La normativa del Garante “Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie – 8 maggio 2014 [3118884]” viene definita in breve Cookie Law o Legge sui Cookie ed entrerà in vigore definitivamente il prossimo 2 giugno.
Afferma che ogni sito web, a prescindere dalle sue finalità, deve dotarsi di un sistema di banner il quale, mediante una duplice notifica, informi il visitatore dell’utilizzo di cookie nel sito e proponga un link di approfondimento per chi volesse saperne di più. Ma partiamo con ordine.
Cosa sono i Cookie?
Riportiamo integralmente la definizione di Wikipedia:
In informatica i cookie HTTP (più comunemente denominati Web cookie, tracking cookie o semplicemente cookie) sono righe di testo usate per eseguire autenticazioni automatiche, tracciatura di sessioni e memorizzazione di informazioni specifiche riguardanti gli utenti che accedono al server, come ad esempio siti web preferiti o, in caso di acquisti via internet, il contenuto dei loro “carrelli della spesa”.
I cookie rappresentano quindi un aggregato di informazioni sul dispositivo che sta visitando il sito, come ad esempio il browser in uso, l’indirizzo IP e così via.
Viene fatta una distinzione, in questo ambito, tra cookie tecnici (che servono sostanzialmente a far funzionare il sito, ad esempio abilitando il “carrello” presente nei siti di e-commerce) e cookie di profilazione, che hanno invece una natura più controversa in quanto, di fatto, sono utilizzati dai circuiti di pubblicità contestuali, cioè quelli che (in sostanza) mandano pubblicità tematiche sulla base delle precedenti scelte, preferenze e siti visitati dall’utente.
Banner di notifica
Il banner serve a fare presente ai visitatori di un sito questa circostanza mediante una procedura semplificata; il visitatore ne prende atto per poi proseguire nella navigazione.
Nello specifico, a seconda della tecnologia utilizzata, il “banner” può coincidere il più delle volte con una finestra modale controllata mediante un ulteriore cookie, cioè una finestra “figlia” della pagina, la quale si apre automaticamente la prima volta, per poi richiudersi con un click o con lo scorrimento della pagina da parte dell’utente.
Per come è definita la normativa tutti i siti, siano essi blog, siti di notizie, e-commerce, forum o portali, dovranno adeguarsi alla procedura. Quello che cambia, sarà la dicitura e le specifiche sulle terze parti che, quasi certamente, saranno parte integrante del sito.
La normativa propone, in particolare, ai webmaster di stilare un’informativa estesa che faccia presente agli utenti che è possibile:
- che siano utilizzati cookie tecnici e/o analytics;
- scegliere quali cookie usare;
- disabilitare tutti o in parte i cookie stessi, ad esempio solo quelli di terze parti;
- navigare anonimamente sfruttando proxy e blocco preventivo dei cookie via browser.
Passiamo ora ad una serie di domande e risposte (FAQ) sul tema.
Cookie e Google Analytics
Occorre far visualizzare il banner se nel sito si usa solo Google Analytics?
C’è un aspetto importante da mettere in conto nella risposta: secondo le FAQ del sito del Garante infatti, i cookie di analytics, pur non essendo di natura cookie tecnici, sono comunque riconducibili ad essi; questo, in particolare, a patto che siano “utilizzati a fini di ottimizzazione del sito direttamente dal titolare del sito stesso, che potrà raccogliere informazioni in forma aggregata sul numero degli utenti e su come questi visitano il sito.”
In altri termini, ricorda il Garante, “per l’installazione dei cookie tecnici non è richiesto il consenso degli utenti, mentre è necessario dare l’informativa (art. 13 del Codice privacy)”. Ciò significa che la notifica va mostrata ugualmente, anche se si utilizzano solo cookie tecnici specificando che vengono utilizzati solo questi ultimi.
[Aggiornamento del 09/06/2015] In base ai successivi chiarimenti esposti dal Garante sul sito ufficiale (fonte), per utilizzare il widget di Google Analytics senza obbligo di notifica è necessario utilizzare il meccanismo di anonimizzazione degli IP. Il procedimento viene descritto nella documentazione ufficiale.
Infatti viene riportato nella pagina in questione:
In molti casi, […] i siti utilizzano, per meri fini statistici, cookie analitici realizzati e messi a disposizione da terze parti. In questi casi, si ritiene che i succitati siti non siano soggetti agli obblighi e agli adempimenti previsti dalla normativa (notificazione al Garante in primis) qualora vengano adottati strumenti idonei a ridurre il potere identificativo dei cookie analitici che utilizzano (ad esempio, mediante il mascheramento di porzioni significative dell’indirizzo IP).
Nel caso di altri metodi di analytics “proprietari”, come ad esempio Piwik, il problema non si pone, in quanto non si tratta di “terze parti” e sempre nell’ipotesi che i dati vengano utilizzati solo privatamente.
Come implementare il banner senza usare plugin?
