Come adattare il tuo blog al provvedimento del Garante della privacy in materia di privacy e cookie che entrerà in vigore dal 2 giugno 2015.
Forse già lo sai, dal 2 giugno 2015 è diventato operativo il provvedimento del Garante della privacy in materia di cookie e bisogna adattarsi alla normativa nata per disciplinare l’uso dei cookie di profilazione al fine di proteggere la privacy di chi naviga in rete.
Questa normativa si applica a tutti i paesi europei e non solo l’Italia.
In pochi ne parlano sul web e ancor meno sanno cosa fare per mettere il proprio sito o il proprio blog in regola con le nuove norme.
Tuttavia la questione non è affatto da sottovalutare, in quanto i proprietari dei siti che non sono a norma rischiano di prendere multe davvero salate: da 6.000 euro a 36.000 euro per omessa informativa sulla privacy e da 10.000 a 120.000 euro nel caso in cui venga dimostrata l’installazione di cookie di profilazione senza l’autorizzazione degli utenti.
Cavalcando l’onda qualcuno ha deciso di fare terrorismo psicologico raccontando di aver già ricevuto multe salate e proponendo Plugin a pagamento per risolvere il problema. Un bel modo per guadagnare soldi facili, ma poco corretto.
Per questo ho deciso di fare un po’ di chiarezza su questo argomento per evitare a tutti di spendere soldi inutilmente e per calmare gli animi inquieti. In questo articolo cercherò di trattare in maniera molto semplice le questioni che girano intorno a questo nuovo provvedimento, anche quelle più delicate.
Iniziamo…
Per rispettare la nuova normativa, è necessario che ogni sito
– richieda all’utente il consenso all’installazione dei cookie “di profilazione”
– mostri un banner con una informativa breve ad ogni utente alla sua prima visita.
– presenti una pagina con l’informativa completa sulla privacy
Iniziamo a chiarire quanto è necessario fare, partendo dalla gestione dei cookie.
Gestione dei Cookie e richiesta del consenso di installazione
Probabilmente sai già cosa sono i cookie: piccoli file di testo (che vengono creati in automatico) usati per tracciare le sessioni di navigazione e per memorizzare informazioni specifiche riguardanti gli utenti che accedono al server.
La nuova legge specifica chiaramente che nessun cookie può essere installato, ad eccezione dei cookie tecnici, prima che il consenso venga fornito dall’utente. Quindi, stop all’uso libero dei cookie di profilazione.
Cosa significa? Qual è la differenza tra cookie tecnici e cookie di profilazione?
L’informativa sul provvedimento (che trovi a questa pagina) chiarisce la differenza tra queste due tipologia di cookie:
Cosa sono i cookie “tecnici”?
Sono i cookie che servono a effettuare la navigazione o a fornire un servizio richiesto dall’utente. Non vengono utilizzati per scopi ulteriori e sono normalmente installati direttamente dal titolare del sito web. Senza il ricorso a tali cookie, alcune operazioni non potrebbero essere compiute o sarebbero più complesse e/o meno sicure […].
Cosa sono i cookie “di profilazione”?
Sono i cookie utilizzati per tracciare la navigazione dell’utente in rete e creare profili sui suoi gusti, abitudini, scelte, ecc. Con questi cookie possono essere trasmessi al terminale dell’utente messaggi pubblicitari in linea con le preferenze già manifestate dallo stesso utente nella navigazione online.
Questa distinzione è indispensabile in quanto i siti web che fanno uso di cookie di profilazione sono tenuti a comunicarlo all’utente che naviga sul sito web e a fare una notificazione al Garante della privacy.
Implementare un banner che avvisa gli utenti dell’uso dei cookie non è difficile. Tra un po’ vedremo come farlo attraverso un plugin gratuito di WordPress. Anche scrivere una pagina con la privacy policy non dovrebbe essere un’impresa ardua.
Il vero problema è la notificazione dei cookie di profilazione che deve essere effettuata telematicamente attraverso questa pagina e comporta il pagamento di spese di segreteria che ammontano a circa 150,00€.
Omettere questa notificazione espone i proprietari dei siti web a multe che vanno da 20.000€ a 120.000€.Bum! E a questo punto la questione si sposta su un altro punto. Chi deve notificare al garante l’uso dei cookie di profilazione (sborsando i 150 €): il servizio che lo installa o il proprietario del sito internet che ne trae beneficio?
