Cookie law cosa fare

 

Cookie law cosa fare per adeguarsi

Aggiornamento del 31 maggio 2018 – A partire dal 2 giugno 2015 è entrata definitivamente in vigore anche in Italia la normativa europea in materia di cookie. La Cookie law obbliga i siti e i blog che acquisiscono dati di profilazione dei lettori di ottenerne il consenso preventivo alla continuazione della navigazione.

Questo significa il dover presentare un’informativa breve all’utente, oltre al link a quella allargata, che elenca tutti i cookie usati e il loro utilizzo, attraverso un banner/slider o elemento grafico simile installato su tutte le pagine.

Il provvedimento entra in vigore non senza accese polemiche data la natura controversa di alcuni passaggi della legge, le ingenti sanzioni previste per chi non la rispetta e perché coinvolge quasi tutti i soggetti online.

Per un sito o per un blog anche amatoriale, infatti è normale utilizzare cookie di terze parti per rilevare dati statistici di traffico, attraverso ad esempio Google Analytics, pubblicare banner di affiliazione come quelli di AdSense e plugin sociali come il bottone “Mi piace” di Facebook, fino anche all’inserimento di video presi da YouTube.

Ci sono poi gli e-commerce che, in genere, fanno uso anche di cookie proprietari per offrire una migliore navigazione all’utente registrato perché attraverso la profilazione, vengono mostrate pagine personalizzate in base agli interessi e agli acquisti passati.

Nello specificare che il presente articolo non potrà essere inteso come parere legale né sostitutivo delle linee guida impartite dal Garante, nelle prossime righe fornirò alcune pratiche indicazioni per mettere il proprio sito o il proprio blog in regola con la normativa Cookie Law.

 

Cookie law come adeguarsi

Per iniziare, vanno intanto distinti i cookie tecnici, necessari per accedere alle funzionalità specifiche di un sito, e cookie di profilazione.

Cookie tecnici definizione

La presente definizione è stata presa dal sito ufficiale del Garante per la Privacy, sezione 1.a, e vuole chiarire la natura dei cookie tecnici:

Possono essere suddivisi in cookie di navigazione o di sessione, che garantiscono la normale navigazione e fruizione del sito web (permettendo, ad esempio, di realizzare un acquisto o autenticarsi per accedere ad aree riservate); cookie analytics, assimilati ai cookie tecnici laddove utilizzati direttamente dal gestore del sito per raccogliere informazioni, in forma aggregata, sul numero degli utenti e su come questi visitano il sito stesso; cookie di funzionalità, che permettono all’utente la navigazione in funzione di una serie di criteri selezionati (ad esempio, la lingua, i prodotti selezionati per l’acquisto) al fine di migliorare il servizio reso allo stesso.

Per l’installazione di tali cookie non è richiesto il preventivo consenso degli utenti, ma resta l’obbligo di dare l’informativa attraverso il banner/slider o simili.

Attenzione però, non potrai considerare cookie analytics come tecnici se hai creato dei segmenti di traffico e alcuni rapporti personalizzati con le dimensioni secondarie, perché di fatto stai raccogliendo dati profilati e non aggregati e pertanto dovrai bloccare queste attività previo consenso dell’utente.

L’ingresso del GDPR ha fatto in modo che molte aziende, tra cui lo stesso Google, adeguassero la modalità di raccolta dati. Tale novità che riguarda la conservazione dei dati di utenti ed eventi, ha effetti anche sulla gestione dei cookie.

Per questo motivo, Google ha annunciato la possibilità di gestire la durata di archiviazione tramite Google Analytics.

Puoi modificare il periodo di conservazione (da 14 a 50 mesi) entrando da impostazioni da Proprietà > Informazioni di monitoraggio > Conservazione dati.
In base al periodo da te impostato all’interno del pannello, Google eliminerà i dati o li conserverà se avrai scelto l’opzione “Non scadono automaticamente”.

 

Cookie profilazione definizione

La presente definizione è stata presa dal sito ufficiale del Garante per la Privacy, sezione 1.b, e vuole chiarire la natura dei cookie di profilazione:

I cookie di profilazione sono volti a creare profili relativi all’utente e vengono utilizzati al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dallo stesso nell’ambito della navigazione in rete.

