Cosa fare per adeguarsi al Cookie Law in Italia

Con questa legge, il titolare/gestore del sito web ha l’obbligo di acquisire il consenso preventivo e informato degli utenti all’installazione di cookie utilizzati per finalità diverse da quelle meramente tecniche.

Al fine di semplificare l’adempimento di questo obbligo per tutti i siti che vogliono essere in regola entro il 3 giugno 2015, è stato predisposto un apposito Kit di implementazione della policy che puoi scaricare Qui.

Per adeguarti al Cookie Law in Italia, devi procedere ad alcuni passaggi preliminari:

devi identificare tutte le categorie di cookie installati dal tuo sito e le loro finalità (cookie di prima parte);
devi identificare le terze parti che, attraverso il sito del titolare, potrebbero inviare dei cookie;
devi elencare i cookie in base alle finalità di trattamento;
devi identificare i link alle privacy policy e ai moduli di consenso delle terze parti con le quali il titolare/gestore del sito ha stipulato accordi per l’invio dei cookie dallo stesso sito (ove disponibili). In mancanza di contatti con le terze parti o nel caso in cui fosse particolarmente difficile individuare tutte le terze parti inserire i link alle privacy policy degli intermediari;
devi aggiornare le privacy policy;
devi creare uno script che gestisca il consenso all’interno del sito.

Cercherò di rispondere a queste domande per darti un supporto nei passaggi preliminari da fare all’interno del tuo sito al fine di garantirti una corretta applicazione della normativa in esame.

Il mancato rispetto di questa normativa è sanzionato con una multa:

Da € 6.000 a € 36.000 per omessa informativa o informativa non idonea.
Da € 10.000 a € 120.000 per installazione di cookie senza il consenso degli utenti (mancanza del popup).
Da € 20.000 a € 120.000 per omessa o incompleta notificazione al Garante (nel caso si utilizzino cookie di profilazione è necessario effettuare una notifica al Garante secondo l’ex articolo 37, comma 1, lettera d).

Come identificare i cookie di prima parte e di terze parti e le loro finalità?

Prima di identificarli, devi sapere che esistono tre tipi di cookie:

Cookie tecnici

Cookie tecnici: servono per offrire un servizio migliore agli utenti. Tra questi si trovano anche i cookie di Google Analytics ma solo quando vengono utilizzati ai fini dell’ottimizzazione del sito direttamente dal titolare del sito stesso.

I cookie di Google Analytics sono cookie di profilazione, a meno che non raccolgano i dati degli utenti in maniera anonima.

I cookie di Google Analytics possono essere resi anonimi tramite una modifica del codice oppure disattivati dall’utente tramite un componente aggiuntivo.

Per poter equiparare i cookie di Google Analytics ai cookie tecnici devi aggiungere allo script di monitoraggio di Google Analytics:

questa stringa di codice se utilizzi Universal Analytics:

ga('set', 'anonymizeIp', true);

Immediatamente prima della riga

ga('send', 'pageview');

questa stringa di codice se utilizzi Classic Analytics:

_gaq.push(['_gat._anonymizeIp']);

Immediatamente prima della riga

_gaq.push (['_trackPageview'])

Fonte: Anonimizzazione IP in Google Analytics>>>

Componente aggiuntivo del browser per la disattivazione di Google Analytics

In questo caso, nell’informativa privacy, puoi indicare all’utente il componente aggiuntivo per disattivare i cookie di Google Analytics ma, a mio avviso, sono e restano cookie di profilazione.

Ma cosa succede anonimizzando Google Analytics?

Anonimizzando analytics avrai come unica conseguenza solo una geolocalizzazione un pò meno dettagliata.

Anonimizzando analytics, in pratica, nei server di Google, invece, di essere salvato un indirizzo ip completo come:

198.278.417.555

viene salvato un ip come questo:

198.278.417.xxx

La geolocalizzazione diventerà meno dettagliata ma comunque sempre possibile e non perderai nessun altro dato.

