Articoli

Cookie Law

Ancora un biscotto: antologia di soluzioni, contatti e approfondimenti per essere in regola con la legge sui cookie

La legge che regolamenta l’uso dei cookie per tutti i siti web è entrata in vigore il due giugno scorso, ma persino chi l’ha emanata, cioè il Garante per la privacy, si è reso conto che non per tutti è chiaro come si deve procedere, al punto che ha continuato a pubblicare informazioni, chiarimenti e tabelle esplicative. Dopo il mio primo post sulla cookie law, proviamo a fare un punto della situazione, a riassumere tutte le informazioni fondamentali e ad elencare strumenti, contatti utili e link per l’approfondimento.

Se sei già bene informato su cosa sono i cookie, cos’è la cookie law e cosa prevede puoi andare direttamente al paragrafo “Antologia di soluzioni“.

In breve: cosa sono i cookie e cosa dice la legge

I cookie sono piccoli file che vengono memorizzati nel computer di ogni utente web per consentire di “riconoscerlo” alla sua prossima visita e dunque di fornirgli un servizio personalizzato. Quando uno strumento online ti riconosce come già loggato su facebook sta utilizzando un cookie, quando google analytics ti riconosce come un visitatore di ritorno sta utilizzando un cookie, quando un sito multilingua ricorda quale lingua hai scelto per la navigazione sta utilizzando un cookie. La cosiddetta “cookie law” cioè la legge che regola la gestione di questi cookie da parte dei proprietari di un sito web, dice che non è più possibile memorizzare questi piccoli file nei computer degli utenti che visitano un sito senza prima avere chiesto il loro consenso ed obbliga i proprietari di siti web a dotarsi di una cookie policy (un informativa privacy che citi quali cookie vengono utilizzati nel sito) e, in alcuni casi, di un banner per l’acquisizione del consenso dell’utente. Infine, in alcuni casi, sarà necessario anche notificare al garante l’utilizzo di alcuni particolari cookie pagando la cifra di 150,00 euro per spese di segreteria.

Quali cookie posso installare

Gli unici cookie che è ancora consentito installare senza richiedere un consenso preventivo sono quelli che vengono chiamati “cookie tecnici“, cioè quelli necessari al funzionamento del sito (per esempio quelli i cookie di sessione, quelli che servono a ricordare cosa hai messo nel carrello quando sei in un e-commerce, quelli che ricordano quale lingua hai impostato ed altro ancora), i cookie analitici di prima parte (cioè i cookie che servono a monitorare le visite realizzati e utilizzati direttamente dal proprietario del sito e i cookie analitici di terze parti (cioè lo stesso tipo di cookie, ma realizzato da una terza parte diversa dal proprietario del sito – è questo il caso più comune e rientra in questo elenco anche Google Analytics).

Ma, attenzione, per i cookie analitici di terze parti non è necessario richiedere il consenso soltanto, e qui cito direttamente il documento del Garante:

“…qualora vengano adottati strumenti idonei a ridurre il potere identificativo dei cookie analitici che utilizzano (ad esempio, mediante il mascheramento di porzioni significative dell’indirizzo IP).

L’impiego di tali cookie deve, inoltre, essere subordinato a vincoli contrattuali tra siti e terze parti, nei quali si faccia espressamente richiamo all’impegno della terza parte o a utilizzarli esclusivamente per la fornitura del servizio, a conservarli separatamente e a non “arricchirli” o a non “incrociarli” con altre informazioni di cui esse dispongano.”

Vedremo poi bene, nel caso di Analytics, questo cosa significa.

Se i cookie analitici di terze parti non rispettano le due condizioni sopra citate occorre:

  • bloccare i cookie prima del consenso
  • prevedere il banner per la richiesta del consenso
  • fare la notificazione al Garante pagando 150,00 euro

Come mettermi in regola per la cookie law

Il caso più comune è quella relativo a Google Analytics, uno strumento che la stragrande maggioranza dei siti web utilizza per monitorare le visite e il comportamento dei suoi utenti. In questo caso le operazioni da fare sono due:

  • anonimizzare gli ip degli utenti monitorati (qui la procedura)
  • disabilitare la condivisione dei dati raccolti di Analytics con altri strumenti e servizi Google (qui la procedura)

E per i social network?

