Cookies istruzioni per l’uso: e poi non parliamone più

[attenzione: post in continuo aggiornamento]

Allora, facciamo un po’ il punto della situazione.

Innanzitutto premetto che come per qualsiasi articolo pubblicato in rete in questi giorni, quella che segue è una mia interpretazione, perché la Legge è un po’ fumosa in alcuni punti e sembra quasi (?) essere scritta da persone che non abbiano molto chiaro cosa siano dei cookies.

Il Garante l’8 maggio 2014 (leggetela, per favore) ha varato una Legge per tutelare la privacy degli utenti in materia di cookies, lasciando tempo fino al 2 giugno 2015 per adeguarvisi.

I cookies: questi strabenedetti

Siamo web-cosi, pertanto dovremmo ben sapere cosa sono i cookies: sono microfiles inviati al browser dell’utente tramite uno script javascript, che servono a diversi scopi. Il più utile e direi necessario è, ad esempio il cookie che memorizza la sessione di navigazione per diverse finalità: mantenere gli oggetti nel carrello di un e-commerce, registrare le visite a livello statistico, precompilare i moduli di uso comune come quelli dei commenti in un blog, etc

Nella legge vengono evidenziati i diversi tipi di cookies, a seconda dei quali bisogna compiere (o meno) diversi adempimenti.

Di seguito un video diffuso dal Garante per fare chiarezza sulle tipolgie di cookies prese in considerazione e da evidenziare nell’informativa

Riassumendo:

Cookies tecnici

Sono tutti quelli necessari e volti a migliorare la navigazione e permettere l’utilizzo di servizi come il carrello, moduli di contatto, etc

Possono essere suddivisi in cookie di navigazione o di sessione, che garantiscono la normale navigazione e fruizione del sito web (permettendo, ad esempio, di realizzare un acquisto o autenticarsi per accedere ad aree riservate); cookie analytics, assimilati ai cookie tecnici laddove utilizzati direttamente dal gestore del sito per raccogliere informazioni, in forma aggregata, sul numero degli utenti e su come questi visitano il sito stesso; cookie di funzionalità, che permettono all’utente la navigazione in funzione di una serie di criteri selezionati (ad esempio, la lingua, i prodotti selezionati per l’acquisto) al fine di migliorare il servizio reso allo stesso.

Per l’installazione di tali cookie non è richiesto il preventivo consenso degli utenti, mentre resta fermo l’obbligo di dare l’informativa ai sensi dell’art. 13 del Codice, che il gestore del sito, qualora utilizzi soltanto tali dispositivi, potrà fornire con le modalità che ritiene più idonee.

Leggi come anonimizzare ip di google analytics e renderlo così assimilabile ad un cookie tecnico e non di profilazione.

Cookies di profilazione

Sono invece i cookies volti a profilare gli utenti secondo i loro gusti e siti navigati per fornire loro pubblicità o contenuti in relazione ad essi.

Google Adsense e altri programmi di affiliazione e pubblicitari fanno parte di questi ultimi e come tali hanno l’obbligo di essere notificati nel famoso banner, con accettazione o rimozione degli stessi. Poiché si appoggiano però a servizi forniti da terze parti, appunto, non sono tenuti a notifica nei confronti del Garante.

C’è invece la possibilità che il titolare del sito desideri creare un sistema di profilazione interno che rilascia cookies. In questo caso vale la notifica al Garante (e i suddetti 150€ da pagare) oltre ai suddetti obblighi di banner e scelta di attivarli o meno.

Cookies di terze parti

I cookies si possono classificare  anche secondo l’autore. Se proposti da terzi, come Google (Adsense, etc) o altri programmi pubblicitari, sono da bloccare e attivare solo successivamente ad accettazione da parte dell’utente. Bisogna inoltre aggiungere alla pagina di informativa i link relativi alle singole pagine di informativa cookies a loro volta.