TIPOLOGIA COOKIE TECNICI: rientrano in questa categoria i cookie analitici di prima parte (es. cookie statistici), cookie analitici di terze parti (es. Google Analytics con dati anonimizzati)

COSA DEVI FARE: per i cookie tecnici non serve un consenso preventivo degli utenti ma è sufficiente richiamarli nell’informativa.

Se il tuo sito utilizza solo i cookie di Google Analytics (con dati anonimizzati), non serve il consenso preventivo ma è opportuno indicarli ed esplicitarli nell’informativa privacy completa, offrendo agli utenti la possibilità di disabilitare tali cookie (Opt-Out).

Le stesse considerazioni circa l’anonimizzazione dei cookie di Google Analytics valgono anche per i cookie generati dal modulo dei commenti offerto da Disqus quando anche questi ultimi vengono resi completamente anonimi.

Nella bacheca di Disqus alla voce settings e nel tab Advanced trovi l’opzione per abilitare o disabilitare i cookie anonimi di targeting per i visitatori del tuo sito.

A questo url, inoltre, cliccando sul tasto “opt-out” puoi decidere di non raccogliere queste informazioni.

In questo modo, i dati raccolti tramite Disqus diventano dati aggregati per il titolare del sito e, pertanto, è sufficiente solo richiamare questi cookie nell’informativa completa unitamente al link con la relativa privacy policy.

Per completezza devo segnalarti che il 05.06.2015, il Garante Privacy Italiano ha fornito ulteriori chiarimenti circa i cookie analitici di terza parte che stanno generando in rete un ulteriore dibattito sul punto.

Secondo i chiarimenti del Garante Privacy del 05.06.2015:

Se i cookie analitici sono messi a disposizione da terze parti, i titolari non sono soggetti ad obblighi (notificazione al Garante in primis) qualora:

siano adottati strumenti che riducono il potere identificativo dei cookie (ad esempio tramite il mascheramento di porzioni significative dell’IP);
la terza parte si impegna a non incrociare le informazioni contenute nei cookies con altre di cui già dispone.

Pertanto, i cookie di Google Analytics, possono essere equiparati a quelli tecnici solo se rispettano queste due condizioni.

I cookie analitici devono essere utilizzati con dati anonimizzati e la terza parte si deve impegnare a non incrociare le informazioni contenute nei cookies con altre di cui già dispone.

Il dibattito ancora aperto riguarda la difficoltà di rispettare questa seconda condizione.

A mio avviso, Google nella privacy di Analytics al paragrafo Utilizzo dell’indirizzo IP, chiarisce che: “Google Analytics (anonimizzato) non condivide i dati sugli indirizzi IP con i clienti“.

Questa informazione, derivante da documentazione ufficiale di Google Analytics, da sola, potrebbe essere sufficiente per il rispetto della seconda condizione.

Comunque, attesa la contraddittorietà della legge e per maggiore sicurezza, è possibile adottare ulteriori accorgimenti utili al rispetto della nuova legge sui cookie.

Riguardo Google Analytics:

puoi accedere al pannello di controllo di Google Analytics, sezione "Amministrazione", e cliccare su "Impostazioni dell’Account".

Alla voce "Impostazioni di Condivisioni" dei dati puoi togliere la spunta a questi servizi:

Assistenza tecnica;
Esperti dell’Account;
Prodotti e servizi Google.

Se disattivi l’opzione “Prodotti e servizi Google“, i dati possono comunque essere inviati ad altri prodotti Google collegati esplicitamente ad Analytics.

Pertanto, dopo aver tolto la spunta a questa voce, ti consiglio di scollegare (se collegati) i collegamenti AdWords ed Adsense.

Per rimuovere questi collegamenti vai in Amministrazione – Proprietà – Prodotti Collegati – elimina gruppo dei link collegati.