Un altro caso molto comune è quello che riguarda l’uso di pulsanti di condivisione sui social network. In questo caso il Garante prevede:

“Il consenso all’uso dei cookie terze parti si sostanzia nella composizione di due elementi entrambi necessari: da un lato la presenza del banner, che genera l’evento idoneo a rendere il consenso documentabile (a carico della prima parte) e, dall’altro, la presenza dei link aggiornati ai siti gestiti dalle terze parti in cui l’utente potrà effettuare le proprie scelte in merito alle categorie e ai soggetti da cui ricevere cookie di profilazione.

Si chiarisce inoltre che se sul sito i banner pubblicitari o i collegamenti con i social network sono semplici link a siti terze parti che non installano cookie di profilazione non c’è bisogno di informativa e consenso.”

Antologia di soluzioni e contatti utili
Qui di seguito riporto una serie di link a strumenti utili e soluzioni proposte da aziende e sviluppatori italiani e non per essere in regola con la cookie law. Non ho testato tutte le soluzioni, dunque qualsiasi feedback e commento in merito è utile e gradito: fatemi sapere cosa ne pensate e quali avete usato!

  • Iubenda: con 19 euro l’anno offre privacy policy, cookie policy, banner e sistema di blocco preventivo dei cookie. È necessario mettere mano al codice del sito per attivare il blocco preventivo dei cookie. (Se si hanno solo cookie tecnici e cookie di profilazione come Google Analytics si potrà approfittare della creazione di una privacy policy gratuita e non si avrà bisogno di alcun banner) – A pagamento o gratis ( a seconda dei servizi scelti): 19,00 € l’anno
  • Cookie Consent: uno dei primi strumenti, insieme a Iubenda, ad essere stati messi a disposizione. È stato aggiornato alla versione 2 che non consente più di impostare il blocco preventivo dei cookie ma la versione 1 è ancora disponibile. Anche in questo caso per attivare il blocco è necessario mettere mano al codice del sito. Ho parlato diffusamente di questo strumento nel mio primo post sulla cookie law, si tratta di uno dei primi strumenti disponibili per adempiere a quanto richiesto alla cookie law. Oggi, però, sono disponibili molti altri strumenti che è opportuno valutare prima di questo. – Gratuito
  • Italy Cookie Choices: sviluppato (anche) da Andrea Pernici (conosciuto da chi “frequenta” il GT Masterclub). Migliora release dopo release. – Gratuito
  • WeePie Cookie Allow: consente di bloccare preveentivamente i Cookie ed ha implementato il consenso anche attraverso lo scroll della paginaA pagamento: per WordPress, licenza singola a 14,00 $
  • Dynamic Cookie Blocker: consente di usare uno shortcode da inserire direttamente nella pagina per bloccare i cookie di terze parti, tra cui anche quelli di un video di youtube embeddato, per il quale, fino a quando non si esprime il consenso della normativa, è possibile far visualizzare un testo. Utilissimo il gruppo pubblico su Facebook dove chiedere informazioni direttamente allo sviluppatore, in italiano.A pagamento: 25,00 € per un sito web
  • EU Cookie Law for WordPress: sviluppato da Marco Milesi, attivo anche su alcuni gruppi facebook (per esempio su Italian Webdesign Cafè) e disponibile per informazioni di prima mano. – Gratuito
  • Divas Cookies delle Coding DivasA pagamento: per WordPress, licenza singola a 9,00 $
  • Bootcooker: sviluppato da Vasile Alexandru Peste (disponibile sul gruppo Facebook di Italian Webdesign Cafè per informazioni e richieste), promette di automatizzare completamente tutto il processo senza alcun bisogno di mettere mano al codice.A pagamento: 4,99 € per un sito web

Naturalmente, in questa fase, molti strumenti potrebbero avere bug, problemi o non effettuare il blocco per determinati strumenti. In un commento al mio precedente post su questo tema Tiziano (che ringrazio) segnalava problemi nel trovare uno strumento in grado di bloccare i cookie generati da Vimeo ed osservava che quasi tutti gli strumenti che ha provato sono imperfetti e mancano in qualcosa. La situazione andrà sicuramente migliorando, come migliorano tutti gli strumenti in seguito al loro primo lancio.

