Cookie law, come adeguare il sito alle normative

di Maria Silvana Radice








PREMESSA: le indicazioni contenute in questa pagina sono date a solo titolo informativo.

Data l'importanza dei documenti di cui si parla, raccomando a tutti di consultare un professionista per la loro compilazione.



(Nota: avviando la riproduzione del video accetti i cookie di Youtube)



Affrontiamo un argomento un po' spinoso e complesso del quale, pero`, siamo obbligati ad occuparci se abbiamo un sito web e se ci teniamo a non pagare multe molto salate.
Sto parlando della "Cookie policy", vale a dire del documento con cui informiamo i visitatori riguardo a tutti i cookie che vengono attivati navigando sul nostro sito e al modo di disattivarli se lo desiderano.
Questa informativa e` obbligatoria dal 2 giugno 2015 e riguarda tutti i siti web, sia privati, che commerciali, nonche` i blog e i forum.
Vi rimando subito all'informativa ufficiale in merito:

http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3118884
http://24o.it/links/?uri=https://s3.amazonaws.com/iprs/files/attachments/20155/17bfe609-832b-4eb5-bd95-55239b5ae4f1__O.pdf&from=Web+e+privacy%2C+dal+2+giugno+nuove+regole++per+ii+cookie

Vorrei anche chiarire quando e` necessario informare il Garante della Privacy in via telematica e pagare i 150 euro di diritti di segreteria, dato che questo preoccupa molte persone:

Il webmaster deve informare il Garante della Privacy per via telematica solo se produce e gestisce in proprio dei cookie di profilazione. Cio`, quindi, non e` necessario se il titolare del sito usa, esclusivamente, cookie di profilazione di terze parti, perché le modalità di utilizzo di tali cookie rientrano nel controllo del loro proprietario.


Cosa sono i cookie?

"In informatica, i cookie HTTP (più comunemente denominati Web cookie, tracking cookie o semplicemente cookie) sono righe di testo usate per eseguire autenticazioni automatiche, tracciatura di sessioni e memorizzazione di informazioni specifiche riguardanti gli utenti che accedono al server, come ad esempio siti web preferiti o, in caso di acquisti via internet, il contenuto dei loro carrelli della spesa." (Wikipedia)

I cookies vengono inviati da un sito al visitatore (tecnicamente, da un server a un client).
Quando fanno il percorso inverso, sono carichi di informazioni sull’utente. Es: preferenze, lingua, posizione geografica,ecc..a seconda del tipo di cookie.
Le finalita` del cookie sono quelle della memorizzazione e del tracciamento. Tutti i cookies sono impostati per una scadenza, in modo da rendere necessario un altro dialogo tra server e client per generare sempre statistiche aggiornate.
I cookie di profilazione hanno una durata massima di 12 mesi.


Cookies tecnici e cookies di profilazione:

I cookie tecnici:

Rendono possibile la navigazione e non vengono utilizzati per altre finalità. Sono normalmente installati direttamente dal sito web. Sono i cookie di autenticazione e sessione senza i quali non sarebbe possibile, o risulterebbe molto più complesso, utilizzare le funzionalità del sito internet.

I  cookie di profilazione:

Sono utilizzati per monitorare e profilare l’utente e le sue abitudine, la loro finalità è commerciale, ad esempio indirizzare una comunicazione pubblicitaria rispondente agli interessi dell’utente, o fornire a terze parti informazioni sulle sue preferenze.
  • Cookie di profilazione di prime parti: sono i cookies inviati al tuo browser direttamente dal sito che stai visitando
  • Cookie di profilazione di terze parti: sono i cookies inviati al tuo browser da altri siti e non dal sito che stai visitando.

Come mettere in regola un sito Google riguardo alla normativa sui Cookie:

Prima di tutto, bisogna sapere e chiarire che:

Un sito costruito con Google sites e` ospitato sullo spazio hosting di "Google sites", appartenente a Google Inc. («Google»), con sede a: 1600 Amphitheatre Parkway, Mountain View, CA 94043, Stati Uniti.