Data la natura invasiva di questi cookie nell’ambito della sfera privata, la normativa prevede che l’utente debba essere adeguatamente informato e debba manifestare il proprio consenso. In assenza del quale non sarebbe possibile procedere con l’archiviazione delle sue informazioni né fornirgli l’accesso a informazioni già archiviate.

 

Elementi del banner

La presente definizione è stata presa dal sito ufficiale del Garante per la Privacy, sezione 4.1, e vuole chiarire la natura dell’informativa breve e richiesta di consenso. Più precisamente, il banner deve indicare:

a) che il sito utilizza cookie di profilazione al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dall’utente nell’ambito della navigazione in rete;

b) che il sito consente anche l’invio di cookie “terze parti” (laddove ciò ovviamente accada);

c) il link all’informativa estesa, ove vengono fornite indicazioni sull’uso dei cookie tecnici e analytics, viene data la possibilità di scegliere quali specifici cookie autorizzare;

d) l’indicazione che alla pagina dell’informativa estesa è possibile negare il consenso all’installazione di qualunque cookie;

e) l’indicazione che la prosecuzione della navigazione mediante accesso ad altra area del sito o selezione di un elemento dello stesso (ad esempio, di un’immagine o di un link) comporta la prestazione del consenso all’uso dei cookie.

Il suindicato banner, oltre a dover presentare dimensioni sufficienti a ospitare l’informativa, seppur breve, deve essere parte integrante dell’azione positiva nella quale si sostanzia la manifestazione del consenso dell’utente. In altre parole, esso deve determinare una discontinuità, seppur minima, dell’esperienza di navigazione: il superamento della presenza del banner al video deve essere possibile solo mediante un intervento attivo dell’utente (appunto attraverso la selezione di un elemento contenuto nella pagina sottostante il banner stesso).

Cookie law come adeguarsi

Adesso veniamo alla pratica, ossia cosa fare per adeguare il tuo sito o blog alla Cookie Law.

Come prima cosa è opportuno verificare che tipo di cookie il tuo sito raccoglie.

Se non sei sicuro dei cookie di terze parti utilizzati dal tuo sito o blog per identificarli e catalogarli nell’informativa estesa, puoi scaricare un’estensione di browser come Ghostery, che mostra per ogni pagina web quelli impiegati.

Oppure puoi usare altri servizi come Cookiebot o Cookiemetrix.

Plugin per informativa breve (banner/slider o simili)

Per chi fa uso solo dei cookie tecnici è necessario fornire all’utente solo l’informativa. Ci sono molti servizi allo scopo, anche gratuiti, come il kit messo a disposizione da Google per gli sviluppatori. Cookie Choices Google fornisce il codice da usare per informare gli utenti della presenza di cookie e ottenere il loro consenso attraverso la schermata iniziale, una barra delle notifiche o, per le applicazioni, un popup una tantum. Il tutto personalizzabile nell’aspetto e nella lingua da presentare ai visitatori.

Oltre a questo kit, ci sono anche altre soluzioni gratuite come:

 

E’ quindi sufficiente installare il plugin e settare nelle impostazioni il messaggio da mostrare all’utente, la posizione del banner e la url della pagina con l’informativa estesa.

Queste soluzioni possono essere configurate in diversi modi, per soddisfare le esigenze del tuo sito.

È importante notare che tali configurazioni non controllano automaticamente la raccolta dei dati o i cookie sul tuo sito. Pertanto, se stai utilizzando servizi pubblicitari di terze parti, come quelli di Google, dovrai adottare misure per integrare la tua soluzione preferita con i tag pubblicitari sulle tue pagine per assicurarti che le preferenze degli utenti vengano rispettate. Ogni fornitore offre istruzioni o servizi di supporto per farlo.

Analytics anonimizzato

Per tutti coloro che raccolgono le statistiche attraverso Google Analytics è anche necessario anonimizzare i dati per renderli dei cookie tecnici e non di profilazione.

