Nuova legge sui cookie: come adeguare il proprio sito alla normativa senza farsi del male

Nuova legge sui cookie: come adeguare il proprio sito alla normativa senza farsi del male

(articolo revisionato 4 volte dopo la sua pubblicazione iniziale)

Ho seguito con un certo interesse le varie voci sull’argomento cookie law, ovvero le disposizioni del Garante per la privacy relativi ai siti web saranno obbligatorie dal 2 giugno 2015. Fermo restando che, già un anno fa, erano state pubblicate delle indicazioni in merito, che sono passate piuttosto inosservate: adeguarsi, come vedremo, richiede di chiarirsi le idee su un po’ di cose ed è, alla fine dei conti, piuttosto agevole (nonostante tutto/i).

La normativa, che dovremmo aver letto e compreso in questi giorni, riferisce di “modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie“: il Garante infatti fornisce delle indicazioni che chiama “modalità semplificate” a cui i siti web dovranno attenersi, per le quali l’aggettivo “semplificate” indica una procedura che dovrebbe snellire il tutto. Nella pratica, per via delle tecnologie con cui si realizzano siti e web service in rete, sarebbe stato impossibile fornire indicazioni tecniche precise e/o soluzioni ufficiali al problema, anche perchè l’autorità presieduta da Antonello Soro è un organo amministrativo indipendente che, di fatto, non presta alcun tipo di consulenza tecnica.

Finora la viralità del web, un po’ paradossalmente, invece di chiarire le cose ha creato tanti inutili polveroni, spesso in modo totalmente involontario e, seppur con rarissime e lodevoli eccezioni, l’opinionismo più mediocre e fine a se stesso ha preso il sopravvento.

Cosa bisogna fare per adeguare un sito alla normativa?

scrivere un post incazzato NO

rassegnarsi che va tutto male in Italia NO

pensare nostalgicamente che negli USA non sarebbe successo, perchè lì sì che mi capiscono NO

pensare “figurati chi controlla il mio sito NO

buttarsi sullo shopping compulsivo di plugin NO

lamentarsi su Facebook NO

√ leggere la normativa e le FAQ dall’inizio alla fine OK

Per quanto possa sembrare banale scriverlo, quindi, senza leggere prima i tre documenti linkati qui è sostanzialmente inutile continuare a parlare.

  1. Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie – 8 maggio 2014 [3118884]
  2. FAQ
  3. “Informativa e consenso per l’uso dei cookie”
  4. Chiarimenti in merito all’attuazione della normativa

Provo qui a riassumere per punti le cose più importanti che la normativa ci suggerisce, soprattutto alla luce dei chiarimenti al punto 4 e delle rettifiche che ho dovuto apportare all’articolo in seguito alla prima pubblicazione.

Note preliminari, e una cosa sui banner che non ha notato quasi nessuno

Le cose da sapere all’inizio non sono troppe: il Garante distingue tra cookie tecnici (necessari a far funzionare parti del sito, memorizzare le preferenze dell’utente ecc) e di profilazione (utilizzati sostanzialmente per inviare pubblicità pertinenti ad ogni utente). Si fa poi un’ulteriore distinzione tra cookie proprietari (gestiti direttamente dal nostro sito web) e di terze parti (quelli di Google Analytics, di Facebook e di eventuali altre API esterne).

I siti devono presentare inoltre un “banner“, ben distinguibile dal resto della grafica, che riporti un avviso primario (questo sito usa cookie ecc.) e linki, inoltre, una o più pagina secondarie (cosiddetta informativa estesa), che illustri le condizioni d’uso dei cookie. Il banner – si specifica – deve avere dimensioni tali da coprire in parte il contenuto della pagina web che l’utente sta visitando. Deve poter essere eliminato soltanto tramite un intervento attivo dell’utente, ossia attraverso la selezione di un elemento contenuto nella pagina sottostante.