Prendiamo ad esempio i cookie di profilazione di Google AdSense: Google li utilizza per proporre i suoi annunci pubblicitari e sono installati dal servizio di Google e non dal proprietario del sito che tuttavia ne trae vantaggi economici.
Chi dovrebbe dichiarare l’uso di questi cookie? Google o il proprietario del sito che ospita gli annunci di AdSense?
Le opinioni sono discordanti e la risposta non è ancora chiara. Aspettiamo ancora una risposta certa da parte del Garante. Intanto se usi servizi come AdSense per guadagnare poche decine di euro al mese, ti consiglio di disattivarli. Non vale davvero la pena rischiare multe salatissime per pochi spiccioli.
L’altra questione scottante riguarda i cookie di Google Analytics, un servizio che ormai utilizzano tutti i proprietari di siti web per raccogliere dati statistici sulle visite del proprio sito web.
La stessa informativa sulla normativa recita:
I cookie Analytics sono cookie “tecnici”?
No. Il Garante (cfr. provvedimento dell’8 maggio 2014) ha precisato che possono essere assimilati ai cookie tecnici soltanto se utilizzati a fini di ottimizzazione del sito direttamente dal titolare del sito stesso, che potrà raccogliere informazioni in forma aggregata sul numero degli utenti e su come questi visitano il sito. A queste condizioni, per i cookie Analytics valgono le stesse regole, in tema di informativa e consenso, previste per i cookie tecnici.
In altri termini significa che i cookie di Google Analytics sono a tutti gli effetti dei cookie di profilazione, a meno che non raccolgano i dati degli utenti in maniera anonima. Google Analytics può infatti essere impostato per rendere anonimo l’indirizzo IP dell’utente che naviga sulle pagine del nostro sito.
Per questo ho contattato direttamente l’assistenza di big G per chiedere come anonimizzare (che parolone!) i dati raccolti da Analytics e questa è stata la risposta dell’operatore:
Devi aggiungere allo script di monitoraggio che già usi, questa stringa di codice:
ga(‘set’, ‘anonymizeIp’, true);
Per tanto il tuo codice finale apparirà in questo modo:
ga(‘create’, ‘UA-XXXXXXXX-X’, ‘auto’);
ga(‘set’, ‘anonymizeIp’, true);
ga(‘send’, ‘pageview’);(Ringrazio Alessandro Marcuccio per avermi precisato il punto esatto dove inserire la stringa di codice)
L’operazione non è affatto difficile. In questo articolo trovi la guida passo passo per usare il codice di Google Analytcs sul tuo blog.
Con questo piccolo accorgimento renderai i cookie di Analytics dei cookie “tecnici” a tutti gli effetti e, nella pagina di informativa estesa sulla privacy, ti basterà segnalare l’uso di “cookie di Google Analytics con IP anonimizzato”.Ricapitolando, per l’installazione dei cookie tecnici non è richiesto il consenso degli utenti, quindi nemmeno per quelli di Google Analytics se opportunamente anonimizzati (ma su questo punto si aspettano maggiori chiarimenti).
I cookie di profilazione, invece, possono essere installati sul computer dell’utente che visita il nostro sito soltanto dopo l’espressione del suo consenso.
Ma come ottenere il consenso dell’utente, prima di installare dei cookie di profilazione?
Secondo il team legale di Iubenda (azienda specializzata sull’argomento),
…il consenso viene fornito dall’utente tramite il proseguimento della navigazione, incluso il click sui link o lo scorrimento della pagina. Le sole situazioni in cui il consenso viene tenuto in sospeso si presentano qualora l’utente abbandoni il sito senza proseguire la navigazione (incluso lo scrolling) o qualora l’utente visualizzi la cookie policy. (Fonte a questa pagina)
Sembra semplice, ma implementare un modo per tenere il consenso in sospeso sarà impegnativo per molti siti e richiederà modifiche al codice del sito stesso.
L’unico modo per risolvere il problema facilmente e senza mettersi a fare modifiche al codice del proprio blog è proprio quello di usare il servizio di Iubenda.
L’informativa sul trattamento dei dati personali
Vediamo ora come creare l’informativa che comunica all’utente quali sono i cookie di cui il tuo blog fa uso e il modo in cui verranno trattati i suoi dati personali.