Riguardo Disqus:

non è più sufficiente anonimizzarlo ma è necessario anche che la terza parte non incroci i dati – condizione questa che non è agevolmente verificabile dalla relativa cookie policy.

Esiste, però, un altro modo per evitare l’attivazione automatica dei commenti di Disqus e quindi il blocco preventivo dei relativi cookie.

Puoi evitare il blocco dei cookie di Disqus con il plugin WordPress “Disqus Conditional Load” che, oltre a velocizzare il caricamento del tuo sito web, attiva i commnenti di Disqus solo dopo un’azione dell’utente, click o scroll.

Cookie di profilazione

Cookie di profilazione: servono per creare “profili utente” e vengono usati nel remarketing con Google o con Facebook.

COSA DEVI FARE: per questi cookie serve sia il consenso preventivo sia l’informativa (banner informativo ed informativa estesa) sulla tipologia di cookie utilizzati oltre ad una notifica del loro uso al Garante. La notificazione dei cookie di profilazione deve essere effettuata telematicamente e costa circa 150,00€ per spese di segreteria.

NOTIFICA TELEMATICAMENTE I COOKIE AL GARANTE DA QUI >>

Si ha profilazione di prima parte quando i cookie conservano dei dati personali dell’utente che permettono allo sviluppatore di inviare email promozionali e di settare le preferenze del visitatore.

Si tratta di cookie che riescono a salvare delle preferenze sui gusti della persona. Pertanto tramite la navigazione si sta creando un profilo dell’utente.

La maggior parte dei cookie di profilazione di prima parte li utilizzano siti ai quali è necessario fare il login, vedi Youtube, Amazon.it e molti altri.

Cookie di terze parti

Cookie di terze parti: sono quelli legati alla presenza dei “Social plugin”. (Facebook, YouTube, Twitter, etc.).

COSA DEVI FARE: Non serve il consenso preventivo ma è opportuno indicarli ed esplicitarli nell’informativa. Vedi faq n. 14 Garante Privacy>>

Sicuramente, semplici link a Facebook, YouTube, Twitter, etc. generano cookie per cui non serve il consenso preventivo ma è opportuno indicarli ed esplicitarli nell’informativa estesa.

Secondo gli ultimi chiarimenti del Garante e come da infografica che puoi consultare a questo indirizzo, i cookie installati dai social buttons (Facebook, Twitter, Google Plus, ecc…), i cookie installati dall’implementazione degli iframe dei video Youtube ecc… sono tutti di terze parti e pertanto richiedono sempre il rispetto del principio dell’opt-in con tutti i conseguenti obblighi informativi che ne derivano.

(Informativa + banner + richiesta consenso. Nessuna notifica.)

Dopo aver compreso le diverse tipologie di cookies, devi riuscire ad identificarli.

Per identificare i cookie, puoi installare diversi addons sul tuo browser:

Web Developer (per Firefox)

Dopo l’installazione, visita le pagine del tuo sito web e segna tutti i cookie che utilizzi mediante la funzione di Web Developer:

Strumenti >> Web Developer Extension >> Cookies >> View Cookie Information.

Attacat Cookie Audit Tool (per Chrome)

Dopo l’installazione, visita le pagine del tuo sito web e segna tutti i cookie che utilizzi premendo su “Start Recording“ e poi su “Stop Recording”.

Controlla il “View Report” per trovare i cookie usati dal tuo sito!

Puoi trovare tutti i cookies impostati dal tuo sito anche con:

Firebug con l’estensione Firecookies.
Sitebeam.net: usa questo servizio in versione trial (analizza solo 5 pagine) e scegli l’opzione per controllare la conformità del tuo sito alla normativa UE.
Nibirumail: il servizio offerto in versione gratuita oltre ad individuare i cookie del tuo sito web, genera automaticamente e in base ai cookie rilevati, la pagina della privacy policy.
Cookie-Checker: è uno strumento online per verificare i cookie del vostro blog/sito web.
Webcookies.org: è altro tool online che fornisce, attraverso un report sintetico, un elenco di tutti i cookie utilizzati dal tuo sito web al fine di verificarne la conformità alla c.d. “Cookie Law”.

