Piazzale Italia

Cookies policy parte seconda

 
Immagine Rosa Angela Bolognini
Cookies policy parte seconda
 

Buon giorno,

leggo oggi i chiarimenti che il Garante Privacy ha esplicitato e pubblicato il 5 giugno 2015 e vi chiedo come risolvere un altro problema che mi sembra di dover/poter individuare nella gestione di una piattaforma moodle: chi detiene / utilizza cookies che raccolgono gli IP (e moodle lo fa per creare i log) dovrebbe a) fare una dichiarazione al garante (sembra sia costosa) b) togliere la raccolta degli IP e dichiarare di non collegarli a nome utente ecc . (anche questa cosa viene fatta da moodle)

Ora come si può disabilitare la raccolta degli IP in moodle?

Ho provato ad entrare in Amministrazione del sito > reports > log ma non mi consente di disabilitare la raccolta degli IP. Li raccoglie sia con la modalità standard log che quella legacy log.

Che fare?

Leggete le parti evidenziate nell'allegato

Grazie mille per il vostro aiuto

Rosangela

Immagine Andrea Bicciolo
Re: Cookies policy parte seconda
Core developersParticularly helpful MoodlersPlugin developersTranslators
Nel pdf che hai allegato a me sembra di capire che la parte evidenziata al paragrafo 2 della prima pagina si riferisca a "cookie analitici di terze parti".  Anche nel paragrafo "In particolare evidenza", nelle pagine successive, la parte evidenziata si riferisce a "cookie analitici di terze parti"

Moodle in una installazione standard per registrare gli indirizzi IP nel proprio log non fa uso di "cookie analitici di terze parti".
Immagine Rosa Angela Bolognini
Re: Cookies policy parte seconda
 

Appunto per questo motivo. Ora la logica di fondo che mi pare di intravvedere è la seguente:

se il terzo cui un gestore di un sito fa riferimento utilizza cookies con i quali rileva e trattiene dei codici IP è tenuto a:

  • a) oscurare a se stesso o ad altri le ultime cifre degli IP

oppure 

  • b) fare una dichiarazione al Garante privacy

a maggior ragione un sito che usa tali IP non facendo riferimento a terzi ma in prima persona, dovrà fare tale dichiarazione. Sbaglio?

Rosangela

mangatar
Re: Cookies policy parte seconda
 

Andrea scusa, ma perchè moodle raccoglie gli IP?

E' una funzione necessaria per moodlesession? Qualora lo fosse allora la raccolta dovrebbe essere giustificata, essendo moodlesession un cookie tecnico vitale.

Mi accodo alla richiesta di Rosa Angela, come è possibile oscurare o rendere "non visibili" anche all'amministratore gli ip raccolti?

Qualora non fosse possibile oscurarli lo si deve indicare nella privacy policy?

Nel resto d'europa come fanno?

Grazie

Fabio

Immagine Matteo Scaramuccia
Re: Cookies policy parte seconda
Core developersParticularly helpful MoodlersPlugin developers

Ciao Fabio,
sicuramente è una necessità dalla 2.9 perché puoi avere l'elenco delle sessioni attive e disabilitare quelle sospette, cioè Moodle ti da la possibilità di controllare se ci siano più sessioni aperte con il tuo account e da quale IP sono state iniziate. Intorno a questa funzionalità ce ne sono poi altre: dettagli in https://docs.moodle.org/dev/Moodle_2.9_release_notes.

Non è una necessità in senso stretto nel senso che la "sessione" non necessità dell'IP tracking per funzionare: si dovrebbe però chiedere una modifica sostanziale in Moodle per poter anonimizzare la raccolta degli indirizzi IP e disabilitare contestualmente quelle funzionalità che necessitano di quella raccolta.

In senso stretto, per la 2.9 è vitale per migliorare la sicurezza del tuo account in una istanza di Moodle.

Quindi per ragionare meglio si dovrebbe anche distinguere di quale versione di Moodle si stia parlando perché a seconda delle versione l'indirizzo IP è parte di alcune funzionalità e come l'istanza sia configurata perché ad esempio chi usa le sessioni su Database troverà registrati gli IP degli utenti nella tabella mdl_sessions. o ancora il sistema di logging di Moodle registra l'indirizzo IP dell'autore della azione registrata o ancora nella tabella mdl_user troverete l'ultimo indirizzo IP da cui l'utente ha fatto accesso ed chi usa MNet troverà registrazione degli indirizzi IP nei suoi logs, etc etc.