Per il momento, si tratta di scegliere lo strumento che fa più al caso nostro (per esempio, se il bug di uno strumento consiste nel non bloccare i cookie di Vimeo quello strumento rimane perfetto per chi non utilizza l’embed da Vimeo.). Prendere il meglio che c’è, insomma, e continuare a cercare la perfezione.

L’importante è fare tutto il possibile per bloccare il bloccabile, agire in buona fede e mantenere un ferreo “no panic”: non pioveranno multe da un giorno all’altro e questo lo ha confermato anche il Garante.

Approfondimenti

Ecco un serie di link utili per approfondire il tema cookie law e saperne di più:

 

Foto: Flickr.com – Zizzybaloobah

 

Deadline cookie law - Normativa Cookie

Cookie Law: la mia soluzione

Aggiornamento del 01/06/2015: Cookie Consent ha rilasciato una seconda versione dello strumento per la gestione dei cookie che non consente più di gestire il blocco preventivo dei cookie. A questo link sono disponibili i dettagli in merito ai cambiamenti apportati alla nuova versione. La prima versione (che è quella a cui faccio riferimento in questo articolo e che consente di gestire il blocco preventivo dei cookie) è ancora disponibile a questo link: sitebeam.net/cookieconsent-v1/

 

Chi si occupa di web la notte ha incubi con biscottoni enormi che non riesce a bloccare o con un mostruoso Garante della privacy che lo rincorre per emettere multe salatissime. Ma ormai la questione non è più solo per gli addetti ai lavori: anche chi non è uno sviluppatore, un web designer o non lavora con il web ormai sa che il 2 giugno è la deadline per mettersi in regola con la nuova normativa del Garante della privacy in merito ai cookie.

Qui il link per leggere la notizia sul sito del Garante

Qui il provvedimento pubblicato sulla Gazzetta ufficiale

Qui le informazioni su cosa sono i cookie fornite dal Garante

Il Garante inoltre ha realizzato un breve video che in meno di quattro minuti cerca di chiarire le idee a chi è meno esperto:

Molto in breve, perché ormai l’overload di informazioni è tale da non dover entrare nei dettagli. La cookie law prevede che tutti i siti che utilizzano cookie di profilazione (pressoché tutti, quindi, se consideriamo che rientrano in questo elenco anche semplicemente i pulsanti di condivisione dei social) devono:

  • avere una privacy policy e una cookie policy consultabile dall’utente che elenchi quali cookie sono presenti sul sito;
  • prevedere un banner presente in ogni pagina con il compito di informare l’utente sull’impiego di questi cookie;
  • bloccare l’utilizzo dei cookie fino a che l’utente non abbia dato il suo esplicito consenso (per esempio cliccando su “Ok” o “Accetto” oppure effettuando qualsiasi altra azione sul sito, per esempio uno scroll).

L’interpretazione della normativa ha dato il via a una moltitudine di discussioni e problemi che hanno coinvolto, tra gli altri, gli utenti di Adsense e di WordPress.com, nel primo caso perché le regole di Adsense non consentono di modificare il codice script per bloccare il plugin e nel secondo caso perché gli utenti ospitati su WordPress.com non possono accedere al codice del sito. Accedere al codice del sito è infatti necessario per effettuare il blocco dei cookie di profilazione. Per quanto riguarda Adsense , la soluzione è utilizzare i commenti speciali anziché il codice di blocco dello script. Per quanto riguarda WordPress.com attualmente gli utenti sono in attesa di risposte e si stanno organizzando con soluzioni che vanno dalla pubblicazione di una policy “casalinga” che indica in Automattic (il gestore di WordPress.com) e in altre terze parti il responsabile del trattamento dei dati fino alla realizzazione di banner per l’accettazione dei cookie realizzati con gli strumenti attualmente a disposizione.

Chi invece può mettere mano al codice del suo sito (per esempio chi ha un sito realizzato con WordPress.org su dominio proprio oppure chi ha un sito fatto in html o con altri CMS) in questi giorni si è affannato nella ricerca di una soluzione che soddisfi in pieno le richieste della normativa. Qui condivido con voi la mia soluzione attuale che prevede una privacy policy e cookie policy realizzati con Iubenda (al costo di 19,00 euro l’anno) + uno strumento per la creazione del banner e il blocco preventivo dei cookie che si chiama Cookie Consent (gratuito).

È bene sapere che anche Iubenda si è attrezzata per fornire gli strumenti adeguati all’adempimento della legge (qui tutte le informazioni sulla soluzione Iubenda) e che anzi si è seduta al tavolo direttamente con il Garante della privacy per ottenere il maggior numero delle informazioni possibili. La mia scelta è però ricaduta su Cookie Consent perché a mio parere offre una documentazione snella, un tutorial video chiaro e uno strumento per l’analisi del proprio sito che consente di verificare immediatamente se è stato fatto un buon lavoro.

Per adottare questa soluzione (ma anche per adottare la soluzione che prevede il solo utilizzo di Iubenda) è necessario avere accesso al codice del sito ed inserire il codice fornito da Cookie Consent (o Iubenda o da altra parte, se si sceglie un’altra soluzione) nel file header.php (su WordPress il file si trova nel percorso Aspetto->Editor), subito prima del tag di chiusura della head . Una volta fatto questo occorrerà inoltre intervenire manualmente sul codice del template e dei plugin installati per bloccare i codici che eseguono cookie (ad eccezione dei cookie tecnici, che sono esenti della normativa). Con Cookie Consent questa operazione può essere fatta semplicemente sostituendo alla stringa script type=”text/javascript” la stringa script type=”text/plain” class=”cc-onconsent-social” (nel caso del codice relativo ai cookie generati per i social, oppure una stringa simile fornita da Cookie Consent per il blocco di altri tipi di cookie).

Un ultimo accorgimento: nel banner deve essere linkata la normativa Cookie (nel mio caso quella generata con Iubenda). Si può inserire il link con una semplice modifica al codice iniziale, quello che abbiamo inserito subito prima di .

Et voilà: se avete fatto tutto correttamente tutti i cookie di profilazione dovrebbero essere adeguatamente bloccati sino al momento in cui l’utente clicca su “Ok” per prestare il suo consenso.

Una avvertenza: sono considerati cookie di profilazione anche, come detto, quelli rilasciati dai pulsanti di condivisione sui social e quelli rilasciati da Analytics, se gli IP non sono stati anonimizzati. Anonimizzare gli IP di Analytics è una operazione semplice.

È sufficiente aggiungere allo script di monitoraggio attualmente in uso (quello che hai dovuto inserire all’interno del sito la prima volta che hai collegato Analytics al tuo sito), questa stringa di codice:

ga(‘set’, ‘anonymizeIp’, true);

La stringa deve essere inserita tra queste due:

ga(‘create’, ‘UA-XXXXXXXX-X’, ‘auto’);
ga(‘send’, ‘pageview’);

In questo modo il tuo codice finale apparirà in questo modo:

ga(‘create’, ‘UA-XXXXXXXX-X’, ‘auto’);
ga(‘set’, ‘anonymizeIp’, true);
ga(‘send’, ‘pageview’);

Se hai fatto tutto correttamente, dovresti essere ora in regola con quanto previsto dalla normativa.

Naturalmente, più passa il tempo e più si diffondono (per nostra fortuna) soluzioni semplici da implementare per adempiere a quanto richiesto dal Garante della privacy. Qui di seguito aggiungo due plugin che ho appena “scovato” che promettono di semplificare la vita a chi cerca di mettersi in regola (sono plugin a pagamento per WordPress). Io non li ho ancora testati, ma se qualcuno ha feedback in merito ogni commento è più che benvenuto.

WeePie Cookie Allow: consente di bloccare preveentivamente i Cookie ed ha implementato il consenso anche attraverso lo scroll della pagina

Dynamic Cookie Blocker: consente di usare uno shortcode da inserire direttamente nella pagina per bloccare i cookie di terze parti, tra cui anche quelli di un video di youtube embeddato, per il quale, fino a quando non si esprime il consenso della normativa, è possibile far visualizzare un testo.

Mi sembrano due ottime soluzioni che vale sicuramente la pena di considerare.

Per chiudere, due doverose precisazioni. Primo: ogni tipo di confronto e di informazione aggiuntiva è molto più che ben accolta, quindi se volete condividere la vostra esperienza su questo tema non risparmiatevi nei commenti. Secondo e ancor più importante: questo post non può essere considerato una consulenza legale. Condivido ciò che so sull’argomento. Se si è in dubbio la via più sicura è certamente quella di farsi seguire da un legale.