Il banner

Deve indicare:

a)  che il sito utilizza cookie di profilazione al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dall’utente nell’ambito della navigazione in rete;

b) che il sito consente anche l’invio di cookie “terze parti” (laddove ciò ovviamente accada);

c) il link all’informativa estesa, che deve contenere le seguenti ulteriori indicazioni relative a:

•  uso dei cookie tecnici e analytics;

•  possibilità di scegliere quali specifici cookie autorizzare;

• possibilità per l’utente di manifestare le proprie opzioni in merito all’uso dei cookie da parte del sito anche attraverso le impostazioni del browser, indicando almeno la procedura da eseguire per configurare tali impostazioni;

d) l’indicazione che alla pagina dell’informativa estesa è possibile negare il consenso all’installazione di qualunque cookie;

e) l’indicazione che la prosecuzione della navigazione mediante accesso ad altra area del sito o selezione di un elemento dello stesso (ad esempio, di un’immagine o di un link) comporta la prestazione del consenso all’uso dei cookie;

L’informativa estesa

E’ una pagina in cui sono contenute le seguenti informazioni:

  1. dettaglio dei cookies e loro tipologia
  2. indicazione di chi è il titolare dei dati
  3. indicare per i cookies di terze parti, il link all’informativa delle terze parti
  4. indicare le modalità di rimozione dei cookies e di scelta di riattivare o rimuovere i cookies di terze parti

Conclusioni

In sostanza sembra tutto abbastanza chiaro, tranne alcuni punti un po’ tecnici (come permettere di rimuovere solo alcuni cookies selezionati in sede di consenso e in un secondo momento), ma le successive multe da pagare sono ben chiare. Bisogna:

  1. Mostrare adeguata informativa estesa
  2. Mostrare banner di accettazione o rifiuto in caso di cookies di terze parti
  3. Evitare l’installazione degli stessi fino a che l’utente non abbia eventualmente confermato la loro accettazione

Poi in giro ci sono diverse interpretazioni: ad esempio si può installare il cookies ma non attivarlo, e così via, ma io che sono molto poco tecnica e più pratica, eviterei il problema alla sorgente.

Ci sono in giro un sacco di plugin, che non fanno altro però che far comparire un banner proponendo il link all’informativa estesa, comportando implicitamente il consenso e lo scaricamento dei cookies (anche se non clicchi su ok). Questo forse perché in altri paesi non sono stati così rigidi come da noi, infatti sono contrari a quanto espresso nella legge, salvo nuove indicazioni. Di seguito vi consiglio infatti solo i plugin che li bloccano e fanno comparire il banner, perché l’uno va insieme all’altro, ricordo. Infatti per i soli cookies tecnici è obbligatorio solo esporre la pagina di informativa estesa.

Risorse

provvedimento 8 maggio 2014 (leggetelo, ma leggetelo davvero)

link al documento redatto da associazioni di categoria

faq garante

Discussione sul blocco di Adsense e terze parti (rischio ban dal programma pubblicitario)

Esempi di informative ben fatte

http://robertarapicavoli.it/informativa-cookie/

http://www.giorgiotave.it/termini/ (per i dettagli)

Plugin e script che bloccano i cookies di terze parti e permettono la selezione tramite banner

http://sitebeam.net/cookieconsent

https://github.com/nicholasruggeri/cookies-enabler

Iubenda

Weepie (plugin WordPress)

Faq comuni

Il mio sito è statico, devo fare qualcosa?

Innanzitutto, se il vostro sito è statico e non contiene alcun javascript, sicuramente non dovrà fare assolutamente nulla.

E’ invece sufficiente aver incollato un Google Analytics (per esempio), affinché parta l’installazione di un cookie.

Per risolvere questo dubbio è sufficiente che entriate nella gestione cookies del vostro browser dopo aver visitato il sito che volete monitorare.

Come monitorare i cookies che rilascia il mio sito?

Ci sono diversi siti che sono nati a tale scopo, che magari possono già farvi un inquadramento della tipologia di cookies quali appartengono, ma a mio avviso il modo più artigianale e veritiero è quello di aver navigato e visitato il sito in lungo e in largo e di andare a scoprire sul vostro browser cosa ne è rimasto. E magari farvi aiutare da questo sito per capire a cosa si riferiscono alcuni cookie.

A tal proposito un video brevissimo su dove andare a cliccare per scoprire i cookies su Google Chrome (spero si legga per la qualità del video).