Cosa vuol dire? Un modello di “banner” è questo, da cui si evince chiaramente che sia necessario realizzare un simil-popup, ad esempio mediante finestre modali di Bootstrap o le Reveal Modal di Zurb.

image_galleryTecnicamente, quindi, le soluzioni con un banner di pochi pixel di altezza, per quanto siano distinguibili dal resto della pagina, non sono in linea con le indicazioni del Garante. Inserire il testo dell’informativa breve nel footer / header non va bene, in base a quello che si legge, e sono note come sticky header / sticky footer; di seguito riporto un esempio. Il modello di banner è tratto dalla pagina Internet: Garante privacy, no ai cookie per profilazione senza consenso del sito ufficiale.

blogpic

Nulla vieta di farne uso per altri scopi, ovviamente, ma se lo state facendo per adeguarvi alle indicazioni del Garante siete fuori strada. Molti plugin di WordPress per i cookie offrono avvisi mediante sticky footer, ma la soluzione è sbagliata ed andrebbe secondo me corretta quanto prima.

Altro aspetto interessante chiarito nel seguito: sono considerate in linea con la normativa le soluzioni che acquisiscono il consenso mediante “scroll”, quindi non necessariamente mediante click (fonte: soluzioni per l’acquisizione del consenso basate su “scroll”, ovvero sulla prosecuzione della navigazione all’interno della medesima pagina web, da molti prospettate e in effetti particolarmente rilevanti nel caso di dispositivi mobili, sono considerate in linea con i requisiti di legge, qualora queste siano chiaramente indicate nell’informativa e siano in grado di generare un evento, registrabile e documentabile presso il server del gestore del sito (prima parte), che possa essere qualificato come azione positiva dell’utente).

Numerosi siti stanno utilizzando soprattutto sticky footer, mentre si richiede esplicitamente che il banner debba coprire in parte il contenuto della pagina web che l’utente sta visitando” e che “deve poter essere eliminato soltanto tramite un intervento attivo dell’utente”.

Se posso continuare a navigare tranquillamente ignorando l’avviso perchè troppo piccolo, come di fatto accade, dal mio punto di vista è come se l’avviso stesso non ci fosse.

Il mio sito usa Google Analytics: cosa faccio?

Se il vostro sito usa Google Analytics, è necessario non fare confusione: il documento Informativa e consenso per l’uso dei cookie specifica, nonostante le apparenze contrarie, che i cookie di analytics non sono da considerarsi cookie di profilazione. come nota Martino Mosna (per inciso, secondo me molto illuminante sull’argomento) sono sostanzialmente cookie di terze parti. Il fatto che, nota egli stesso in un’osservazione successiva, siano di profilazione o analytics non è tanto interessante, perchè – dal punto di vista del Garante, essendo di terze parti richiedono universalmente un trattamento particolare. Il Garante stesso, in altri termini, riconosce nell’esistenza dei cookie di terze parti – per inciso, credo siano buona parte dei cookie – un caso particolare: non è possibile che gli editori li controllino direttamente, per cui si attribuisce la responsabilità per tali cookie a chi di dovere (mediante le cookie policy relative).

Tornando a noi, cito dal sito ufficiale:

Schermata 2015-05-24 alle 00.32.03

Per logica, infatti, quelli di Analytics non sarebbero cookie tecnici (infatti non servono a far funzionare il sito di per sè, ma per tracciarne le visite) ma lo diventano – e lo conferma il Garante stesso – “se utilizzati a fini di ottimizzazione del sito direttamente dal titolare del sito stesso, che potrà raccogliere informazioni in forma aggregata sul numero degli utenti e su come questi visitano il sito“.

Questo è un punto fondamentale da tenere presente: la normativa specifica che “a queste condizioni, per i cookie analytics valgono le stesse regole, in tema di informativa e consenso, previste per i cookie tecnici“.

La cosa essenziale in questa sede è mettere l’utente nelle condizioni di non accettare i cookie di Analytics se non li desidera: esiste ad esempio un plugin ufficiale di Google per la disattivazione di Google Analytics, compatibile con i principali browser come Microsoft Internet Explorer 8, 9, 10 e 11, Google Chrome, Mozilla Firefox, Apple Safari e Opera.

Inserire questa informazione nell’informativa estesa mi sembra un’idea decisamente buona, così come far presente all’utente dell’esistenza della navigazione anonima, e per estensione del browser TOR, di AdBlocker, NoScript e della modalità antitracciamento (su Firefox), che risponde esattamente al requisito in questione.

Infatti, si legge nel sito ufficiale del browser:

L’antitracciamento è una funzionalità di Firefox che permette di comunicare a un sito web la tua intenzione di non voler essere tracciato per scopi quali la visualizzazione di avvisi pubblicitari mirati.

