Cookies istruzioni per l’uso: e poi non parliamone più

[attenzione: post in continuo aggiornamento]

Allora, facciamo un po’ il punto della situazione.

Innanzitutto premetto che come per qualsiasi articolo pubblicato in rete in questi giorni, quella che segue è una mia interpretazione, perché la Legge è un po’ fumosa in alcuni punti e sembra quasi (?) essere scritta da persone che non abbiano molto chiaro cosa siano dei cookies.

Il Garante l’8 maggio 2014 (leggetela, per favore) ha varato una Legge per tutelare la privacy degli utenti in materia di cookies, lasciando tempo fino al 2 giugno 2015 per adeguarvisi.

I cookies: questi strabenedetti

Siamo web-cosi, pertanto dovremmo ben sapere cosa sono i cookies: sono microfiles inviati al browser dell’utente tramite uno script javascript, che servono a diversi scopi. Il più utile e direi necessario è, ad esempio il cookie che memorizza la sessione di navigazione per diverse finalità: mantenere gli oggetti nel carrello di un e-commerce, registrare le visite a livello statistico, precompilare i moduli di uso comune come quelli dei commenti in un blog, etc

Nella legge vengono evidenziati i diversi tipi di cookies, a seconda dei quali bisogna compiere (o meno) diversi adempimenti.

Di seguito un video diffuso dal Garante per fare chiarezza sulle tipolgie di cookies prese in considerazione e da evidenziare nell’informativa

Riassumendo:

Cookies tecnici

Sono tutti quelli necessari e volti a migliorare la navigazione e permettere l’utilizzo di servizi come il carrello, moduli di contatto, etc

Possono essere suddivisi in cookie di navigazione o di sessione, che garantiscono la normale navigazione e fruizione del sito web (permettendo, ad esempio, di realizzare un acquisto o autenticarsi per accedere ad aree riservate); cookie analytics, assimilati ai cookie tecnici laddove utilizzati direttamente dal gestore del sito per raccogliere informazioni, in forma aggregata, sul numero degli utenti e su come questi visitano il sito stesso; cookie di funzionalità, che permettono all’utente la navigazione in funzione di una serie di criteri selezionati (ad esempio, la lingua, i prodotti selezionati per l’acquisto) al fine di migliorare il servizio reso allo stesso.

Per l’installazione di tali cookie non è richiesto il preventivo consenso degli utenti, mentre resta fermo l’obbligo di dare l’informativa ai sensi dell’art. 13 del Codice, che il gestore del sito, qualora utilizzi soltanto tali dispositivi, potrà fornire con le modalità che ritiene più idonee.

Leggi come anonimizzare ip di google analytics e renderlo così assimilabile ad un cookie tecnico e non di profilazione.

Cookies di profilazione

Sono invece i cookies volti a profilare gli utenti secondo i loro gusti e siti navigati per fornire loro pubblicità o contenuti in relazione ad essi.

Google Adsense e altri programmi di affiliazione e pubblicitari fanno parte di questi ultimi e come tali hanno l’obbligo di essere notificati nel famoso banner, con accettazione o rimozione degli stessi. Poiché si appoggiano però a servizi forniti da terze parti, appunto, non sono tenuti a notifica nei confronti del Garante.

C’è invece la possibilità che il titolare del sito desideri creare un sistema di profilazione interno che rilascia cookies. In questo caso vale la notifica al Garante (e i suddetti 150€ da pagare) oltre ai suddetti obblighi di banner e scelta di attivarli o meno.

Cookies di terze parti

I cookies si possono classificare  anche secondo l’autore. Se proposti da terzi, come Google (Adsense, etc) o altri programmi pubblicitari, sono da bloccare e attivare solo successivamente ad accettazione da parte dell’utente. Bisogna inoltre aggiungere alla pagina di informativa i link relativi alle singole pagine di informativa cookies a loro volta.