Quello che è certo è che il cookie di sessione non "trattiene" l'indirizzo IP dell'utente ma queste informazioni sono registrate sul Database e accessibili come tutti gli altri dati sulle perfomances dei singoli utenti e dovrebbero rientrare quindi nella voce "gestione Privacy" dell'istanza Moodle.

Che io sappia i meno permissivi sono i Tedeschi; ad esempio, un software OSS di analitica molto importante per caratteristiche che lo rendono comparabile agli strumenti di Google, Piwik, ne è certificato e puoi prendere spunti in merito alle loro restrizioni: http://piwik.org/blog/2011/03/piwik-can-be-used-in-compliance-with-data-protection-laws/.

Moodle ha già affrontato quella EU ma ovviamente quella sui generis italiana ancora no, nel caso differisse nella sostanza da quella EU:

HTH,
Matteo

mangatar
Re: Cookies policy parte seconda
 

Ciao Matteo,

intanto grazie per la tua risposta rapida e completa.

Nello specifico sto parlando di moodle 2.8.3 e 2.8.5 (in vista di un prossimo aggiornamento) ma, visto che sulla 2.9 gli IP sono necessari il problema diventa anche più rilevante

Mi sembra che gli argomenti in ballo siano diversi:

  1. moodlesession non trattiene i cookie ma li memorizza nel DB e mi sembra di capire che al momento Moodle non ha ancora preso posizioni in tal senso. Mi chiedo ... ma se la normativa italiana è una diretta derivazione di quella europea, Moodle non dovrebbe già essere allineato alla normativa? E ancora, se la raccolta degli IP non è una azione voluta dal gestore della piattaforma ma una funzionalità di un Cookie strettamente necessario al funzionamento della piattaforma il gestore come può esimersi dall'utilizzarlo (e con quali modifiche)  senza compromettere le funzionalità della piattaforma? 
  2. oltre agli IP, moodlesession quali altri dati raccoglie e mantiene sul DB?
  3. che cosa intendi con ... Non è una necessità in senso stretto nel senso che la "sessione" non necessità dell'IP tracking per funzionare: si dovrebbe però chiedere una modifica sostanziale in Moodle per poter anonimizzare la raccolta degli indirizzi IP e disabilitare contestualmente quelle funzionalità che necessitano di quella raccolta.... chi dovrebbe chiederlo? una richiesta del genere dovrebbe arrivare come minimo da una fonte autorevole come un Partner Moodle; mi pare che il partner italiano sia l'eccellente Media Touch; spero che leggano questo post e ci diano una mano sorridente
  4. ci sono plugin moodle che anonimizzano l'IP al gestore? in alternativa c'è la possibilità di modificare il codice affinché si limiti la raccolta o si anonimizzi l'IP? che tu o il forum sappia si può chiedere al provider del dominio/server di anonimizzare gli IP?
  5. fino a quando non si richiederanno o non si effettueranno le modifiche a/da Moodle i gestori delle piattaforme che raccolgono i cookie, benchè in modo non volontario e magari senza che nemmeno li utilizzino (nella maggior parte dei casi senza che nemmeno lo sappiano) si devono considerare "non adeguati alla normativa!?

il chiarimento del Garante allegato da Rosangela in un post precedente, recita ... 

In molti casi, tuttavia, i siti utilizzano, per meri fini statistici, cookie analitici realizzati e messi a disposizione da terze parti. In questi casi, si ritiene che i succitati siti non siano soggetti agli obblighi e agli adempimenti previsti dalla normativa (notificazione al Garante in primis) qualora vengano adottati strumenti idonei a ridurre il potere identificativo dei cookie analitici che utilizzano (ad esempio, mediante il mascheramento di porzioni significative dell'indirizzo IP).

