Adeguare il sito alla legge sui Cookie (Cookie Law 2015)

Da oggi, 2 giugno 2015, entrerà effettivamente in vigore il provvedimento del Garante della privacy in materia di cookie (la Cookie Law 2015) e privacy, e bisognerà assolutamente adattarsi alla normativa, perché altrimenti si rischieranno multe davvero salate! Questa normativa colpirà tutti i paesi europei e non solo l’Italia.

 

[ARTICOLO AGGIORNATO AD AGOSTO 2017]

Per chiarirvi immediatamente dalle prime righe il reale bisogno di adeguarsi, vi riporto le eventuali sanzioni in caso di inottemperanza: 

• Da 6.000 euro a 36.000 euro per omessa informativa sulla privacy.
• Da 10.000 a 120.000 euro nel caso in cui venga dimostrata l’installazione di cookie di profilazione senza l’autorizzazione degli utenti.

 

NOTA: qualora non riusciste ad effettuare quanto descritto in questa pagina, sono disponibile (dato le forti richieste che sto ricevendo) a:

– Realizzare la pagina d’informativa sulla privacy e sui cookie.

– Creare il banner breve che informa sull’uso dei cookie.

– Mettere “a norma di legge” la form di contatti (ed eventualmente la newsletter).

– Realizzare il blocco preventivo dei cookie.

Scrivetemi nei contatti per avere dettagli su questo tipo di servizio.

 

IL TESTO DI LEGGE

Un riassunto di questa normativa lo si può trovare sul sito del Garante della Privacy. Riporto adesso le informazioni essenziali:

Come forse saprete, “i cookie sono piccoli file di testo che i siti visitati dagli utenti inviano ai loro terminali, ove vengono memorizzati per essere poi ritrasmessi agli stessi siti alla visita successiva. I cookie delle c.d. “terze parti” vengono, invece, impostati da un sito web diverso da quello che l’utente sta visitando“.

Tuttavia, esistono due principali tipi di Cookie, ed è bene capirne la differenza:

• Cookie tecnici: Sono i cookie che servono a effettuare la navigazione o a fornire un servizio richiesto dall’utente. Non vengono utilizzati per scopi ulteriori e sono normalmente installati direttamente dal titolare del sito web.Senza il ricorso a tali cookie, alcune operazioni non potrebbero essere compiute o sarebbero più complesse e/o meno sicure, come ad esempio le attività di home banking.
• Cookie di profilazione: Sono i cookie utilizzati per tracciare la navigazione dell’utente in rete e creare profili sui suoi gusti, abitudini, scelte, ecc. Con questi cookie possono essere trasmessi al terminale dell’utente messaggi pubblicitari in linea con le preferenze già manifestate dallo stesso utente nella navigazione online.

 

Perché è importante questa distinzione? È presto detto:

La normativa recita: “Per l’installazione dei cookie tecnici non è richiesto il consenso degli utenti, mentre è necessario dare l’informativa (art. 13 del Codice privacy). I cookie di profilazione, invece, possono essere installati sul terminale dell’utente soltanto se questo abbia espresso il proprio consenso dopo essere stato informato con modalità semplificate, e devono essere notificati al Garante della Privacy”.

 

È importantissimo leggere e capire il seguente estratto:

In che modo il titolare del sito deve fornire l’informativa semplificata e richiedere il consenso all’uso dei cookie di profilazione?

L’informativa va impostata su due livelli.

Nel momento in cui l’utente accede a un sito web (sulla home page o su qualunque altra pagina), deve immediatamente comparire un banner contenente una prima informativa “breve”, la richiesta di consenso all’uso dei cookie e un link per accedere ad un’informativa più “estesa”. In questa pagina, l’utente potrà reperire maggiori e più dettagliate informazioni sui cookie scegliere quali specifici cookie autorizzare.

 

È obbligatorio il blocco preventivo dei cookie?

In italia, purtroppo, sì.. Il blocco preventivo dei cookie (fino a che l’utente non accetta le condizioni) è obbligatorio per tutti quei servizi che generano cookie di profilazione, come ad esempio i pulsanti di Like di Facebook e Twitter, Google Adsense, ecc..

 

SOLUZIONE CON IUBENDA (Aggiornamento Agosto 2017)

Questa è la soluzione All-In-One per quanto riguarda la Cookie Law italiana, perchè permette di creare informativa breve, informativa estesa e anche il banner in maniera semplice, immediata e pienamente a norma di legge, grazie al team di avvocati di Iubenda.

Grazie a Iubenda è possibile quindi avere:

• Privacy Policy + Cookie Policy.
• Banner per l’informativa breve.
• Blocco preventivo dei codici.

Per realizzare la Privacy Policy e la Cookie Policy con Iubenda sono sufficienti 19€ all’anno a licenza, per cui una cifra davvero ottima per i servizi offerti; per saperne di più sui prezzi vi rimando al loro sito.