Dopo l’individuazione dei cookies, cerca su Google il nome dei cookies per capire a cosa servono e quale funzione svolgono. In sostanza, devi capire se sono di tipo tecnico, di terze parti o di profilazione.

Queste informazioni, ed in particolare, i servizi utilizzati dal tuo sito che generano i cookie, vanno poi inseriti nell’informativa completa che devi linkare nel footer del tuo sito web.

Come identificare e aggiornare i link alle privacy policy e ai moduli di consenso delle terze parti?

Innanzitutto, devi creare l’informativa che comunica all’utente quali sono i cookie di cui il tuo sito fa uso e il modo in cui verranno trattati i suoi dati personali.

I visitatori del tuo sito, come stabilito dal Garante, devono essere informati tramite due livelli di approfondimento: una prima informativa breve, a comparsa immediata sulla pagina alla quale l’utente accede, e un’informativa estesa, accessibile tramite un link nell’informativa breve, nonché tramite un link in calce ad ogni pagina del sito aggiornata.

L’informativa estesa può essere una pagina a sé stante o una sezione della privacy policy del sito.

Dall’informativa breve deve sempre essere possibile accedere all’informativa estesa del sito.

Quando un visitatore accede al tuo sito web, deve immediatamente comparire un banner contenente una prima informativa breve, con la richiesta di consenso all’uso dei cookie e un link per accedere ad un’informativa estesa.

Qualora l’utente decida di accedere all’informativa estesa, devi fornire tutte le informazioni necessarie per far comprendere l’utilizzo dei diversi cookie. L’utente deve poter scegliere quali cookies autorizzare attraverso le impostazioni del suo browser.

La privacy policy diventa così il documento principale che informa gli utenti di un sito web al trattamento dei loro dati personali.

Per risolvere il problema dell’informativa estesa ed essere in regola con il Cookie Law puoi utilizzare il sito Iubenda.

A questo indirizzo (http://www.iubenda.com/it) il sito fornisce un tool in grado di generare una privacy policy per siti web aziendali e non.

Un’altra soluzione per generare la tua Cookie Policy è, invece, offerta dal plugin gratuito WordPress powered by Nibirumail.

Questo plugin, senza interventi manuali, genera automaticamente il banner informativo con il link alla privacy policy completa.

Cookie Policy Generator WordPress

Se nel tuo sito fai uso di strategie di Web Marketing, ed in particolare del Direct Email Marketing, ai fini del completo adeguamento alla normativa, devi aggiornare anche i moduli del sito che registrano le e-mail degli utenti richiedendo il loro consenso preventivamente all’iscrizione alla tua Newsletter.

A tal fine, puoi inserire sia nel modulo di iscrizione alla Newsletter sia nel modulo contatti una casella spuntabile per richiedere il consenso al trattamento dei dati personali con il seguente testo:

I dati personali da lei forniti, verranno utilizzati nei limiti e per il perseguimento delle finalità relative al presente modulo, nel rispetto dei principi stabiliti dal Codice della Privacy (D.Lgs. 196/2003) e per esercitare i diritti a lei riconosciuti dall’articolo 7 del Codice della privacy suddetto, potrà rivolgersi al Titolare del trattamento scrivendo a info@tuositoweb.it

Come creare uno script che gestisca il consenso all’interno del tuo sito?

Come ti ho già detto, la prima informativa breve viene preferibilmente comunicata all’utente tramite un banner dinamico (ad esempio, una “strip autoespandibile” che si sposta leggermente dalla parte alta dello schermo con una percezione di movimento che sollecita l’attenzione dell’utente).

