Cookie Law: Informativa, Esempi, Domande e Risposte

Per vedere gli ultimi aggiormenti, in cui trovate le risposte ad alcuni dubbi che non erano stati chiariti, potete leggere il nostro Aggiornamenti sulla Cookie Law del 5 giugno 2015.

Oggi scade il termine per mettere in regola il proprio sito con l’informativa e il consenso per l’uso dei cookie, la così detta Cookie Law, provvedimento del Garante per la protezione dei dati personali dell’8 maggio 2014.

Abbiamo tutti letto tanto e sentito molte opinioni, ma la sensazione diffusa è quella di incertezza e paura di non essere stati capaci di conformare il proprio sito con questa legge.

Quello che faremo in questo articolo è riportare le informazioni reperite direttamente dal sito garanteprivacy.it, cercando di chiarire le idee con parole semplici ed esempi.

Riporteremo anche tutte le informazioni preziose raccolte leggendo siti e blog autorevoli, per concludere con una serie di domande e risposte fra quelle fatte più frequentemente dagli utenti.

Per una corretta e responsabile comprensione dell’argomento si suggerisce di leggere l’articolo in tutte le sue parti.

Aggiornamento: il plugin che abbiamo trovato di maggior efficacia e di facile utilizzo per gli inesperti è Ginger EU Cookie Law, plugin gratuito con solo alcune estensioni a pagamento ( molto basso ).

Di articoli in rete ce ne sono proprio tanti ma, quando si parla di legge e di sanzioni così alte, vorremmo avere tutti delle garanzie che ci proteggano e ci diano la matematica certezza di essere in regola, una sorta di certificazione ufficiale che garantisca la conformità del nostro sito.

La fonte a cui fare riferimento per risolvere dubbi e confermare affermazioni lette nella rete, deve essere quella ufficiale, ovvero il Garante della Privacy.

Andremo quindi a capire i concetti chiave di questa legge proprio seguendo l’articolo “Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie – 8 maggio 2014”.

I cookie

I cookie sono stringhe di testo di piccole dimensioni che i siti visitati dall’utente inviano al suo browser ( desktop, table e mobile ).

Le informazioni inserite dai cookie possono essere di diversa natura, avere finalità differenti e persistere all’interno del computer dell’utente per un diverso periodo di tempo.

Se volete maggiori dettagli su cosa siano i cookie, guardatevi questo video su Youtube del Garante della Privacy.

Il concetto chiave

La base fondamentale per capire dove il nostro sito e la nostra attività si posizionano all’interno di questa legge sta nella differenza fra i cookie tecnici e di profilazione.

Pertanto analizziamoli singolarmente.

I cookie tecnici

I cookie tecnici sono quelli utilizzati al solo fine di “effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dall’abbonato o dall’utente a erogare tale servizio” (cfr. art. 122, comma 1, del Codice).

Sono tutti i cookie che vengono utilizzati per una corretta navigazione e fruizione del sito web, come appunto i cookie di sessione o navigazione.

Per esempio quando ci autentichiamo sul nostro sito o quando un utente inserisce nel carrello dei prodotti, tutto ciò avviene tramite dei cookie, senza i quali questo tipo di servizio non sarebbe possibile.

Sono comprese, in caso di sito multilingua, anche le preferenze dell’utente circa la lingua che vuole navigare.

Rientrano nei cookie tecnici anche i cookie analytics (cfr. provvedimento dell’8 maggio 2014) – attenzione, non stiamo parlando di Google Analytics per cui dopo avremo una sezione dedicata.

Sono dei cookie utilizzati dal gestore del sito per raccogliere informazioni, in forma aggregata, con fini statistici.

Per i cookie tecnici non è richiesto il preventivo consenso degli utenti, ovvero non si ha l’obbligo di inserire il banner o la barra con l’acquisizione del consenso, ma comunque, come dice il Garante, bisogna dare nella pagina di policy l’informativa ai sensi dell’art. 13 del Codice con la modalità che si ritiene più idonea.

I cookie di profilazione

Ad essi si riferisce l’art. 122 del Codice laddove prevede che “l’archiviazione delle informazioni nell’apparecchio terminale di un contraente o di un utente o l’accesso a informazioni già archiviate sono consentiti unicamente a condizione che il contraente o l’utente abbia espresso il proprio consenso dopo essere stato informato con le modalità semplificate di cui all’articolo 13, comma 3” (art. 122, comma 1, del Codice).

Questi sono dei cookie che vengono utilizzati per creare dei profili relativi all’utente con lo scopo di potergli presentare successivamente dei contenuti pubblicitari che siano più affini ai suoi gusti e, di conseguenza, migliorare il rendimento della campagna pubblicitaria.

