Cookie Law, il tuo sito è in regola?

 Il 3 giugno 2015 scade il termine per l’adeguamento del proprio sito internet alla cosiddetta Cookie Law.
Il tuo sito è in regola?

 

Ad un anno dalla pubblicazione sulla Gazzetta Ufficiale, il provvedimento n.229 del 2014 per “l’individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie”, ribattezzato “Cookie Law, sta per entrare in vigore. Ma cosa comporta per i proprietari/gestori di siti internet?

Cosa sono i cookies?

I cookie sono stringhe di testo inviate da un web server ad un client (ad esempio da un sito al browser di un visitatore), e rinviati automaticamente al server a ogni occorrenza o successivo accesso al sito. Possono essere memorizzati sul computer del visitatore o sul server del sito. Sono utilizzati in generale per ricordare le preferenze, i dati e le informazioni dei visitatori su quel particolare sito web (autenticazioni automatiche, lingua, grandezza e tipo di testo, località e molto altro), e ogni informazione utile alla navigazione (anche per fini statistici o pubblicitari).

Per default quasi tutti i browser web sono impostati per accettare automaticamente i cookie.

Quali cookies sono regolati dalla cookie law

Il garante fa una distinzione tra:

1. cookie tecnici, indispensabili per il corretto funzionamento del sito. Rientrano in questa categoria i cookie di sessione che consentono, ad esempio, l’accesso ad aree riservate, la gestione di un carrello in un e-commerce, ecc… Per l’installazione dei cookie tecnici non è richiesto il consenso preventivo degli utenti. Rimane comunque l’obbligo di informativa.

2. cookie di profilazione, volti a creare profili relativi all’utente e utilizzati al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dallo stesso nell’ambito della navigazione in rete. In ragione della particolare invasività che tali dispositivi possono avere nell’ambito della sfera privata degli utenti, la normativa europea e italiana prevede che l’utente debba essere adeguatamente informato sull’uso degli stessi ed esprimere così il proprio valido consenso.

Distingue inoltre tra cookies di prima parte, ovvero quelli realizzati ed installati direttamente dal sito visitato, e cookies di terze parti, ovvero quei cookies installati da servizi secondari cui è collegato il sito, ad esempio Google Analytics, Google Maps, Youtube, Facebook, Google Plus e molti altri, e sui quali l’editore (gestore del sito) non ha un diretto controllo.

Gli interventi previsti dalla Cookie Law

Con l’entrata in vigore della cookie law, dal 3 giugno 2015 qualsiasi sito che utilizzi cookie, anche esclusivamente tecnici, dovrà:

  • mettere a disposizione dell’utente una cookie policy estesa, con indicazione dei cookies utilizzati e delle loro finalità, e delle modalità per disattivare l’installazione dei cookies

I siti che utilizzano cookie di terze parti dovranno indicarlo esplicitamente nella cookie policy ed inserire i collegamenti alle pagine web contenenti le informative e i moduli per l’acquisizione del consenso relativo ai cookie delle terze parti.

I siti che utilizzano cookie di profilazione dovranno

  • trasmetterne notifica al Garante
  • inserire nel sito web un banner di idonee dimensioni che contenga una informativa breve, la possibilità di esprimere il consenso e il link alla cookie policy estesa
  • tenere traccia del consenso espresso dagli utenti tramite un cookie tecnico

Il banner informativo

La normativa stabilisce che, nel momento in cui si accede per la prima volta alla homepage o altra pagina del sito, deve immediatamente comparire in primo piano un banner di idonee dimensioni contenente le seguenti informazioni:

    • che il sito utilizza cookie di profilazione
    • che il sito consente l’invio di cookie “terze parti” (se presenti)

link all’informativa estesa

  • link o altro elemento funzionale alla raccolta del consenso

La raccolta del consenso

La raccolta del consenso avviene secondo le seguenti modalità:

  • accesso ad altra area del sito
  • selezione di un elemento (link, pulsante, immagine)

E’ quindi sempre necessario un intervento attivo dell’utente.

E’ necessario che sia tenuta traccia dell’avvenuta prestazione del consenso da parte dell’utente, ad esempio tramite un cookie tecnico.

L’informativa estesa

L’informativa estesa deve contenere:

  • Il codice della privacy (già richiesto dall’articolo 13 del d.lgs 196/2003);
  • Una spiegazione specifica ed analitica delle caratteristiche e finalità dei cookies installati dal sito e come poterli eliminare tramite le impostazioni del browser;
  • L’indicazione di come viene prestato il consenso (riprendendo quanto scritto nel banner dell’informativa breve);
  • Le tipologie e la descrizione dei Cookie tecnici divisi per finalità (con eventuale modulo di consenso);
  • Le tipologie e la descrizione dei Cookie di profilazione divisi per finalità, con relativo modulo di consenso;
  • Le tipologie e la descrizione dei Cookie di terze parti con relative finalità, e link aggiornati all’informativa e al modulo di consenso della terza parte.

Un link all’informativa estesa deve essere presente nel footer di ogni pagina del sito e nel banner informativo.

