Deadline cookie law - Normativa Cookie

Cookie Law: la mia soluzione

Aggiornamento del 01/06/2015: Cookie Consent ha rilasciato una seconda versione dello strumento per la gestione dei cookie che non consente più di gestire il blocco preventivo dei cookie. A questo link sono disponibili i dettagli in merito ai cambiamenti apportati alla nuova versione. La prima versione (che è quella a cui faccio riferimento in questo articolo e che consente di gestire il blocco preventivo dei cookie) è ancora disponibile a questo link: sitebeam.net/cookieconsent-v1/

 

Chi si occupa di web la notte ha incubi con biscottoni enormi che non riesce a bloccare o con un mostruoso Garante della privacy che lo rincorre per emettere multe salatissime. Ma ormai la questione non è più solo per gli addetti ai lavori: anche chi non è uno sviluppatore, un web designer o non lavora con il web ormai sa che il 2 giugno è la deadline per mettersi in regola con la nuova normativa del Garante della privacy in merito ai cookie.

Qui il link per leggere la notizia sul sito del Garante

Qui il provvedimento pubblicato sulla Gazzetta ufficiale

Qui le informazioni su cosa sono i cookie fornite dal Garante

Il Garante inoltre ha realizzato un breve video che in meno di quattro minuti cerca di chiarire le idee a chi è meno esperto:

Molto in breve, perché ormai l’overload di informazioni è tale da non dover entrare nei dettagli. La cookie law prevede che tutti i siti che utilizzano cookie di profilazione (pressoché tutti, quindi, se consideriamo che rientrano in questo elenco anche semplicemente i pulsanti di condivisione dei social) devono:

  • avere una privacy policy e una cookie policy consultabile dall’utente che elenchi quali cookie sono presenti sul sito;
  • prevedere un banner presente in ogni pagina con il compito di informare l’utente sull’impiego di questi cookie;
  • bloccare l’utilizzo dei cookie fino a che l’utente non abbia dato il suo esplicito consenso (per esempio cliccando su “Ok” o “Accetto” oppure effettuando qualsiasi altra azione sul sito, per esempio uno scroll).

L’interpretazione della normativa ha dato il via a una moltitudine di discussioni e problemi che hanno coinvolto, tra gli altri, gli utenti di Adsense e di WordPress.com, nel primo caso perché le regole di Adsense non consentono di modificare il codice script per bloccare il plugin e nel secondo caso perché gli utenti ospitati su WordPress.com non possono accedere al codice del sito. Accedere al codice del sito è infatti necessario per effettuare il blocco dei cookie di profilazione. Per quanto riguarda Adsense , la soluzione è utilizzare i commenti speciali anziché il codice di blocco dello script. Per quanto riguarda WordPress.com attualmente gli utenti sono in attesa di risposte e si stanno organizzando con soluzioni che vanno dalla pubblicazione di una policy “casalinga” che indica in Automattic (il gestore di WordPress.com) e in altre terze parti il responsabile del trattamento dei dati fino alla realizzazione di banner per l’accettazione dei cookie realizzati con gli strumenti attualmente a disposizione.

Chi invece può mettere mano al codice del suo sito (per esempio chi ha un sito realizzato con WordPress.org su dominio proprio oppure chi ha un sito fatto in html o con altri CMS) in questi giorni si è affannato nella ricerca di una soluzione che soddisfi in pieno le richieste della normativa. Qui condivido con voi la mia soluzione attuale che prevede una privacy policy e cookie policy realizzati con Iubenda (al costo di 19,00 euro l’anno) + uno strumento per la creazione del banner e il blocco preventivo dei cookie che si chiama Cookie Consent (gratuito).

È bene sapere che anche Iubenda si è attrezzata per fornire gli strumenti adeguati all’adempimento della legge (qui tutte le informazioni sulla soluzione Iubenda) e che anzi si è seduta al tavolo direttamente con il Garante della privacy per ottenere il maggior numero delle informazioni possibili. La mia scelta è però ricaduta su Cookie Consent perché a mio parere offre una documentazione snella, un tutorial video chiaro e uno strumento per l’analisi del proprio sito che consente di verificare immediatamente se è stato fatto un buon lavoro.