Il banner

Deve indicare:

a)  che il sito utilizza cookie di profilazione al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dall’utente nell’ambito della navigazione in rete;

b) che il sito consente anche l’invio di cookie “terze parti” (laddove ciò ovviamente accada);

c) il link all’informativa estesa, che deve contenere le seguenti ulteriori indicazioni relative a:

•  uso dei cookie tecnici e analytics;

•  possibilità di scegliere quali specifici cookie autorizzare;

• possibilità per l’utente di manifestare le proprie opzioni in merito all’uso dei cookie da parte del sito anche attraverso le impostazioni del browser, indicando almeno la procedura da eseguire per configurare tali impostazioni;

d) l’indicazione che alla pagina dell’informativa estesa è possibile negare il consenso all’installazione di qualunque cookie;

e) l’indicazione che la prosecuzione della navigazione mediante accesso ad altra area del sito o selezione di un elemento dello stesso (ad esempio, di un’immagine o di un link) comporta la prestazione del consenso all’uso dei cookie;

L’informativa estesa

E’ una pagina in cui sono contenute le seguenti informazioni:

  1. dettaglio dei cookies e loro tipologia
  2. indicazione di chi è il titolare dei dati
  3. indicare per i cookies di terze parti, il link all’informativa delle terze parti
  4. indicare le modalità di rimozione dei cookies e di scelta di riattivare o rimuovere i cookies di terze parti

Conclusioni

In sostanza sembra tutto abbastanza chiaro, tranne alcuni punti un po’ tecnici (come permettere di rimuovere solo alcuni cookies selezionati in sede di consenso e in un secondo momento), ma le successive multe da pagare sono ben chiare. Bisogna:

  1. Mostrare adeguata informativa estesa
  2. Mostrare banner di accettazione o rifiuto in caso di cookies di terze parti
  3. Evitare l’installazione degli stessi fino a che l’utente non abbia eventualmente confermato la loro accettazione

Poi in giro ci sono diverse interpretazioni: ad esempio si può installare il cookies ma non attivarlo, e così via, ma io che sono molto poco tecnica e più pratica, eviterei il problema alla sorgente.

Ci sono in giro un sacco di plugin, che non fanno altro però che far comparire un banner proponendo il link all’informativa estesa, comportando implicitamente il consenso e lo scaricamento dei cookies (anche se non clicchi su ok). Questo forse perché in altri paesi non sono stati così rigidi come da noi, infatti sono contrari a quanto espresso nella legge, salvo nuove indicazioni. Di seguito vi consiglio infatti solo i plugin che li bloccano e fanno comparire il banner, perché l’uno va insieme all’altro, ricordo. Infatti per i soli cookies tecnici è obbligatorio solo esporre la pagina di informativa estesa.

Risorse

provvedimento 8 maggio 2014 (leggetelo, ma leggetelo davvero)

link al documento redatto da associazioni di categoria

faq garante

Discussione sul blocco di Adsense e terze parti (rischio ban dal programma pubblicitario)

Esempi di informative ben fatte

http://robertarapicavoli.it/informativa-cookie/

http://www.giorgiotave.it/termini/ (per i dettagli)

Plugin e script che bloccano i cookies di terze parti e permettono la selezione tramite banner

http://sitebeam.net/cookieconsent

https://github.com/nicholasruggeri/cookies-enabler

Iubenda

Weepie (plugin WordPress)

Faq comuni

Il mio sito è statico, devo fare qualcosa?

Innanzitutto, se il vostro sito è statico e non contiene alcun javascript, sicuramente non dovrà fare assolutamente nulla.

E’ invece sufficiente aver incollato un Google Analytics (per esempio), affinché parta l’installazione di un cookie.

Per risolvere questo dubbio è sufficiente che entriate nella gestione cookies del vostro browser dopo aver visitato il sito che volete monitorare.

Come monitorare i cookies che rilascia il mio sito?

Ci sono diversi siti che sono nati a tale scopo, che magari possono già farvi un inquadramento della tipologia di cookies quali appartengono, ma a mio avviso il modo più artigianale e veritiero è quello di aver navigato e visitato il sito in lungo e in largo e di andare a scoprire sul vostro browser cosa ne è rimasto. E magari farvi aiutare da questo sito per capire a cosa si riferiscono alcuni cookie.

A tal proposito un video brevissimo su dove andare a cliccare per scoprire i cookies su Google Chrome (spero si legga per la qualità del video).

Digitando come chiave di ricerca il nome del dominio (io digito lauryn ad esempio per www.lauryn.it, perché mi trova due blocchi di cookies), troverete l’elenco con data di scadenza e altri dettagli. Se siete in dubbio su cosa quei cookies stiano a significare, fate una ricerca, Google vi è amico 🙂

I più comuni sono i cookies di phpsessid (cookie tecnico che gestisce la sessione di navigazione) e i _ga (google analytics, cookie analytics di terza parte).