L'impiego di tali cookie deve, inoltre, essere subordinato a vincoli contrattuali tra siti e terze parti, nei quali si faccia espressamente richiamo all'impegno della terza parte o a utilizzarli esclusivamente per la fornitura del servizio, a conservarli separatamente e a non "arricchirli" o a non "incrociarli" con altre informazioni di cui esse dispongano.

che cosa vorrebbe dire? moodlesession non è un cookie di terze parti e non è un cookie analitico ma tecnico

quindi:

  • non è ricompreso tra i cookie analitici benchè raccolga gli IP? ergo si è adeguati alla normativa semplicemente indicandolo nell'informativa estesa e indicando che raccoglie gli IP per fini tecnici?
  • nonostante sia un coockie tecnico, nell'informativa estesa, il gestore si impegna a conservare separatamente i dati personali raccolti e a non arricchirlo ed incrociarlo con altri dati? (a proposito, nel caso di moodle come si fa a conservarli separatamente?)
  • il gestore moodle è comunque obbligato a fare una dichiarazione al garante della privacy?

Grazie per la tua attenzione e a tutti coloro che vorranno intervenire nella discussione.

NB A titolo di considerazione. Trovo molto curioso che nel forum ci sia una così scarsa quantità di interventi su questo tema cosi caldo. Eppure dovrebbe interessare tutti i gestori moodle. 


Immagine Matteo Scaramuccia
Re: Cookies policy parte seconda
Core developersParticularly helpful MoodlersPlugin developers

Ciao Fabio,
provo a rispondere e correggere qua e là laddove penso che tecnicamente ci sia stato un fraintendimento, sotto il beneamato acronimo IANAL:

  1. Moodle di suo utilizza SOLO due cookie:
    • uno "tecnico", di sessione e non persistente. Non è disattivabile e la normativa lo concede. Il fatto che internamente Moodle associ l'indirizzo IP dell'utente alla sessione e alle informazioni dei log rientra IMHO nella raccolta dati lecita nell'uso di un sito purché documentata nella Privacy Policy che ogni sito deve avere;
    • l'altro persistente, per mantenere memoria del solo username. E' disattivabile per cui, semmai il Garante ne avesse da dire su questo cookie, è facile configurare Moodle sin da subito per garantirsi una interpretazione stretta.
  2. Moodle raccoglie tutto quello che serve alle sue funzionalità: per un quiz, raccoglie le risposte e in generale le interazioni dell'utente, per un attività SCORM, raccoglie tutte le performance registrabili nel datamodel CMI, ecc. ecc. Sono dati oggetto di questa legge? No, sono dati oggetto della Privacy Policy cioè del "Trattamento del Dato".
  3. Se tu volessi evitare che Moodle mostri (prima che registri) gli indirizzi IP e che li anonimizzi a chi li visiona perché l'ultima parte non sia visibili, puoi:
    • aprire un Improvement nel Tracker, descrivere bene lo scenario della funzionalità desiderata, sostenere le domande che ti verranno fatte e publicizzare la tua richiesta nel forum in Inglese per catturare il maggior numero di voti (implementazione per acclamazione e/o approvazione);
    • chiedere al Moodle Partner locale di sostenere quanto sopra al posto tuo;
    • pagare il Moodle Partner locale perché l'attività venga realizzata e quindi proposta per essere introdotta nel core di Moodle.
  4. Non mi risulta ci siano plugin di anonimizzazione perché tra le altre non tutti i posti "da anonimizzare" sono pluggabili e modificabili dall'esterno.
    • per modificare il modo con cui Moodle ricava l'indirizzo IP e quindi anonimizzarlo basta modificare opportunamente la funzione getremoteaddr() che si trova qui https://github.com/moodle/moodle/blob/MOODLE_29_STABLE/lib/moodlelib.php#L8287. Continuo a pensare che non sia necessario ma... IANAL;
    • Il gestore del server (non del dominio) può modificare le "cose" da cui legge Moodle ma è più semplice fare la modifica alla funzione che restituisce l'indirizzo IP remoto di cui sopra.
  5. IANAL (lo avevo già scritto? ammiccante ), no: Cookie di Moodle e Trattamento del Dato sono due cose differenti benché parte del medesimo obiettivo tanto che devono essere documentate entrambe, la prima con un banner ed un link esplicativo nel caso tu debba elencare le terze parti, la seconda con una pagina che indichi chi è il Titolare del Trattamento dei Dati e come questo trattamento sia esercitato su che cosa.

