"Recensione" dei servizi e forma delle informative

[hmtechnology]

Scusate se le chiamo recensioni ma non mi viene in mente di meglio per etichettare il lavoro di descrizione dei servizi. Volevo un chiarimento generale su quello che sarà il funzionamento della generazione della privacy e della cookie policy

1 Come le redigiamo? Due distinte o una unica? Propongo due documenti separati: 1-sicuramente si alleggerisce il contenuto di un'eventuale macropagina; 2-forse risulta più facile rispettare le direttive che sono state date x la compilazione di queste due pagine se le teniamo distinte.

2 I servizi aggiuntivi (disqus, analytics, etc) come li redigiamo? Facciamo due testi distinti (uno per la privacy e uno per la cookie) o uno scritto in ottica omni-comprensiva (facendo quindi riferimento sia alla privacy che alla cookie)? Consideriamo che i cookie potrebbero essere svincolati dai servizi, ossia essere generati direttamente dal sito (specialmente quelli tecnici)

Io mi immagino una cookie policy piu o meno cosi. Vabbè introduzione, etc etc, poi:

• Cookie Tecnici: descrizione cookie utilizzati dal sito (prime parti) + cookie terze parti (quindi richiamando i servizi)
• Cookie Profilanti: descrizione cookie utilizzati dal sito (prime parti = PRATICAMENTE MAI) + cookie terze parti (quindi richiamando i servizi) (QUASI SEMPRE)

Detto questo come ci orientiamo? Scusate la prolissità!

[hmtechnology]

Ho riflettuto e ora mi torna tutto, scusate. Condivido con voi mio ragionamento.

Ieri @Gix075 ti chiesi se era meglio indicare nella recensione dei servizi anche due voci: "Tipi di dati trattati" e "Luogo del Trattamento". Lasciando stare ora "luogo del trattamento" che non centra niente col mio discorso, i tipi di dati trattati dei vari servizi sono e saranno SEMPRE principalmente due tipi: i Dati di Utilizzo e i Cookie

Ora, di fatto la Privacy Policy riguarda appunto i Dati di Utilizzo, mentre la Cookie Policy i Cookie. Che scoperta :D Beh non c'avevo pensato a vederle in quest'ottica. Come conseguenza a ciò propongo, per ogni servizio, di seguire questo nuovo schema di "compilazione":

NOME SERVIZIO

1- [descrizione] Brevissima descrizione del servizio 2- [dati di utilizzo] Laddove utilizzati (sempre, come spiego al prox paragrafo), i tipi di dati di utilizzo trattati (ad es. dati di navigazione, dati forniti volontariamente dall'utente, etc) 3- [cookie utilizzati] Laddove utilizzati (non necessariamente), i tipi di cookie utilizzati (ad es. cookie tecnici, di profilazione, etc) 4- [disclaimer] XXX non utilizza il servizio XXX per la profilazione dell'utente in prima parte e non ha accordi con XXX per profilare in prima parte. 5- [link di riferimento privacy] Link alle Informative Privacy (Privacy Policy del servizio) 6- [link di riferimento cookie ] Link alle Informative Cookie** (Cookie Policy del servizio) e, se c'è, Link all'Opt-Out.

Lato Privacy. Ora, ogni servizio utilizza almeno almeno i dati di navigazione dell'utente, quindi TUTTI i servizi andranno SICURAMENTE elencati nella Privacy Policy, e precisamente dovrebbero riprendere dallo schema di sopra il punto 1, il punto 2, il punto 4, e il punto 5.

Lato Cookie. Qualche servizio (nota bene: NON TUTTI) potrebbe ANCHE rilasciare dei cookie (oltre a trattare i dati) dunque QUALCHE servizio andrà SICURAMENTE elencato nella Cookie Policy ma NON TUTTI. Nel caso vengano elencati, essi dovrebbero riprendere dallo schema di sopra il punto 1, il punto 3, il punto 4 e il punto 6. Dunque propongo, per ogni servizio, di dare un riconoscimento immediato, magari nel titolo boh, un'etichetta, un qualcosa che ci dica che quel servizio è "doppio" (ovvero prevede una parte nella privacy e una nella cookie). E di tenere in considerazione che oltre ai servizi, per la generazione dei cookie, vi sono anche cookie generati in altro modo (da prime parti, da CMS specifico, etc) e che andrebbero magari elencati, almeno i principali.