Come stabilito dal Garante l’informativa deve essere presente in due modalità: breve ed estesa. Nel momento in cui l’utente accede al sito web (sulla home page o su qualunque altra pagina), deve immediatamente comparire un bannercontenente una prima informativa “breve”, con la richiesta di consenso all’uso dei cookie e un link per accedere ad un’informativa “estesa”.
Ma vediamo ora come creare il banner di informativa breve.
L’informativa breve
Il sito del Garante recita:
Come deve essere realizzato il banner?
Il banner deve avere dimensioni tali da coprire in parte il contenuto della pagina web che l’utente sta visitando. Deve poter essere eliminato soltanto tramite un intervento attivo dell’utente, ossia attraverso la selezione di un elemento contenuto nella pagina sottostante.
Quali indicazioni deve contenere il banner?
Il banner deve specificare che il sito utilizza cookie di profilazione, eventualmente anche di “terze parti”, che consentono di inviare messaggi pubblicitari in linea con le preferenze dell’utente.
Deve contenere il link all’informativa estesa e l’indicazione che, tramite quel link, è possibile negare il consenso all’installazione di qualunque cookie.
Deve precisare che se l’utente sceglie di proseguire “saltando” il banner, acconsente all’uso dei cookie.
L’obbligo di usare il banner grava anche sui titolari di siti che utilizzano solo cookie tecnici?
No. In questo caso, il titolare del sito può dare l’informativa agli utenti con le modalità che ritiene più idonee […].
Molto probabilmente, il tuo blog farà uso dei cookie di profilazione (basta avere i tasti di condivisione sui social), quindi dovrai implementare il tuo banner. Puoi farlo facilmente, scaricando il plugin gratuito Notifica Cookie.
Una volta installato il plugin, espandi il menù “impostazioni” di WordPress e clicca su “Notifica Cookie”. Da qui potrai modificare le opzioni del tuo banner.
Attraverso il campo “Messaggio”, informa il tuo utente che continuando la navigazione accetta i cookie del tuo sito.
Poi imposta gli altri campi come da immagine, inserendo l’indirizzo della tua pagina di Privacy Policy come link personalizzato.
Attraverso l’opzione “Link target” potrai decidere se far aprire la pagina nella stessa scheda del browser o in una nuova. Personalizza a tuo piacimento il design del banner e poi clicca su “Salva le modifiche”.
L’informativa estesa
Per quanto riguarda l’informativa estesa, invece, il Garante specifica che deve essere linkabile da ogni pagina del sito. Per adeguarti a questa direttiva, crea un link alla pagina dell’informativa nel Footer del tuo blog. Il sito del Garante riporta anche cosa deve indicare l’informativa “estesa”:
Nella pagina di informativa estesa l’utente potrà reperire maggiori e più dettagliate informazioni sui cookie e scegliere quali autorizzare attraverso le impostazioni del suo browser.
Deve […] descrivere analiticamente le caratteristiche e le finalità dei cookie installati dal sito […].
Deve includere il link aggiornato alle informative e ai moduli di consenso delle terze parti con le quali il titolare ha stipulato accordi per l’installazione di cookie tramite il proprio sito.
Deve richiamare, infine, la possibilità per l’utente di manifestare le proprie opzioni sui cookie anche attraverso le impostazioni del browser utilizzato.
Creare una pagina ad hoc e che rispetti tutte queste direttive non è affatto semplice: dovresti creare una elenco descrittivo ed esaustivo di tutti i cookie che il tuo sito installa e linkare la pagina con i termini di utilizzo di ogni singolo servizio esterno che gestisce i cookie del tuo blog.
Inoltre, dovresti indicare come effettuare un “Opt-Out” dei Cookie non graditi,precisando all’utente come impostare i diversi browser per rifiutarli.
A questo scopo puoi riportare nella tua informativa il seguente testo:
L’utente può bloccare o limitare la ricezione di cookies attraverso le opzioni del proprio browser.
Su Internet Explorer, cliccare sulla voce “Strumenti” della Barra dei menù e poi sulla sottovoce “Opzioni Internet”. Infine accedere alle impostazioni della scheda “Privacy” per modificare le preferenze relative ai cookies.
Su Firefox, cliccare sulla voce “Strumenti” della Barra dei menù e poi sulla sottovoce “Opzioni”. Infine accedere alle impostazioni della voce “Privacy” per modificare le preferenze relative ai cookies.