Il cookie di terze parti (poi chiamato anche analitico ma è importante la definizione "di terze parti") è un problema per il Trattamento dei Dati perché il soggetto che possiede i Dati collezionati da questo cookie non è il tuo sito, cioè il Titolare indicato nel tuo sito, per cui è necessario che l'Utente possa dire "no", accetto solo quanto trattato localmente da questo sito perché è chiaro che le Terze Parti collezionano dati per incrociarli con tante altre attività da quel PC/Indirizzo IP per arricchire la navigazione dell'utente. Un esempio su tutti è la ricerca di Google che viene arricchita dall'esperienza di tutti e personalizzata specificatamente sulla tua.

Il cookie "tecnico" di Moodle NON contiene nessuno IP al suo interno ma, per la durata della sessione dell'utente loggato, garantisce che in alto a sinistra appaia sempre il proprio nome e che le attività fatte sul sito vengano attestate a lui. Cosa signiifica "attestate"? Significa che nel momenti che io mi connetto a Moodle il sistema registra localmente al suo DB da che indirizzo IP è avvenuta la login, che cosa sto guardando e quali sono le mie performance nelle attività per cui è prevista una valutazione perché successivamente si possa fare una valutazione e/o elaborazione su questi dati. Stiamo parlando di una collezione locale di dati - anche e NON solo l'indirizzo IP - che viene trattata in un certo modo per fornire un certo servizio (vedi ancora, Trattamento dei Dati).

Infine, essendo un tecnico e non un avvocato, potrei aver comunque mal interpretato le pieghe della Privacy in senso lato ed in senso stretto, con riferimento a quella italiana ed in particolare alla normativa sui cookie del 08/05/2014.

HTH,
Matteo

mangatar
Re: Cookies policy parte seconda
 

Ciao Matteo,

lo IANAL era ovviamente sottinteso. Le domande che ho fatto sono dubbi che ho lanciato sul forum anche per avere opinioni tue e di altri utentu del forum con le stesse problematiche J

Grazie per la tua mail dettagliata e per le informazioni, alcune illuminanti, che hai riportato. E’ evidente che la scarsa conoscenza di alcuni argomenti provoca fraintendimenti, per i quali mi scuso J provo a risponderti in quota:

  1. Moodle di suo utilizza SOLO due cookie:
  • uno "tecnico", di sessione e non persistente. Non è disattivabile e la normativa lo concede. Il fatto che internamente Moodle associ l'indirizzo IP dell'utente alla sessione e alle informazioni dei log rientra IMHO nella raccolta dati lecita nell'uso di un sito purché documentata nella Privacy Policy che ogni sito deve avere;

[>>>] fermo restando che … YANAL, (You ANAL) se i dati raccolti non dovessero essere utilizzati in alcun modo, sulla privacy policy dovrebbe comunque essere riportato l’elenco dei dati raccolti? Ieri ho fatto un giro per le privacy policy di alcune piattaforme moodle e non ho trovato riferimenti espliciti tranne che qualcosa del genere riportato di seguito; è a questo che ti riferisci e (a titolo di pura opinione), sarebbe sufficiente?

Testo 1 (estratto da una privacy policy)

Dati personali e cookies 
I sistemi informatici preposti al funzionamento di questo sito acquisiscono, nel corso della normale navigazione, alcuni dati personali la cui trasmissione è connessa all'uso dei protocolli di comunicazione di Internet (indirizzi IP, nomi a dominio dei computer utilizzati dagli utenti che si connettono al sito, l'orario della richiesta, il metodo utilizzato nel sottoporre la richiesta al server, la dimensione del file ottenuto in risposta, il codice numerico indicante lo stato della risposta data dal server, ecc.) e altri parametri relativi al sistema operativo e all'ambiente informatico dell'utente.  
Questi dati vengono utilizzati al solo fine di ricavare informazioni statistiche anonime sull'uso del sito e per controllarne il corretto funzionamento. I dati potrebbero essere utilizzati per l'accertamento di responsabilità in caso di ipotetici reati informatici ai danni del sito.