Digitando come chiave di ricerca il nome del dominio (io digito lauryn ad esempio per www.lauryn.it, perché mi trova due blocchi di cookies), troverete l’elenco con data di scadenza e altri dettagli. Se siete in dubbio su cosa quei cookies stiano a significare, fate una ricerca, Google vi è amico 🙂

I più comuni sono i cookies di phpsessid (cookie tecnico che gestisce la sessione di navigazione) e i _ga (google analytics, cookie analytics di terza parte).

Se dopo aver effettuato l’adeguamento volete capire se siete a posto con la normativa, rimuovete i cookies del sito e navigatelo, magari cliccando “no” sull’accettazione dei cookies di terze parti e vedete se questi non vengono caricati.

Riassumendo: (tabella riportata da Iubenda)

Screen-Shot-2015-05-19-23-52-19-e1432072516698

 

Screen-Shot-2015-05-19-23-53-35-e1432072790368

Laura Gargiulo, web designer freelance e blogger.
Autrice di “Come diventare web-coso” e “Consigli di webdesign base“,
moglie dal dicembre 2010 e madre dal dicembre 2012.
Portfolio personale: Lauryn.it
Parlo anche di viaggi ed expat su: Myplaceintheworld.it e do consigli su come espatriare a Edimburgo sul mio blog Lovin’Edinburgh

46 Commenti

  1. Michela

    Ciao Laura,

    come ti sei organizzata con i tuoi clienti? Come si può fare per evitare problemi legati a eventuali multe ai clienti? Hai predisposto un mini-contratto o qualcosa del genere? Per una web agency questo potrebbe essere un vero problema..visto che non siamo avvocati..

    Risposta
    1. Lauryn (Autore Post)

      Ciao Michela,
      qualche avvocato ha chiarito che il responsabile è il titolare, ove non espressamente esplicitato tramite contratto in cui dichiari che il sito sarà conforme alla legge

      Risposta
  2. Marco

    Ciao!!

    Interessante articolo… la mia domanda è

    I cookies di Google Analytics (con IP anonimizzato), di YouTube, dia AdSense… vanno bloccati preventivamente oppure è sufficiente l’informativa?

    Ciao! 🙂
    Marco

    Risposta
    1. Lauryn (Autore Post)

      GA anonimizzato no, gli altri sì.

      Risposta
  3. Edo

    Forse per voi è la scoperta dell’acqua calda ma io non lo sapevo quindi ve lo segnalo.
    Si possono inibire i cookies che lascia ADDTHIS (http://stackoverflow.com/questions/20218458/how-do-i-prevent-addthis-from-using-cookies-on-my-site) e quindi non dover ricadere nella problematica dei cookie terzi. Questo, insieme all’anonimizzare gli IP per analytics dovrebbe (DOVREBBE) evitare l’obbligo di blocco preventivo. Il condizionale è più che d’obbligo.
    Ottimo articolo! Grazie Lauryn!

    Risposta
    1. Lauryn (Autore Post)

      grazie a te!

      Risposta
  4. Margherita

    Ho fatto un po’ di test, con vari strumenti free, anche fra quelli che hai citato, Laura. Ho appena capito che per bloccare il download dei cookies prima che l’utente accetti o scrolli, devo COMUNQUE intervenire sul codice, cookie per cookie (adsense, FB like box, FB like, ecc….). E leggendo anche i commenti sulla pagina di Weepie, si dice così. Me lo confermi? Un tool che faccia tutto in automatico è solo Iubenda?

    Risposta
    1. Lauryn (Autore Post)

      ciao margherita, non so se iubenda fa tutto in automatico, sarebbe mitico. prova a chiedere al supporto, e facci sapere 🙂

      Risposta
      1. Risorse-Web

        Iubenda non fa tutto in automatico. O meglio, lo fa se si adottano alcuni accorgimenti.

        Al momento Iubenda rilascia uno script che carica come prima cosa il banner per l’informativa sui Cookies (a meno che sul vostro sito non vi siano script che confliggano con quello di Iubenda).