Google sites e` anche l'applicazione per mezzo della quale il sito e` costruito e fornisce il CMS (Content Management System) per la gestione del sito stesso. Tutti i cookie tecnici, quindi, sono interamente gestiti da Google.


Google sites e` un prodotto di Google.com e, come tale, utilizza anche i cookie comuni a tutti i prodotti di Google.com.

Con l'accesso ad un prodotto di Google.com, l'utente attiva tali cookie per tutti i prodotti di Google.com.
(leggi: https://support.google.com/accounts/answer/6227261?hl=it)

Detto questo, vediamo cosa e` di nostra competenza:

In pratica, dobbiamo fare due cose....
  1. Creare un popup o banner di avviso per i visitatori con un'informativa breve
  2. Creare un documento di "Cookie privacy" con un'informativa estesa
Il popup non sarebbe obbligatorio in presenza di soli cookie tecnici, ma e` largamente consigliata la sua installazione comunque.

Creare il popup di avviso:

La prima cosa si fa in fretta. Google sites e` gia` predisposto per questa funzione. Basta andare in menu`->generale->e scrivere l'avviso per gli utenti nello spazio apposito. Poi, mettete la spunta su "Mostra il pulsante...." e, dove indicato, inserite il link alla pagina che conterra` il documento di "Cookie policy" (ovviamente, potete inserirlo anche in seguito se non avete ancora preparato la pagina).








Il messaggio per i visitatori dovra` contenere:

  1. L'avviso che il sito utilizza cookies e anche cookie di terze parti (se presenti).
  2. L'avviso che cliccando su "ok", o anche solo continuando la navigazione, l'utente acconsente all'uso dei cookie.
  3. L'informazione che i cookies possono essere disattivati seguendo le indicazioni contenute nel documento di "Cookie policy" raggiungibile cliccando sul link.

Se avete necessita` di visualizzare nuovamente l'apertura del banner dopo aver gia` espresso in consenso, potete farlo utilizzando la navigazione anonima del browser.

Creare il documento di "Cookie Policy":

Creare il documento di Cookie Policy non e` cosi` semplice e richiede un po' di lavoro e di attenzione. Il documento deve essere personale e deve contenere i dati e le indicazioni relative al vostro sito. Non puo` essere, quindi, un documento generico, ma, al contrario, deve essere molto dettagliato e specifico. La Cooky Policy deve contenere delle indicazioni ben precise relative ad un determinato sito web, come avete letto nei documenti ufficiali.
Riassumiamo cio` che e` richiesto:

  1. identificare tutte le categorie di cookie installati dal proprio sito e le loro finalita` (cookie di prima parte)
  2. identificare le terze parti che, attraverso il sito del titolare, potrebbero inviare dei cookie;
  3. catalogare i cookie in base alle fi nalità di trattamento;
  4. identificare i link alle privacy policy e ai moduli di consenso delle terze parti con le quali il titolare/gestore del sito ha stipulato accordi per l’invio dei cookie dal medesimo sito (ove disponibili). Qualora non abbia contatti diretti con le terze parti o nel caso in cui fosse particolarmente difficile individuare tutte le terze parti inserire:
  •  link alle privacy policy degli intermediari (solitamente il concessionario di pubblicità del sito) ove disponibili,
  •  link al sito www.youronlinechoices.com/it (limitatamente ai servizi censiti da tale piattaforma, ovvero, al momento, quelli di profilazione pubblicitaria)


ATTENZIONE: Si e` verificato il caso di persone che hanno copiato i documenti presenti su questo sito, La chiave nel pozzo, e li hanno incollati, tali e quali, nel loro sito. Oltre ad essere una violazione del copyright, questo ha comportato che non siano state apportate tutte le correzioni necessarie e che il mio nome e/o quello del mio sito siano rimasti impressi in tali documenti. Vorrei far notare che un conto e` ispirarsi ad un documento gia` pubblicato e un altro conto ricopiarlo integralmente senza prestare, peraltro, sufficiente attenzione ai dati immessi. Trattandosi di documenti con valore legale, qualora, nel corso dei miei periodici controlli in rete, riscontrassi questo tipo di abuso nei miei confronti, sarei tenuta a segnalarlo immediatamente a Google, a tutelarmi legalmente e a chiedere un eventuale rimborso per danno di immagine.