O qualcosa del genere:

Testo 2 – privacy policy completa

 

Questa Applicazione raccoglie alcuni Dati Personali dei propri Utenti.

Titolare del Trattamento dei Dati

Tipologie di Dati raccolti

Fra i Dati Personali raccolti da questa Applicazione, in modo autonomo o tramite terze parti, ci sono: Cookie, Dati di utilizzo, Nome, Cognome, Numero di Telefono, Indirizzo, Email, Password, Ragione sociale, Professione, Numero di Fax, Nazione, Provincia, CAP, Città e Sede di lavoro.

Altri Dati Personali raccolti potrebbero essere indicati in altre sezioni di questa privacy policy o mediante testi informativi visualizzati contestualmente alla raccolta dei Dati stessi.

I Dati Personali possono essere inseriti volontariamente dall’Utente, oppure raccolti in modo automatico durante l'uso di questa Applicazione.

L’eventuale utilizzo di Cookie - o di altri strumenti di tracciamento - da parte di questa Applicazione o dei titolari dei servizi terzi utilizzati da questa Applicazione, ove non diversamente precisato, ha la finalità di identificare l’Utente e registrare le relative preferenze per finalità strettamente legate all'erogazione del servizio richiesto dall’Utente.
Il mancato conferimento da parte dell’Utente di alcuni Dati Personali potrebbe impedire a questa Applicazione di erogare i propri servizi.

L'Utente si assume la responsabilità dei Dati Personali di terzi pubblicati o condivisi mediante questa Applicazione e garantisce di avere il diritto di comunicarli o diffonderli, liberando il Titolare da qualsiasi responsabilità verso terzi.

 

Modalità e luogo del trattamento dei Dati raccolti

Modalità di trattamento

Il Titolare tratta i Dati Personali degli Utenti adottando le opportune misure di sicurezza volte ad impedire l’accesso, la divulgazione, la modifica o la distruzione non autorizzate dei Dati Personali.

Il trattamento viene effettuato mediante strumenti informatici e/o telematici, con modalità organizzative e con logiche strettamente correlate alle finalità indicate. Oltre al Titolare, in alcuni casi, potrebbero avere accesso ai Dati categorie di incaricati coinvolti nell’organizzazione del sito (personale amministrativo, commerciale, marketing, legali, amministratori di sistema) ovvero soggetti esterni (come fornitori di servizi tecnici terzi, corrieri postali, hosting provider, società informatiche, agenzie di comunicazione) nominati anche, se necessario, Responsabili del Trattamento da parte del Titolare. L’elenco aggiornato dei Responsabili potrà sempre essere richiesto al Titolare del Trattamento.

 

Luogo

I Dati sono trattati presso le sedi operative del Titolare ed in ogni altro luogo in cui le parti coinvolte nel trattamento siano localizzate. Per ulteriori informazioni, contatta il Titolare.

 

Tempi

I Dati sono trattati per il tempo necessario allo svolgimento del servizio richiesto dall’Utente, o richiesto dalle finalità descritte in questo documento, e l’Utente può sempre chiedere l’interruzione del Trattamento o la cancellazione dei Dati.

 

Finalità del Trattamento dei Dati raccolti

I Dati dell’Utente sono raccolti per consentire al Titolare di fornire i propri servizi, così come per le seguenti finalità: Accesso agli account su servizi terzi, Statistica, Visualizzazione di contenuti da piattaforme esterne e Registrazione ed autenticazione.

Le tipologie di Dati Personali utilizzati per ciascuna finalità sono indicati nelle sezioni specifiche di questo documento.

 

Dettagli sul trattamento dei Dati Personali

I Dati Personali sono raccolti per le seguenti finalità ed utilizzando i seguenti servizi:

·        Accesso agli account su servizi terzi

·        Registrazione ed autenticazione

·        Statistica

·        Visualizzazione di contenuti da piattaforme esterne

 

Ulteriori informazioni sul trattamento

Difesa in giudizio

I Dati Personali dell’Utente possono essere utilizzati per la difesa da parte del Titolare in giudizio o nelle fasi propedeutiche alla sua eventuale instaurazione, da abusi nell'utilizzo della stessa o dei servizi connessi da parte dell’Utente.
L’Utente dichiara di essere consapevole che il Titolare potrebbe essere richiesto di rivelare i Dati su richiesta delle pubbliche autorità.

