Cookie Law

Ancora un biscotto: antologia di soluzioni, contatti e approfondimenti per essere in regola con la legge sui cookie

La legge che regolamenta l’uso dei cookie per tutti i siti web è entrata in vigore il due giugno scorso, ma persino chi l’ha emanata, cioè il Garante per la privacy, si è reso conto che non per tutti è chiaro come si deve procedere, al punto che ha continuato a pubblicare informazioni, chiarimenti e tabelle esplicative. Dopo il mio primo post sulla cookie law, proviamo a fare un punto della situazione, a riassumere tutte le informazioni fondamentali e ad elencare strumenti, contatti utili e link per l’approfondimento.

Se sei già bene informato su cosa sono i cookie, cos’è la cookie law e cosa prevede puoi andare direttamente al paragrafo “Antologia di soluzioni“.

In breve: cosa sono i cookie e cosa dice la legge

I cookie sono piccoli file che vengono memorizzati nel computer di ogni utente web per consentire di “riconoscerlo” alla sua prossima visita e dunque di fornirgli un servizio personalizzato. Quando uno strumento online ti riconosce come già loggato su facebook sta utilizzando un cookie, quando google analytics ti riconosce come un visitatore di ritorno sta utilizzando un cookie, quando un sito multilingua ricorda quale lingua hai scelto per la navigazione sta utilizzando un cookie. La cosiddetta “cookie law” cioè la legge che regola la gestione di questi cookie da parte dei proprietari di un sito web, dice che non è più possibile memorizzare questi piccoli file nei computer degli utenti che visitano un sito senza prima avere chiesto il loro consenso ed obbliga i proprietari di siti web a dotarsi di una cookie policy (un informativa privacy che citi quali cookie vengono utilizzati nel sito) e, in alcuni casi, di un banner per l’acquisizione del consenso dell’utente. Infine, in alcuni casi, sarà necessario anche notificare al garante l’utilizzo di alcuni particolari cookie pagando la cifra di 150,00 euro per spese di segreteria.

Quali cookie posso installare

Gli unici cookie che è ancora consentito installare senza richiedere un consenso preventivo sono quelli che vengono chiamati “cookie tecnici“, cioè quelli necessari al funzionamento del sito (per esempio quelli i cookie di sessione, quelli che servono a ricordare cosa hai messo nel carrello quando sei in un e-commerce, quelli che ricordano quale lingua hai impostato ed altro ancora), i cookie analitici di prima parte (cioè i cookie che servono a monitorare le visite realizzati e utilizzati direttamente dal proprietario del sito e i cookie analitici di terze parti (cioè lo stesso tipo di cookie, ma realizzato da una terza parte diversa dal proprietario del sito – è questo il caso più comune e rientra in questo elenco anche Google Analytics).

Ma, attenzione, per i cookie analitici di terze parti non è necessario richiedere il consenso soltanto, e qui cito direttamente il documento del Garante:

“…qualora vengano adottati strumenti idonei a ridurre il potere identificativo dei cookie analitici che utilizzano (ad esempio, mediante il mascheramento di porzioni significative dell’indirizzo IP).

L’impiego di tali cookie deve, inoltre, essere subordinato a vincoli contrattuali tra siti e terze parti, nei quali si faccia espressamente richiamo all’impegno della terza parte o a utilizzarli esclusivamente per la fornitura del servizio, a conservarli separatamente e a non “arricchirli” o a non “incrociarli” con altre informazioni di cui esse dispongano.”

Vedremo poi bene, nel caso di Analytics, questo cosa significa.

Se i cookie analitici di terze parti non rispettano le due condizioni sopra citate occorre:

  • bloccare i cookie prima del consenso
  • prevedere il banner per la richiesta del consenso
  • fare la notificazione al Garante pagando 150,00 euro

Come mettermi in regola per la cookie law

Il caso più comune è quella relativo a Google Analytics, uno strumento che la stragrande maggioranza dei siti web utilizza per monitorare le visite e il comportamento dei suoi utenti. In questo caso le operazioni da fare sono due:

  • anonimizzare gli ip degli utenti monitorati (qui la procedura)
  • disabilitare la condivisione dei dati raccolti di Analytics con altri strumenti e servizi Google (qui la procedura)

E per i social network?

Un altro caso molto comune è quello che riguarda l’uso di pulsanti di condivisione sui social network. In questo caso il Garante prevede:

“Il consenso all’uso dei cookie terze parti si sostanzia nella composizione di due elementi entrambi necessari: da un lato la presenza del banner, che genera l’evento idoneo a rendere il consenso documentabile (a carico della prima parte) e, dall’altro, la presenza dei link aggiornati ai siti gestiti dalle terze parti in cui l’utente potrà effettuare le proprie scelte in merito alle categorie e ai soggetti da cui ricevere cookie di profilazione.