Sui cookie tecnici comunque, assimilabili a quelli di Analytics come visto, le disposizioni sono chiare: “mentre i cookie di profilazione […] sono soggetti all’obbligo di notificazione, i cookie che invece hanno finalità diverse e che rientrano nella categoria dei cookie tecnici, ai quali sono assimilabili anche i cookie analytics […] non debbono essere notificati al Garante“.

E se anonimizzo gli IP?

Per inciso, ho letto che alcuni (ci avevo pensato anch’io, sbagliandomi) hanno suggerito di attivare l’anomizzazione degli IP di Analytics – cioè l’oscuramento delle ultime 2 o 3 cifre dell’indirizzo del visitatore – in relazione alla normativa. Falso: la normativa non dice di anomizzare gli IP dei visitatoriin Germania c’è una legge che lo impone, ad esempio – bensì di dare loro la possibilità di non farsi tracciare se non lo vogliono (e gli strumenti non mancano, per farlo), oltre ad informarli sul fatto che vengono tracciati (se questo accade, giustamente).

Rettifica: contrariamente a quanto avevo scritto all’inizio, tale evenienza deve essere contemplata nel caso di utilizzo di cookie di terze parti come, per inciso, Google Analytics. Non deve essere fatto, invece, se lo strumento Analytics viene installato ed utilizzato direttamente mediante un software gestito direttamente (se ad esempio si usa Piwik, per intenderci). Non è consentito, inoltre, incrociare le informazioni di cui si dispone via Analytics con altre provenienti da altre fonti allo scopo di tentare di identificare l’utente in modo preciso (l’indirizzo IP, a questo punto, viene considerato un dato privato).

La procedura tecnica per anonimizzare gli IP è presente nella pagina ufficiale di anomizzazione degli IP di Analytics (fonte: punto 2 della pagina dei chiarimenti).

Notifiche al garante: quando e perchè?

Chi deve notificare al Garante, e se non lo fa rischia multe salate, è chi usa meccanismi avanzati di profilazione che, di fatto, sfruttano i cookie in modo invisibile per spiare, catalogare e classificare gli utenti per preferenze, gusti o altro. La cosa viene peraltro ribadita dal Garante nei succitati chiarimenti pubblicati nel sito ufficiale, dove si scrive che è necessario

permettere il più ampio margine possibile di azione da parte degli utilizzatori sull’installazione dei cookie, consentendo loro di inibire l’installazione di quelli a loro non necessari, e in ogni caso dovranno prevedere opzioni di default che subordinino l’installazione dei cookie non tecnici alla manifestazione del consenso preventivo nelle forme semplificate previste dal Provvedimento.

È stato chiarito inoltre che la notificazione si può fare anche per più siti alla volta, e che la sede fisica del server non influenza tale necessità (quindi anche se avete sede all’estero dovrete farlo). Di norma, comunque, sono i grossi social network ed i gestori di webmail a farlo, mentre chi usa solo cookie tecnici non dovrà fare nulla di diverso dall’inserire un’avviso nel banner (quasi certamente popup) che compaia alla prima visita, e linkarne uno secondario/esteso che spieghi la situazione nel dettaglio (come disattivare i cookie, a cosa servono, perchè si usano ecc.).

Per realizzare un banner che scompaia dopo la prima visita, tecnicamente, il modo più semplice è usare una libreria JS per i cookie come jQuery-cookie; in alternativa, i plugin integrabili non mancano, ma è necessario sceglierli con attenzione e badare che non siano troppo vecchi. È bene tenere conto che, in certi casi, i plugin di caching potrebbero creare situazioni conflittuali con una gestione dei cookie perfettamente trasparente.

Nota a margine finale: è bene che gli addetti ai lavori (SEO e consulenti vari) tengano presente che, dopo queste novità normative, le visite di Analytics potrebbero essere visualizzate per difetto (mostrare meno visite delle effettive): questo perchè gli utenti diventeranno teoricamente più sensibili alla propria privacy e le loro visite, seppur esistenti, potrebbero non essere più conteggiate.

Il mio sito usa Google Adsense / altre affiliazioni pubblicitarie: cosa devo fare?

Un ulteriore distinguo andrebbe fatto sulla base dei network pubblicitari in uso nel nostro sito.