 

Come adeguarsi alla Cookie Law con Iubenda

Per cominciare ad adeguare il proprio sito con Iubenda è sufficiente seguire questo link, grazie al quale si potrà usufruire di uno sconto del 10% sul prezzo complessivo; per qualsiasi problema rimango a disposizione nei commenti, o in privato attraverso la form dei contatti.

 

CREARE L’INFORMATIVA BREVE

Come deve essere realizzato il banner?

Il banner deve avere dimensioni tali da coprire in parte il contenuto della pagina web che l’utente sta visitando. Deve poter essere eliminato soltanto tramite un intervento attivo dell’utente, ossia attraverso la selezione di un elemento contenuto nella pagina sottostante.

Quali indicazioni deve contenere il banner?

Il banner deve specificare che il sito utilizza cookie di profilazione, eventualmente anche di “terze parti”, che consentono di inviare messaggi pubblicitari in linea con le preferenze dell’utente. Deve contenere il link all’informativa estesa e l’indicazione che, tramite quel link, è possibile negare il consenso all’installazione di qualunque cookie. 

Deve inoltre precisare che se l’utente sceglie di proseguire “saltando” il banner, acconsente all’uso dei cookie.

Come realizzare il banner?

Ok, a questo punto vi chiederete: e come realizzo questo banner? Dipende da che piattaforma utilizzate.. Io in questo articolo vi parlo di WordPress e Weebly, ma la stessa cosa vale per Altervista, Format, WordPress.com, ecc..

• Se si utilizza WordPress:
  • Si può installare un plugin gratuito chiamato Cookie Law Info, il quale una volta attivato basterà impostarlo (tempo 2 minuti) e il banner sarà correttamente visualizzato nel sito. Tuttavia, questa soluzione non permette il blocco preventivo dei cookie, che in Italia ripeto che è obbligatorio!
  • La soluzione che io consiglio è l’utilizzo del plugin Dynamic Cookie Blocker, disponibile sul sito Ulissepress.it; il costo del plugin è di 25 euro, ma ne vale davvero la pena.. Intanto è un prodotto completamente italiano, poi permette anche il blocco preventivo dei cookie semplicemente andando a mettere mano al codice (contattatemi se avete bisogno di consulenze). Potete vedere il risultato sul mio sito, dato che anch’io utilizzo questo ottimo plugin.
• Se si utilizza Weebly (e simili):
  • Dato che questa piattaforma di sviluppo non permette l’installazione di plugin, seguite questa guida.

 

 

CREARE L’INFORMATIVA ESTESA

Cosa deve indicare l’informativa “estesa”?

Deve contenere tutti gli elementi previsti dalla legge, descrivere analiticamente le caratteristiche e le finalità dei cookie installati dal sito e consentire all’utente di selezionare/deselezionare i singoli cookie. Deve includere il link aggiornato alle informative e ai moduli di consenso delle terze parti con le quali il titolare ha stipulato accordi per l’installazione di cookie tramite il proprio sito.

Deve richiamare la possibilità per l’utente di manifestare le proprie opzioni sui cookie anche attraverso le impostazioni del browser utilizzato, e deve essere linkabile da ogni pagina del sito.

 

Cosa inserire nell’informativa

Ecco le principali sezioni (e informazioni) che dovrete dare nell’informativa completa:

• Titolare del trattamento dei dati: chi gestisce il sito e può accedere a dati sensibili dell’utente.
• Tipologie di dati raccolti: ovvero Cookie, email, nome, indirizzi iP, ecc..
• Modalità e luogo del trattamento dei dati raccolti: Dove conservate questi dati? E per quanto li mantenete? Ecc..
• Finalità del trattamento dei dati: cosa ne fate di questi dati?
• Dettagli sul trattamento dei dati personali: questa sezione sarà quella che vi richiederà più tempo, dato che dovreste elencare TUTTE le “fonti” di raccolta dati che avete nel vostro sito, e per ognuna indicare anche le pagine di informativa; ad esempio:
  • Sistema di commenti (interno o esterno, come Disqus o Facebook).
  • Sistema di Mailing List.
  • Sistema di contatto (usate un plugin per la form di contatti? Dovete dirlo!)
  • Ecc..
• Cookie policy: dovete spiegare cosa fate con i Cookie, se usate Cookie di profilazione/sessione/tecnici, se usate Analytics in modo anonimo (vedi paragrafo successivo) e anche spiegare all’utente come può cancellare i cookie.
• Ulteriori informazioni: ad esempio che l’utente può richiedere in qualsiasi momento quali cookie sono conservati.

 

Ricordatevi di mettere il link all’informativa estesa anche nel Footer (o nel menù principale del sito), perché questa pagina deve essere reperibile da qualsiasi parte del vostro sito..