Come sapere quali cookie trasmette il proprio sito:

Per sapere quali cookie sono attivi sul vostro sito, potete utilizzare le funzioni del vostro browser che servono anche per disattivarli.

In Firefox, per esempio, seguite il percorso: preferenze->privacy e poi cliccate su "rimuovere i singoli cookie", si apre una finestra in cui potete inserire il nome di dominio del vostro sito. Cliccate, quindi, sul tasto  "enter" della tastiera e visualizzerete tutti i cookie attivi per il dominio indicato.
Per visualizzare i cookie relativi a Google sites (come hosting), dovete inserire solo "sites".






Sempre in Firefox, ora, e` presente una funzionalita` piu` evoluta e molto comoda. Cliccando, infatti, sull'icona che vedete in immagine....





....e poi sulla freccetta, si aprira` questa nuova finestra....





Cliccate su "Ulteriori informazioni" ed ecco la nuova schermata....






Cliccando su "Mostra cookie" otterrete l'elenco di tutti i cookie attivi.

Oppure, potete utilizzare lo strumento: "Analizza elemento" del browser, presente nel menu` contestuale e visualizzare i cookie direttamente nella pagina del sito:

Per vedere i cookie e le relative informazioni, dovete cliccare sulla voce "Archiviazione", in alto.




Se questa voce non fosse presente nell'elenco degli strumenti, potete attivarla cliccando sulla rotella in alto a destra e mettendo la spunta relativa nella lista di sx. La voce apparirà accanto alle altre nella barra orizzontale.






Oppure ancora, potete utilizzare un tool online: http://webcookies.org/. Se inserite l'URL di un sito Google, fate attenzione che non ci sia lo slash finale, o non funzionera` correttamente.


Per creare l'informativa estesa, potete prendere a riferimento, solo come esempio, il documento presente su questo sito (Informativa estesa cookie), redatto da un professionista. Tale documento sara` aggiornato e perfezionato, prestando attenzione ad eventuali nuove direttive.  

Il link all'informativa estesa deve comparire, oltre che nel banner di informativa breve, anche nel pie` di pagina del sito, in modo da essere raggiungibile da qualunque pagina del sito. 

Ripeto che ogni documento deve essere personalizzato per il sito a cui si riferisce.

Come gia` detto all'inizio, e` consigliato affidare ad un avvocato, o ad una persona esperta la compilazione di questo importante documento e non limitarsi ad un "copia-incolla" che, sicuramente, non soddisferebbe le caratteristiche del sito specifico.

Oltre a cio`....

AGGIORNAMENTO: La legge prevede che i cookie vengano bloccati finche` l'utente non abbia espresso il consenso. Questo comporta interventi complessi a livello informatico e non certo attuabili da chiunque.

Per quanto riguarda le piattaforme con strumenti pre-configurati, come Google sites, il Garante si e` espresso in questo documento:

http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/4006878

Dove riporta:

"3. Uso di piattaforme che installano cookie

In alcune richieste è stato evidenziato il fatto che è difficile apportare le modifiche necessarie a dare attuazione alla normativa in materia di cookie alle piattaforme da molti utilizzate per la realizzazione di siti web e contenenti già al loro interno strumenti, talora pre-configurati, per la gestione dei cookie o dei widgets.

