Se gestisci un sito internet o stai pensando di crearne uno dal 2 giugno 2015 anche in Italia è entrata in vigore la normativa europea sulla gestione dei cookie all’interno dei siti internet. In questo articolo vedremo in dettaglio le modalità di applicazione di questa nuova normativa e cercherò di fare un po’ di chiarezza sul problema della raccolta del consenso sui cookie, il salvataggio delle preferenze, il banner e la cookie policy aiutandovi ad adeguare il vostro sito alle normative EU per ridurre al minimo l’impatto negativo della cookie law.
Nonostante sul web spopolino diverse teorie e interpretazioni, in questo articolo cercherò di fare chiarezza sulla nuova norma che TUTTI I POSSESSORI di siti web devono osservare, raccogliendo e riassumendo il miglior materiale che ho trovato in rete e sul sito ufficiale del Garante della privacy
Cosa sono i cookies?
I cookies sono dei frammenti di dati, normalmente archiviati all’interno di files di testo che il sito internet posiziona nel browser dei visitatori al fine di archiviare una varietà di informazioni di solito specifiche per un determinato utente. I cookies sono quindi una sorta di memoria virtuale a breve termine che permette ai siti internet di gestire importanti informazioni al momento della visualizzazione delle pagine del sito.
Questi “biscotti informatici” sono stati creati per rendere le pagine internet più intelligenti, facilitando in questo modo il passaggio di informazioni tra i diversi siti web.
Quasi tutti i siti internet utilizzano i cookies e questo perché rendono possibile la gestione del login in una determinata area del sito dando la possibilità all’utente di navigare all’interno del sito rimanendovi connessi, oppure impostare una serie di preferenze che vengono ricordate quando questo ritorna nella propria area privata, sono inoltre utili per la gestione dei carrelli virtuali sui siti di e-commerce , ma sopratutto servono per il marketing dei siti, grazie a questi possiamo infatti gestire le statistiche di Google Analytics e sapere così quante persone visitano il nostro sito, da dove arrivano e cosa guardano dandoci informazioni importantissime per la creazione di contenuti o pubblicità mirati all’interesse degli utenti. Nonostante i cookies siano incredibilmente utili e permettano ai siti internet moderni di migliorare il livello di personalizzazione utilizzando numerose funzioni interattive, possono anche essere impropriamente utilizzati per manipolare l’esperienza di navigazione dell’utente, pensiamo ad esempio alla possibilità di creare un profilo comportamentale dell’utente che può essere utilizzato per decidere quali contenuti o pubblicità mostrare in maniera mirata in base agli interessi dei visitatori. Per questo motivo il garante della privacy ha deciso di proteggere gli utenti, i quali dovranno essere informati e acconsentire all’utilizzo dei cookies per avere maggior rispetto della loro privacy online.
Cos’è la cookie law?
La cookie law è una nuova normativa di derivazione europea che anche l’Italia ha recepito e che è entrata in vigore il 2 giugno del 2015. A giugno 2014 il Garante della privacy aveva già pubblicato delle linee guida iniziali che tuttavia mancavano di indicazioni operative. Subito dopo è stato avviato un tavolo inter-associativo promosso da Fedoweb per fare chiarezza sulla nuova legge.
Il risultato di questo tavolo, che ha interagito con il Garante stesso, è una serie di linee guida che vi illustriamo in seguito e che chiariscono tutti i dubbi relativi alla cookie law.
Con l’entrata in vigore della cookie law, dal 2 giugno non è più possibile installare cookie senza:
- Aver predisposto e mostrato all’utente un banner informativo;
- Aver predisposto e mostrato all’utente una cookie policy;
- Aver richiesto il consenso agli utenti;
- Identificare tutte le categorie di cookie installati dal proprio sito e le loro finalità;
- Identificare le terze parti che, attraverso il sito del titolare, potrebbero inviare dei cookie;
- Catalogare i cookie in base alle finalità di trattamento;
- Aggiornare la privacy policy;
- Identificare i link alle privacy policy e ai moduli di consenso delle terze parti con le quali il titolare/gestore del sito ha stipulato accordi per l’invio dei cookie dal medesimo sito (ove disponibili).
Per rispettare la cookie law, è necessario che i siti che installano cookie – anche tramite strumenti terzi – mostrino un banner alla prima visita dell’utente, predispongano una cookie policy e permettano all’utente di fornire il consenso secondo le indicazioni fornite dalla legge.
Prima che il consenso venga fornito, nessun cookie – ad eccezione dei cookie tecnici – può essere installato.