Per adottare questa soluzione (ma anche per adottare la soluzione che prevede il solo utilizzo di Iubenda) è necessario avere accesso al codice del sito ed inserire il codice fornito da Cookie Consent (o Iubenda o da altra parte, se si sceglie un’altra soluzione) nel file header.php (su WordPress il file si trova nel percorso Aspetto->Editor), subito prima del tag di chiusura della head . Una volta fatto questo occorrerà inoltre intervenire manualmente sul codice del template e dei plugin installati per bloccare i codici che eseguono cookie (ad eccezione dei cookie tecnici, che sono esenti della normativa). Con Cookie Consent questa operazione può essere fatta semplicemente sostituendo alla stringa script type=”text/javascript” la stringa script type=”text/plain” class=”cc-onconsent-social” (nel caso del codice relativo ai cookie generati per i social, oppure una stringa simile fornita da Cookie Consent per il blocco di altri tipi di cookie).

Un ultimo accorgimento: nel banner deve essere linkata la normativa Cookie (nel mio caso quella generata con Iubenda). Si può inserire il link con una semplice modifica al codice iniziale, quello che abbiamo inserito subito prima di .

Et voilà: se avete fatto tutto correttamente tutti i cookie di profilazione dovrebbero essere adeguatamente bloccati sino al momento in cui l’utente clicca su “Ok” per prestare il suo consenso.

Una avvertenza: sono considerati cookie di profilazione anche, come detto, quelli rilasciati dai pulsanti di condivisione sui social e quelli rilasciati da Analytics, se gli IP non sono stati anonimizzati. Anonimizzare gli IP di Analytics è una operazione semplice.

È sufficiente aggiungere allo script di monitoraggio attualmente in uso (quello che hai dovuto inserire all’interno del sito la prima volta che hai collegato Analytics al tuo sito), questa stringa di codice:

ga(‘set’, ‘anonymizeIp’, true);

La stringa deve essere inserita tra queste due:

ga(‘create’, ‘UA-XXXXXXXX-X’, ‘auto’);
ga(‘send’, ‘pageview’);

In questo modo il tuo codice finale apparirà in questo modo:

ga(‘create’, ‘UA-XXXXXXXX-X’, ‘auto’);
ga(‘set’, ‘anonymizeIp’, true);
ga(‘send’, ‘pageview’);

Se hai fatto tutto correttamente, dovresti essere ora in regola con quanto previsto dalla normativa.

Naturalmente, più passa il tempo e più si diffondono (per nostra fortuna) soluzioni semplici da implementare per adempiere a quanto richiesto dal Garante della privacy. Qui di seguito aggiungo due plugin che ho appena “scovato” che promettono di semplificare la vita a chi cerca di mettersi in regola (sono plugin a pagamento per WordPress). Io non li ho ancora testati, ma se qualcuno ha feedback in merito ogni commento è più che benvenuto.

WeePie Cookie Allow: consente di bloccare preveentivamente i Cookie ed ha implementato il consenso anche attraverso lo scroll della pagina

Dynamic Cookie Blocker: consente di usare uno shortcode da inserire direttamente nella pagina per bloccare i cookie di terze parti, tra cui anche quelli di un video di youtube embeddato, per il quale, fino a quando non si esprime il consenso della normativa, è possibile far visualizzare un testo.

Mi sembrano due ottime soluzioni che vale sicuramente la pena di considerare.

Per chiudere, due doverose precisazioni. Primo: ogni tipo di confronto e di informazione aggiuntiva è molto più che ben accolta, quindi se volete condividere la vostra esperienza su questo tema non risparmiatevi nei commenti. Secondo e ancor più importante: questo post non può essere considerato una consulenza legale. Condivido ciò che so sull’argomento. Se si è in dubbio la via più sicura è certamente quella di farsi seguire da un legale.

  • http://paolotambellini.it/ Paolo Tambellini

    Ciao, provando vari plugin o codici per fare apparire l’informativa breve mi sono accorto che quasi tutti vengono filtrati da AdBlock, Cookie Consent è tra questi.
    Se volevano farmi impazzire ci stanno riuscendo alla perfezione. :)

    • http://www.rockcopy.it Patrizia Frattini

      Ciao Paolo, una ottima informazione questa! Ti ringrazio. Ti va di condividere qui quali soluzioni hai testato che invece non vengono filtrati da AdBlock?