 

Informative specifiche

Su richiesta dell’Utente, in aggiunta alle informazioni contenute in questa privacy policy, questa Applicazione potrebbe fornire all'Utente delle informative aggiuntive e contestuali riguardanti servizi specifici, o la raccolta ed il trattamento di Dati Personali.

 

Log di sistema e manutenzione

Per necessità legate al funzionamento ed alla manutenzione, questa Applicazione e gli eventuali servizi terzi da essa utilizzati potrebbero raccogliere Log di sistema, ossia file che registrano le interazioni e che possono contenere anche Dati Personali, quali l’indirizzo IP Utente.

 

Informazioni non contenute in questa policy

Maggiori informazioni in relazione al trattamento dei Dati Personali potranno essere richieste in qualsiasi momento al Titolare del Trattamento utilizzando le informazioni di contatto.

 

Esercizio dei diritti da parte degli Utenti

I soggetti cui si riferiscono i Dati Personali hanno il diritto in qualunque momento di ottenere la conferma dell'esistenza o meno degli stessi presso il Titolare del Trattamento, di conoscerne il contenuto e l'origine, di verificarne l'esattezza o chiederne l’integrazione, la cancellazione, l'aggiornamento, la rettifica, la trasformazione in forma anonima o il blocco dei Dati Personali trattati in violazione di legge, nonché di opporsi in ogni caso, per motivi legittimi, al loro trattamento. Le richieste vanno rivolte al Titolare del Trattamento.

Questa Applicazione non supporta le richieste “Do Not Track”. Per conoscere se gli eventuali servizi di terze parti utilizzati le supportano, consulta le loro privacy policy.

 

Modifiche a questa privacy policy

Il Titolare del Trattamento si riserva il diritto di apportare modifiche alla presente privacy policy in qualunque momento dandone pubblicità agli Utenti su questa pagina. Si prega dunque di consultare spesso questa pagina, prendendo come riferimento la data di ultima modifica indicata in fondo. Nel caso di mancata accettazione delle modifiche apportate alla presente privacy policy, l’Utente è tenuto a cessare l’utilizzo di questa Applicazione e può richiedere al Titolare del Trattamento di rimuovere i propri Dati Personali. Salvo quanto diversamente specificato, la precedente privacy policy continuerà ad applicarsi ai Dati Personali sino a quel momento raccolti.

Informazioni su questa privacy policy

Il Titolare del Trattamento dei Dati è responsabile per questa privacy policy, redatta partendo da moduli predisposti da xxxxxxxxxx e conservati sui suoi server.

 

 Definizioni e riferimenti legali

Dati Personali (o Dati)

Costituisce dato personale qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale.

Dati di Utilizzo

Sono le informazioni raccolti in maniera automatica di questa Applicazione (o dalle applicazioni di parti terze che questa Applicazione utilizza), tra i quali: gli indirizzi IP o i nomi a dominio dei computer utilizzati dall’Utente che si connette con questa Applicazione, gli indirizzi in notazione URI (Uniform Resource Identifier), l’orario della richiesta, il metodo utilizzato nel sottoporre la richiesta al server, la dimensione del file ottenuto in risposta, il codice numerico indicante lo stato della risposta dal server (buon fine, errore, ecc.) il Paese di provenienza, le caratteristiche del browser e del sistema operativo utilizzati dal visitatore, le varie connotazioni temporali della visita (ad esempio il tempo di permanenza su ciascuna pagina) e i dettagli relativi all’itinerario seguito all’interno dell’Applicazione, con particolare riferimento alla sequenza delle pagine consultate, ai parametri relativi al sistema operativo e all’ambiente informatico dell’Utente.

 

Utente

L'individuo che utilizza questa Applicazione, che deve coincidere con l'Interessato o essere da questo autorizzato ed i cui Dati Personali sono oggetto del trattamento.

 

Interessato

La persona fisica o giuridica cui si riferiscono i Dati Personali.

 

Responsabile del Trattamento (o Responsabile)

La persona fisica, giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal Titolare al trattamento dei Dati Personali, secondo quanto predisposto dalla presente privacy policy.

