[attenzione: post in continuo aggiornamento]

Allora, facciamo un po’ il punto della situazione.

Innanzitutto premetto che come per qualsiasi articolo pubblicato in rete in questi giorni, quella che segue è una mia interpretazione, perché la Legge è un po’ fumosa in alcuni punti e sembra quasi (?) essere scritta da persone che non abbiano molto chiaro cosa siano dei cookies.

Il Garante l’8 maggio 2014 (leggetela, per favore) ha varato una Legge per tutelare la privacy degli utenti in materia di cookies, lasciando tempo fino al 2 giugno 2015 per adeguarvisi.

I cookies: questi strabenedetti

Siamo web-cosi, pertanto dovremmo ben sapere cosa sono i cookies: sono microfiles inviati al browser dell’utente tramite uno script javascript, che servono a diversi scopi. Il più utile e direi necessario è, ad esempio il cookie che memorizza la sessione di navigazione per diverse finalità: mantenere gli oggetti nel carrello di un e-commerce, registrare le visite a livello statistico, precompilare i moduli di uso comune come quelli dei commenti in un blog, etc

Nella legge vengono evidenziati i diversi tipi di cookies, a seconda dei quali bisogna compiere (o meno) diversi adempimenti.

Di seguito un video diffuso dal Garante per fare chiarezza sulle tipolgie di cookies prese in considerazione e da evidenziare nell’informativa

Riassumendo:

Cookies tecnici

Sono tutti quelli necessari e volti a migliorare la navigazione e permettere l’utilizzo di servizi come il carrello, moduli di contatto, etc

Possono essere suddivisi in cookie di navigazione o di sessione, che garantiscono la normale navigazione e fruizione del sito web (permettendo, ad esempio, di realizzare un acquisto o autenticarsi per accedere ad aree riservate); cookie analytics, assimilati ai cookie tecnici laddove utilizzati direttamente dal gestore del sito per raccogliere informazioni, in forma aggregata, sul numero degli utenti e su come questi visitano il sito stesso; cookie di funzionalità, che permettono all’utente la navigazione in funzione di una serie di criteri selezionati (ad esempio, la lingua, i prodotti selezionati per l’acquisto) al fine di migliorare il servizio reso allo stesso.

Per l’installazione di tali cookie non è richiesto il preventivo consenso degli utenti, mentre resta fermo l’obbligo di dare l’informativa ai sensi dell’art. 13 del Codice, che il gestore del sito, qualora utilizzi soltanto tali dispositivi, potrà fornire con le modalità che ritiene più idonee.

Leggi come anonimizzare ip di google analytics e renderlo così assimilabile ad un cookie tecnico e non di profilazione.

Cookies di profilazione

Sono invece i cookies volti a profilare gli utenti secondo i loro gusti e siti navigati per fornire loro pubblicità o contenuti in relazione ad essi.

Google Adsense e altri programmi di affiliazione e pubblicitari fanno parte di questi ultimi e come tali hanno l’obbligo di essere notificati nel famoso banner, con accettazione o rimozione degli stessi. Poiché si appoggiano però a servizi forniti da terze parti, appunto, non sono tenuti a notifica nei confronti del Garante.

C’è invece la possibilità che il titolare del sito desideri creare un sistema di profilazione interno che rilascia cookies. In questo caso vale la notifica al Garante (e i suddetti 150€ da pagare) oltre ai suddetti obblighi di banner e scelta di attivarli o meno.

Cookies di terze parti

I cookies si possono classificare  anche secondo l’autore. Se proposti da terzi, come Google (Adsense, etc) o altri programmi pubblicitari, sono da bloccare e attivare solo successivamente ad accettazione da parte dell’utente SOLO SE SONO DI PROFILAZIONE. Bisogna inoltre aggiungere alla pagina di informativa i link relativi alle singole pagine di informativa cookies a loro volta.

vedi tabella IUBENDA

Il banner

Deve indicare:

a)  che il sito utilizza cookie di profilazione al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dall’utente nell’ambito della navigazione in rete;

b) che il sito consente anche l’invio di cookie “terze parti” (laddove ciò ovviamente accada);

c) il link all’informativa estesa, che deve contenere le seguenti ulteriori indicazioni relative a:

•  uso dei cookie tecnici e analytics;

•  possibilità di scegliere quali specifici cookie autorizzare;

• possibilità per l’utente di manifestare le proprie opzioni in merito all’uso dei cookie da parte del sito anche attraverso le impostazioni del browser, indicando almeno la procedura da eseguire per configurare tali impostazioni;

d) l’indicazione che alla pagina dell’informativa estesa è possibile negare il consenso all’installazione di qualunque cookie;

e) l’indicazione che la prosecuzione della navigazione mediante accesso ad altra area del sito o selezione di un elemento dello stesso (ad esempio, di un’immagine o di un link) comporta la prestazione del consenso all’uso dei cookie;