      Per fortuna le cose si stanno evolvendo velocemente da quando ho scritto questo articolo e in molti stanno rilasciando nuovi plugin sempre più performanti e facili da gestire. Ne sto testando anche io alcuni nuovi. Appena raccolgo tutte le informazioni utili scrivo un nuovo articolo con gli aggiornamenti. Stay tuned! 😉

      • http://paolotambellini.it/ Paolo Tambellini

        Correggo il mio intervento, per adesso tutti i plugin/codici che ho provato in proprio non funzionano con AdBlock attivo, continuo i test.
        AdBlock nasconde il banner anche su un bel po’ di siti (repubblica.it, corriere.it) :/

        Edit: questo funziona con AdBlock attivo e non sembra neanche fatto male https://wordpress.org/plugins/cookie-opt-in/

        • http://www.rockcopy.it Patrizia Frattini

          Interessante, hai provato anche Iubenda, Dynamic Cookie Blocker e EU Cookie Law? Lo chiedo perché sono i tre servizi per cui è più semplice contattare chi ha creato lo strumento, anche con un semplice post su Facebook. Se anche questi tre danno questo problema conviene avvisare gli sviluppatori in modo che possano correggere con la prossima release.

          Se mi confermi che hai testato anche i tre di cui sopra provo a fare una segnalazione. 😉

          • http://paolotambellini.it/ Paolo Tambellini

            Di Dynamic Cookie Blocker ho provato la loro pagina di test http://www.italiasmartphonereview.it/test. In effetti i blocchi vengono nascosti ma, non visualizzando l’informativa breve, non ho nessun modo di poterli visualizzare.

          • http://www.rockcopy.it Patrizia Frattini

            …immagino intendessi che in effetti i cookie vengono bloccati ma non visualizzando l’informativa non hai modo di attivarli? Oppure non capisco cosa intendi…
            E quanto a Iubenda? Lo hai testato?

          • http://paolotambellini.it/ Paolo Tambellini

            Si, intendevo quello, perdonami :)
            No, non ho testato Iubenda per quanto riguarda la Cookie policy, ho visto che è una funzione pro e il mio derelitto sito non vale quella cifra :)

          • http://www.rockcopy.it Patrizia Frattini

            Ok, allora tutto chiaro. Ad ogni modo, ho già fatto la segnalazione agli sviluppatori degli strumenti sopra citati che giustamente mi fanno notare che AdBlock è uno strumento che esula dalla normativa e dunque anche se il banner non si vede per chi ha attivo il blocco degli ad il tuo sito è a norma, al massimo sarà una preoccupazione di chi sviluppa AdBlock risolvere questo problema.

            A maggior ragione il sito è a norma se i cookie vengono bloccati.

            Il problema è “solo” che non vengono abilitati, ma il peggio che può succedere in questo caso è che un visitatore del tuo sito con installato AdBlock non veda i tuoi pulsanti social o i video youtube che hai embeddato e a quel punto si domanderà come mai e arriverà ad AdBlock. In generale, comunque, chi utilizza AdBlock è un utente piuttosto esperto e dunque sa riconoscere quando ci sono alterazioni della pagina dovute a questo strumento. Non credi?

          • http://paolotambellini.it/ Paolo Tambellini

            Esattamente. Ero arrivato alla stessa conclusione.

          • http://www.rockcopy.it Patrizia Frattini

            Ottimo! Siamo allineati. Se ti va, torna qui per farmi sapere dopo i tuoi test qual è il plugin che ritieni migliore. Io farò lo stesso pubblicando un nuovo articolo dopo il secondo giro di test.

  • fabio

    Ciao patrizia un informazione, per ora ho preso la versone beta gratuita e cookie law info, ora prenderò quella a pagamento visto che dovrò aumentare i servizi. Nella versione beta ho messo la spunta su facebook e google plus, come pulsante mi piace e widget sociali, ma se mettessi un plugin per la condivisione diretta di ciò che scrivo, per l’aggiornamento automatico sui social, su cosa dovrei mettere la spunta? Non trovo la dicitura o basta già quella che ho messo sulla versone beta (widget social), ultima domanda, se mettessi un autoresponder su cosa dovrei mettere la spunta su newsletter?
    grazie

    • http://www.rockcopy.it Patrizia Frattini

      Ciao Fabio, di cosa hai preso la versione beta gratuita? Di Iubenda? Se è di Iubenda che parli, ti consiglio per ogni chiarimento di contattare il loro servizio clienti, solitamente molto efficiente. Inoltre se frequenti i gruppi dedicati su facebook puoi trovare facilmente anche i loro post e quindi prendere contatto direttamente con loro tramite facebook. Sono sicura che ti sapranno aiutare nel modo migliore.