  1. I blog che usano Google Adsense, ad esempio, usano certamente cookie di profilazione, i cosiddetti cookie DART, che permettono di disporre di banner che cambiano a seconda del visitatore; niente panico, basta linkare la pagina in questione da quella dei cookie, e questo per il Garante è sufficente perchè, giustamente, non c’è modo per l’editore (voi proprietari del sito) di controllare direttamente questo aspetto.
  2. Per estensione, i network pubblicitari che forniscono annunci contestuali usano quasi sempre cookie di profilazione, per cui valgono le stesse indicazioni.
  3. Alcuni network pubblicitari e le affiliazioni dirette non utilizzano alcun cookie di profilazione, ad esempio se si basano sull’estrazione di annunci da un pool casuale / in rotazione; ne usano uno, al più, per tenere traccia della vendita ed attribuirla al sito origine, peraltro neanche in tutti casi. Nel dubbio o se si dovesse cambiare network in futuro, meglio assumere che le pubblicità contestuali potranno esserci e linkare la pagina ufficiale del network o dei network usati. Ad esempio quella di TD, di Adsense e di TradeTracker.
  4. Se non si usano cookie di profilazione, ad esempio se vi limitate a vendere spazi pubblicitari, è possibile che il vostro sito utilizzi solo cookie tecnici, a meno che non ci sia di mezzo un altro software che profila a qualsiasi livello le preferenze o i gusti degli utenti. “Profilare” qui significa: catalogare o distinguere gli utenti a loro insaputa per gusti, religione, preferenze e così via, al fine di mandare loro pubblicità mirate.
  5. [aggiornamento] Se le pubblicità del vostro sono sono semplici link a siti di terze parti, quindi la pubblicità è specificatamente generalista, non è necessario fare altro se non rendere il consenso documentabile e linkare le privacy policy di terze parti (si veda nella pagina dei chiarimenti che Si chiarisce inoltre che se sul sito i banner pubblicitari o i collegamenti con i social network sono semplici link a siti terze parti che non installano cookie di profilazione non c’è bisogno di informativa e consenso.)
  6. Anche i web-service in abbonamento (non tutti) ed i servizi di newsletter, inoltre, potrebbero doversi adeguare in parte a questa normativa, che già risente dell’indicazione sulla legge della privacy per essere completamente a norma, e necessita (ricordo di sfuggita) di un link esplicito per la disiscrizione dal servizio in ogni mail.
  7. Tra i cookie di terze parti rientrano anche Linkedin, Google, Facebook, Twitter: chi usa i bottoni social nel proprio sito dovrebbe fare riferimento alle pagine per la privacy di ognuno di questi servizi dei quali, per ovvie ragioni, non possiamo essere direttamente responsabili. Le pagine sono linkate sul nome di ogni social per comodità, basta ricopiarle nell’informativa estesa e siete a posto.
  8. Lobbligo di notifica riguarda, nella maggioranza dei casi – e oserei dire di rimando –  le più grosse aziende ed editori del web, specie nel caso in cui manipolino migliaia di dati dei propri utenti o lettori. La normativa, per quello che si legge, sembra essere finalizzata proprio a sciogliere certe ambiguità di fondo, tipo siti che profilano senza dirlo apertamente e così via. L’obbligo di notifica non riguarda chi usa Analytics per misurare le prestazioni del proprio sito. Non è un caso, in effetti, che le premesse della normativa siano che “occorre tenere conto […] del fatto che spesso gli editori, che comprendono anche persone fisiche e piccole imprese, sono la parte più “debole” del rapporto“.

Che significa “far scegliere agli utenti i cookie da attivare“?

Passiamo a un aspetto che, secondo me, è tra i più confusi in assoluto: far scegliere all’utente quali cookie attivare. “Far scegliere“, o per citare la FAQscegliere quali specifici cookie autorizzare“, non equivale per forza a “fare scegliere tramite un bottone o un link all’interno del sito“, piuttosto (e più logicamente) “far scegliere mediante il browser dell’utente“. Non a caso il Garante si riferisce alla “possibilità per l’utente di manifestare le proprie opzioni in merito all’uso dei cookie da parte del sito anche attraverso le impostazioni del browser, indicando almeno la procedura da eseguire per configurare tali impostazioni“. È quello che ho fatto qui e in un ulteriore link di approfondimento ivi contenuto relativo a come cancellare, gestire o disabilitare i cookie.