L’informativa estesa

E’ una pagina in cui sono contenute le seguenti informazioni:

  1. dettaglio dei cookies e loro tipologia
  2. indicazione di chi è il titolare dei dati
  3. indicare per i cookies di terze parti, il link all’informativa delle terze parti
  4. indicare le modalità di rimozione dei cookies e di scelta di riattivare o rimuovere i cookies di terze parti

Conclusioni

In sostanza sembra tutto abbastanza chiaro, tranne alcuni punti un po’ tecnici (come permettere di rimuovere solo alcuni cookies selezionati in sede di consenso e in un secondo momento), ma le successive multe da pagare sono ben chiare. Bisogna:

  1. Mostrare adeguata informativa estesa
  2. Mostrare banner di accettazione o rifiuto in caso di cookies di terze parti
  3. Evitare l’installazione degli stessi fino a che l’utente non abbia eventualmente confermato la loro accettazione

Poi in giro ci sono diverse interpretazioni: ad esempio si può installare il cookies ma non attivarlo, e così via, ma io che sono molto poco tecnica e più pratica, eviterei il problema alla sorgente.

Ci sono in giro un sacco di plugin, che non fanno altro però che far comparire un banner proponendo il link all’informativa estesa, comportando implicitamente il consenso e lo scaricamento dei cookies (anche se non clicchi su ok). Questo forse perché in altri paesi non sono stati così rigidi come da noi, infatti sono contrari a quanto espresso nella legge, salvo nuove indicazioni. Di seguito vi consiglio infatti solo i plugin che li bloccano e fanno comparire il banner, perché l’uno va insieme all’altro, ricordo. Infatti per i soli cookies tecnici è obbligatorio solo esporre la pagina di informativa estesa.

Risorse

provvedimento 8 maggio 2014 (leggetelo, ma leggetelo davvero)

link al documento redatto da associazioni di categoria

faq garante

Discussione sul blocco di Adsense e terze parti (rischio ban dal programma pubblicitario)

Esempi di informative ben fatte

http://robertarapicavoli.it/informativa-cookie/

http://www.giorgiotave.it/termini/ (per i dettagli)

Plugin e script che bloccano i cookies di terze parti e permettono la selezione tramite banner

http://sitebeam.net/cookieconsent

https://github.com/nicholasruggeri/cookies-enabler

Iubenda

Weepie (plugin WordPress)

Faq comuni

Il mio sito è statico, devo fare qualcosa?

Innanzitutto, se il vostro sito è statico e non contiene alcun javascript, sicuramente non dovrà fare assolutamente nulla.

E’ invece sufficiente aver incollato un Google Analytics (per esempio), affinché parta l’installazione di un cookie.

Per risolvere questo dubbio è sufficiente che entriate nella gestione cookies del vostro browser dopo aver visitato il sito che volete monitorare.

Come monitorare i cookies che rilascia il mio sito?

Ci sono diversi siti che sono nati a tale scopo, che magari possono già farvi un inquadramento della tipologia di cookies quali appartengono, ma a mio avviso il modo più artigianale e veritiero è quello di aver navigato e visitato il sito in lungo e in largo e di andare a scoprire sul vostro browser cosa ne è rimasto. E magari farvi aiutare da questo sito per capire a cosa si riferiscono alcuni cookie.

A tal proposito un video brevissimo su dove andare a cliccare per scoprire i cookies su Google Chrome (spero si legga per la qualità del video).

Digitando come chiave di ricerca il nome del dominio (io digito lauryn ad esempio per www.lauryn.it, perché mi trova due blocchi di cookies), troverete l’elenco con data di scadenza e altri dettagli. Se siete in dubbio su cosa quei cookies stiano a significare, fate una ricerca, Google vi è amico 🙂

I più comuni sono i cookies di phpsessid (cookie tecnico che gestisce la sessione di navigazione) e i _ga (google analytics, cookie analytics di terza parte).

Se dopo aver effettuato l’adeguamento volete capire se siete a posto con la normativa, rimuovete i cookies del sito e navigatelo, magari cliccando “no” sull’accettazione dei cookies di terze parti e vedete se questi non vengono caricati.

Riassumendo: (tabella riportata da Iubenda)

Screen-Shot-2015-05-19-23-52-19-e1432072516698

 

Screen-Shot-2015-05-19-23-53-35-e1432072790368