Si chiarisce inoltre che se sul sito i banner pubblicitari o i collegamenti con i social network sono semplici link a siti terze parti che non installano cookie di profilazione non c’è bisogno di informativa e consenso.”

Antologia di soluzioni e contatti utili
Qui di seguito riporto una serie di link a strumenti utili e soluzioni proposte da aziende e sviluppatori italiani e non per essere in regola con la cookie law. Non ho testato tutte le soluzioni, dunque qualsiasi feedback e commento in merito è utile e gradito: fatemi sapere cosa ne pensate e quali avete usato!

  • Iubenda: con 19 euro l’anno offre privacy policy, cookie policy, banner e sistema di blocco preventivo dei cookie. È necessario mettere mano al codice del sito per attivare il blocco preventivo dei cookie. (Se si hanno solo cookie tecnici e cookie di profilazione come Google Analytics si potrà approfittare della creazione di una privacy policy gratuita e non si avrà bisogno di alcun banner) – A pagamento o gratis ( a seconda dei servizi scelti): 19,00 € l’anno
  • Cookie Consent: uno dei primi strumenti, insieme a Iubenda, ad essere stati messi a disposizione. È stato aggiornato alla versione 2 che non consente più di impostare il blocco preventivo dei cookie ma la versione 1 è ancora disponibile. Anche in questo caso per attivare il blocco è necessario mettere mano al codice del sito. Ho parlato diffusamente di questo strumento nel mio primo post sulla cookie law, si tratta di uno dei primi strumenti disponibili per adempiere a quanto richiesto alla cookie law. Oggi, però, sono disponibili molti altri strumenti che è opportuno valutare prima di questo. – Gratuito
  • Italy Cookie Choices: sviluppato (anche) da Andrea Pernici (conosciuto da chi “frequenta” il GT Masterclub). Migliora release dopo release. – Gratuito
  • WeePie Cookie Allow: consente di bloccare preveentivamente i Cookie ed ha implementato il consenso anche attraverso lo scroll della paginaA pagamento: per WordPress, licenza singola a 14,00 $
  • Dynamic Cookie Blocker: consente di usare uno shortcode da inserire direttamente nella pagina per bloccare i cookie di terze parti, tra cui anche quelli di un video di youtube embeddato, per il quale, fino a quando non si esprime il consenso della normativa, è possibile far visualizzare un testo. Utilissimo il gruppo pubblico su Facebook dove chiedere informazioni direttamente allo sviluppatore, in italiano.A pagamento: 25,00 € per un sito web
  • EU Cookie Law for WordPress: sviluppato da Marco Milesi, attivo anche su alcuni gruppi facebook (per esempio su Italian Webdesign Cafè) e disponibile per informazioni di prima mano. – Gratuito
  • Divas Cookies delle Coding DivasA pagamento: per WordPress, licenza singola a 9,00 $
  • Bootcooker: sviluppato da Vasile Alexandru Peste (disponibile sul gruppo Facebook di Italian Webdesign Cafè per informazioni e richieste), promette di automatizzare completamente tutto il processo senza alcun bisogno di mettere mano al codice.A pagamento: 4,99 € per un sito web

Naturalmente, in questa fase, molti strumenti potrebbero avere bug, problemi o non effettuare il blocco per determinati strumenti. In un commento al mio precedente post su questo tema Tiziano (che ringrazio) segnalava problemi nel trovare uno strumento in grado di bloccare i cookie generati da Vimeo ed osservava che quasi tutti gli strumenti che ha provato sono imperfetti e mancano in qualcosa. La situazione andrà sicuramente migliorando, come migliorano tutti gli strumenti in seguito al loro primo lancio.

Per il momento, si tratta di scegliere lo strumento che fa più al caso nostro (per esempio, se il bug di uno strumento consiste nel non bloccare i cookie di Vimeo quello strumento rimane perfetto per chi non utilizza l’embed da Vimeo.). Prendere il meglio che c’è, insomma, e continuare a cercare la perfezione.

L’importante è fare tutto il possibile per bloccare il bloccabile, agire in buona fede e mantenere un ferreo “no panic”: non pioveranno multe da un giorno all’altro e questo lo ha confermato anche il Garante.

Approfondimenti

Ecco un serie di link utili per approfondire il tema cookie law e saperne di più:

 

Foto: Flickr.com – Zizzybaloobah