Stiamo parlando di una tecnica chiamata “remarketing”.

Si possono avere opinioni discordati su questo argomento. Ovviamente i grandi rivenditori di spazi pubblicitari definiscono questa attività come un miglioramento dell’esperienza utente, che riceve inserzioni pertinenti, ma quello che conta per la normativa europea e italiana è che questa è un’attività invasiva e prevede la notifica e l’accettazione di questa tipologia di cookie da parte dell’utente.

Noi e i cookie di terze parti

Un’altra variabile da considerare è il fatto che molti di questi cookie non vengono installati direttamente da noi, quindi dagli editori del sito, ma vengono inseriti nel computer dell’utente tramite un sito di terze parti.

Facciamo un esempio. Se usiamo Adsense, quello che noi gestori del sito facciamo, è inserire un codice che richiama script presenti su un altro server, con lo scopo di ricevere banner pubblicitari gestiti da Google.

Sarà, in questo caso Google stesso a installare per suo conto dei cookie di profilazione.

Il problema quindi è evidente.

Gli editori non sono messi nelle condizioni tali da potere avere gli strumenti e la capacità economico-giuridica di farsi carico degli adempimenti di terze parti.

Nel ramo pubblicitario, a volte, ci sono degli intermediari che agiscono in virtù di concessionari, risultando impossibile per l’editore avere il controllo sull’attività di ogni singolo soggetto coinvolto.

Per risolvere questa complicata situazione, l’editore non è obbligato ad inserire le informative inerenti alle terze parti, ma come vedremo più avanti, dovrà farsi carico di dire con chi ha instaurato un rapporto e rimandare tramite link al sito di terze parti e alla sua informativa.

La soluzione – L’acquisizione del consenso online

Quello che dobbiamo fare per essere in regola è quindi comunicare all’utente con trasparenza i tipi di cookie che gli verranno installati navigando il nostro sito.

Le modalità di comunicazione che dobbiamo seguire sono divise su due livelli di approfondimento successivi, ovvero l’informativa breve e l’informativa estesa.

Informativa Breve.

Quando un utente atterra per la prima volta su una pagina del nostro sito, quindi la home page così come altre pagine, gli deve essere presentata quella che viene definita l’informativa breve.

Questo messaggio deve essere presentato tramite banner di dimensioni e colori sufficienti, tanto da entrare in contrasto con il sito stesso, per avere la certezza che la navigazione dell’utente sia interrotta e che venga preso in visione il messaggio sulla cookie law.

La scomparsa del banner, con la relativa accettazione delle stesse condizioni, deve essere possibile solo mediante un intervento attivo dell’utente.

Da questo deduciamo che i banner a tempo, ovvero quelli che dopo un po’ scompaiono dalla schermata, non possono essere considerati, a logica, fra le azioni attive dell’utente.

Mentre per intervento attivo possiamo considerare un click su un link o immagine, o direttamente al bottone del banner dove si accettano le condizioni.

Sul sito del garante leggiamo anche che l’editore può decidere di utilizzare forme differenti per l’acquisizione del consenso, ma sempre in rispetto di quanto disposto dall’art. 23, comma 3, del Codice.

Nel contenuto dell’informativa breve devono essere presenti riferimenti e spiegazioni dell’utilizzo di:

• Cookie di profilazione.
• Cookie di terze parti.
• Link all’informativa estesa dove sarà possibile negare il consenso.
• L’indicazione che la prosecuzione della navigazione comporta la prestazione del consenso.

Informativa estesa

È quella che l’utente deve poter raggiunge o dal banner dell’informativa breve, ma anche da qualsiasi pagina del nostro sito. Su questa pagina si deve:

• Inserire tutti gli elementi previsti dall’art. 13 del Codice.
• Elencare tutti i tipi di cookie che vengono utilizzati sul sito e descrivere la loro funzionalità.
• Elencare tutti tutte le terze parti che inseriscono cookie sul nostro sito mettendo il link aggiornato alle loro informative.
• Dare la possibilità all’utente di manifestare le opzioni in merito all’uso dei cookie, anche indicando i link che riportano alle pagine dei diversi browser dove viene spiegato agli utenti come gestire i cookie del proprio browser.

Notifica al Garante dell’utilizzo dei cookie di profilazione.

Nel caso in cui siate voi stessi, e non aziende di terze parti, ad avere un’attività che utilizza i cookie di profilazione e ad utilizzarli, allora si aggiunge l’obbligo della notifica al Garante delle vostra attività, il cui costo è di €150.