L’informativa breve viene fornita tramite un banner che deve illustrare le finalità di installazione dei cookie di cui il sito fa uso. Il banner deve essere sufficientemente discontinuo rispetto all’esperienza di navigazione del sito per far sì che venga notato dall’utente.Fra gli esempi su cui si è lavorato con il Garante ci sono sia una versione al centro della pagina che una soluzione con una striscia in alto al sito.
La Cookie policy
La cookie policy non deve necessariamente prevedere una lista di tutti i cookie – nome per nome – installati dal sito, ma deve invece descrivere con dettaglio le finalità di installazione dei cookie ed indicare tutte le terze parti che ne installano o che potrebbero installarne, con anche un link alla rispettiva privacy policy, alla cookie policy e agli eventuali moduli di consenso.
La buona notizia è che se avete configurato correttamente una privacy policy non è necessaria alcuna configurazione successiva se non l’attivazione della soluzione cookie sulla privacy policy del vostro sito.
Problema tecnico… il consenso dell’utente
Il problema più grande nell’applicare la nuova normativa sui cookies è il consenso del visitatore. Questo deve essere infatti fornito dall’utente tramite il proseguimento della navigazione, incluso il click sui link o lo scorrimento della pagina, non basta quindi solo informare l’utente dell’utilizzo dei cookies. Le sole situazioni in cui il consenso viene tenuto in sospeso si presentano qualora l’utente abbandoni il sito senza proseguire la navigazione o qualora l’utente visualizzi la pagina completa sulla cookie policy.
All’interno della cookie policy l’utente può negare il consenso all’installazione dei cookie, ma per farlo deve visitare i siti dei singoli servizi utilizzati dal sito e fare riferimento alle policy degli stessi ed alle istruzioni da questi fornite per prevenire il tracciamento. L’unica eccezione è quella menzionata nel paragrafo sulla cookie policy in riferimento ai cookie non esenti gestiti direttamente dal titolare.
Sembra semplice, ma implementare un modo per tenere il consenso in sospeso sarà impegnativo per molti siti e richiederà modifiche al codice del sito stesso. Per non complicarti la vita in questo senso, ti consiglio di affidarti al servizio di Iubenda che utilizzo con successo in questo blog.
Blocco dei cookie prima del consenso
Nel rispetto dei principi generali della legislazione privacy, che impediscono il trattamento prima del consenso, la cookie law non consente l’installazione di cookie prima di aver ottenuto il consenso, fatta eccezione per le categorie esenti che verranno illustrate in seguito. Nella pratica, questo significa che ad esempio i codici che richiamano dei banner o anche semplicemente i codici che gestiscono la live chat non possono essere eseguiti prima di aver ottenuto il consenso dell’utente.
Diversi tipi di cookies
I cookie analitici come quelli rilasciti dal servizio Google Analytics, possono essere usati a patto di attivare la cosiddetta mascheratura dell’IP client in modo tale da “anonimizzare” il dato scambiato tra client e server remoto di Google. Anche se secondo Matteo Flora, le direttive del garante della privacy sono difficili da interpretare.
Se il sito web usa solo cookie tecnici, che non permettono l’identificazione dell’utente attraverso un ID univoco non è necessario bloccare i cookies nè visualizzare l’informativa breve.
Il Garante ha infatti chiarito che, nel caso di esclusivo utilizzo di cookie tecnici, “è richiesto il solo rilascio dell’informativa con le modalità ritenute più idonee (ad esempio inserendo il riferimento nella privacy policy del sito) senza necessità di realizzare il banner previsto dal provvedimento“.
I cookie per integrare prodotti e funzioni di software di terze parti permettono di integrare servizi sviluppati da terzi come le icone e le preferenze espresse nei social network al fine di condivisione dei contenuti del sito.
I cookie di profilazione Sono quei cookie necessari a creare profili utenti al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dall’utente all’interno delle pagine del Sito, vedi ad esempio i banner di AdSense. Nel nostro Sito non utilizziamo cookie di profilazione.
Avvisi e multe
Ogni webmaster, anche chi gestisce un piccolo blog, deve approntare prima di tutto una cosiddetta informativa estesa, ovvero una pagina che spieghi nel dettaglio quali cookie vengono utilizzati dal sito. In caso si tratti di cookie tecnici può andare bene anche una postilla alla pagina che ospita la privacy policy del sito.