Secondo quello che ragionevolmente si deduce, informare l’utente della possibilità di rifiutare i cookie, non (come stanno facendo moltissimi, secondo me sbagliando) metterlo di fronte ad una scelta tra cookie proprietari, di terze parti, tecnici e/o di profilazione: messa così, infatti, si rischia solo di confonderlo, non si affronta il problema. Da consulente con anni di esperienza sono piuttosto sicuro di una cosa: all’utente non specialistico non interessano i dettagli tecnici, interessa sapere se e cosa venga profilato della sua “presenza” online, e quali siano gli strumenti di cui dispone per impedirlo. Chiedergli se e quali cookie accettare, distinguendo finemente tra tipi di cookie, a mio umile parere finirà per chiudere la pagina sudando freddo, in preda alla paranoia o ad una forma di terrore orwelliano. Peggio ancora, finirà per ignorare l’avviso, sottovalutandolo, senza capirlo o senza prenderlo sul serio: motivo ulteriore per inserire un popup che deve necessario cliccare per procedere, non un’innocua micro-striscia a cui probabilmente non farebbe neanche caso.

Bloccare materialmente i cookie è quindi, tecnicamente, una prerogativa del browser, non del sito che visitiamo, anche se – leggendo la normativa – sembrerebbe quasi che non sia così: ripeto, il meglio che possiamo fare in questo ambito, salvo casi particolarissimi, è spiegare bene all’utente come bloccare i cookie. Purtroppo, o per fortuna, con le nostre indicazioni dovrà comunque farlo lui.

Aggiornamento: da una mia ulteriore indagine ho scoperto che esiste una tecnica pulita per bloccare i cookie, che nella pratica coincide con “impostarli come se fossero già scaduti“. È quello che fa, ad esempio, jQuery CookieBar (è una libreria JS che va integrata nel sito, non un plugin) anche se in questo caso la soluzione viene implementata via sticky-bar e, stando a quanto detto sopra, non sembrerebbe adeguata al caso. Non accettare i cookie coinciderebbe quindi, nell’accezione voluta dal programmatore in questione, impostarli tutti come se fossero già scaduti: ho il dubbio che, a questo punto, non tutti i cookie abbiano una data di scadenza, dato che questo dovrebbe riguardare solo i cookie HTTP (che non coincidono con la totalità dei cookie). Peraltro, si noti come un cookie scaduto potrebbe essere comunque utilizzato maliziosamente a scopo di tracciamento, dato che rimane materialmente nel browser e non sembra esserci modo, a questo punto, per cancellarli dal browser dell’utente. Il modo sicuro per farlo, a questo punto, sembrerebbe quello di sfruttare il proprio browser per cancellarlo, dopo essere stati informati su come farlo.

In alternativa, andrebbe utilizzata la cancellazione del cookie via jQuery, del tipo elencare tutti i cookie e cancellare selettivamente soltanto quelli utilizzati dal proprio sito:

$.removeCookie('the_cookie', { path: '/' });

A questo punto si pone l’ennesimo dilemma: non è detto che si riesca a cancellare tutti i cookie in maniera indistinta (su quelli di terze parti non ci giurerei), per cui mi pare che la soluzione effettiva sia quella di mettere al corrente l’utente che può farlo lui, come e quando preferisce, via browser. Il Garante, comunque, invita a mettere al corrente l’utente dell’esistenza di cookie di terze parti e, senza ulteriori problematiche, linkare le informative sulla gestione dei cookie di ognuno.

Attenzione alle bufale allarmistiche

Quindi massima attenzione alle interpretazioni arbitrarie che alcuni propinano su questi argomenti, perchè si gioca quasi esclusivamente sul terrorismo psicologico e (purtroppo) sull’ignoranza di chi si annoia a leggere la normativa come si deve, e preferisce in modo fraccomodo “chiedere aiuto ad internet” o, peggio che peggio, chiedere agli altri di ragionare per se stessi. Chi non avesse tempo o voglia di approfondire, per inciso, è liberissimo di pagare chi vuole per farlo a posto suo: la cosa essenziale è rivolgersi a persone aggiornate, affidabili e che conoscano a menadito la normativa.