Al riguardo, la consapevolezza dei vincoli tecnologici esistenti ha portato il Garante a indicare il termine di dodici mesi per attuare le indicazioni contenute nel provvedimento dell'8 maggio 2014 onde consentire una compiuta attuazione degli obblighi normativi. Si ritiene che tale obiettivo, in considerazione della vasta platea di utilizzatori e sviluppatori di piattaforme (molte delle quali open source), possa essere raggiunto mediante l'applicazione di strumenti di c.d. privacy-by-design realizzati sulla piattaforme medesime e messi a disposizione degli utilizzatori e gestori di siti.

Tali interventi dovranno essere volti a permettere il più ampio margine possibile di azione da parte degli utilizzatori sull'installazione dei cookie, consentendo loro di inibire l'installazione di quelli a loro non necessari, e in ogni caso dovranno prevedere opzioni di default che subordinino l'installazione dei cookie non tecnici alla manifestazione del consenso preventivo nelle forme semplificate previste dal Provvedimento."


Si comprende chiaramente che gli sviluppatori di tali piattaforme dovranno creare gli strumenti per permettere agli utilizzatori di adeguarsi alla normativa.
Non possiamo ritenerci responsabili, quindi, per cio` che non possiamo attuare per l'eventuale mancanza degli strumenti stessi.

Siamo tenuti, pero`, ad informare gli utenti in merito, nell'informativa breve e a prendere tutti i provvedimenti in nostro potere per limitare al massimo l'installazione di cookie di profilazione ove possibile. A questo scopo, leggete le indicazioni piu` sotto.



L'ufficio del garante puo` essere contattato, per domande e chiarimenti, da lunedi` e venerdi` dalle 10 alle 13, ai numeri:

06696772924 oppure 06696772919

o all'indirizzo emal: urp@gpdp.it



C'e` anche da sapere che le multe non verranno applicate fino ad una reale chiarezza della situazione e che i gestori dei siti saranno, sempre, preventivamente avvisati qualora si riscontrassero delle irregolarita`.

In realta`, i cookie di base dei prodotti Google non vengono caricati finche` l'utente non accede ad uno qualsiasi di tali prodotti, che puo` essere anche solo lo strumento di ricerca di Google (Google Search) . Dopo l'accesso, pero`, i cookie resterano attivi, per il tempo determinato, anche per tutti gli altri prodotti di Google.
I cookie attivati saranno differenti nel caso in cui l'utente abbia, o meno, un account Google e che questo account sia aperto, oppure no, al momento dell'accesso ad un prodotto.
In poche parole e riferendoci sempre a Google sites: se un utente arriva sul sito senza aver mai utilizzato, prima, alcun prodotto Google, senza aver effettuato la ricerca con Google search e senza utilizzare il browser di Google (Google Chrome), non ricevera` nessun cookie dal sito prima di aver iniziato la navigazione.


Ora vediamo come limitare i cookie di profilazione:

Prodotti Google

Google Adsense:

Su Adsense dovete disattivare le opzioni per la raccolta dei dati degli utenti ai fini di pubblicare annunci pertinenti agli interessi. Per fare questo, accedete al vostro account e andate in questa pagina:

https://www.google.com/adsense/app#main/allowAndBlockAds

Il percorso e`: Consenti e blocca annunci->Pubblicazione degli annunci

Bloccate tutti gli "Annunci basati sugli utenti".


Google Analytics:

Anche se non utilizzate Google Analytics e non l'avete attivato per il vostro sito, dovete sapere che Google sites utilizza di sistema dei cookie di analytics e che questi risultano, quindi, attivi. Per questo motivo e` giusto citarli nell'informativa estesa.

Se, invece, utilizzate Google Analytics in proprio, queste sono le cose che dovete sapere:

Analytics offre un modo per anonimizzare gli indirizzi IP degli utenti:

https://support.google.com/analytics/answer/2763052

Purtroppo questa funzionalita` non e`, al momento, disponibile per Google sites, dato che prevede la modifica dello script  e sappiamo che Google sites non implementa tale script, ma viene collegato ad analytics tramite l'ID di tracciamento inserita nella casella apposita.
In attesa che gli sviluppatori provvedano in tal senso, quello che potete e dovete fare e` disattivare queste opzioni che trovate seguendo il percorso "amministrazione->impostazioni di proprieta`":
  • funzioni pubblicitarie
  • rapporti sulle categorie demografiche e sugli interessi.




