Potevamo farci mancare un pò di burocrazia applicata anche al web? Certo che no.
La prossima data da segnare sul calendario è quella del 2 giugno 2015, momento in cui ogni sito web che utilizza i cookie, praticamente il 99,9% di quelli esistenti, dovrà mostrare all’utente un messaggio con due link: il primo è l’informativa estesa, il secondo invece è l’accettazione dell’utilizzo dei cookie stessi.

L’omissione di tale voce prevede multe salatissime, vedere per credere:

  • da €6.000 a €36.000 per informativa omessa o non idonea,
  • da €10.000 a €120.000 per l’uso di cookie di profilazione senza il consenso dell’utente,
  • da €20.000 a €120.000 per comunicazione omessa o incompleta al Garante.

Premessa

Ovviamente chi stai leggendo in questo momento non è un avvocato, quindi non posso garantirti che quanto descritto di seguito sia assolutamente corretto dal punto di vista legislativo del Garante della Privacy, anche perché, ironia di questa normativa, a detta persino di avvocati, in alcuni punti la legge risulta addirittura avere delle incongruenze o delle contraddizioni.
Parlo quindi come semplice persona che nelle ultime settimane si è dovuta per forza di cose documentare e confrontare con altri colleghi, partecipando a dibattiti e videoconferenze sul tema nel quale erano presenti anche dei legali.

Cosa sono questi Cookie?

Partiamo dalla base, i cookie non sono altro che piccoli file generati dal nostro browser durante la navigazione, i quali vengono usati per eseguire alcune operazioni, quelle più comuni sono ad esempio le autenticazioni automatiche, ovvero quando ad esempio uscite e rientrate in Facebook senza reinserire ogni volta le vostre credenziali.

Ma alcuni cookie, potendo anche monitorare le sessioni e memorizzare soprattutto informazioni specifiche degli utenti che accedono ad un determinato server, vengono in molti casi adoperati anche per scopi pubblicitari e di marketing, ed è qui che magari si può spezzare una lancia a favore di tale normativa, poichè qualche malintenzionato potrebbe trovare la sua gloria.
Un esempio di quest’ultimo tipo di cookie? Immaginate di trovarvi sul sito di Amazon per cercare un determinato libro, magari volete solo controllarne il prezzo online e così anzichè acquistarlo, uscite da Amazon e continuate a navigare per fatti vostri su altri siti. A quel punto, tra i banner dei siti che visitate, con molta probabilità comparirà proprio la pubblicità di quello stesso libro che stavate guardando, magari ad un prezzo diverso e presente in un altro e-store. Magia? No, è merito proprio di questa tipologia di cookies.

Per chi volesse approfondire questo argomento, il Garante della Privacy ha anche realizzato un breve video che trovate in questo link.

Tipologie di Cookie

Fatta questa premessa, entriamo un po’ più nello specifico facendo una distinzione dei tipi di cookies di cui si parla nella normativa, non a caso il garante li ha distinti in due tipologie.

  • Cookie Tecnici: vengono usati per l’esecuzione di diverse funzionalità del sito e alcuni esempi di questa tipologia sono i cookie di sessione (che consentono l’accesso ad aree riservate), quelli per la gestione di un carrello in un sito e-commerce e i cookie analytics, i quali raccolgono i dati in forma aggregata e vengono utilizzati direttamente dal gestore del sito.
    In base a quanto letto sulla normativa, l’installazione di cookie tecnici non richiede il consenso preventivo degli utenti, ma resta comunque l’obbligo di dare l’informativa ai sensi dell’art. 13 del Codice.
  • Cookie di Profilazione: detti anche cookie di remarketing, vengono utilizzati per creare dei profili dell’utente e per generare dei messaggi pubblicitari in linea con le preferenze di quest’ultimo durante la sua navigazione.
    I cookie di profilazione di terze parti sono molto diffusi, tra i più noti ad esempio, anche se in modo indiretto, troviamo i pulsanti social, stessa cosa per quanto riguarda i banner di AdSense o qualsiasi altro servizio di advertising.
    Per questa tipologia di cookie, è richiesto il consenso dell’utente dopo che quest’ultimo è stato informato.

Cookie di Profilazione

Sostanzialmente questa Cookie Law è stata fatta appositamente per quei siti che generano cookie di profilazione, il che la fa diventare anche una legge corretta, poichè anche nel web ci si trova davanti a malintenzionati pronti ad usare i dati personali degli utenti in malomodo.