Per evitare la ripetizione del punto 1 nell'arco di una stessa pagina, che si avrebbe sopra, si potrebbe stabilire che il punto 1 vada re-inserito nella parte Cookie, oltre alla parte Cookie, SOLTANTO se decidiamo di rilasciare due pagine distinte (Cookie e Privacy, come credo sia meglio) e non solo una unica (che unifica Cookie e Privacy).

E dovrebbe tornare tutto..scusate l'ovvietà forse per qualcuno, ma l'ho compresa a fondo soltanto ora!

[iusondemand]

nomi doppi ... potremmo usare per pippo.com pippo_privacy e pippo_cookie

[2autunni]

Mi piace questo schema, domanda: in alcuni casi vengono utilizzati per le statistiche tool come webalizer o awstat che si basano sull'analisi dei log oppure piwik non facendogli utilizzare i cookies: nel caso che facciamo li inseriamo solo nella privacy policy in quel caso non ci sono i punti da 3 a 6 . Mi chiedo poi se nella privacy policy vada fatto riferimento che di solito tra i dati raccolti c'è l'ip dell'utente e che viene giocoforza condiviso con l'hosting che lo conserva nei suoi server (e potrebbe non essere in italia)

[2autunni]

Aggiungo una cosa se a tutti va bene questo schema per l'informativa, possiamo rilasciare un template sotto forma di file .md e una pagina del wiki dedicata, in modo che ai nostri utenti si possa dire: manca il tal servizio: usa il template e mandaci l'informativa da aggiungere

[hmtechnology]

@iusondemand tu quindi creeresti diversi file per lo stesso servizio rinominandoli diversamente? Io pensavo più ad un unico file, con un nome completo, tipo: "SHINYSTAT - Servizio Terze Parti con Cookie" (ancora meglio se si riesce a specificare se tecnico o di profilazione). A quel punto sappiamo che quel servizio va di default nella Privacy e anche nella Cookie.. a questo punto dovrebbe rispondere specialmente chi si occupa dell'interazione fra file .json e il resto, a seconda delle esigenze si redigono i file.

@2autunni Piwik credo abbia cookie, se comunque non hanno cookie, il servizio si chiamerà "PIWIK - Servizio terze parti" e basta senza "con cookie". e si inserisce solo nella Privacy. Occhio che il punto 4 e 5 lo vuole anche lui. Chiedi se nella privacy policy vada fatto riferimento che di solito tra i dati raccolti c'è l'ip dell'utente e che viene giocoforza condiviso con l'hosting che lo conserva nei suoi server (e potrebbe non essere in italia) - NON SAPREI, hai riferimenti x questa cosa? Non si rischia di impelagarci in cose strane del tipo (se conosce l IP di questo, sa anche chi è quindi profilazione?)

Ottima l'idea del wiki e template!!! Grande:) Riesci ad occupartene te se va bene a tutti?

[2autunni]

Piwik può o meno avere il cookie è un settaggio che fa chi inserisce il js di piwik sul sito web. Di solito però chi crea il sito sullo stesso spazio web installa pure piwik e poi lo usa per fare le statistiche, quale privacy policy dovrebbe richiamare? in realtà IMHO dovrebbe scrivere che usa piwik piwik in quella generale del sito magari apro però un issue su piwik in modo da non intasare questa

[2autunni]

wiki e template, se va bene a tutti ci penso io, direi entro domani sera

[hmtechnology]

Non ho capito bene questa frase: "Di solito però chi crea il sito sullo stesso spazio web installa pure piwik e poi lo usa per fare le statistiche, quale privacy policy dovrebbe richiamare?"

Ok per il cookie deciso da chi inserisce il js (però è un problema nn saperlo con certezza, perche se ce l'ha deve finire anche nella cookie e non solo nella privacy). :(

[2autunni]

imho io metterei che i vari servizi rilasciano cookie (lasciando stare se sono profilanti o tecnici) e che per maggiori info su cosa facciano devono leggere le informative sui rispettivi siti.

Darei maggiori info solo sui cookies che il nostro utente (l'admin del sito) sa essere profilanti, ad esempio se fa retargeting, allora è vero che sono di terze parti, ma li fa installare dal sito proprio perché sono profilanti

13

[hmtechnology]

Concordo!