Se utilizzate cookie di profilazione di terze parti non rientrate in questa categoria.

Le sanzioni

• Per omessa o non idonea informativa è prevista la sanzione amministrativa del pagamento di una somma da seimila a trentaseimila euro (art. 161 del Codice).
• L’installazione di cookie sui terminali degli utenti in assenza del preventivo consenso degli stessi comporta, invece, la sanzione del pagamento di una somma da diecimila a centoventimila euro (art. 162, comma 2-bis, del Codice).
• L’omessa o incompleta notificazione al Garante, infine, ai sensi di quanto previsto dall’art. 37, comma 1, lett. d), del Codice, è sanzionata con il pagamento di una somma da ventimila a centoventimila euro (art. 163 del Codice).

Esempi, Domande e Risposte

Ora, conclusa tutta questa parte dove è stata illustrata, speriamo nel miglior modo possibile, la nostra interpretazione del documento sul sito del Garante, passiamo alla parte più operativa.

Come facciamo a sapere quali cookie il nostro sito installa sui dispositivi degli utenti?

Questa è la prima domanda a cui dare risposta per capire come possiamo essere in regola con la legge.

Come prima cosa se usate un CMS, come appunto WordPress, il consiglio è quello di andare alla sezione dei plugin e verificarne uno alla volta, leggendo anche le rispettive documentazioni ufficiali, per capire se viene utilizzato un cookie e la sua natura.

Nel caso non utilizzate un CMS e il sito è stato fatto da uno sviluppatore, allora dove andare dallo sviluppatore stesso e porgergli questa domanda.

Successivamente dei consigli su come potere verificare la presenza dei cookie.

Verificare la presenza di cookie tramite il tuo browser

Alcuni browser ci danno la possibilità di vedere i diversi cookie che vengono inseriti nel computer dell’utente alla visita di una pagina web.

In questo caso utilizziamo Google Chrome.

Andiamo sulla pagina da analizzare, premiamo il tasto destro del mouse e dal menu a tendina selezioniamo Visualizza informazioni pagina. Ci comparirà un pannello con le informazioni dei cookie provenienti dal nostro sito e da altri.

Come vediamo nel primo caso abbiamo 15 cookie inseriti dal sito stesso e 36 da altri siti.

Nel secondo caso abbiamo un solo cookie proveniente da terze parti.

Premiamo Mostra cookie e dati dei siti  per avere un dettaglio dei cookie stessi.

Come possiamo vedere in questo caso il cookie è stato inserito dalla Google Map che è presente su questa pagina.

Fatto questo procedimento, se vedete che dalla vostra pagina vengono installati dei cookie, allora dovrete capire chi è il responsabile e risalire al modo in cui gli è permesso, come per esempio un plugin.

Per chi preferisce usare gli inspector possiamo verificare i cookie anche da qui.

Vediamo con l’inspector di Google Chorme.

Andate nel browser sulla pagina caricata, premete tasto destro del mouse e dal menu a tendina selezionate “ispeziona elemento”.

Si aprirà l’inspector la cui funzione è quella di darci determinate informazioni tecniche della pagina fra cui anche i cookie.

Andiamo alla tab chiamata Resources e dal menu sulla sinistra apriamo la voce Cookies.

Vediamo che ci sono i diversi nomi dei domini da cui provengono i cookies.

Selezioniamoli singolarmente per avere un report dettagliato sui cookie che tale dominio ci ha inserito.

Possiamo vedere i valori quali il nome, il valore, la scadenza ed altro.

Inoltre per alcuni browser, come Google Chrome, abbiamo delle estensioni, che ci permettono di gestire i cookie. Installandole possiamo quindi verificarne la loro presenza.

Ovviamente a ogni test che fate, ricordatevi che se state verificando la condizione dell’utente alla prima visita, dove eliminare i cookie dal vostro browser. Per ognuno di loro c’è un procedimento diverso.

• Per Google Chrome
• Per Firefox
• Per Safari
• Per Explorer

I cookie di profilazione più famosi che ci obbligano all’adeguamento della normativa.

Ecco di seguito una lista degli strumenti più famosi che ci obbligano all’adeguamento della normativa.

• La maggior parte delle Advertising Network, ovvero i servizi di aziende che inseriscono i banner pubblicitari all’interno del nostro sito, come per esempio Google Adsense.
• Molti servizi di Google, fra i quali i plugin social di Google Plus, Google Maps, Google Analytics ( vedi sotto )
• I plugin social di Facebook e Twitter, come per esempio i Commenti, i Mi Piace o Tweet che mostrano il numero dei rispettivi follower.
• I sistemi per incorporare i video, come YouTube e Vimeo.
• Altri plugin come Disqus, Share This ecc….