Su Chrome, digitare “chrome://settings/content” nella barra degli indirizzi (senza virgolette) e modificare le impostazioni relative ai cookies come si desidera.
Su Safari, selezionare la voce “Preferenze” e poi scegliere “Privacy”. Nella sezione Blocca Cookie specificare come Safari deve accettare i cookie dai siti internet.
Se si usa Safari su dispositivi portatili, come iPhone e iPad, è necessario invece agire in questo modo: andare sulla voce “impostazioni” del dispositivo e in seguito trovare “Safari” sul menù di sinistra. Da qui, alla voce “Privacy e sicurezza”, sarà possibile gestire le opzioni sui Cookie.
Per disabilitare i cookie di servizi esterni è necessario agire sulle loro impostazioni:
Servizi di GoogleCome puoi vedere, alla fine del testo ho lasciato i link per disattivare i cookie di terze parti.
Nessuno ti proibisce di scrivere da te questa pagina, ma sinceramente penso che sia un lavoro lungo, contorto e difficile. Senza contare che la possibilità di commettere errori o omettere dati importanti è molto alta.
Ancora una volta ti consiglio di usare Iubenda. Questo servizio genererà per te la pagina di informativa estesa, in maniera pulita ed evitandoti parecchi grattacapi.
Modifiche al form della pagina Contatti
In ultimo sarà indispensabile implementare una checkbox nella pagina Contatti. Tutti i form devono infatti raccogliere il consenso informato dell’utente.
Se usi il plugin Contact Form 7 per creare i tuoi moduli di contatto, ti basterà aggiungere questa stringa al codice del tuo modulo:<p> [acceptance Consenso] Acconsento al trattamento dei dati personali secondo le condizioni espresse nella <a href=”http://www.tuoblog.xx/privacy-policy/” target=”_blank”>pagina d’informativa sulla privacy </a>* </p>
Ricorda di sostituire http://www.tuoblog.xx/privacy-policy/ con l’indirizzo web della pagina di informativa estesa del tuo blog.
Conclusione
Credo di averti detto tutto. Scrivere contenuti di questo genere non è mai semplice in quanto le leggi sono sempre difficili da interpretare e si adattano a seconda dei casi. Se hai un blog che non usa Google AdSense e altri servizi di Affiliate Marketing, non avrai problemi con i cookie di profilazione e con la nuova legge sui cookie. Tuttavia è importante sistemare subito il codice di Google Analytics e tutti i moduli di contatto del tuo blog, implementando le checkbox come ti ho indicato. Ti terrò informato sulle novità.
Adesso non ti resta che ringraziare i burocrati e darti da fare per apportare queste modifiche al tuo blog. Riassumendo:
– Provvedi ad anonimizzare i dati di Google Analytics
– Assicurati che nel Footer del tuo sito sia sempre presente il link alla pagina di Privacy Policy
– Sistema la tua informativa estesa in modo che contenga tutti dati richiesti dalla normativa. Ti consiglio di affidarti a Iubenda per evitare grattacapi.
– Implementa il banner con l’informativa breve attraverso il plugin che ti ho indicato
– Raccogli il consenso informato dell’utente durante la compilazione di un form di qualsiasi genere (richiesta di informazioni, iscrizione alla newsletter).Spero di averti chiarito un po’ le idee. Mentre la maggior parte dei miei colleghi sono terrorizzati dal parlare di questo tema e lo evitano come la peste, io ho cercato di darti risposte esaustive studiando per giorni l’argomento.
E non ho tenuto per me quanto appreso (mentre gli altri nascondono come un tesoro le 4 cavolate che sanno).Se vuoi aggiungere qualcosa, lascia un commento a questo articolo, e ricorda di condividerlo per far conoscere anche ai tuoi contatti gli accorgimenti da adottare per regolarizzare il proprio sito o blog.
Nota bene: questo articolo non costituisce consulenza legale e non pretende di essere esaustivo o completo in quanto molti aspetti legati al tema sono ancora molto poco chiari.
Photo credit: EU Privacy Directive via photopin (license)
UPGRADE: Il Garante ha finalmente chiarito alcuni aspetti della legge. Puoi leggere qui le sue dichiarazioni: http://www.wired.it/internet/regole/2015/06/04/cookie-law-chiarimento-garante/
Sorgente: Adeguare il tuo blog alla nuova legge su Privacy e cookie
Devi accedere per postare un commento.