[iusondemand]

@hmtechnology sono indeciso. Lavorerei piu' al software che usa le schede per capire come strutturarle. Poi potremmo gestire i vari casi, pprivacy,cookie, profilante, prima o terza parte

[Gix075]

Rispondo con ritardo perché sono appena tornato da Milano (concerto dei Metallica e sono ancora un po' frastornato ah ah!). Dal punto di vista del software che sto implementando è chiaro che avere un file dedicato con relativa parte del json che indica cosa mettere in una o l'altra policy sarebbe più semplice, però credo anche che noi dovremmo semplificare le cose all'utente, quindi aiutarlo a compiere le scelte giuste, del tipo: usi il servizio x? allora serve una parte di testo nella cookie policy e una nella privacy e via dicendo. Quindi credo che la cosa migliore sia quella di rimanere sullo stile attuale, ovvero far scegliere all'utente quale servizio ha installato e poi pensare come integrarlo dove serve. I testi però dovremmo suddividerli, anche perché la funzione compie un ciclo e per ogni servizio che ha valore true va a prendere il file e lo stampa nella pagina. Al momento il ciclo viene eseguito solo per i cookie, ma ovviamente posso inserirlo anche nella privacy. Attualmente abbiamo i servizi solo nella cookie policy e direi che potremmo creare una cartella analoga nella policy privacy quindi quando il ciclo viene compiuto se il file c'è lo stampa, altrimenti "ciccia" e prosegue. Così potremmo gestire la doppia inclusione dei servizi in privacy e cookie. Se ho detto cavolate, abbiate pazienza sto un po' fuso oggi!

[2autunni]

@Gix075 quello che dici è vero, però la difficoltà di incasellare alcuni servizi mentre scriviamo le policy rimane es piwik può essere con cookies o senza, l'utente da qualche parte, in qualche modo deve avere la scelta tra queste due opzioni.

[Gix075]

Scusa mi ero perso un po' di discussioni. La prima cosa che mi viene in mente è fare nel json due voci, tipo piwik: false/true e piwik_cookie: false/true e ovviamente due testi diversi o tre nel caso debba essere inserito nella privacy

[2autunni]

@Gix075 però questo significa fare 2 file md diversi per piwik, oppure codificare dei placeholder con questo significato. Credo che se vogliamo uscire dal prodotto "da sviluppatori per sviluppatori " una delel cose da mettere in roadmap è un pannello di config da far scaricare insieme con il plugin oppure una pagina sul sito del progetto dove configuri tutto tramite una form e ti scarichi il json bello pronto

[iusondemand]

la roadmap la farei volentieri, ma sembra che mi siano cascati addosso tutti i bit del mondo e mi sono rimaste poche ore di sonno :( non riesco a darmi scadenze ora.

Direi che la maggiore differenza e' se si tratta di analitica profilante o meno. Gli altri non dovrebbero avere lo stesso problema. Secondo me siamo costretti a fare due files, l'unica e' standardizzare il nome se profilante o non profilante. Solo una proposta, naturalmente.

[Gix075]

@2autunni l'idea del configuratore è molto bella! Per l'altro problema cerco di pensare a qualche alternativa.

[2autunni]

scusate va bene a tutti questa formulazione proposta da @hmtechnology ?

NOME SERVIZIO 1- [descrizione] Brevissima descrizione del servizio 2- [dati di utilizzo] Laddove utilizzati (sempre, come spiego al prox paragrafo), i tipi di dati di utilizzo trattati (ad es. dati di navigazione, dati forniti volontariamente dall'utente, etc) 3- [cookie utilizzati] Laddove utilizzati (non necessariamente), i tipi di **cookie utilizzati (ad es. cookie tecnici, di profilazione, etc) 4- [disclaimer] XXX non utilizza il servizio XXX per la profilazione dell'utente in prima parte e non ha accordi con XXX per profilare in prima parte. 5- [link di riferimento privacy] Link alle Informative Privacy (Privacy Policy del servizio) 6- [link di riferimento cookie ] Link alle Informative Cookie (Cookie Policy del servizio) e, se c'è, Link all'Opt-Out.

se sì la metto come tempalte tra i file del plugin: magari creo una cartella ad ok per la documentazione

[Gix075]

Per me si. Mi sembra più che esaustivo e ben concepito.

[2autunni]

se creiamo un unico md per il servizio con tutto e poi grunt genera due html uno con il frammento per privacy e uno con il frammento per cookie? così è più semplice tenere i testi sincronizzati

[Gix075]

Se con grunt ci si riesce può essere una soluzione valida. Bisogna provare.