Se un sito utilizza cookie di profilazione, il titolare dovrà fornire un’informativa breve, tramite l’utilizzo di un banner e un collegamento esplicito all’informativa estesa. L’obbligo vige anche se i cookie di profilazione vengono erogati da terze parti: in quel caso il titolare del sito dovrà inserire nella propria informativa i link alle informative estese delle terze parti. Se un sito ad esempio utilizza AdSense, dovrà rimandare all’informativa estesa di Google.
I titolari dei siti che erogano cookie di profilazione, infine, dovranno darne comunicazione all’ufficio del Garante e versare contestualmente una somma pari a 150€ per spese di segreteria. La mancata ottemperanza e l’invio di cookie di profilazione a utenti che non abbiano fornito il consenso può comportare una sanzione che va dai 10.000 ai 120.000 euro. Chi invece non fornirà un’informativa sulla privacy e sui cookie rischia una multa da 6.000 a 36.000 euro.
Intanto se usi servizi come AdSense per guadagnare poche decine di euro al mese, ti consiglio di disattivarli. Non vale davvero la pena rischiare multe salatissime per pochi spiccioli.
L’altra questione scottante riguarda i cookie di Google Analytics, un servizio che ormai utilizzano tutti i proprietari di siti web per raccogliere dati statistici sulle visite del proprio sito web.
I cookie Analytics sono cookie “tecnici”?
No. Il Garante (cfr. provvedimento dell’8 maggio 2014) ha precisato che possono essere assimilati ai cookie tecnici soltanto se utilizzati a fini di ottimizzazione del sito direttamente dal titolare del sito stesso, che potrà raccogliere informazioni in forma aggregata sul numero degli utenti e su come questi visitano il sito. A queste condizioni, per i cookie Analytics valgono le stesse regole, in tema di informativa e consenso, previste per i cookie tecnici.
In altri termini significa che i cookie di Google Analytics sono a tutti gli effetti dei cookie di profilazione, a meno che non raccolgano i dati degli utenti in maniera anonima. Google Analytics può infatti essere impostato per rendere anonimo l’indirizzo IP dell’utente che naviga sulle pagine del nostro sito.
Per rendere anonimo l’indirizzo IP su Google Analytics devi aggiungere allo script di monitoraggio che già usi, questa stringa di codice:
Con questo piccolo accorgimento renderai i cookie di Analytics dei cookie “tecnici” a tutti gli effetti e, nella pagina di informativa estesa sulla privacy, ti basterà segnalare l’uso di “cookie di Google Analytics con IP anonimizzato”.
Ricapitolando, per l’installazione dei cookie tecnici non è richiesto il consenso degli utenti, quindi nemmeno per quelli di Google Analytics se opportunamente anonimizzati (ma su questo punto si aspettano maggiori chiarimenti). I cookie di profilazione, invece, possono essere installati sul computer dell’utente che visita il nostro sito soltanto dopo l’espressione del suo consenso.
Gli effetti della legge
Se da una parte il provvedimento del Garante ha il merito di valorizzare il tema della privacy dei navigatori, dall’altra però i riferimenti alle multe salate e la difficile interpretazione della legge ha causato non pochi problemi ai webmaster.
Sul web impazzano numerose teorie e proteste e c’è già una petizione: si chiama #Bloccailcookie che ho deciso di firmare e che spera di riportare alla normalità una situazione complicata che rischia di ricadere sulle spalle di piccole aziende, blogger e titolari di siti web amatoriali privi delle conoscenze tecniche per adeguarsi all’attuale normativa.
Nonostante ammiri la decisione del Garante e io stesso sia molto attento al rispetto delle regole della privacy online, credo sarebbe stato meglio fare più pressione alle grosse compagnie di software, magari costringendole ad attivare di default la cancellazione dei cookie all’interno del browser. Pensiamo all’impatto grafico che tutti questi banner hanno sulle pagine, a mio avviso servono solo a infastidire l’utente ovvero il soggetto da proteggere, che finirà per dare il proprio consenso senza informarsi in alcun modo, cliccando sul banner al solo fine di eliminarlo rapidamente e proseguire nella consultazione del sito senza ulteriori interruzioni.
Per la maggior parte dei webmaster la soluzione rimane solo una: adeguarsi come meglio si può, in attesa di ulteriori chiarimenti e indicazioni da parte del Garante della Privacy, io l’ho fatto grazie a Iubenda e voi? Nel prossimo articolo elencherò le migliori soluzioni e plugin per adeguare il vostro sito in WordPress, Stay Tuned!! Nel frattempo aiutatemi a divulgare più informazioni su questa legge condividendo questo articolo sui social network.
Lascia un commento