GDPR: Kualiti si aggiorna

Ebbene, Kualiti si aggiorna per essere conforme alla nuova normativa europea per la privacy: GDPR.

Cos’è la GDPR?

La GDPR è la nuova normativa europea sul trattamento dei dati personali (PII) da parte di qualsiasi entità (dal blog personale alla multinazionale), che va a sostituire in Italia il Decreto Legislativo 196/2003 a partire da oggi (e infatti vi ritroverete probabilmente la casella di posta elettronica intasata di aggiornamenti sulla privacy).

Cosa comporta la GDPR per l’utente?

Una serie di diritti fra i quali i più importanti:

  • Previo consenso per l’utilizzo di cookies non tecnici;
  • Possibilità di revocare il consenso all’utilizzo dei cookies in qualunque momento;
  • Diritto a sapere quanti e quali dati vengono raccolti, perché, come vengono usati, con chi vengono condivisi e come vengono protetti;
  • Possibilità di prendere visione dei propri dati personali raccolti su richiesta;
  • Possibilità di richiedere la cancellazione dei propri dati personali (opt-out);

Qual è la differenza tra cookies tecnici e non?

I cookies tecnici sono quelli necessari al corretto funzionamento del sito e che allo stesso tempo non raccolgono dati personali. Tutti gli altri vengono catalogati come non tecnici con differenziazione fra cookies di prime parti e di terze parti.

Quali dati personali vengono raccolti su kualiti.net?

Direttamente, nessuno. Kualiti.net è un sito statico (che non si appoggia a CMS come Wordpress&Co.) servito su Netlify. Tuttavia kualiti.net si appoggia a tre servizi di terze parti: Google Analytics (ip anonimo), Disqus (cookies anonimi) e Cloudflare. Per maggiori informazioni, opt-out e informative sulla privacy di questi servizi, vi rimando alla privacy policy di kualiti.net che potete trovare cliccando il pulsante in fondo alla pagina. Vi invito inoltre a cliccare Accetta i cookies sul banner del sito in basso.

Se usate Adblock/NoScript o qualsiasi altra estensione che blocca l’esecuzione di contenuti nel sito, potreste non visualizzare il banner per il consenso ai cookies o il pulsante privacy policy in fondo alla pagina. Kualiti.net non utilizza alcun servizio pubblicitario o malevolo (mining), quindi potete tranquillamente aggiungerlo alle eccezioni per il vostro addon/script.

Posso richiedere a te i miei dati personali?

No. Poiché non raccolgo né uso alcun dato personale degli utenti di questo sito, non posso fornire nulla agli utenti. Disqus è l’unico servizio su questo sito che raccoglie ed elabora dati personali (Google Analytics usa l’anonimizzazione dell’ip ed è quindi considerato un cookie tecnico).

Come faccio a richiedere la cancellazione dei miei dati personali?

Nella privacy policy sono disponibili i link all’informativa privacy e all’opt-out per ogni servizio usato su questo sito.

Detto ciò, se avete domande o perplessità potete scriverlo nei commenti e vi risponderò quanto prima. Prima che qualcuno lo chieda però, butto a zero la mia opinione: questa legge, benché abbia sicuramente buoni propositi, porta tutta la questione a livelli di paranoia Stallman-tier. Capisco e condivido avere una legge simile applicata su aziende/multinazionali, ma applicarla a un blog personale senza monetizzazione mi sembra un tantino esagerato. Mia personalissima opinione.

La parte del post riguardante gli utenti finisce qui, la successiva sarà rivolta a webmasters di blog per dire esattamente cosa ho usato e cosa ho fatto per rendere il mio sito conforme.

Bene, adesso mi rivolgo ai miei colleghi fansubber, a bloggers e a chiunque altro si trovi in difficoltà ad adeguarsi a questa normativa e spiegherò cosa ho fatto e come con soluzioni platform-agnostic, cominciamo:

Privacy/Cookie Policy

Per la generazione della mia informativa sulla privacy mi sono affidato a iubenda, servizio freemium che ha raccolto un discreto numero di consensi e che ha già generato milioni di informative (wow il lucro dietro questa legge). Il tutto è molto semplice, basta registrarsi, specificare quali servizi sono usati sul vostro sito (alcuni sono dietro paywall di 19€/anno) e semplicemente integrare il codice in fondo alla pagina. Ricordatevi inoltre che deve essere visibile e raggiungibile da ogni pagina del sito, quindi parte superiore (header) e parte inferiore (footer) della pagina, che sono parti fisse del sito in qualunque pagina voi apriate, sono posizioni ideali.

Per il banner ho usato la soluzione gratis e open-source di CookieConsent, anche qui tutto semplicissimo con un comodo wizard per personalizzare il banner e il codice che va incluso prima di </head> o </body> nel vostro sito. Per essere conformi al GDPR, vi serve disabilitare i cookies fino a quando il consenso non è stato dato, per questo fareste bene a leggere la documentazione fornita da CookieConsent (sul mio sito essendo statico ho semplicemente modificato uno script).

Referrer-Policy e HTTP Headers

Un header HTTP che andrebbe teoricamente impostato per prevenire l’accidentale raccolta di dati tramite richiesta HTTP (nel particolare viene indicato il sito di provenienza). Non avevo mai badato a un tale aspetto del sito finché qualcuno non mi ha fatto notare che esistevano (sì, io e il web development abbiamo una storia breve e triste), e mi hanno linkato SecurityHeaders come test di sicurezza del mio sito contro diversi attacchi. Ingenuamente pensavo che essendo un sito statico, potevo stare più che tranquillo e facendo il test il mio risultato fu… D. Wow. Mi son documentato, leggendomi una pagina lunghissima sugli HTTP Headers e li ho impostati tutti tranne la CSP, che richiede parecchie modifiche al codice del mio tema su cui sto già lavorando. E adesso il mio risultato è A. Soppiuffigo.

Per chi usa wordpress esistono già numerosissimi plugins per fare tutto ciò, per cui cercateveli. Passo e chiudo nella speranza che questa legge, quantomeno per i privati, venga calcioruotata nel Valhalla prima di subito.

© Manuel Monterosso 2017 RSS

Privacy Policy