Il problema più sostanziale riguarda comunque i cookie di profilazione, i più controversi dal punto di vista “etico” e la normativa sa bene che, in molti casi, neanche gli editori hanno idea della loro esistenza. Si scrive infatti, nel sito del Garante, che “sulla base di quanto emerso dalla consultazione pubblica, si ritiene necessario che tale distinzione tra i due soggetti sopra indicati [editori e terze parti] venga tenuta in debito conto anche al fine di individuare correttamente i rispettivi ruoli e le rispettive responsabilità, con riferimento al rilascio dell’informativa e all’acquisizione del consenso degli utenti online”. Questo è importante secondo me per capire che la normativa cerca di regolamentare non tanto i piccoli-medi siti, ma quelli dei colossi del web a cui affidiamo milioni di informazioni ogni giorno: webmail, social network e così via. La reazione violenta di certuni, divisa tra gente che non sa a che santo votarsi e tra chi usa soluzioni placebo giusto per illudersi che sia tutto ok, mostra che molti sono abbastanza fuori bersaglio.

Ricapitolando…

Eccovi un po’ di esempi pratici, considerate che ho implementato la direttiva sul modello di questa pagina e del plugin riportato in basso. Se volete vedere la pagina che ho realizzato io, è qui: attenzione comunque, perchè potrebbe non essere adatta al vostro caso. Altre opzioni possibili sono qui e qui.

a) Se usate cookie di profilazione, ovvero sfruttate meccanismi di generazione pubblicità come quelli di Google Adsense o sulla falsariga di quelli di Facebook (messaggi pubblicitari in linea con le preferenze manifestate dall’utente nell’ambito della navigazione in rete), dovete avvisare i visitatori che lo state facendo (vedi sopra);

b) avvisate inoltre che il sito utilizza cookie tecnici (il 100% dei siti moderni lo fa) e che, nello specifico, se sono vostri (cosa improbabile ma dipende dai servizi che offrite, in effetti) o di terze parti (con riferimento a Google Analytics);

c) linkate nel “banner” apposito (area del sito distinguibile dal resto per colore, ad esempio) un link all’informativa estesa, che deve contenere indicazioni su uso dei cookie tecnici e analytics, possibilità di scegliere quali specifici cookie autorizzare, possibilità per l’utente di manifestare le proprie opzioni in merito all’uso dei cookie da parte del sito anche attraverso le impostazioni del browser, indicando almeno la procedura da eseguire per configurare tali impostazioni (come dicevamo prima, in sostanza);

d) riportate inoltre l’indicazione che alla pagina dell’informativa estesa è possibile negare il consenso all’installazione di qualunque cookie (ribadisco, si fa via browser, e dovrebbe bastare indicare come farlo)

e) infine, aggiungete l’indicazione che la prosecuzione della navigazione mediante accesso ad altra area del sito o selezione di un elemento dello stesso (ad esempio, di un’immagine o di un link) comporta la prestazione del consenso all’uso dei cookie.

Martino Mosna, ancora una volta, mi ricorda – e mi piace citarlo qui – che per i cookie di terze parti (qualche che sia il loro utilizzo):

  1. NON c’è l’obbligo della richiesta di consenso
  2. c’è l’obbligo dell’informativa breve
  3. c’è l’obbligo di linkare le informative delle terze parti all’interno dell’informativa estesa.

Personalmente ho creato, dopo un po’ di inevitabili revisioni, una pagin che segua queste indicazioni, che poi ho replicato sui vari miei siti e su quelli che controllo anche indirettamente.

In sintesi, una dicitura secondo me corretta di informativa breve, fermo restando l’aderenza del vostro sito ad una situazione simile alla mia, potrebbe essere:

Questo sito utilizza cookie tecnici e di tracciamento per inviarti annunci pubblicitari mirati: per procedere dovresti dare il tuo consenso.

con l’ulteriore necessità di scrivere una buona informativa lunga con l’indicazione chiara su come gestire, cancellare e rifiutare i cookie.

Se usate solo cookie tecnici e non di profilazione (ma basta un link social per averne almeno uno di terze parti, in effetti):

Questo sito utilizza cookie tecnici: per procedere dovresti dare il tuo consenso.

Aggiornamento: specifico una cosa ulteriore per maggiore chiarezza, nel caso un sito sfrutti solo i cookie tecnici dovrebbe bastare l’informativa breve (linkata da qualche parte, ad esempio), senza necessità di un banner che si apre da solo e via dicendo. Mi pare pero’ non troppo probabile che un sito sfrutti esclusivamente cookie tecnici anche perchè, di fatto, nel momento in cui utilizza funzionalità dei social network il cookie di profilazione è, in un certo senso, dietro l’angolo.

Aggiungo anche una cosa ulteriore, l’idea di profilazione secondo me è facilmente fraintendibile: uno share o un like sono profilazione? E che dire dei siti che obbligano a mettere un like per leggere il contenuto? Secondo me, ma questo è un parere prettamente tecnico che provo a dare, in questo secondo caso è spudoratamente tale, per cui bisogna comportarsi di conseguenza. Nel primo caso sembrerebbe invece una forma di profilazione più “consapevole”, ma mi sembra più corretto informare comunque l’utente, almeno una volta, di questo fatto.

Ci sarebbe anche da dire, col rischio di andare leggermente fuori topic, che i cookie non vanno demonizzati e non è il caso di esasperarsi, sia perchè servono al web moderno, sia perchè il loro abuso è il problema più serio, sia perchè (non ultimo) i problemi di sicurezza informatica e privacy vanno molto al di là dell’uso dei cookie, che sono soltanto la “punta dell’iceberg” in un mare di attacchi informatici di vero e proprio spionaggio, falle nei componenti più usati dei browser, malware sempre più subdoli e chi più ne ha, ne metta. L’informativa sul come bloccare i cookie da parte di ogni sito, di fatto, sarebbe un passo decisamente importante nella direzione di un web più consapevole e più sicuro, se si può.

Plugin da utilizzare

Vi segnalo il plugin per WordPress per i cookie, fresco di uscita da qualche giorno, Italy Cookie Choices, che sembra fornire una soluzione coerente e per nulla invasiva al problema, adattandosi anche a qualsiasi layout abbiate. Il plugin per inciso è stato appena aggiornato (26 maggio).

Faccio notare che permette di impostare due modalità, e per quanto visto dobbiamo scegliere “Visualizza il banner nel front-end” e la modalità “Dialog” (la Top Bar è di fatto uno sticky header che, per quanto visto prima, non sembrerebbe esattamente a norma, specialmente se il testo da mostrare è molto breve).

Schermata 2015-05-24 alle 14.39.56

Sarà comunque necessario adeguare la pagina con le indicazioni specifiche per il vostro sito (nell’informativa estesa)

  1. senza copia-incollare da altri siti;
  2. ragionando sui plugin e sui servizi offerti dal portale, per capire che cookie stiamo usando;
  3. senza andare nel panico;
  4. senza credere alla cieca a soluzioni altrui, free o a pagamento che siano, dato che possono andare bene nel 90% dei casi e voi potreste rientrare nel 10%.

Bisognerebbe in altri termini sempre assicurarsi che le nostre scelte siano realmente coerenti con le indicazioni date dal Garante rispetto al nostro caso: è questo che rende complessa la questione, ed anche solo discutere di queste cose nei vari gruppi sul tema può essere controproducente.

Nota 1: non entro nel merito delcome” sia stata scritta la normativa, tutti dicono che sia scritta in modo poco chiaro ma, per me, il punto non è questo. Certo, quell’indicazione sul “coprire in parte il contenuto della pagina web” è un po’ vaga, e sarebbe stato meglio indicare una percentuale rispetto all’area del sito: premesso ciò, permane una critica senza mezzi termini contro chi pensa che “la normativa è stata scritta male” ed usi questa cosa come paravento. Un professionista del web, secondo il mio umile parere, non lo fa.

Nota 2: ho limato, rivisto e corretto questo articolo tra giorno e notte della scorsa settimana, tra lavoro e correzioni infinite apportate (molte cose, devo dire, le avevo sinceramente fraintese e lette superficialmente). Sono stato molto riluttante a pubblicarlo perchè temevo di produrre cattiva informazione: adesso credo che sia il momento di pubblicare il tutto, anche perchè credo in buonafede che possa essere utile almeno a qualcuno.

Poi, ovviamente, se qualcosa mi sarà sfuggito correggerò il post di conseguenza.


Ti piace questo articolo?

1 voto

Su Trovalost.it puntiamo sulla qualità dei contenuti da quando siamo nati: la tua sincera valutazione può aiutarci a migliorare ogni giorno.

Nuova legge sui cookie: come adeguare il proprio sito alla normativa senza farsi del male

(articolo revisionato 4 volte dopo la sua pubblicazione iniziale) Ho …
Votato 10 / 10, campione di 1 utenti

Ti potrebbero interessare (Guide per webmaster):

Cerca altro nel sito

Clicca sul box, e scegli la sezione per vederne i contenuti.