Per anonimizzare i dati di Analytics è sufficiente installare o aver installato il plugin di WordPress Google Analytics by Yoast e selezionare nelle impostazioni la relativa opzione. In alternativa si può aggiungere al codice nelle pagine web la stringa per anonimizzare l’IP (anonymizeip), cioè:

ga(‘set’, ‘anonymizeIp’, true); – per chi usa Universal Analytics
oppure
_gaq.push([‘_gat._anonymizeIp’]); – per chi usa Classic Analytics

subito dopo quella che dichiara l’ID del monitoraggio:
ga(‘create’, ‘UA-XXXX-Y’, ‘auto’);

così come spiegato anche alla pagina Google Developers.

 

YouTube anonimizzato

Esattamente come gli Analytics puoi anonimizzare anche i video caricati su YouTube e inseriti sul tuo sito o blog. Ti basterà aggiungere al link “-nocookie” come nell’esempio qui sotto:

https://www.youtube.com/ diventa https://www.youtube-nocookie.com

oppure, al momento della condivisione, scegliere l’opzione embed e selezionare l’apposita spunta.

Cookie-law_YouTube-anonimo

Chiarimenti aggiuntivi

Ci sono inoltre alcuni chiarimenti che il Garante ha pubblicato dopo l’entrata in vigore del provvedimento.
Ad esempio, al punto 2 “Utilizzo di cookie analitici di terze parti” dove si indica che:

In molti casi, i siti utilizzano, per meri fini statistici, cookie analitici realizzati e messi a disposizione da terze parti. In questi casi, si ritiene che i succitati siti non siano soggetti agli obblighi e agli adempimenti previsti dalla normativa (notificazione al Garante in primis) qualora vengano adottati strumenti idonei a ridurre il potere identificativo dei cookie analitici che utilizzano (ad esempio, mediante il mascheramento di porzioni significative dell’indirizzo IP).
Chiarimenti in merito all’attuazione della normativa in materia di cookie

Al punto 4. “Soggetti tenuti a realizzare il banner: il ruolo dei siti prima parte“:

Si chiarisce inoltre che se sul sito i banner pubblicitari o i collegamenti con i social network sono semplici link a siti terze parti che non installano cookie di profilazione non c’è bisogno di informativa e consenso.

Al punto 7. “Notificazione in caso di realizzazione di più siti web“:

È possibile effettuare una sola notificazione per tutti i diversi siti web che vengono gestiti nell’ambito dello stesso dominio.

 

Ulteriori avvertenze

Per l’uso dei cookie di profilazione è appunto obbligatoria l’accettazione dell’utente senza la quale la navigazione non potrebbe proseguire o dovrebbe essere inibita da quelle specifiche funzioni. Ed è questo il nodo più controverso e dibattuto in quanto anche tecnicamente è complesso da applicare (sopratutto per i siti amatoriali che fanno uso di programmi di affiliazione per ricavare qualche guadagno).

Per chi non fosse in grado di bloccare i cookie di terze parti, sarebbe preferibile eliminare il “Facebook Like button” e, a meno che non portino introiti giustificabili, anche i banner di affiliazione come AdSense e Amazon per esempio.

 

 

Cosa sono i cookie e perché sono una cosa importante

Cambiano le norme per la gestione dei cookie dai parte dei siti e app. Nei primi mesi del 2014, il Garante della Privacy ha stabilito l’obbligo da parte dei siti di ricevere il consenso online degli utenti prima di installare cookie ai fini di marketing e pubblicità. Dopo questa novità, infatti, gli utenti dovranno essere informati attraverso appositi banner e i siti avranno un anno di tempo per adeguarsi.

Quante volte ti è capitato di navigare da un sito a un altro quasi senza accorgertene? Tutti gli argomenti che avevi selezionato di visualizzare in “primo piano”, eccoli disponibili con un click: dalle notizie del giorno condensate in pochi cinguettii alla posta in arrivo sufficientemente filtrata dallo spam fino alla bacheca di Facebook aggiornata a pochi istanti prima.