 

Titolare del Trattamento (o Titolare)

La persona fisica, giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali ed agli strumenti utilizzati, ivi compreso il profilo della sicurezza, in relazione al funzionamento e alla fruizione di questa Applicazione. Il Titolare del Trattamento, salvo quanto diversamente specificato, è il proprietario di questa Applicazione.

 

Questa Applicazione

Lo strumento hardware o software mediante il quale sono raccolti i Dati Personali degli Utenti.

 

Cookie

Piccola porzione di dati conservata all'interno del dispositivo dell'Utente.

Riferimenti legali

Avviso agli Utenti europei: la presente informativa privacy è redatta in adempimento degli obblighi previsti dall’Art. 10 della Direttiva n. 95/46/CE, nonché a quanto previsto dalla Direttiva 2002/58/CE, come aggiornata dalla Direttiva 2009/136/CE, in materia di Cookie.

Questa informativa privacy riguarda esclusivamente questa Applicazione.

  •  l'altro persistente, per mantenere memoria del solo username. E' disattivabile per cui, semmai il Garante ne avesse da dire su questo cookie, è facile configurare Moodle sin da subito per garantirsi una interpretazione stretta.

[>>>] ok

  1. Moodle raccoglie tutto quello che serve alle sue funzionalità: per un quiz, raccoglie le risposte e in generale le interazioni dell'utente, per un attività SCORM, raccoglie tutte le performance registrabili nel datamodel CMI, ecc. ecc. Sono dati oggetto di questa legge? No, sono dati oggetto della Privacy Policy cioè del "Trattamento del Dato".

[>>>] stessa considerazione del commento al punto 1

  1. Se tu volessi evitare che Moodle mostri (prima che registri) gli indirizzi IP e che li anonimizzi a chi li visiona perché l'ultima parte non sia visibili, puoi:
  • aprire un Improvement nel Tracker, descrivere bene lo scenario della funzionalità desiderata, sostenere le domande che ti verranno fatte e publicizzare la tua richiesta nel forum in Inglese per catturare il maggior numero di voti (implementazione per acclamazione e/o approvazione);
  • chiedere al Moodle Partner locale di sostenere quanto sopra al posto tuo;
  • pagare il Moodle Partner locale perché l'attività venga realizzata e quindi proposta per essere introdotta nel core di Moodle.

[>>>] è chiaro. Grazie, non conoscevo le possibili opzioni in questa tipologia di attività.

  1. Non mi risulta ci siano plugin di anonimizzazione perché tra le altre non tutti i posti "da anonimizzare" sono pluggabili e modificabili dall'esterno.

[>>>] ho individuato la riga di codice da te indicata: riga 8287 - function getremoteaddr($default='0.0.0.0') {

In che modo si dovrebbe effettuare la modifica? Questa modifica non inciderebbe sui servizi di moodle? La modifica implica che, consultando il DB il gestore non visualizzi più l’IP nel DB?   

  • Il gestore del server (non del dominio) può modificare le "cose" da cui legge Moodle ma è più semplice fare la modifica alla funzione che restituisce l'indirizzo IP remoto di cui sopra.

[>>>] eccerto J

  1. IANAL (lo avevo già scritto? ammiccante ), no: Cookie di Moodle e Trattamento del Dato sono due cose differenti benché parte del medesimo obiettivo tanto che devono essere documentate entrambe, la prima con un banner ed un link esplicativo nel caso tu debba elencare le terze parti, la seconda con una pagina che indichi chi è il Titolare del Trattamento dei Dati e come questo trattamento sia esercitato su che cosa.

[>>>] non avresti potuto essere più chiaro. E’ solo difficile riuscire a trovare, sulla normativa Privacy, delle indicazioni chiare e precise su quello che si deve scrivere e soprattutto “se” si devono effettuare dichiarazioni al garante con il pagamento dei famigerati 150 euro.