Utilizzo Google Analytics. Installa cookie tecnici o di profilazione?

Su Google Analytics si sono aperte determinate discussioni. Ricordiamo che il garante accetta nel gruppo di cookie tecnici quegli strumenti che permettono l’analisi di statistiche del sito in forma non aggregata.

Ma Google Analytics non fa solo questo, fa tanto ancora, come appunto creare delle liste di utenti tramite cookie per poi essere utilizzate da Adwords nelle campagne di remarketing, quindi rientra nei cookie di profilazione.

Per verificare questa ultima impostazione andate nel vostro account Analytics, poi in Amministrazione e infine selezionate la proprietà interessata dal menu a tendina della colonna centrale Proprietà.

Fatto questo Selezionate le Impostazioni proprietà e verificate di non avere attive le funzioni inerenti alle Funzioni Pubblicitarie.

Ulteriori spiegazioni di Google a riguardo le potete vedere qui: https://support.google.com/analytics/answer/2700409 https://www.google.com/policies/technologies/ads/.

Fatto questo l’attività di Google Analytics non può ancora definirsi anonima.

Infatti manca quello che viene definita l’anonimizzazione del Ip dell’utente.

Per farlo dobbiamo mettere mano al codice di Google Analytics e inserire la stringa ga('set', 'anonymizeIp', true); all’interno dello snippet datoci da Analytics, prima della riga ga('send', 'pageview');

Per chi utilizza Universal Analytics
ga('set', 'anonymizeIp', true);
ga('send', 'pageview');

Per chi utilizza ancora la versione GA
_gaq.push (['_gat._anonymizeIp']);
_gaq.push (['_trackPageview']);

dove _gaq.push (['_gat._anonymizeIp']); va inserito prima del _gaq.push (['_trackPageview']);

Altre informazioni esaustive su Analytics le potete trovare Google Analytics anonimizzaiozne ip.

C’è un modo di importare i video YouTube in maniera anonima?

La risposta è si. Infatti se andiamo su un video e premiamo l’icona del Condividi, poi premiamo la voce Codice da Incorporare e ancora premiamo Mostra Altro, ci si aprono delle impostazioni aggiuntive, fra cui Abilita modalità di Privacy Avanzata.

Attivata l’impostazione possiamo vedere come ora, all’interno della URL, il nome www.youtube.com sia cambiato in www.youtube-nocookie.com.

Utilizziamo questo codice di incorporamento.

Il blocco dei cookie prima del consenso.

Aggiornamento 4 giugno 2015: sul seguente punto ci sono ancora molti dubbi. Pareri discordanti, ma pur sempre pareri. Speriamo venga chiarita la questione del blocco preventivo quanto prima, in maniera inequivocabile.

Un altro punto di confusione è per il fatto che molti plugin in circolazione dedicati alla cookie law, di per se visualizzano si il banner con la possibilità di personalizzazione del testo e degli altri elementi che ci devono essere, ma non bloccano l’inserimento dei cookie fino al momento in cui l’utente, con un intervento attivo, accetta le condizioni.

Pertanto, in questi casi, anche se l’utente non vuole accettare le condizioni o lascia immediatamente il sito, i cookie sono stati comunque inseriti all’interno del suo computer.

Pertanto non è sufficiente installare uno di questi plugin e mettersi l’animo in pace.

Bisogna controllare che effettivamente il loro funzionamento sia corretto, anche perché, in termini legali, rimaniamo noi, gli editori, i responsabili.

A chi affidarsi?

Aggiornamento: il plugin che abbiamo trovato di maggior efficacia e di facile utilizzo per gli inesperti è Ginger EU Cookie Law, plugin gratuito con solo alcune estensioni a pagamento ( molto basso ).

Se volete un pacchetto chiavi in mano, allora abbiamo in Italia un’azienda che sta basando il suo business su queste problematiche. Si chiama Iubenda.

Hanno sviluppato un sistema che promette di rendere il nostro sito aggiornato in termini di privacy e di essere seguiti da veri legali.

Proprio per questo motivo il sistema di retribuzione è ad abbonamento annuale, perché saranno loro a vigilare e a tenere la vostra policy aggiornata in caso di cambiamenti.

Fra l’altro questa mattina mi è arrivata la notifica che è pronto il loro plugin di WordPress che risolve il problema del Blocco dei cookie prima del consenso.