 

REALIZZARE IL BLOCCO PREVENTIVO DEI COOKIE

Questo è davvero l’aspetto più difficile da realizzare, perché in sostanza bisogna bloccare tutti gli script, gli embed, gli iframe, ecc.. che generano cookie di profilazione (Es: like di Facebook e Twitter), fino a che l’utente non accetta il nostro banner. Le soluzioni proposte dalle varie aziende sono molte, ma mi duole dire che sono poche quelle che funzionano davvero bene!

Per quanto riguarda WordPress, consiglio di utilizzare il plugin che ho consigliato in precedenza, mentre per quanto riguarda CMS come Weebly, Altervista, 1&1, ecc.. bisogna realizzare un sistema che vada ad agire direttamente sui vari codici HTML inseriti.. Io, come già detto, sono disponibile a realizzare il tutto (scrivetemi nei contatti).

 

 

 

IL PROBLEMA DI GOOGLE ANALYTICS

 

Sono sorti molti dibattiti sui cookie utilizzati per Google Analytics, ed ecco cosa recita la normativa:

I cookie analytics sono cookie “tecnici”?

No. Il Garante (cfr. provvedimento dell’8 maggio 2014) ha precisato che possono essere assimilati ai cookie tecnici soltanto se utilizzati a fini di ottimizzazione del sito direttamente dal titolare del sito stesso, che potrà raccogliere informazioni in forma aggregata sul numero degli utenti e su come questi visitano il sito. A queste condizioni, per i cookie analytics valgono le stesse regole, in tema di informativa e consenso, previste per i cookie tecnici.

 

In altre parole, i Cookie di Analytics, purtroppo, sono dei cookie di profilazione, ma ecco un escamotage per renderli “leciti”! Se Google Analytics viene impostato per raccogliere i dati degli utenti in maniera anonima, allora a questo punto non vi è più il problema! Chiaramente bisognerà riportare questa cosa nella pagina informativa della privacy. Ecco come fare:

• Aggiungere allo script di monitoraggio che già usi, questa stringa di codice:

ga(‘set’, ‘anonymizeIp’, true);

• esattamente in mezzo a queste due righe:

ga(‘create’, ‘UA-XXXXXXXX-X’, ‘auto’);
ga(‘send’, ‘pageview’)

.

AGGIORNAMENTO Settembre 2015: a quanto pare, adesso non è più sufficiente solo anonimizzare gli IP, ma bisogna anche impedire a Google di incrociare i dati di Analytics con altri dati in suo possesso.. Ecco come fare:

• Accedi al tuo account Google Analytics: www.google.com/intl/it/analytics.
• Clicca su Amministrazione dal menu in alto.
• Clicca su Impostazioni dell’Account.
• Deseleziona infine le impostazioni di condivisione come indicato nell’immagine in basso.

 

 

FORM CONTATTI e MAILING LIST

Non è ancora finita!! Adesso dovete anche avvertire l’utente che iscrivendosi alla vostra Mailing List (o scrivendovi un messaggio nella form di contatti), esso vi fornirà dei dati sensibili, che voi tratterete come specificato nella vostra pagina di informativa estesa.

Come fare? Dipende da (e se) avete usato plugin per realizzare queste due funzioni, oppure no. In sostanza non è una cosa complicatissima, perché si tratta semplicemente di inserire un Radio button con scritto “Autorizzo il trattamento dei dati, …” e rendere obbligatoria la sua spunta.

Io posso aiutarvi con questi due sistemi (dato che sono i due che uso):

• Contact Form 7. Scrivete questo codice dopo l’inserimento dei vari campi nome, cognome, testo, ecc.. Ricordatevi ovviamente di sostituire la voce URL_POLICY con il link della vostra pagina informativa.

<p> [acceptance Consenso] Acconsento al trattamento dei dati personali secondo le condizioni espresse nella <a href=”URL_POLICY” target=”_blank”>pagina d’informativa sulla privacy </a>* </p>

<p>[submit “Invia”]</p>

<p>* campi obbligatori </p>

• MailChimp. Il procedimento è un pó più lungo, per cui se avete bisogno scrivete un commento (o mandate una mail).. A breve, comunque, dovrei fare una guida a riguardo.

 

CONDIVISIONE VIDEO DI YOUTUBE

Un argomento molto controverso per quanto riguarda la Cookie Law e il blocco preventivo dei cookie, è quello inerente al tema di YouTube; i video incorporati nei siti producono cookie di profilazione, per cui è necessario il consenso prima di installarli!

Seguite perciò questa guida per risolvere questo piccolo problema: Adeguare video di YouTube alla Cookie Law.

 

Per qualsiasi dubbio, scrivetemi pure nei commenti!

Se trovate l’articolo interessante, un Mi Piace sulla pagina Facebook e/o una condivisione sono graditi. Per non perdere neanche un articolo di World Informatic, iscrivetevi alla Newsletter, oppure utilizzate i Feed Rss.