Il banner deve essere facilmente visibile, o – in alternativa – espandibile.
Deve avere caratteri (font) più evidenti rispetto a quello del sito.
Deve avere un colore del fondo contrastante rispetto allo sfondo del sito e al testo del banner stesso.
L’obbligo del banner vale, però, solo per i titolari di siti web che utilizzano cookies di profilazione.

SE UTILIZZI COOKIES DI PROFILAZIONE: SOLUZIONE MANUALE

Un’ottima alternativa ai servizi a pagamento, che ho testato anche sul mio sito, è offerta da Cookie Consent con due diverse versioni.

Cookie Consent v1: questo script è offerto da Sitebeam.net ed è in grado di mostrare sul tuo sito un pannello dove l’utente può decidere selettivamente quali cookie consentire e quali no.
Cookie Consent v2: è l’evoluzione del precedente già Mobile friendly, molto più leggero, più personalizzabile e meno complesso del suo predecessore (senza blocco automatico dei cookie).

Con la prima soluzione puoi bloccare preventivamente i cookies, fino a che il visitatore del tuo sito non fornisce in maniera esplicita il suo consenso.

Finché non viene dato l’esplicito consenso, i vari Javascript di Analitycs e dei vari Social Networks, non vengono eseguiti dal browser.

Questi plugin, al momento, sono la soluzione più valida e sopratutto l’unica che prevede un sistema di opt-in oltre ad essere completamente gratuita ed open source.

Guarda il video per inserire lo script di Sitebeam nel tuo sito:

SE UTILIZZI COOKIES DI PROFILAZIONE: SOLUZIONE AUTOMATICA

La prima soluzione che ho testato sul mio Blog è stata offerta dal plugin per WordPress Bootcooker.

Bootcooker è in grado di bloccare preventivamente i cookies (es. analytics, adsense, social) in maniera automatica mostrando anche un’informativa breve.
L’unica cosa che devi fare è installare ed attivare il plugin!

Il problema principale che ho riscontrato in questo plugin è la cash: al momento richiede la disattivazione di tutti i plugin di cash interni al sito pur essendo compatibile con le soluzioni cache presenti lato Server (Hosting Web).

Il suo miglior lato positivo: dopo tutti i vantaggi che ti ho elencato tra le sue caratteristiche, questo plugin costa solo 4,99 euro.

Supporto: per ogni problema causato dalla piattaforma al plugin o dal plugin alla piattaforma, lo sviluppatore offre il pieno supporto tecnico gratuitamente. Questa è la mail per contattarlo: info@bootcooker.com.

AVVERTIMENTO: All’esito dei test, ti informerò, attraverso un aggiornamento di questo post, sull’utilità o meno di questo plugin.

Plugin Bootcooker a confronto.

In questo post puoi analizzare l’utilità di Bootcooker a confronto con un altro plugin: Bootcooker 3.0.0 vs Dynamic Cookie Blocker 3.0>>

Questo articolo è stato scritto da Diego La Monica, un iscritto ad gruppo di discussione sui Cookie su Facebook, per fare luce nei confronti di eventuali acquirenti, sull’utilità dei due plugin.

Questo è il link per chi vuole provare: Bootcooker>>>

ESITO DEI TEST: Attualmente lo sviluppatore del plugin Bootcooker ha deciso di sospendere la vendita del plugin per collaborare con il sito Iubenda nello sviluppo e nell’implementazione di una soluzione definitiva ed automatica per il blocco preventivo dei cookie.

Ed ecco finalmente la soluzione definitiva per adeguarsi al Cookie Law in Italia

Con l’approvazione della c.d. legge “Cookie Law”, la rete è stata praticamente invasa da centinaia di plugin che permettono al tuo blog WordPress di inserire un box informativa per avvisare gli utenti che il tuo sito fa uso di cookie.

Ma sai cosa non va per tantissimi di questi script/plugin? Sono inutili e non rispettano la legge. Mostrano solo il banner informativo senza bloccare preventivamente tutti i cookie di profilazione.