        Questo script, non so se già lo fa o se lo farà, ha bisogno che gli elementi che installano Cookies (i vari YouTube, Disquss ecc ecc), vengano “modificati” con l’aggiunta di porzioni di codice, come descritto in calce a questa guida ufficiale di Iubenda.

        https://www.iubenda.com/it/help/posts/674

        In questo modo la soluzione di Iubenda può interagire con gli elementi presenti sul sito. Ovviamente vanno “indicati” uno per uno.

        Questo è ciò che mi sembra di aver capito.

      2. Lauryn (Autore Post)

        grazie risorse-web 🙂

  5. Roberta

    Segnali Iubenda come plugin che blocca i cookies, ma purtroppo non è ancora così, dicono che rilasceranno a breve l’estensione… ma si sa quando?

    Risposta
    1. Lauryn (Autore Post)

      ciao roberta, mi era giunta informazione tramite loro newsletter. è da chiedere al supporto se è vero quello che dici. ci fai sapere?

      Risposta
      1. Roberta

        Si ho provato ieri a contattare il supporto tecnico ma non mi ha ancora risposto. Sto utilizzando il servizio e per ora crea il banner e l’informativa ma il blocco dei cookies preventivo no, scrivono che lo rilasceranno a breve ma chissà quando… il 2 giugno è praticamente ieri!!! O.O

      2. Lauryn (Autore Post)

        eh ci sarà il delirio 😀

  6. Alberto

    Un sito che utilizza solo GA non anonimizato, deve quindi presentare il banner con tasto + spiegazione estesa giusto? Grazie

    Risposta
    1. Lauryn (Autore Post)

      esatto alberto, ma dovrebbe mostrare il banner anche se anonimizzato, perché servizio di profilazione di terzi, in questo caso. anonimizzato invece viene incorporato fra i cookies tecnici, ma deve essere evidenziato comunque con banner

      Risposta
  7. Andrea

    Domandina: prendendo come esempio questo sito… è a norma? Perchè vedo la versione breve in alto e il link alla versione estesa ma… non mi sembra che analytics sia anonimizzato e nemmeno bloccato fino al consenso dell’utente. Serve realmente farlo?

    Risposta
    1. Lauryn (Autore Post)

      ciao andrea, non prendere da esempio iwd che non è ancora stato messo a norma. prima i clienti 😀

      Risposta
      1. Lauryn (Autore Post)

        ora sono a norma, se vuoi scopiazzare l’informativa, ma non ho bloccato adsense.

    2. Lauryn (Autore Post)

      serve, perché in questo modo non devi bloccarlo.

      Risposta
      1. Andrea

        Così facendo non si perderanno moltissime info, vedi frequenza di rimbalzo ed altro molto utili per ad esempio attività SEM? Mettendo anonimo analytics ora non si sdoppieranno molte visite? Se non blocchi adsense non rimani non a norma? Diciamo che le risposte le so… ma potrebbe essere utile ai lettori no? 🙂

      2. Lauryn (Autore Post)

        non ne ho la più pallida idea 🙂
        se conosci le risposte spara.

  8. VanManuel83

    Ciao Laura e complimenti come sempre.
    Mi sembra molto una legge anti “social”!! A parte questo, se un sito ha solo i pulsanti di condivisione, o FB Page Plugin, deve inibire i cookies ed abilitarli solo nel momento in cui si accettano i cookies.

    Giusto ?
    E’ quindi obbligatorio il consenso.

    Risposta
    1. Lauryn (Autore Post)

      esatto

      Risposta
  9. Marco

    Ciao, non è che per caso avete il link del webinar iubenda per agenzie che c’è tra 10 min? grazie

    Risposta
    1. Lauryn (Autore Post)

      ciao marco, non posso aiutarti, ma se non sei iscritto non puoi partecipare, mi sa che è tardi…

      Risposta
  10. Francesco

    Ciao, una domanda. Se rendo Google Analytics anonimo con la famosa stringa, sono a posto così? Devo fare altro? Leggevo nella tabella che il cookie va bloccato se si utilizzano gli strumenti di tracciamento demografico di GA. Quindi non mi basta solo renderlo anonimo?

    Risposta
    1. Lauryn (Autore Post)

      ciao francesco, se lo rendi anonimo, come già detto, viene considerato cookie tecnico, quindi informativa + banner ma no blocco.

