WIXLIB

COOKIE E BANNER: ACCETTOO NON ACCETTO?

CHI SIAMOSara DepaoliServizio Dpo e Consulenza PrivacyDaniele PescialloIT System Administrator

LIGURIA DIGITALESocietà ICT In House della Regione Liguria, lavora anche per ilmercato, proponendo soluzioni e infrastrutture tecnologiche eservizi digitali rivolti a imprese ed enti.

GDPR COMPETENCE CENTERIl GDPR CC di Liguria Digitale è un team di esperti che supporta Enti e Aziende,dalla fase di progettazione by design & by default alla gestione dei propri dati.Le esperienze maturate con Clienti pubblici e privati hanno permesso al nostroteam di acquisire competenze specifiche in materiadi Diritto, ICT, Management e Compliance.

DI CHE COSA PARLIAMO OGGI?Che cosa siintende per«strumenti ditracciamento» ecome vengonoclassificatiCome progettareportali e applicativicompliance(privacy by design& by default)Cosa dicono lerecenti linee guidadel GaranteitalianoStrumenti ditracciamentialternativi aGoogle analyticsProva pratica diinstallazione diMatomo edashboard

PERCHÉ SERVONO LE STATISTICHE?

GAFAML'acronimo GAFAM indica nel loro assieme le 5 maggiorimultinazionali dell'IT occidentali: Google, Amazon, Facebook,Apple e Apple e Microsoft.

CHE COSA SI INTENDE PER DATOPERSONALE? (ART.4 DEL GDPR)Qualsiasi informazione riguardante una persona ;[ ]direttamente o indirettamente»

UN PO’ DI STORIA.Il concetto e il termine cookie, che letteralmente significa "biscotto" , derivanodal magic cookie (biscotto magico) una tecnica nota in ambiente UNIX giànegli anni '80 e tipicamente utilizzata per implementare meccanismi diidentificazione di un client presso un serverIl primo uso di cookie in HTTP risale al 1994, quando furono usati per controllare sei lettori del sito di Netscape lo avessero già visitato in precedenza. Nel 1995 lagestione dei cookie è stata integrata in Internet Explorer 2.L'introduzione dei cookie inizialmente non è stata conosciuta da un ampiopubblico, ma se ne iniziò a parlare dopo un articolo pubblicato sul FinancialTimes il 12 febbraio 1996[2].Il dibattito che si scatenò aveva come tema le implicazioni dei cookie sullasegretezza. I cookie furono oggetto di due udienze della Commissione degli StatiUniti in commercio federale nel 1996 e nel 1997. Da queste date si incominciò aregolare gli utilizzi dei cookie.

CHE COSA SONO GLI STRUMENTI DITRACCIAMENTO?I cookie sono di regola stringhe di testo che i siti web posizionano ed archiviano– direttamente, nel caso dei publisher e indirettamente, cioè per il tramite diquesti ultimi, nel caso delle “terze parti” - all’interno di un dispositivo terminale(es. pc, tablet, smartphone, etc.) Gli utenti possono essere associati aidentificativi online prodotti dai dispositivi, dalle applicazioni, dagli strumenti edai protocolli utilizzati quali gli indirizzi IP, marcatori temporanei (cookies) oidentificativi di altro tipo.Gli identificativi possono lasciare tracce che, in particolare, se combinate conidentificativi univoci e altre informazioni ricevute dai server possono essereutilizzate per creare profili delle persone fisiche e identificarle.

QUALI INFORMAZIONI TRACCIANO?Le informazioni possonoincludere dati personali comeun indirizzo IP, un nome utente,un identificativo univoco o unindirizzo e-mail, ma possonoanche contenere informazioni,come le impostazioni dellalingua o informazioni sul tipo didispositivo che una persona stautilizzando per navigare nel sito.

IDENTIFICATORI ATTIVI E PASSIVIEsistono «identificatori attivi» comeappunto i cookie e «identificatori passivi»che presuppongono la mera osservazione.Tra gli strumenti “passivi” è ricompreso ilfingerprinting ossia quella tecnica che permette diidentificare il dispositivo utilizzato dall’utentetramite la raccolta di tutte o alcune delleinformazioni relative alla specifica configurazionedel dispositivo stesso adottata dall’interessato.