Il cookie di terze parti (poi chiamato anche analitico ma è importante la definizione "di terze parti") è un problema per il Trattamento dei Dati perché il soggetto che possiede i Dati collezionati da questo cookie non è il tuo sito, cioè il Titolare indicato nel tuo sito, per cui è necessario che l'Utente possa dire "no", accetto solo quanto trattato localmente da questo sito perché è chiaro che le Terze Parti collezionano dati per incrociarli con tante altre attività da quel PC/Indirizzo IP per arricchire la navigazione dell'utente. Un esempio su tutti è la ricerca di Google che viene arricchita dall'esperienza di tutti e personalizzata specificatamente sulla tua.

[>>>] Chiaro

Il cookie "tecnico" di Moodle NON contiene nessuno IP al suo interno ma, per la durata della sessione dell'utente loggato, garantisce che in alto a sinistra appaia sempre il proprio nome e che le attività fatte sul sito vengano attestate a lui. Cosa signiifica "attestate"? Significa che nel momenti che io mi connetto a Moodle il sistema registra localmente al suo DB da che indirizzo IP è avvenuta la login, che cosa sto guardando e quali sono le mie performance nelle attività per cui è prevista una valutazione perché successivamente si possa fare una valutazione e/o elaborazione su questi dati. Stiamo parlando di una collezione locale di dati - anche e NON solo l'indirizzo IP - che viene trattata in un certo modo per fornire un certo servizio (vedi ancora, Trattamento dei Dati).

[>>>] è la grande “feature” di moodle… il tracking dei dati su cui si basa tutta la logica e la funzionaltà dell’e-learning.

Infine, essendo un tecnico e non un avvocato, potrei aver comunque mal interpretato le pieghe della Privacy in senso lato ed in senso stretto, con riferimento a quella italiana ed in particolare alla normativa sui cookie del 08/05/2014.

[>>>] ci mancherebbe altro.

HTH,
Matteo

[>>>] decisamente SI J


Immagine Matteo Scaramuccia
Re: Cookies policy parte seconda
Core developersParticularly helpful MoodlersPlugin developers

Dunque:

  • "Testo 1" è quanto dovrebbe essere utilizzato per qualunque web server, anche per sole pagine HTML statiche: in pratica è il log degli accessi e degli errori. Quanto descritto è quanto avviene in realtà: per chi ha un dominio in hosting, tipicamente queste sono le "statistiche del sito" presentate nel pannello di controllo;
  • "Testo 2" indirizza invece il Trattamento del Dato ed è qualcosa di abbastanza completo, non propriamente legato a Moodle ma assolutamente corretto dal punto di vista delle informazioni, forse un po' troppo "sbrodolato" e poco legato alle specificità dei potenziali servizi offerti dalla "tua" piattaforma Moodle. Nota: la sezione "Dati di utilizzo" riprende quando indicato in "Testo 1" ovvero i logs del web server ma non descrive cosa faccio di quei dati come invece indicato in "Testo 1".

Attenzione: l'indirizzo IP è sempre registrato nei logs del web server perché serve tra le altre a capire da dove arrivino alcuni attacchi informatici e prima ancora che per individuarne la provenienza - spesso si usano computer di ignari - serve a collezionare quegli indirizzi da bloccare quanto prima attraverso l'uso di un firewall. Quindi, ancora una volta l'indirizzo IP c'è e fa il suo mestiere: basta dichiararlo; se uno non è d'accordo non si registrerà alla tua istanza Moodle.

Anonimizzare l'IP farà "male" a Moodle? Sicuramente potrebbe rompere alcune funzionalità (le novità sulla gestione delle sessioni da parte dell'utente) della 2.9: posso pensare di fornire qui una modifica nella direzione dell'anonimizzazione (tempo libero permettendo) ma non riuscirò a testarla per cui sarà AS-IS.

HTH,
Matteo

Immagine Matteo Scaramuccia
Re: Cookies policy parte seconda
Immagine Maria Accarino
Re: Cookies policy parte seconda
 

Vorrei ringraziare tutti per i preziosi contributi. Anch'io sto cercando di capirci qualcosa e per il momento per le mie esigenze mi sono attenuta a quanto già discusso qui, ma è evidente che le considerazioni da fare sono davvero tante. Chissà se è prevista una sessione sul tema al prossimo Moodlemoot Italia. 

Vorrei segnalare questo articolo pubblicato su Wired it, sembra utile.
Più che i contenuti dell'articolo, sono interessanti alcuni commenti all'articolo. 

Maria