Queste soluzioni come dirò in seguito sono utili solo per i cookie di analisi di terze parti ed opzionalmente per chi ha solo cookie tecnici e/o assimilati.

Così rischi di essere sanzionato con una multa da € 10.000 a € 120.000 per installazione di cookie senza il consenso degli utenti (mancanza del popup per il blocco preventivo dei cookie).

Ecco perché alla fine ho selezionato per i miei lettori solo plugin WordPress che fanno veramente quello che dicono e che possono in questo modo risolvere definitivamente il problema del blocco preventivo dei cookie di profilazione.

Tra i tanti ho scelto, EUCookieLaw, un plugin WordPress gratuito creato da Diego La Monica, le cui funzionalità sono state confrontate con quelle degli altri due plugin a pagamento di cui ti ho già parlato (Bootcooker e Dynamic Cookie Blocker).

Vedi le tabelle comparative>>>

Questo plugin funziona alla grande ed è l’unico che intelligentemente viene caricato anche nella pagina del login. Disponibile per per WordPress, Drupal, Joomla e altri CMS (e non) PHP.

Versione per WordPress>>>

Versione per Github>>>

SE UTILIZZI SOLO COOKIES TECNICI O DI TERZE PARTI:

Se il tuo blog utilizza solo cookie tecnici o di terze parti assimilati, non hai l’obbligo del banner ma devi inserire l’informativa completa raggiungibile da ogni pagina del sito.

A tal fine, per rendere questa informativa accessibile su tutte le pagine, puoi, comunque, creare il banner con l’informativa breve che contiene il link all’informativa estesa.

Se utilizzi WordPress.org:

per inserire l’informativa breve puoi utilizzare il plugin gratuito Cookie Law Info.

Questo plugin, a mio avviso, il migliore tra tutti quelli che ho provato, ha anche un modulo per il controllo dei cookie che vengono visualizzati in maniera ordinata in una tabella inserita nella pagina Privacy Policy.

In questo modo puoi mostrare ai visitatori tutti i cookies utilizzati dal tuo sito web.

In alternativa a Cookie Law Info, se non vuoi rallentare il tuo sito web attraverso l’installazione di plugin, puoi utilizzare uno script che funziona su ogni sito web e su qualsiasi piattaforma: Joomla, Drupal, Blogger, WordPress, Magento o altro CMS e con i browser più diffusi e su tutti i dispositivi mobili.

Questo script resta valido per 30 giorni (modificabili) e non influenza minimamente la velocità di caricamento del sito web.

Questo script è collegato all’articolo pubblicato sul blog Marcucciogemel.it, Marco Barillà, Web Editor e Blogger.

Sui siti WordPress è sufficiente inserirlo nel file footer.php del proprio tema.

Di seguito il codice per richiamare lo script:

<script src="http://tuositoweb/cookie.js" type="text/javascript" charset="UTF-8"></script>

Come indicato Marco Barillà:

lo script è una valida alternativa ai costosi e limitati servizi online come ad esempio cookiebot.com, la soluzione più facile, ideale e pratica per adattare ad arte e in totale sicurezza il proprio sito web alla nuova normativa “EU Cookie Law”, senza rinunciare a flessibilità ed estetica.

Scarica gratuitamente lo script che preferisci:

Se utilizzi WordPress.com:

per inserire l’informativa breve, non potendo installare nessun plugin, puoi utilizzare il widget gratuito EU Cookie law Banner.

Secondo WordPress.com (società statunitense) i cittadini europei possono adeguare il proprio sito web alla cookie law attraverso i seguenti 4 passaggi:

un widget di testo ben visibile;
che contenga informazioni sui cookie;
che ricordi all’utente la sua libertà di poter bloccare tutti i cookie, di qualunque sito web, nel proprio browser;
linkando la Privacy Policy di Automattic.

Segui queste istruzioni in Inglese o queste in Italiano per installare il tuo widget per WordPress.com.