3]
Claudio of GlobaLeaks project
[1] questo è un progetto non ancora rilasciato ne tantomeno completato:
rosso le nazioni che registrano con cookie, in giallo le nazioni attraverso le quali la nostra
connessione transita. Perchè il transito è comunque utilizzato dalle agenzie di intelligence
per veicolare attacchi. Quindi utente italiano che va su media italiano, e N altri paesi lo
possono attaccare. Oltre a questa considerazione, vorrei vedere semplificato in una frase
cosa possono fare con i miei dati personali le nazioni colorate in rosso. E' un'evoluzione
[2] contiene forti citazioni al colossal 'the human centipede' :) requisito non necessario, ma
[3] sto pensando che noi non possiamo avere diritti, ne tantomeno indignarci per la loro
violazione. i diritti non esistono se non abbiamo modo di lottare contro le organizzazioni che
ci ledono. I diritti sono elementi garantiti, che se non venissero più garantiti causerebbero
delle rappresaglie che danneggerebbero i violatori. questo non è minimamente possibile online,
o meglio è possibile ma questi metodi sono considerati reati. Quindi i violatori possono alzare l'asticella
e fare propaganda indisturbati.
I tempi tecnici di mobilitazione della PA sono più lenti della creazione di un nuovo brand, e
l'unica rappresaglia possibile dell'apparato statale è la censura. E' questo il potere finale degli