Cookie policy, guida alla sopravvivenza.

Dopo la mobilegeddon del 21 Aprile, nuove preoccupazioni sono arrivate per tutti coloro che hanno un sito. Le notti insonni questa volta sono state determinate dalla teorica entrata in vigore delle sanzioni della cosiddetta “Cookie Law” (D.L. 69/2012 e 70/2012).

La storica data, per gli amanti della cabala, è stata il 2 Giugno 2015.

Cookie Policy, guida alla sopravvivenza

Cookie Policy, guida alla sopravvivenza

L’origine di questa nuova ondata di emozioni da web è stata determinata dall’Unione Europea che ha deciso di avere un ruolo attivo rispetto alla privacy, dopo essersi resa conto che i grandi colossi della rete (Google, Facebook per citarne alcuni) acquisiscono una impressionante mole di dati che, se non strettamente personali, riguardano comunque preferenze, gusti e consumi.

Il sassolino che la UE ha messo nella scarpa di Google è stata la famosa “Cookie Law”, applicata in ritardo anche dal nostro paese.

In Italia il Vai al sito del Garante della Privacy ha previsto un periodo transitorio di un anno a decorrere dalla pubblicazione del provvedimento in Gazzetta Ufficiale per consentire ai soggetti interessati di mettersi in regola.

Questo periodo è terminato il 2 giugno 2015 ma almeno per questi primi mesi le sanzioni non dovrebbero scattare.

Ma cosa sono i cookie ?

I cookie sono piccoli file di testo che i siti visitati dagli utenti inviano ai loro PC. Questi file di testo vengono memorizzati con una serie di informazioni aggiuntive per essere poi ritrasmessi agli stessi siti durante la navigazione a alla visita successiva.

I cookie possono memorizzare le nostre preferenze rispetto alla navigazione di un sito, memorizzare la nostra situazione di login, offrire esperienze di navigazione personalizzate, registrare i prodotti messi nel carrello di un ecommerce, memorizzare la risoluzione del browser, ecc..

Vediamo cosa cambia per i proprietari dei siti e per gli utenti.

 Infografica del Garante per chiarire i doveri dei proprietari dei siti internet

Infografica del Garante per chiarire i doveri dei proprietari dei siti internet

Per i possessori di siti internet.

La legge ha recepito due tipologie di cookie:

  • cookie tecnici a tutela della navigazione e della fruizione del sito web.
  • cookie di profilazione utilizzati nella profilazione degli utenti per fini pubblicitari.

Chiunque abbia un sito e faccia uso di “cookie” ha l’obbligo di segnalare gli stessi all’interno della propria “privacy policy” (per questo si parla anche di cookie policy).

Qualora il sito faccia anche uso di “cookie di profilazione” (propri o di terze parti), vige l’obbligo aggiuntivo di richiedere il consenso del visitatore all’impiego di tali strumenti tramite un banner che deve essere presente in tutte le pagine del sito.

Esiste poi un ulteriore obbligo per chi faccia uso di cookie di profilazione propri (profilazione di prima parte) o di sistemi analitici (quando i dati forniti dagli stessi vengono incrociati con altre informazioni a disposizione del gestore del sito). In questo caso l’obbligo è la notifica al garante. La stessa prevede un costo di diritti di segreteria di 150,00 € e viene effettuata per via telematica al seguente indirizzo: https://web.garanteprivacy.it/rgt/

Fino a qui il discorso sembra “easy”.

Ricapitolando, l’utente deve essere informato rispetto ai dati che vengono raccolti a suo carico e l’utente ha il diritto di poter prestare il proprio consenso o meno rispetto all’impiego di cookie che lo tracciano nei propri interessi, gusti e preferenze.

Il problema diventa però critico nel momento in cui entrano in campo i famosi “social plugin” o widget sociali.

social plugin e cookie policy

Quanti siti oggi hanno strumenti di condivisione social dei propri contenuti? Sono veramente pochi i siti che oggi rinunciano ad offrire ai propri utenti pulsanti di condivisione per i diversi social network (giustamente!).

Questi plugin sono però una fonte inesauribile di cookie di terze parti (o comunque assimilati dalla legge ai cookie perchè forniscono a terze parti la possibilità di tracciare l’utente).

E qui scatterebbe quindi l’obbligo teorico di ottenere il consenso dell’utente prima di propinargli qualsiasi cookie e/o elemento tracciante.

Ciò significherebbe quindi impedire l’esecuzione di codice javascript (analytics/shinystat per esempio) ma anche l’esecuzione/visualizzazione dei pulsanti di condivisione e i diversi widget (Facebook facepile, per esempio) così coinvolgenti e rassicuranti per l’utente finale.