Esiste un metodo base per farlo che poi chiaramente, va specializzato a seconda delle effettive necessità. Utilizzando jQuery Cookie e Zurb Fundation, è possibile inserire nel footer del sito, quindi su ogni pagina, un cookie che scade dopo 14 giorni (ad esempio), che si imposti soltanto se non è stato settato in precedenza:
<script>
if ( jQuery.cookie(“cookie_policy”) == null )
{
// ... imposta cookie!
jQuery.cookie(chiave, ‘ok’ { expires: 14 });
//mostra finestra modale, solo la prima volta
jQuery('#myCookie’).foundation('reveal', 'open');
}
</script>
Come secondo passo, si inserirà il markup per la finestra modale nel body delle pagine:
<div id="myCookie" class="reveal-modal" data-reveal> <p class="lead">Avviso</p> <p> Questo sito utilizza cookie tecnici e di tracciamento per inviarti annunci pubblicitari mirati: per procedere dovresti dare il tuo consenso. Per accettare, basta chiudere questa finestra. </p> <p> <a href="#" class="button success small close-reveal-modal">Va bene!</a> <a href="http://tuositointernet.it/privacy-e-termini-di-servizio.html" class="button info small">Voglio saperne di più</a> </p> </div>
Cookie e Social Network
Occorre far visualizzare il banner, nel caso in cui ci siano i pulsanti social di condivisione? I cookie di questi servizi possono essere considerati di profilazione?
In mancanza di ulteriori specifiche, tutti i plugin che hanno a che fare con i social, per definizione, potrebbero effettivamente considerarsi “di profilazione”, ma anche di “terze parti”.
In effetti, la profilazione è alla base del social network stesso che si basa su questo meccanismo per generare pubblicità mirata per ogni utente: di fatto, la condivisione di una pagina del nostro sito sui social, come effetto del bottone, è di profilazione solo di rimando, in un certo senso.
Il dubbio in merito rimarrebbe, se non fosse che il Garante specifica chiaramente che l’editore non è direttamente responsabile dei cookie di terze parti, ma deve linkare le privacy policy di ognuno. Per cui un banner bloccante, che consenta di proseguire la navigazione solo dopo un click, dovrebbe rispondere in positivo ai requisiti indicati nella normativa.
È necessario bloccare in ogni caso tutti i cookie prima del consenso dell’utente, o questo deve avvenire solo se si usano cookie di profilazione?
In merito, la FAQ dice che per i cookie tecnici basta una notifica informativa a due livelli, mentre quelli di profilazione devono essere attivati consapevolmente dall’utente: in altri termini, si “deve precisare che se l’utente sceglie di proseguire “saltando” il banner, acconsente all’uso dei cookie”.
Di fatto, un banner che copra la pagina ed impedisca di proseguire la navigazione se non prendendo atto della notifica, abbastanza grande nel contesto della pagina, dovrebbe rispondere positivamente alla richiesta.
Inoltre, è bene ribadire che il cookie di profilazione è quasi sempre un cookie di terze parti (perché viene impostato da un sito diverso da quello che si sta visitando). A tal proposito, la normativa specifica che “non si può obbligare l’editore ad inserire sull’home page del proprio sito anche il testo delle informative relative ai cookie installati per il suo tramite dalle terze parti, perché questo determinerebbe […] una generale mancanza di chiarezza dell’informativa”.
Nell’informativa estesa del nostro sito, dunque, dovrà “essere inserito anche il link aggiornato alle informative e ai moduli di consenso delle terze parti con le quali l’editore ha stipulato accordi per l’installazione di cookie tramite il proprio sito”.
Cookie policy: alcuni esempi
Ecco infine alcuni esempi di link delle cookie policy di alcuni network pubblicitari e social network che possono, almeno in teoria, essere considerati di “terzi parti” rispetto al sito di riferimento e che andranno linkate dall’informativa estesa.
Linkedin, Google, Facebook, Twitter, TradeDoubler, Google Adsense, TradeTracker
Conclusione e aggiornamenti
L’articolo non vuole e non può essere esaustivo. Non descrive la soluzione ottimale sia nel caso di un semplice sito web sia nel caso di un blog WordPress per cui sono stati rilasciati e verranno sicuramente aggiornati numerosi plugin. Purtroppo in merito alla Cookie Law e soprattutto su come adeguarsi in maniera corretta ci sono ancora molti dubbi.
Il consiglio quindi è quello di prendere comunque dei provvedimenti inserendo il banner con l’informativa breve con link a quella completa e poi verificare e aggiornarsi nei prossimi giorni nei blog di settore, nei social network e, si spera, sul sito del Garante che dovrebbe fornire dettagli chiari, precisi e definitivi.
Di conseguenza questo articolo potrebbe essere aggiornato con nuove informazioni e con dettagli più precisi non appena ci saranno informazioni in merito.
Inserisci l’indirizzo del post nel tuo bookmark e torna a visitarci!
Lascia un commento