Se dopo aver effettuato l’adeguamento volete capire se siete a posto con la normativa, rimuovete i cookies del sito e navigatelo, magari cliccando “no” sull’accettazione dei cookies di terze parti e vedete se questi non vengono caricati.

Riassumendo: (tabella riportata da Iubenda)

Screen-Shot-2015-05-19-23-52-19-e1432072516698

 

Screen-Shot-2015-05-19-23-53-35-e1432072790368

scuola webdesigner ebook consulenze ux
Laura Gargiulo, web designer freelance e blogger. Autrice di "Come diventare web-coso" e "Consigli di webdesign base", moglie dal dicembre 2010 e madre dal dicembre 2012. Portfolio personale: Lauryn.it Parlo anche di viaggi ed expat su: Myplaceintheworld.it e do consigli su come espatriare a Edimburgo sul mio blog Lovin'Edinburgh

46 Comments

  • Michela

    28 maggio 2015, 14:08

    Ciao Laura,

    come ti sei organizzata con i tuoi clienti? Come si può fare per evitare problemi legati a eventuali multe ai clienti? Hai predisposto un mini-contratto o qualcosa del genere? Per una web agency questo potrebbe essere un vero problema..visto che non siamo avvocati..

    • Lauryn

      28 maggio 2015, 14:15

      Ciao Michela,
      qualche avvocato ha chiarito che il responsabile è il titolare, ove non espressamente esplicitato tramite contratto in cui dichiari che il sito sarà conforme alla legge

  • Marco

    28 maggio 2015, 15:15

    Ciao!!

    Interessante articolo… la mia domanda è

    I cookies di Google Analytics (con IP anonimizzato), di YouTube, dia AdSense… vanno bloccati preventivamente oppure è sufficiente l’informativa?

    Ciao! 🙂
    Marco

    • Lauryn

      28 maggio 2015, 16:34

      GA anonimizzato no, gli altri sì.

  • Edo

    28 maggio 2015, 15:20

    Forse per voi è la scoperta dell’acqua calda ma io non lo sapevo quindi ve lo segnalo.
    Si possono inibire i cookies che lascia ADDTHIS (http://stackoverflow.com/questions/20218458/how-do-i-prevent-addthis-from-using-cookies-on-my-site) e quindi non dover ricadere nella problematica dei cookie terzi. Questo, insieme all’anonimizzare gli IP per analytics dovrebbe (DOVREBBE) evitare l’obbligo di blocco preventivo. Il condizionale è più che d’obbligo.
    Ottimo articolo! Grazie Lauryn!

    • Lauryn

      28 maggio 2015, 16:34

      grazie a te!

  • Margherita

    29 maggio 2015, 08:34

    Ho fatto un po’ di test, con vari strumenti free, anche fra quelli che hai citato, Laura. Ho appena capito che per bloccare il download dei cookies prima che l’utente accetti o scrolli, devo COMUNQUE intervenire sul codice, cookie per cookie (adsense, FB like box, FB like, ecc….). E leggendo anche i commenti sulla pagina di Weepie, si dice così. Me lo confermi? Un tool che faccia tutto in automatico è solo Iubenda?

    • Lauryn

      29 maggio 2015, 09:32

      ciao margherita, non so se iubenda fa tutto in automatico, sarebbe mitico. prova a chiedere al supporto, e facci sapere 🙂

      • Risorse-Web

        29 maggio 2015, 15:25

        Iubenda non fa tutto in automatico. O meglio, lo fa se si adottano alcuni accorgimenti.

        Al momento Iubenda rilascia uno script che carica come prima cosa il banner per l’informativa sui Cookies (a meno che sul vostro sito non vi siano script che confliggano con quello di Iubenda).

        Questo script, non so se già lo fa o se lo farà, ha bisogno che gli elementi che installano Cookies (i vari YouTube, Disquss ecc ecc), vengano “modificati” con l’aggiunta di porzioni di codice, come descritto in calce a questa guida ufficiale di Iubenda.

        https://www.iubenda.com/it/help/posts/674

        In questo modo la soluzione di Iubenda può interagire con gli elementi presenti sul sito. Ovviamente vanno “indicati” uno per uno.

        Questo è ciò che mi sembra di aver capito.