Il pieno rispetto della normativa prevederebbe quindi interventi su tutte le parti del proprio sito dove avviene una condivisione social oltre che sulle chiamate a qualsiasi codice di analytics.

In Cookie Policy esempio pagina trovate un esempio corretto di applicazione di banner per il consenso dei cookie di terze parti. Fino a che l’utente non conferma l’accettazione, nessun cookie e nessun plugin sociale viene caricato. Se poi avrete problemi alla sua implementazione, fatevi sentire.

Per essere invece minimamente in regola, nel caso non abbiate disponibilità di programmatori, trovate diversi script in rete per tutelarvi.

Tra questi i più diffusi sono:

Per gli amici di WordPress uno plugin facile da gestire è EU Cookie Law.

Per le amiche blogger, affezionate a Blogspot ecco invece il tutorial di Quelli del Cucuzzulo:
http://quellidelcucuzzolo.blogspot.it/2014/12/banner-informativa-cookie-blogger.html

Su blogspot il discorso è reso complesso dal fatto che Analytics è presente che lo vogliate o meno e che la piattaforma su cui si è ospiti è di Google quindi un’eventuale responsabilità di comunicazione spetterebbe proprio a Google.

Il sistema di default non sembra al momento essere anonimizzato (analytics ha introdotto l’anonimizzatore dell’IP per venire incontro alle pressioni dell’Unione Europea https://support.google.com/analytics/answer/2763052?hl=it) e richiederebbe quindi la presenza del banner per il consenso dell’utente.

Strumenti di analisi

Per capire le caratteristiche del nostro sito diversi sono gli strumenti utili e consigliati.

Iniziamo con Webcookies un tool che ci conferma una panoramica sui cookie che il sistema ritrova visitando una determinata pagina del nostro sito.

Troviamo poi il mitico Ghostery, una estensione per Chrome, disponibile per diverse piattaforme, che consente di visualizzare live la panoramica di elementi traccianti del singolo sito internet che stiamo visualizzando.

Chiudiamo la panoramica con “Edit This Cookie” un’altra estensione di Chrome che ci permette di visualizzare tutti i cookie che vengono caricati da un sito.

Questi strumenti ci consentiranno di capire che tipo di risposta dare col nostro sito alla cosiddetta Cookie Law. Se aveste dubbi, chiedete e vi sarà dato.

Strumenti a difesa dell’utente

Vediamo anche cosa possa fare l’utente per difendere la propria privacy.

La soluzione immediata potrebbe essere quella di non navigare in rete (vivamente sconsigliata o mi farete cambiare lavoro!).

Iniziamo però col capire cosa Google percepisce di noi, chi siamo per Mr Google.

Visitiamo questa pagina: http://www.google.com/ads/preferences/view dopo esserci loggati in Google. In questa pagina troveremo gli interessi che Google ci attribuisce. Possiamo cancellare delle voci ed inserirne altre.

Un altro strumento fondamentale è questo: http://www.youronlinechoices.com/it/le-tue-scelte

Qui potrete decidere quali aziende autorizzare a tracciarvi ed a quali aziende negare il consenso ed impedire quindi loro di tracciarvi e presentarvi pubblicità mirate.

Un’altra estensione consigliata e disponibile per varie piattaforme di browser è quella di https://adblockplus.org/ Grazie a questa estensione potrete evitare pubblicità, malware e popup oltre a non essere tracciabili a fini pubblicitari durante la navigazione.

Infine ricordiamo sempre la possibilità di attivare la navigazione anonima. I cookie verranno caricati ma non memorizzati una volta che chiuderemo la finestra del browser.

Per concludere, una nota di colore ..

Cosa fa il sito del Garante per la Privacy ?

Il documento Garante del Garante “Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie – 8 maggio 2014” specifica nel punto 4.2 “L’informativa estesa deve contenere tutti gli elementi previsti dall’art. 13 del Codice, descrivere in maniera specifica e analitica le caratteristiche e le finalità dei cookie installati dal sito e consentire all’utente di selezionare/deselezionare i singoli cookie..”

Sempre il Garante (http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3585077) afferma cosa debba indicare l’informativa “estesa”: “Deve contenere tutti gli elementi previsti dalla legge, descrivere analiticamente le caratteristiche e le finalità dei cookie installati dal sito e consentire all’utente di selezionare/deselezionare i singoli cookie“.

E allora perchè il Garante non nomina mai l’esistenza sul proprio sito dei dei cookie di Piwik (uno dei più noti software open source di analytics) e non ne prevede la possibilità di deselezionarli ? Qualcosa ci sfugge?

Ma l’Italia è il paese delle belle speranze e delle garanzie … nulla è certo e tutto è in divenire.  Buona Cookie Policy a tutti.