      Risposta
      1. Francesco

        Ok fantastico! Dalla tabella non si capiva bene questa cosa… stessa cosa per YouTube se faccio l’embed con l’url youtube-nocookie.com?

  11. Elv

    Ciao e complimenti per l’articolo.
    La maggior parte dei miei siti utilizza Google Maps e video di youtube nelle pagine.
    I relativi cookie installati sono da considerarsi “tecnici” o di “profilazione”?

    Risposta
    1. Elv

      E grazie mille! 🙂

      Risposta
    2. Lauryn (Autore Post)

      ciao elv, grazie! bella domanda…non mi espongo per non dirti cavolate 🙂

      Risposta
      1. Elv

        Ok, grazie.
        Dalle FAQ:

        Per i cookie di terze parti installati tramite il sito, gli obblighi di informativa e consenso gravano sulle terze parti, ma il titolare del sito, quale intermediario tecnico tra queste e gli utenti, è tenuto a inserire nell’informativa “estesa” i link aggiornati alle informative e ai moduli di consenso delle terze parti stesse.

        Da questo, sembra che io sia tenuto semplicmente a informare con il banner e nelle informative e non bloccarli preventivamente…

      2. Lauryn (Autore Post)

        così sembra, ma successivamente dicono di bloccarlo, e quando è stata posta la domanda il garante ha confermato.

      3. Elv

        Ti chiedo una cortesia. Hai per caso dei link dove c’è espressamente scritto che vanno bloccati, intendo link ufficiali del garante, grazie 🙂

      4. Lauryn (Autore Post)

        Elv sì. la legge. basta leggerla.

      5. Lauryn (Autore Post)

        L’installazione di cookie sui terminali degli utenti in assenza del preventivo consenso degli stessi comporta, invece, la sanzione del pagamento di una somma da diecimila a centoventimila euro (art. 162, comma 2-bis, del Codice).

      6. Elv

        http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3118884
        L’ho letta e ho letto anche le FAQ. Dove si parla di cookie di terze parti, non trovo proprio nulla…
        Se mi trovi il punto che intendi tu mi fai un grosso favore

      7. Elv

        Ok, grazie:

        “Al fine di giungere a una corretta regolamentazione di tali dispositivi, è necessario distinguerli posto che non vi sono delle caratteristiche tecniche che li differenziano gli uni dagli altri proprio sulla base delle finalità perseguite da chi li utilizza. In tale direzione si è mosso, peraltro, lo stesso legislatore, che, in attuazione delle disposizioni contenute nella direttiva 2009/136/CE, ha ricondotto l’obbligo di acquisire il consenso preventivo e informato degli utenti all’installazione di cookie utilizzati per finalità diverse da quelle meramente tecniche (cfr. art. 1, comma 5, lett. a), del d. lgs. 28 maggio 2012, n. 69, che ha modificato l’art. 122 del Codice).”

        Quindi rimango alla prima domanda, un likebox di facebook, un video di youtube, la mappa di google (tutti embedded nel sito) fanno profilazione?

      8. Lauryn (Autore Post)

        come già detto non so risponderti, non vorrei dire cose errate

      9. flapane

        Sì, le mappe Google (al pari dei video di Youtube, pulsanti social e della pubblicità Adsense), come da legge infernale che solo un paese di matti, fatto da e per i matti, poteva partorire.
        Ho tagliato la testa al toro: al posto dell’embed, ho inserito un link alla mappa, che si aprirà direttamente in una nuova finestra, tramite Google.

  12. Paolo

    Ciao, secondo voi la funzione di anonimizzazione presente in All in One Seo è sufficiente?

    Risposta
    1. Lauryn (Autore Post)

      yes Paolo 🙂

      Risposta
  13. Paolo

    Ciao Laura,
    volevo sapere che plugin usi qui su IWD (sempre se usi un plugin) e come ti sei regolata per AdSense.
    Grazie mille!

    Risposta
    1. Lauryn (Autore Post)

      ciao paolo, è divas cookies, ma devo configurarlo meglio perché non mi sembra che blocchi adsense e sinceramente non mi interessa farlo 😀

      Risposta
  14. Pingback: Cookies: nuova informativa per adeguare il tuo sito

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *