Articoli

Deadline cookie law - Normativa Cookie

Cookie Law: la mia soluzione

/17 Commenti/in /da

Aggiornamento del 01/06/2015: Cookie Consent ha rilasciato una seconda versione dello strumento per la gestione dei cookie che non consente più di gestire il blocco preventivo dei cookie. A questo link sono disponibili i dettagli in merito ai cambiamenti apportati alla nuova versione. La prima versione (che è quella a cui faccio riferimento in questo articolo e che consente di gestire il blocco preventivo dei cookie) è ancora disponibile a questo link: sitebeam.net/cookieconsent-v1/

 

Chi si occupa di web la notte ha incubi con biscottoni enormi che non riesce a bloccare o con un mostruoso Garante della privacy che lo rincorre per emettere multe salatissime. Ma ormai la questione non è più solo per gli addetti ai lavori: anche chi non è uno sviluppatore, un web designer o non lavora con il web ormai sa che il 2 giugno è la deadline per mettersi in regola con la nuova normativa del Garante della privacy in merito ai cookie.

Qui il link per leggere la notizia sul sito del Garante

Qui il provvedimento pubblicato sulla Gazzetta ufficiale

Qui le informazioni su cosa sono i cookie fornite dal Garante

Il Garante inoltre ha realizzato un breve video che in meno di quattro minuti cerca di chiarire le idee a chi è meno esperto:

Molto in breve, perché ormai l’overload di informazioni è tale da non dover entrare nei dettagli. La cookie law prevede che tutti i siti che utilizzano cookie di profilazione (pressoché tutti, quindi, se consideriamo che rientrano in questo elenco anche semplicemente i pulsanti di condivisione dei social) devono:

  • avere una privacy policy e una cookie policy consultabile dall’utente che elenchi quali cookie sono presenti sul sito;
  • prevedere un banner presente in ogni pagina con il compito di informare l’utente sull’impiego di questi cookie;
  • bloccare l’utilizzo dei cookie fino a che l’utente non abbia dato il suo esplicito consenso (per esempio cliccando su “Ok” o “Accetto” oppure effettuando qualsiasi altra azione sul sito, per esempio uno scroll).

L’interpretazione della normativa ha dato il via a una moltitudine di discussioni e problemi che hanno coinvolto, tra gli altri, gli utenti di Adsense e di WordPress.com, nel primo caso perché le regole di Adsense non consentono di modificare il codice script per bloccare il plugin e nel secondo caso perché gli utenti ospitati su WordPress.com non possono accedere al codice del sito. Accedere al codice del sito è infatti necessario per effettuare il blocco dei cookie di profilazione. Per quanto riguarda Adsense , la soluzione è utilizzare i commenti speciali anziché il codice di blocco dello script. Per quanto riguarda WordPress.com attualmente gli utenti sono in attesa di risposte e si stanno organizzando con soluzioni che vanno dalla pubblicazione di una policy “casalinga” che indica in Automattic (il gestore di WordPress.com) e in altre terze parti il responsabile del trattamento dei dati fino alla realizzazione di banner per l’accettazione dei cookie realizzati con gli strumenti attualmente a disposizione.

Chi invece può mettere mano al codice del suo sito (per esempio chi ha un sito realizzato con WordPress.org su dominio proprio oppure chi ha un sito fatto in html o con altri CMS) in questi giorni si è affannato nella ricerca di una soluzione che soddisfi in pieno le richieste della normativa. Qui condivido con voi la mia soluzione attuale che prevede una privacy policy e cookie policy realizzati con Iubenda (al costo di 19,00 euro l’anno) + uno strumento per la creazione del banner e il blocco preventivo dei cookie che si chiama Cookie Consent (gratuito).

È bene sapere che anche Iubenda si è attrezzata per fornire gli strumenti adeguati all’adempimento della legge (qui tutte le informazioni sulla soluzione Iubenda) e che anzi si è seduta al tavolo direttamente con il Garante della privacy per ottenere il maggior numero delle informazioni possibili. La mia scelta è però ricaduta su Cookie Consent perché a mio parere offre una documentazione snella, un tutorial video chiaro e uno strumento per l’analisi del proprio sito che consente di verificare immediatamente se è stato fatto un buon lavoro.

Per adottare questa soluzione (ma anche per adottare la soluzione che prevede il solo utilizzo di Iubenda) è necessario avere accesso al codice del sito ed inserire il codice fornito da Cookie Consent (o Iubenda o da altra parte, se si sceglie un’altra soluzione) nel file header.php (su WordPress il file si trova nel percorso Aspetto->Editor), subito prima del tag di chiusura della head . Una volta fatto questo occorrerà inoltre intervenire manualmente sul codice del template e dei plugin installati per bloccare i codici che eseguono cookie (ad eccezione dei cookie tecnici, che sono esenti della normativa). Con Cookie Consent questa operazione può essere fatta semplicemente sostituendo alla stringa script type=”text/javascript” la stringa script type=”text/plain” class=”cc-onconsent-social” (nel caso del codice relativo ai cookie generati per i social, oppure una stringa simile fornita da Cookie Consent per il blocco di altri tipi di cookie).

Un ultimo accorgimento: nel banner deve essere linkata la normativa Cookie (nel mio caso quella generata con Iubenda). Si può inserire il link con una semplice modifica al codice iniziale, quello che abbiamo inserito subito prima di .

Et voilà: se avete fatto tutto correttamente tutti i cookie di profilazione dovrebbero essere adeguatamente bloccati sino al momento in cui l’utente clicca su “Ok” per prestare il suo consenso.

Una avvertenza: sono considerati cookie di profilazione anche, come detto, quelli rilasciati dai pulsanti di condivisione sui social e quelli rilasciati da Analytics, se gli IP non sono stati anonimizzati. Anonimizzare gli IP di Analytics è una operazione semplice.

È sufficiente aggiungere allo script di monitoraggio attualmente in uso (quello che hai dovuto inserire all’interno del sito la prima volta che hai collegato Analytics al tuo sito), questa stringa di codice:

ga(‘set’, ‘anonymizeIp’, true);

La stringa deve essere inserita tra queste due:

ga(‘create’, ‘UA-XXXXXXXX-X’, ‘auto’);
ga(‘send’, ‘pageview’);

In questo modo il tuo codice finale apparirà in questo modo:

ga(‘create’, ‘UA-XXXXXXXX-X’, ‘auto’);
ga(‘set’, ‘anonymizeIp’, true);
ga(‘send’, ‘pageview’);

Se hai fatto tutto correttamente, dovresti essere ora in regola con quanto previsto dalla normativa.

Naturalmente, più passa il tempo e più si diffondono (per nostra fortuna) soluzioni semplici da implementare per adempiere a quanto richiesto dal Garante della privacy. Qui di seguito aggiungo due plugin che ho appena “scovato” che promettono di semplificare la vita a chi cerca di mettersi in regola (sono plugin a pagamento per WordPress). Io non li ho ancora testati, ma se qualcuno ha feedback in merito ogni commento è più che benvenuto.

WeePie Cookie Allow: consente di bloccare preveentivamente i Cookie ed ha implementato il consenso anche attraverso lo scroll della pagina

Dynamic Cookie Blocker: consente di usare uno shortcode da inserire direttamente nella pagina per bloccare i cookie di terze parti, tra cui anche quelli di un video di youtube embeddato, per il quale, fino a quando non si esprime il consenso della normativa, è possibile far visualizzare un testo.

Mi sembrano due ottime soluzioni che vale sicuramente la pena di considerare.

Per chiudere, due doverose precisazioni. Primo: ogni tipo di confronto e di informazione aggiuntiva è molto più che ben accolta, quindi se volete condividere la vostra esperienza su questo tema non risparmiatevi nei commenti. Secondo e ancor più importante: questo post non può essere considerato una consulenza legale. Condivido ciò che so sull’argomento. Se si è in dubbio la via più sicura è certamente quella di farsi seguire da un legale.