COVER YOUR TRACKS

PROVENIENZA: COOKIE DI PRIMAPARTE E TERZA PARTECookie di prima parte: normalmente l'attributo di dominio di un cookie corrisponderà aldominio che viene visualizzato nella barra degli indirizzi del browser web; sono i cookieinviati al direttamente dal sito che si sta visitando. Sono gestiti direttamente dalproprietario e/o responsabile del sito e vengono utilizzati, ad esempio, per garantirne ilfunzionamento tecnico o tenere traccia di preferenze espresse in merito all'uso del sitostesso.Cookie di terza: appaiono in genere quando le pagine web sono dotate di contenuti,come ad esempio banner pubblicitari, da siti web esterni. Questo implica la possibilità dimonitoraggio della cronologia di navigazione dell'utente, ed è spesso usato dagliinserzionisti, nel tentativo di servire annunci rilevanti e personalizzati per ciascun utente.

CICLO DI VITA: COOKIE DI SESSIONEE PERSISTENTICookie di sessione: non vengonomemorizzati in modo persistente suldispositivo dell'utente e sono cancellatialla chiusura del browserCookie persistenti: invece di svanire allachiusura del browser, come vale per icookie di sessione, i cookie persistentiscadono ad una data specifica o dopoun determinato periodo di tempo.

CLASSIFICAZIONE DEI COOKIECookie tecnici utilizzati al solo fine di “effettuare la trasmissione di unacomunicazione su una rete di comunicazione elettronica, o nella misurastrettamente necessaria al fornitore di un servizio della societàdell'informazione esplicitamente richiesto dal contraente o dall'utente aerogare tale servizio (cfr. art. 122, comma 1 del Codice).Cookie di profilazione utilizzati per ricondurre a soggetti determinati,identificati o identificabili, specifiche azioni o schemi comportamentaliricorrenti nell’uso delle funzionalità offerte (pattern) al fine delraggruppamento dei diversi profili all’interno di cluster omogenei di diversaampiezza, in modo che sia possibile al titolare, tra l’altro, anche modulare lafornitura del servizio in modo sempre più personalizzato al di là di quantostrettamente necessario all’erogazione del servizio, nonché inviare messaggipubblicitari mirati, cioè in linea con le preferenze manifestate dall’utentenell’ambito della navigazione in rete.

COOKIE ANALITICI: QUANDO POSSONOESSERE EQUIPARATI AI TECNICI?I cookie analyticspossono essereequiparati ai tecnici soloprecludendo la possibilitàche si pervenga,mediante il loro utilizzo,alla diretta individuazionedell’interessato (cd. singleout), il che equivaleimpedire l’impiego dicookie analytics che, perle loro caratteristiche,possano risultareidentificatori diretti edunivoci.La struttura del cookieanalytics dovrà alloraprevedere la possibilitàche lo stesso cookie siariferibile non soltanto aduno, bensì a piùdispositivi, in modo dacreare una ragionevoleincertezza sull’identitàinformatica del soggettoche lo riceve. Di regolaquesto effetto si ottienemascherando opportuneporzioni dell’indirizzo IPall’interno del cookie.Il Garante sottolinea,inoltre, la necessità chel’uso dei cookie analyticssia limitato unicamentealla produzione distatistiche aggregate eche essi vengano utilizzatiin relazione ad un singolosito o una solaapplicazione mobile, inmodo da non consentireil tracciamento dellanavigazione dellapersona che utilizzaapplicazioni diverse onaviga in siti web diversi.

PRINCIPI DA APPLICARE AL TRATTAMENTODEI DATI PERSONALI (ART.5 DEL GDPR)Integrità aLiceità,correttezza etrasparenzaLimitazionedella finalitàMinimizzazione

COME APPLICARLI?Avere le idee chiarefin dalla fase diprogettazione di unsito sito o applicativo(Privacy by Design &by Default)Individuare lo scopo(Quali datitratto/tratterò? Sonoutili le statistiche almio business? )Capire quali strumentidi tracciamento siadattano alle proprieesigenze (puramentetecnici, profilazione,marketing, social,etc.)Analizzare i pro econtro nondimenticando gliaspetti legati allaprivacy e sicurezzadegli utentiInformare gli utenti inmodo chiaro