Ora andate in amministrazione->impostazioni account. Alla voce "Impostazioni di condivisione dei dati" controllate che non ci sia nessuna spunta:



Collegamenti tra servizi di terze parti


La normativa recita:

"Coloro che, invece, continuino ad utilizzare il servizio di Google nelle sue modalità di default o lo colleghino addirittura ad altri servizi (come ad esempio Google Adsense) dovranno procedere anche a notificare il trattamento al Garante (pagando un importo di 150 euro)."

Collegamento tra Google Analytics e Google Adsense:

Se avete questo collegamento, dovete disattivarlo e dovete compiere l'operazione in entrambi i programmi.

In Analytics: Amministrazione->proprieta`->collegamento di Adsense

(Chi l'avesse, deve togliere il collegamento anche con AdWords.)

Collegamento tra Google Analytics e Search Console (ex "Strumenti per i webmaster"):

Se avete questo collegamento, dovete disattivarlo.
In Google Analytics: "amministrazione->impostazioni di proprieta`", alla voce "Impostazioni Strumenti per i Webmaster", controllate se ci sono siti con il collegamento. Se ci sono, cliccate su "Modifica" e cancellateli dalla lista.
L'opzione "pulita" dovra` apparire cosi`:


Bottoni di condivisione

Inserite i pulsanti di condivisione tramite il loro link. In questo modo non creeranno cookie. Trovate come fare nella guida: Bottoni di condivisione e altro ..

Youtube

Youtube ha messo a disposizione una funzionalita` per  bloccare i cookie dei video finche` l'utente non clicca per avviare la riproduzione.
Per ottenere questa funzionalita`, e` necessario abilitare la "Modalita` di privacy avanzata".
Nella schermata di Youtube relativa al video che volete caricare nel sito, dovete cliccare su condividi->codice da incorporare->mostra altro.
A questo punto, si aprira` la schermata con le impostazioni....




Aggiungete la spunta, in fondo, su "Abilita modalità di privacy avanzata".

Vedrete che il codice iFrame di incorporamento sara` cambiato e l'indirizzo del video rportera` la dicitura "nocookie".

Es: https://www.youtube-nocookie.com/embed/4ttPXXGhMjM

NOTA: questa misura non soddisfa completamente le direttive del garante, in quanto non informa l'utente e non contempla la possibilità da parte dell'utente di scegliere se accettare o meno i cookie visualizzando il video. Consiglio, quindi, di aggiungere un avviso di questo tipo sopra al video stesso....
"Avviando la riproduzione del video accetti i cookie di Youtube"

....in modo che l'utente sia correttamente informato.

Banner pubblicitari

I banner pubblicitari di terze parti (Amazon, Ebay, Zanox ecc..) devono essere inseriti come immagine con link di collegamento e non tramite gli script forniti dai programmi stessi. Eventualmente si possono utilizzare lettori di feed (Feed, come creare un lettore) per ottenere un effetto piu` dinamico.

Altro

Se avete inserito codici di tracciamento d'altro genere per la raccolta di statistiche, anche tramite allegati e non sono indispensabili, vi consiglio di cancellarli.

----------------------------

E se hai un blog costruito su "Blogger", leggi anche: Blogger - Cookie policy

Altre delucidazioni in merito alla legge sui cookie, potete trovarle leggendo questo articolo:

https://www.alfonsostriano.it/cosa-fare-per-adeguarsi-al-cookie-law-in-italia/





 

Aiuta il sito! Condividi questa pagina su:
 Facebook   twitter  Google   Linked  in  

Ti e` stato utile questo argomento?