      • Lauryn

        29 maggio 2015, 15:32

        grazie risorse-web 🙂

  • Roberta

    29 maggio 2015, 09:38

    Segnali Iubenda come plugin che blocca i cookies, ma purtroppo non è ancora così, dicono che rilasceranno a breve l’estensione… ma si sa quando?

    • Lauryn

      29 maggio 2015, 09:42

      ciao roberta, mi era giunta informazione tramite loro newsletter. è da chiedere al supporto se è vero quello che dici. ci fai sapere?

      • Roberta

        29 maggio 2015, 09:49

        Si ho provato ieri a contattare il supporto tecnico ma non mi ha ancora risposto. Sto utilizzando il servizio e per ora crea il banner e l’informativa ma il blocco dei cookies preventivo no, scrivono che lo rilasceranno a breve ma chissà quando… il 2 giugno è praticamente ieri!!! O.O

      • Lauryn

        29 maggio 2015, 10:07

        eh ci sarà il delirio 😀

  • Alberto

    29 maggio 2015, 10:59

    Un sito che utilizza solo GA non anonimizato, deve quindi presentare il banner con tasto + spiegazione estesa giusto? Grazie

    • Lauryn

      29 maggio 2015, 11:43

      esatto alberto, ma dovrebbe mostrare il banner anche se anonimizzato, perché servizio di profilazione di terzi, in questo caso. anonimizzato invece viene incorporato fra i cookies tecnici, ma deve essere evidenziato comunque con banner

  • Andrea

    29 maggio 2015, 13:01

    Domandina: prendendo come esempio questo sito… è a norma? Perchè vedo la versione breve in alto e il link alla versione estesa ma… non mi sembra che analytics sia anonimizzato e nemmeno bloccato fino al consenso dell’utente. Serve realmente farlo?

    • Lauryn

      29 maggio 2015, 13:50

      ciao andrea, non prendere da esempio iwd che non è ancora stato messo a norma. prima i clienti 😀

      • Lauryn

        29 maggio 2015, 15:14

        ora sono a norma, se vuoi scopiazzare l’informativa, ma non ho bloccato adsense.

    • Lauryn

      29 maggio 2015, 13:54

      serve, perché in questo modo non devi bloccarlo.

      • Andrea

        29 maggio 2015, 15:20

        Così facendo non si perderanno moltissime info, vedi frequenza di rimbalzo ed altro molto utili per ad esempio attività SEM? Mettendo anonimo analytics ora non si sdoppieranno molte visite? Se non blocchi adsense non rimani non a norma? Diciamo che le risposte le so… ma potrebbe essere utile ai lettori no? 🙂

      • Lauryn

        29 maggio 2015, 15:22

        non ne ho la più pallida idea 🙂
        se conosci le risposte spara.

  • VanManuel83

    29 maggio 2015, 13:39

    Ciao Laura e complimenti come sempre.
    Mi sembra molto una legge anti “social”!! A parte questo, se un sito ha solo i pulsanti di condivisione, o FB Page Plugin, deve inibire i cookies ed abilitarli solo nel momento in cui si accettano i cookies.

    Giusto ?
    E’ quindi obbligatorio il consenso.

    • Lauryn

      29 maggio 2015, 13:54

      esatto

  • Marco

    29 maggio 2015, 15:47

    Ciao, non è che per caso avete il link del webinar iubenda per agenzie che c’è tra 10 min? grazie

    • Lauryn

      29 maggio 2015, 18:24

      ciao marco, non posso aiutarti, ma se non sei iscritto non puoi partecipare, mi sa che è tardi…

  • Francesco

    29 maggio 2015, 18:19

    Ciao, una domanda. Se rendo Google Analytics anonimo con la famosa stringa, sono a posto così? Devo fare altro? Leggevo nella tabella che il cookie va bloccato se si utilizzano gli strumenti di tracciamento demografico di GA. Quindi non mi basta solo renderlo anonimo?

    • Lauryn

      29 maggio 2015, 18:25

      ciao francesco, se lo rendi anonimo, come già detto, viene considerato cookie tecnico, quindi informativa + banner ma no blocco.

      • Francesco

        29 maggio 2015, 18:27

        Ok fantastico! Dalla tabella non si capiva bene questa cosa… stessa cosa per YouTube se faccio l’embed con l’url youtube-nocookie.com?

  • Elv

    30 maggio 2015, 19:46

    Ciao e complimenti per l’articolo.
    La maggior parte dei miei siti utilizza Google Maps e video di youtube nelle pagine.
    I relativi cookie installati sono da considerarsi “tecnici” o di “profilazione”?

    • Elv

      30 maggio 2015, 19:47

      E grazie mille! 🙂

    • Lauryn

      30 maggio 2015, 20:44

      ciao elv, grazie! bella domanda…non mi espongo per non dirti cavolate 🙂

      • Elv

        30 maggio 2015, 22:52

        Ok, grazie.
        Dalle FAQ:

        Per i cookie di terze parti installati tramite il sito, gli obblighi di informativa e consenso gravano sulle terze parti, ma il titolare del sito, quale intermediario tecnico tra queste e gli utenti, è tenuto a inserire nell’informativa “estesa” i link aggiornati alle informative e ai moduli di consenso delle terze parti stesse.

        Da questo, sembra che io sia tenuto semplicmente a informare con il banner e nelle informative e non bloccarli preventivamente…

      • Lauryn

        31 maggio 2015, 04:11

        così sembra, ma successivamente dicono di bloccarlo, e quando è stata posta la domanda il garante ha confermato.

      • Elv

        31 maggio 2015, 09:23

        Ti chiedo una cortesia. Hai per caso dei link dove c’è espressamente scritto che vanno bloccati, intendo link ufficiali del garante, grazie 🙂

      • Lauryn

        31 maggio 2015, 10:35

        Elv sì. la legge. basta leggerla.

      • Lauryn

        31 maggio 2015, 10:36

        L’installazione di cookie sui terminali degli utenti in assenza del preventivo consenso degli stessi comporta, invece, la sanzione del pagamento di una somma da diecimila a centoventimila euro (art. 162, comma 2-bis, del Codice).

      • Elv

        31 maggio 2015, 10:38

        http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3118884
        L’ho letta e ho letto anche le FAQ. Dove si parla di cookie di terze parti, non trovo proprio nulla…
        Se mi trovi il punto che intendi tu mi fai un grosso favore

      • Elv

        31 maggio 2015, 10:46

        Ok, grazie:

        “Al fine di giungere a una corretta regolamentazione di tali dispositivi, è necessario distinguerli posto che non vi sono delle caratteristiche tecniche che li differenziano gli uni dagli altri proprio sulla base delle finalità perseguite da chi li utilizza. In tale direzione si è mosso, peraltro, lo stesso legislatore, che, in attuazione delle disposizioni contenute nella direttiva 2009/136/CE, ha ricondotto l’obbligo di acquisire il consenso preventivo e informato degli utenti all’installazione di cookie utilizzati per finalità diverse da quelle meramente tecniche (cfr. art. 1, comma 5, lett. a), del d. lgs. 28 maggio 2012, n. 69, che ha modificato l’art. 122 del Codice).”

        Quindi rimango alla prima domanda, un likebox di facebook, un video di youtube, la mappa di google (tutti embedded nel sito) fanno profilazione?

      • Lauryn

        31 maggio 2015, 11:53

        come già detto non so risponderti, non vorrei dire cose errate

      • flapane

        3 giugno 2015, 12:18

        Sì, le mappe Google (al pari dei video di Youtube, pulsanti social e della pubblicità Adsense), come da legge infernale che solo un paese di matti, fatto da e per i matti, poteva partorire.
        Ho tagliato la testa al toro: al posto dell’embed, ho inserito un link alla mappa, che si aprirà direttamente in una nuova finestra, tramite Google.

  • Paolo

    30 maggio 2015, 23:18

    Ciao, secondo voi la funzione di anonimizzazione presente in All in One Seo è sufficiente?

    • Lauryn

      31 maggio 2015, 04:10

      yes Paolo 🙂

  • Paolo

    3 giugno 2015, 15:02

    Ciao Laura,
    volevo sapere che plugin usi qui su IWD (sempre se usi un plugin) e come ti sei regolata per AdSense.
    Grazie mille!

    • Lauryn

      3 giugno 2015, 15:43

      ciao paolo, è divas cookies, ma devo configurarlo meglio perché non mi sembra che blocchi adsense e sinceramente non mi interessa farlo 😀

Lasciaci un tuo commento!