On Wed, Jun 4, 2014 at 12:18 PM, Mauro Alovisio <mauro.alovisio@gmail.com> wrote:

http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3167231

Quoto direttamente da questa pagina:

Per proteggere la privacy degli utenti e consentire loro scelte più consapevoli, il Garante ha dunque stabilito che, d'ora in poi quando si accede alla home page o ad un'altra pagina di un sito web deve immediatamente comparire un banner ben visibile, in cui sia indicato chiaramente:

1) che il sito utilizza cookie di profilazione per inviare messaggi pubblicitari mirati;

E' giusto che appaia l'informativa, ma sappiamo pure che quello che muove l'utente è la voglia

di accedere ad un contenuto o ad un servizio. La mia personale opinione sulla crescita costante

di 'banner di segnalazione' è che questi non vengano veramente letti nei contenuti, ma

abituino l'utente al fatto che "clickando OK ottengo quello che prima ottenevo in fretta", e

questo è un comportamento estremamente deleterio per la comunicazione di scelte consapevoli e

sensibili.

è avvenuto negli anni anche con windows/android la compulsiva richiesta di privilegi da

parte di applicazioni, senza che l'utente avesse modo di capire veramente cosa stesse abilitando. Ora abbiamo utenti che sanno che escono talvolta delle finestre di allarme, ma nulla è mai andato male dicendo loro "ok", quindi diranno "ok" anche la prossima volta.

2) che il sito consente anche l'invio di cookie di "terze parti", ossia di cookie installati da un sito diverso tramite il sito che si sta visitando;

In alcuni browser questo è disabilitato di default. In alcune configurazioni, questo viene impostato

dall'installatore e l'utente ne è ignaro.

Questo vuol dire che il banner apparirà, con un'estensione di allarme "inoltre permetto a terze

parti di impostati cookie" quando in verità non sarebbe accettato. Aumenta la percezione del

rischio senza che il rischio ci sia davvero.

3) un link a una informativa più ampia, con le indicazioni sull'uso dei cookie inviati dal sito, dove è possibile negare il consenso alla loro installazione direttamente o collegandosi ai vari siti nel caso dei cookie di "terze parti";

Questo mi sembra assurdo. Ok che è un bel messaggio politico dire ad un fornitore estero di

servizi "se vuoi vendere in Italia, devi mettere la possibilità dell'utente, tramite click di

non ricevere cookie da parte tua", ma si tratta di sviluppare una nuova funzionalità che va

contro il modello di business di questi soggetti. Quanti lo faranno ?

Questa cosa dovrebbe essere implementate non dai siti, ma da un'estensione del browser, (fatta

nel mondo ideale dal GPDP), nella quale tiene traccia dei siti ai quali ti stai affidando

(spiegandoti, sempre nel mondo ideale, a quali leggi non italiane tu utente sei esposto [1]), e

lavorando sulle impostazioni del browser)

agire sulle impostazioni del browser è necessario affinché non scatti la trappola che spiego

dopo il punto 4.

4) l'indicazione che proseguendo nella navigazione (ad es., accedendo ad un'altra area del sito o selezionando un'immagine o un link) si presta il consenso all'uso dei cookie.

E questo è l'effetto "next next next" (ops! ho accettato il termine di servizio nel quale vendevo

l'anima o peggio: eccp una puntata di southpark di satira sul tema: http://www.southparkstudios.com/full-episodes/s15e01-humancentipad [2])

Per quanto riguarda l'obbligo di tener traccia del consenso dell'utente, al gestore del sito è consentito utilizzare un cookie tecnico, in modo tale da non riproporre l'informativa breve alla seconda visita dell'utente

Quindi significa che, anche dicendo al sito "non voglio i tuoi cookie" lui ti può mettere un cookie.

Quindi, l'utente non può neppure avere un meccanismo di controllo basato sul "guardo la lista

dei cookie presenti e verifico se il sito ha onorato la mia richiesta", perché un cookie comunque

lo metterà. un cookie è composto da un contenuto e da un nome. SEMPRE. supponendo che il

contenuto sia "biscottizzami" o "non voglio biscotti", ci sarà un nome, un ID, un numero. questo

numero chi saprà se non si tratta di un numero univoco, utilizzato per tener traccia ancora

una volta delle nostre attività ?

La cosa che mi sembra assurda, è che un sistema di protezione dal tracciamento esiste, si chiama

Do Not Track (non agisce a livello di cookie per non cadere in fallo al punto qui sopra, ma

a livello di header), è più maturo, è implementato nei server web, non obbliga il fornitore di

servizio ad adeguarsi ad una legge solo italiana, e non obbliga il fornitore di servizio a

creare un banner scritto in una lingua molto probabilmente non sua (italiano ? o lo si scrive

in inglese così da confondere maggiormente gli utenti ?) http://it.wikipedia.org/wiki/Do_Not_Track

Nota cinica: Entrambe le soluzioni, DNT e questa richiesta del garante, sono analghe ad

una promessa della volpe che non toccherà le galline. (non si tratta di una protezone client

side, ma di una protezione server side)

questa mail ha un secondo significato: rispondere alla domanda Politics or technology – which will save the world?. Finché i policy maker non sanno cosa succede sotto... cosa potranno produrre di stabile ? già la tecnologia è più rapida delle policy, se le policy non riescono minimamente a influenzare questi modelli di business... [3]

Cheers,

Claudio of GlobaLeaks project

[1] questo è un progetto non ancora rilasciato ne tantomeno completato:

http://ytre.me/web/Italy.html http://ytre.me/web/Switzerland.html mostra per ogni media, in

rosso le nazioni che registrano con cookie, in giallo le nazioni attraverso le quali la nostra

connessione transita. Perchè il transito è comunque utilizzato dalle agenzie di intelligence

per veicolare attacchi. Quindi utente italiano che va su media italiano, e N altri paesi lo

possono attaccare. Oltre a questa considerazione, vorrei vedere semplificato in una frase

cosa possono fare con i miei dati personali le nazioni colorate in rosso. E' un'evoluzione

della presentazione fatta al festival del giornalismo: http://vecna.github.io

[2] contiene forti citazioni al colossal 'the human centipede' :) requisito non necessario, ma

gradevole.

[3] sto pensando che noi non possiamo avere diritti, ne tantomeno indignarci per la loro

violazione. i diritti non esistono se non abbiamo modo di lottare contro le organizzazioni che

ci ledono. I diritti sono elementi garantiti, che se non venissero più garantiti causerebbero

delle rappresaglie che danneggerebbero i violatori. questo non è minimamente possibile online,

o meglio è possibile ma questi metodi sono considerati reati. Quindi i violatori possono alzare l'asticella

e fare propaganda indisturbati.

I tempi tecnici di mobilitazione della PA sono più lenti della creazione di un nuovo brand, e

l'unica rappresaglia possibile dell'apparato statale è la censura. E' questo il potere finale degli

utenti ?