Il nocciolo della questione nasce dal fatto che chi ha stilato tale normativa, ha deciso di fare “di tutta l’erba un fascio” includendo anche coloro che magari possiedono solo un piccolo sito con cookie tecnici o analitici e che non hanno nulla a che fare con siti e-commerce o contenenti messaggi pubblicitari.

Per chi possiede quest’ultimo tipo di siti, la normativa obbliga a pubblicare il banner informativo e ad inviare al Garante una comunicazione che ha un costo di €150.

L’informativa

Come dice la normativa, deve essere presente un’informativa breve visibile già al primo accesso mediante un banner o una finestra popup che risalti graficamente, nonchè un’informativa estesa che deve essere visibile in tutte le pagine con la facoltà di consentire all’utente di decidere quali cookie vuole che vengano utilizzati sul suo pc.

L’informativa breve

L’informativa breve non è altro che il testo che deve comparire al primo accesso al sito, questo testo può essere scritto in diversi modi, quelli che attualmente trovate girando per il web sono questi:

Questo sito utilizza cookie, anche di terze parti, per inviarti pubblicità e servizi in linea con le tue preferenze. Se vuoi saperne di più clicca qui. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsenti all’uso dei cookie.

Questo sito si serve dei cookie per fornire servizi. Utilizzando questo sito acconsenti all’utilizzo dei cookie. (è la forma più breve, anche troppo, forse)

Questo sito o gli strumenti terzi da questo utilizzati si avvalgono di cookie necessari al funzionamento ed utili alle finalità illustrate nella cookie policy. Se vuoi saperne di più o negare il consenso a tutti o ad alcuni cookie, consulta la cookie policy. Chiudendo questo banner, scorrendo questa pagina, cliccando su un link o proseguendo la navigazione in altra maniera, acconsenti all’uso dei cookie.

L’informativa estesa

L’informativa estesa, che come detto soprà dovrà avere una pagina dedicata, dovrà contenere:

  1. Codice della privacy;
  2. Spiegazione su cosa sono i cookie e come poterli eliminare tramite le impostazioni del browser;
  3. Indicazione di come viene dato il consenso;
  4. Tipologie e descrizione dei cookie tecnici divisi per finalità;
  5. Tipologie e descrizione dei cookie di profilazione divisi per finalità, con relativo modulo di consenso;
  6. Tipologie e descrizione dei cookie di terze parti con relative finalità, link all’informativa e al modulo di consenso della terza parte.

Sostanzialmente lo scopo del Garante della Privacy è quello di evitare che un utente venga profilato a sua insaputa per scopi pubblicitari (il che è più che giusto), difatti la legge obbliga anche a dare all’utente la possibilità di rinunciare ad ogni singolo cookie, con l’eventualità però che poi il sito possa avere dei problemi di malfunzionamento.

Il consenso

Riguardo a come l’utente possa dare il suo consenso, la normativa dice che qualsiasi azione si svolga sul sito, dalla chiusura stessa del banner o del popup fino alla compilazione di un modulo, essa equivale all’accettazione dell’informativa.

Dati di Analytics

Uno dei nodi cruciali potrebbe essere uno strumento di analisi delle visite tipo Google Analytics, poichè questi non consentono di adoperare i dati di monitoraggio singoli per delle attività di tipo pubblicitario, ma qualora si dovesse applicare la normativa in modo ferreo e l’utente decidesse di rinunciare anche ai cookie di Analytics, allora ogni singolo sito potrebbe riscontrare un brusco calo del traffico.

Questo ovviamente innescherebbe anche una serie di reazioni per chi ad esempio deve vendere pubblicità o prodotti in un sito e non possiede i dati effettivi delle visite al sito.
In aiuto però a questa eventuale seccatura, Google ha messo a disposizione la possibilità di anonimizzare completamente l’IP dell’utente, mantenendo i dati delle visite a scapito di quelli sulla posizione geografica.

Botta e risposta a bruciapelo

  1. Come fare se il sito risiede all’estero ma è pubblicato in Italia?
    Se il sito è destinato al pubblico italiano dovrà attenersi alle regole sui cookies della normativa.
  2. Se possiedo un sito multilingua?
    Per i siti multilingua si deve integrare un’informativa della privacy in linea con ogni lingua presente sul sito.
  3. Chi è il responsabile del sito rispetto a tale normativa?
    La responsabilità è del titolare del sito e/o del titolare del trattamento dei dati personali, il quale ha l’onere di garantire il rispetto della legge, di conseguenza ogni titolare dovrà far stilare la normativa estesa da un proprio legale di fiducia, poichè è l’unica figura atta a compilarla.
  4. Se uso soltanto Google Analytics?
    In tal caso l’informativa estesa potrebbe non servire ma è comunque necessario inserire informazioni in quella breve.
  5. Devo elencare dettagliatamente i cookies?
    Si, devono essere elencati nell’informativa estesa ed il titolare del sito deve rendere disponibile all’interessato un elenco delle eventuali terze parti.

Analizzare e mappare i cookies

Prima di tutto occorre analizzare e mappare tutti i cookies presenti nel sito, per farlo si possono usare le funzioni di debug del proprio browser. Su Chrome (ma anche sugli altri browser), ad esempio, basta caricare il sito e cliccare col tasto destro su Ispeziona Elemento, poi sulla scheda Resources che compare in alto a destra. A questo punto sul lato sinistro apparirà la voce Cookies con il nome del sito ed altri eventuali siti di terze parti.

È arrivato il momento di elencare tutti i cookies con il singolo nome, la singola spiegazione della funzione e la singola data di scadenza (quelli che compaiono col nome Session, per sicurezza è bene indicarli come Permanente).
Per ovvi motivi, eventuali cookies di terze parti non possono essere spiegati in fatto di singola funzione, quindi basterà soltanto elencarli ed inserire la dicitura Permanente come tempo di scadenza.

Esistono però anche dei servizi online o degli add-on per browser nei quali basta inserire l’URL del proprio sito per ricavarne l’elenco dei cookies presenti con relativa descrizione e scadenza, li trovate di seguito:

Le soluzioni

Fatta quest’ampia considerazione, analizziamo le soluzioni attualmente disponibili su piazza per creare questo banner.
Per farlo abbiamo due possibilità, la prima è manuale e un pochino articolata, con l’inserimento di un file e di uno script di codice, la seconda invece è più semplice ed è quella di utilizzare un classico plugin (per chi utilizza WordPress).

La prima soluzione la offre Google scaricando il pacchetto cookiechoices.zip, al suo interno è presente un file JS da inserire nella cartella del tema. Aprendo il proprio file footer.php (o header.php se desiderate far comparire in alto il banner) inseriremo prima del file di chiusura </body> il seguente script di codice.

<script type=’text/javascript’ src=”<?php bloginfo(‘template_url’); ?>/js/cookiechoices.js”></script> <script> document.addEventListener(‘DOMContentLoaded’, function(event) { cookieChoices.showCookieConsentBar (‘I cookie ci aiutano nei nostri servizi. Utilizzando i nostri servizi, accetti il nostro utilizzo dei cookies.’, ‘OK’, ‘Cookie Policy’, ‘<?php bloginfo(‘url’); ?>/privacy/’); }); </script>

I plugin

La seconda soluzione invece è quella di adoperare un plugin che generi automaticamente il banner ed abbia ovviamente un link all’informativa estesa ed un pulsante di chiusura del banner stesso.

Durante questo periodo ho testato questi due plugin:

Entrambi fanno un ottimo lavoro, ma se devo dare la mia opinione personale, opterei per quest’ultimo per acuni semplici ma solidi motivi.

Anche se è nato da poco, Italy Cookie Choices è nettamente più leggero e quasi impercettibile a livello di risorse e di caricamento del sito, è semplice da configurare, è in continua evoluzione dal punto di vista degli aggiornamenti e, per finire, lo sviluppatore è italiano e fa parte della community di WordPress.

Plugin per i cookies di profilazione

Per chi invece possiede cookie di profilazione e deve consentire all’utente la loro disabilitazione, allora ci vengono in aiuto un paio di plugin che, dato il momento, sono piuttosto usati e anche ben recensiti:

  • WeePie Cookie Allow (a pagamento, ma secondo molte recensioni è il più completo poichè blocca i cookie di profilazione)
  • Third Party Eraser (sviluppato da un italiano e totalmente gratuito)

Spero di aver dato quante più informazioni possibili a riguardo e se qualcuno ha qualcosa da aggiungere, non ha che da chiedere.

PS. Speriamo di uscirne sani e salvi ;)