COME ESSERE COMPLIANT?Rispettare irequisiti delRegolamentoeuropea2016/679 meglioconosciutocome «GDPR»Codice privacynovellato (inparticolareart.122)Direttiva eprivacyLinee guidacookie e altristrumenti ditracciamentodel Garante

ART. 122 DEL CODICE PRIVACYL’archiviazione delle informazioni nell’apparecchio terminale di uncontraente o di un utente o l’accesso a informazioni già archiviatesono consentiti unicamente a condizione che il contraente ol’utente abbia espresso il proprio consenso dopo essere statoinformato con modalità semplificate. Ciò non vieta l’eventualearchiviazione tecnica o l’accesso alle informazioni già archiviate sefinalizzati unicamente ad effettuare la trasmissione di unacomunicazione su una rete di comunicazione elettronica, o nellamisura strettamente necessaria al fornitore di un servizio dellasocietà dell’informazione esplicitamente richiesto dal contraente odall’utente a erogare tale servizio.

LINEE GUIDA DEL GARANTE: SCHEDADI SINTESI

CLASSIFICAZIONE DEI COOKIE

INFORMATIVA

BANNER E CONSENSO

COME SI PRESENTA MATOMO?

CHI USA MATOMO? Agenzia per l’Italia Digitale (AgID) CNIL – Autorità Garante francese Commissione Europea Gaia-X Università di Friburgo Università di Milano

EUROPEAN DATA PROTECTION BOARD(EDPB)

WEB ANALITYCS ITALIA (WAI) DIAGIDWeb Analytics Italia è una piattaforma che offre le statistiche in tempo realedei visitatori dei siti della Pubblica Amministrazione, fornendo agli operatoridei report dettagliati.I dati sono raccolti ed elaborati dalla piattaforma centralizzata WebAnalytics Italia (WAI). WAI ospita i dati statistici dei siti web delle PA italianeaderenti al progetto.WAI aiuta le amministrazioni a comprendere il comportamento degli utentionline, con l'obiettivo di fornire ai cittadini siti e servizi via via più efficaci einclusivi.Per saperne di più clicca qui

QUALI SOLUZIONI OFFER MATOMO?Matomo On-PremiseMantieni il pieno controllo dei tuoi datiMatomo CloudLa scelta più veloce, user friendly e i dati rimangono all’interno del SEE

PERCHÈ MATOMO È COMPLIANT?Dati non usati perulteriori finalitàGestione dei ei datiOpt-out deitracciamentiCookie di primaparte by default

COME SI PUÒ NON RICHIEDERE ILCONSENSO?Follow these steps: Make sure you disabled analytics tracking cookies (see section above). Make sure IP addresses are anonymised (2 or 3 bytes) because the full IP address is considered personal data. Make sure your Page URLs and Page titles should not include personal data/PII (such as the visitor’s name). Make sure your Page Referrers URLs do not include personal data (we’ll be soon working on a new feature forthis). If you use features like Custom Dimensions, Custom variables, Event tracking, make sure the data you collectdoes not include personal data/PII. If you use features such as Session Recording or Heatmap, you need to ensure you ignore any element in thepage that includes personal data, so that any personal data are not tracked (learn more about masking contentin Session recordings and Heatmaps). If you use features such as Ecommerce tracking or User ID then you will likely need to ask for consent when thesefeatures are used. That’s because Ecommerce Order ID can be tied back to the customer, and User ID is oftenpersonal data/PII (even when replaced with a pseudonym). Make sure the data collected in Matomo is used only for the audience measurement and evaluation of thewebsite performance and not other purposes. Make sure you are only tracking users on a single site and not tracking the same user across different websites. All data you collect in Matomo without user consent should be e-banner/https://matomo.org/faq/general/faq 152/

GOOGLE ANALYTICS E’ GRATUITO?L'impostazione del monitoraggio richiede tempo aggiuntivo, mentre Matomotiene traccia di tutto immediatamente.Con Google alcune funzionalità dovrai configurarle tu stesso e altre funzionalitàsemplicemente non sono disponibili, quindi dovrai combinare Google con altriprodotti.Matomo offre tutte le funzionalità in un'unica piattaforma: non ti devi affidare adaltre aziende per uno strumento di analisi completo.