Loro fanno anche parte di quel gruppo di aziende che, insieme insieme al garante stesso, hanno rilasciato un kit contenente le linee guida per implementare la cookie law.

Ci sono altri plugin che attualmente stanno riscuotendo successo e che vediamo installati su molti siti, fra cui

• Cookie Choices – sviluppato dal team di Google
• Cookie Script
• Cokie Consent – open source
• CokieCuttr v2 – Per WordPress

Ricordatevi che a seconda del vostro tipo di sito e quindi, di quello che avete installato su di esso, dovrete fare le dovute verifiche per vedere che tutti i cookie di profilazione, vostri e di terze parti, siano disabilitati fino al momento del consenso.

Sono in Italia, ma ho il sito su un server fuori dall’Europa, cosa devo fare?

Non importa se il server è fuori dall’Europa, ma se sei ( o hai un business in Italia ) devi provvedere all’adeguamento.

Ho un sito in diverse lingue, basta che mi adegui su una?

La risposta è no. Devi provvedere all’adeguamento in tutte le lingue.

Siamo un’azienda fuori dalla UE, ma abbiamo un dominio italiano, cosa dobbiamo fare?

Questo è il nostro caso, poiché Webipedia è di proprietà di una società Thailandese, in quanto viviamo e lavoriamo da qui.

Purtroppo però i dubbi sono molti.

Stiamo cercando di reperire le informazioni autorevoli necessarie, ma attualmente non ne siamo in possesso. Se avete informazioni a riguardo per favore contattateci o scrivete nei commenti.

Lo scroll è considerato un intervento attivo per cui l’utente accetta l’utilizzo dei cookie?

Da informazioni reperite su altri blog e siti, lo scroll dovrebbe essere considerato come intervento attivo, ma non abbiamo trovato nessuna specifica diretta all’interno della documentazione ufficiale.

Se avete informazioni a riguardo per favore contattateci o scrivete nei commenti.

Attenzione alle possibili future truffe!

Si è sollevata una preoccupazione circa la possibilità che questa legge possa dare spazio a possibili truffe. Quindi se ricevete delle comunicazioni di qualsiasi tipo dovete verificare e stare attenti della provenienza delle stesse, onde evitare di cadere nelle mani sbagliate.

Quello che vi chiediamo

Questo articolo è di natura diversa rispetto a quelli che di solito pubblichiamo.

Questo è un articolo che punta a raccogliere il maggior numero di informazioni possibili per aiutare tutti quanti, noi in primis, a poterci muovere nella legalità.

Non siamo dei legali e abbiamo fatto del nostro meglio per potere raccogliere informazioni autorevoli. Ma se sapete qualcosa che non avete letto in questo articolo, per favore comunicatelo a info@webipedia.it e provvederemo immediatamente e incrementare le informazioni.

Vi preghiamo di allegare anche la fonte delle informazioni qualora possibile. Tutti gli utenti registrati al nostro sito verranno avvisati in caso di implementazioni importanti.

Quello che speriamo

Speriamo che questa nuova legge non vada a svantaggio delle attività online europee e che gli editori che vivono di pubblicità non vedano la loro frequenza di rimbalzo schizzare alle stelle.

Speriamo in futuro di vedere degli strumenti dati dalle istituzioni che possano aiutare i webmaster ad avere delle certezze matematiche circa la correttezza dei loro siti e sgravarli così da delle responsabilità troppo gravose, viste le entità delle multe, che non sono equiparabili ai compensi.

Speriamo che le responsabilità siano spostate dall’editore, ovvero dai proprietari dei siti web, direttamente alle grandi aziende di terze parti come Google o Facebook, e che le leggi con relative multe siano rivolte a loro sgravando tutti i milioni di piccoli editori che di certo non hanno una struttura legale come i grandi big e budget così grandi da permettersi certe multe che le metterebbe in ginocchio.

Blocca il Cookie, la petizione

Come si poteva pensare, non tutti si trovano favorevoli alle modalità con cui è stata preparata e approvata questa legge.

Un esempio è bloccailcookie.org dove si stanno raccogliendo firme per cercare di avere un confronto con il Garante, la convocazione di un tavolo con le comunità di sviluppatori dei principali CMS open source affinché si dia avvio alla creazione di strumenti da rendere disponibili a tutti, anche coloro che non hanno competenze tecniche o disponibilità economica adeguate.

Se siete d’accordo con quanto sostenuto da questa petizione, allora date la vostra firma.

Siamo proprio arrivati alla fine dell’articolo, se pensate che possa essere d’aiuto a qualcuno condividetelo, grazie.