Quanta diversità, invece, navigare da un computer diverso dal tuo oppure subito dopo avere fatto pulizia dei file salvati durante le passate navigazioni! E’ un po’ come ritrovarsi in una terra “sconosciuta” dove tu sei il forestiero. Lo scenario sono pagine di accesso con box login da compilare.

Cancellare i cookie significa azzerare i consensi a “farci riconoscere” da un sito o portale. I cookie sono dei piccoli file collegati al browser di navigazione usato che, da una parte consentono autenticazioni automatiche, siti web preferiti e anche acquisti via internet, dall’altra monitorano tutti i percorsi di navigazione degli utenti e di conseguenza concernenti il diritto alla privacy.

cookie webInfatti, se il biscottino – il termine cookie, letteralmente “biscotto”, deriva da un concetto noto in ambiente UNIX (magic cookie) – può aiutare la navigazione, d’altra parte ha la facoltà di “spiare” le nostre abitudini.

Perché sono anche una cosa seria

I cookie sono usati anche per proporre all’utente una pubblicità mirata in base ai dati di navigazione come: siti più consultati e ricerche nei motori. Anche Google, infatti, spedisce un cookie ogni volta che facciamo delle ricerche, immagazzinando così le parole chiave inserite e i click sui risultati, tanto che nel settembre 2013 la società di Mountain View ha patteggiato con il garante per 17 milioni di dollari, la causa aperta in 38 stati americani per avere usato i cookie su Safari, il browser di Apple, all’insaputa degli utenti.

L’argomento delicato e anche complesso riguarda l’avanzamento tecnologico e l’accessibilità del mezzo (internet) per tutta la comunità digitale.

Browser come Chrome e Mozilla hanno già iniziato a utilizzare annunci a video per informare gli utenti e fornire loro la possibilità di decidere se accettare o no i cookie. Questo, ad esempio, è il messaggio che compare collegandosi a Twitter:

Per offrirti Twitter nel modo in cui ti serve, noi e i nostri partner usiamo i cookie sui nostri siti web e su quelli di altri. I cookie consentono di personalizzare i contenuti di Twitter, personalizzare gli Annunci Twitter e misurarne i risultati, nonché offrirti un’esperienza Twitter potenziata, più veloce e più sicura. Usando i nostri servizi, accetti il nostro Uso dei cookie.

Cosa cambia per la privacy lato utente e lato publisher

Ora, invece, il messaggio non sarà più opzionale ma scatta anzi l’obbligo di autorizzazione. Il Garante della Privacy, con la pubblicazione sulla Gazzetta Ufficiale, ha stabilito che non potranno essere installati cookie da parte dei gestori dei siti sul computer degli utenti senza avere prima ottenuto il consenso da parte degli stessi, sia per la navigazione da desktop sia da mobile. Gli utenti dovranno quindi essere informati attraverso appositi banner, e i siti hanno un anno di tempo per adeguarsi.

 chromecookiesviewLa scelta lato utente a dare o meno il consenso non è così immediata, soprattutto pensando alla nostra privacy e al numero di volte al giorno in cui diamo i nostri dati per accedere a un servizio o per utilizzare un’applicazione, tenendo anche conto delle previsioni digitali per il 2017 (adesso realtà) alquanto allarmanti. 

Meglio dare il consenso lasciando che il sito profili i nostri dati in un apposito database e accedere più facilmente (e velocemente) ai servizi che ci interessano? O meglio dare la priorità alla privacy, navigando in modalità anonima come dopo aver fatto pulizia (senza i cookie non vi sarebbe differenza tra una pagina caricata prima dell’autenticazione al sito e la stessa caricata dopo)?

E’ bene sapere che dopo aver dato o non il consenso a un determinato trattamento, concetto ribadito nel GDPR, in qualsiasi momento potrai cambiare idea e modificare le tue scelte sui cookie attraverso l’informativa estesa che sarà linkata a ogni pagina del sito.

Altre risorse che potrebbero interessarti:

Guida alla Cookie lawA cura della società Iubenda

Un commento! Vuoi aggiungere qualcosa?

  1. honeybadger 2 giugno, 2015 Rispondi

Lascia un commento

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.