      Se invece non è di Iubenda che parliamo, allora dovresti dirmi a cosa ti riferisci 😉

  • Tiziano Bordin

    Buonasera Patrizia ho letto con piacere il tuo articolo sulla tua soluzione inerente alla cookie law , grazie per il tuo lavoro:), a tal proposito volevo chiederti gentilmente (se puoi) come si fa a modificare il codice che genera cookie consent per fare in modo che il link della cookie policy venga visualizzata nel banner? inoltre ho visto che la versione uno di cookie consent non blocca ad esempio i cookies di vimeo prima del consenso come dovrebbe e la versione due è progettata senza dare la possibilità di bloccare i cookies in anticipo, qualche soluzione in merito? Grazie:)

    • http://www.rockcopy.it Patrizia Frattini

      Buongiorno Tiziano,
      grazie per aver letto il mio articolo e per la tua richiesta.

      Modificare il codice di cookie consent per visualizzare nel banner il link alla privacy policy è piuttosto semplice:

      Cerca nel codice di Cookie Consent che hai incollato nell’header la stringa “seeDetails:” (la trovi dopo “strings: {“ e ti compare nel codice solo se nel form per la personalizzazione di cookie consent prima di copiare il codice hai modificato le frasi inserendo quelle in italiano, nella sezione “Choose your options – Change text”).

      Troverai che la stringa è così:

      seeDetails: ‘Leggi la cookie policy’,

      Modificala così: http://bit.ly/CodicePerLinkCookiePolicy

      Ed ecco fatto: ora nel banner sarà presente il link alla tua privacy policy.

      Naturalmente io ora sto parlando della versione 1 di Cookie Consent.

      Si, hai ragione, la versione due di questo tool è progettata per non bloccare i cookies in anticipo. Non riesco proprio a immagina il perché è stata fatta questa scelta, quando tutti gli altri tool vanno nella direzione opposta…Ad ogni modo, la versione 1 rimane sempre disponibile e si può trovare seguendo il link che ho publicato nell’aggiornamento di questo articolo.

      Quanto a Vimeo e al fatto che Cookie Consent non ne blocca i cookie: devo dire che Cookie Consent è stato il primo strumento disponibile per il blocco preventivo dei cookie. Questo significa che, a fronte del migliore tempismo, probabilmente ha trascurato qualcosa. Il consiglio può essere quello di provare a contattare gli sviluppatori per assistenza, ma vista la direzione presa con la versione due del tool non è detto che ti sappiano dare una soluzione. Se non sbaglio, comunque, il codice è open source e modificabile, quindi magari puoi trovare qualcuno in grado di modificarlo per ottenere il risultato desiderato.

      Per fortuna nel frattempo sono stati sviluppati e lanciati un gran numero altri di tool sia gratuiti che a pagamento per il blocco preventivo dei cookie, che promettono di bloccare anche i video embeddati di Vimeo e Youtube ed ogni altra funzionalità. Ne cito due su tutti: Dynamic Cookie Blocker, a pagamento, e l’ottimo EU Cookie Law for WordPress, sviluppato dall’ottimo Marco Milesi e gratuito.

      Proprio perché gli stumenti a disposizione si sono moltiplicati, oggi pubblicherò un nuovo articolo sull’argomento con tutte le novità, quindi se stai ancora cercando la soluzione perfetta tra poco potrai leggere qualche nuovo consiglio. 😉

      • Tiziano Bordin

        Grazie infinite Patrizia:) per quanto riguarda i vari plugin ne ho provati molti tra cui iubenda, cookie notice, eu cookie law, wp cookie privacy …e tutti purtroppo ad oggi(almeno quelli da me testati) continuano ad avere problemi tra blocchi anticipati non funzionanti o vari bug che non permettono il funzionamento del sito, ci vorrà ancora del tempo credo per avere qualcosa di solido, oggi vediamo se riesco a provare wee pie cookie allow:)
        Buona giornata:)

        • http://www.rockcopy.it Patrizia Frattini

          Grazie infinite a te per il tuo contributo :)
          Si, ci vorrà del tempo per avere qualcosa di solido, ma confido che arriverà.
          Per il momento, si tratta di scegliere lo strumento che fa più al caso nostro (per esempio, se il bug di uno strumento consiste nel non bloccare i cookie di Vimeo quello strumento rimane perfetto per chi non utilizza l’embed da Vimeo. Ma è solo un esempio). Prendere il meglio che c’è, insomma, e continuare a cercare qualcosa di meglio, che sia perfetto per il nostro sito.
          L’importante è fare tutto il possibile per bloccare il bloccabile, agire in buona fede e mantenere un ferreo “no panic”: non pioveranno multe da un giorno all’altro e questo lo ha confermato anche il Garante. Prendiamo il meglio che c’è e agiamo per quello che si può, non credi? 😉
          Buona giornata anche a te!

          • Tiziano Bordin

            Naturalmente Patrizia hai perfettamente ragione:) Grazie:)