Obbligo di notifica al Garante

I cookies utilizzati per “definire il profilo o la personalità dell’interessato o ad analizzare abitudini o scelte di consumo” vanno notificati. In termini pratici: il Garante chiede una notifica solo dei cookie persistenti che riguardano informazioni personali.

La notifica può avvenire tramite questo link https://web.garanteprivacy.it/rgt

Le sanzioni della Cookie Law

Per omessa informativa o informativa inidonea: da 6 mila a 36 mila euro.
Per installazione di cookie in assenza di preventivo consenso: da 10 mila a 120 mila euro.
Per omessa o incompleta notifica al Garante: da 20 mila a 120 mila euro.

Il mio sito usa i Cookies?

Molti siti utilizzano i cookie. In particolare nel tuo sito sono sicuramente presenti se è stato installato un sistema di statistiche come Google Analytics. Non è chiaro se questo tipo di cookies siano da considerarsi tecnici o di profilazione, ma onde evitare possibili sanzioni, è comunque opportuno inserire sia il banner con l’informativa breve, sia l’informativa estesa.
Anche servizi come Google Maps, Facebook e altri social, installano nel computer del visitatore alcuni cookies, e perciò rientrano nel campo di applicazione della normativa.

Individuare i cookies installati da un sito

Come faccio a sapere quali cookies installa il mio sito? Ecco una breve guida, basata su Google Chrome e presa dal sito http://www.iubenda.com/it/help/posts/290 per identificare i cookies installati dal proprio sito.

Step 1 – Apri le preferenze di Chrome
Accedi alle preferenze di Chrome dalla barra del menu.

Step 2 – Privacy – impostazioni dei contenuti
Accedi alle impostazioni dei contenuti nella sezione privacy. Puoi trovare facilmente questa sezione se digiti “cookies” nel campo di ricerca.

Step 3 – Cookies
Accedi alla lista di tutti i cookie facendo click su “Tutti i cookie e contenuti dei siti”.

Step 4- Trova il tuo sito
In questo passaggio, digita il nome del tuo sito ed attenti i risultati. Una volta trovato il tuo sito, selezionalo

Step 5- Selezione
Selezionando il tuo sito troverai i cookie installati dallo stesso. Questi sono caricati da/tramite il tuo sito. Se non sai quali appartengano al tuo sito, parlane con il tuo sviluppatore.

Step 6 – Opzione alternativa
Coloro che siano abituati ad utilizzare la console di sviluppo troveranno più facile accedere alla lista dei cookie tramite Ispeziona elemento > Risorse > Cookies.

Cancellare i cookies dal browser

Per limitare o bloccare i cookie, si possono modificare le impostazioni del proprio browser Internet.
È possibile inoltre visitare il sito, in lingua inglese, www.aboutcookies.org per informazioni su come poter gestire/eliminare i cookie in base al tipo di browser utilizzato.

Ad esempio, con Firefox, è sufficiente accedere al menu Opzioni, tab Privacy.

Per eliminare i cookie dal browser Internet del proprio smartphone/tablet, è necessario fare riferimento al manuale d’uso del dispositivo.

Cookie Law e Google Analytics

Non è ancora chiaro se il legislatore consideri Google Analytics come un cookie tecnico o un cookie di profilazione, e tra gli operatori c’è ancora molta confusione a riguardo.

Anonimizzare i dati, una possibile soluzione

Tramite l’utilizzo di un parametro da inserire nel codice di tracciamento di Google Analytics, è possibile rendere anonimi gli IP. In questo modo non ci sarebbe più alcun dubbio: il cookie installato non fornisce alcun dato di profilazione. Il codice da inserire è il seguente:

ga('set', 'anonymizeIp', true);

Fonte:  https://developers.google.com/analytics/devguides/collection/analyticsjs/field-reference#anonymizeIp

I cookies installati da Google Analytics

Per un elenco completo dei cookie installati da Google Analytics, rimandiamo al sito ufficiale di Google: https://developers.google.com/analytics/devguides/collection/analyticsjs/cookie-usage , che contiene un elenco dei cookies e la loro descrizione.

Cookie Law e Google Maps

A quanto pare, Google Maps ha messo a disposizione un URL specifica per caricare mappe senza cookies di profilazione.

Per la API V3, anzichè caricare http://maps.google.com/maps/api/js?…. è sufficiente caricare http://maps.googleapis.com/maps/api/js?…

Utilizzando maps.googleapis.com viene settato solo il cookie PREF, utilizzato per salvare impostazioni come livello di zoom, lingua, regione, ecc. Nessun dato personale relativo all’utente viene salvato in questo cookie, pertanto si può considerare un semplice cookie tecnico, quindi esente dalla raccolta del consenso.

Cookie Law e Youtube

Anche per Youtube, Google ha messo a disposizione un URL privo di cookies per l’inclusione di video nel nostro sito tramite lo Youtube Player. Sarà sufficiente quindi sostituire http://youtube.com con http://youtube-nocookie.com/

Cookie Law e WordPress

Su CMS come WordPress, che consentono l’installazione di plugin di terze parti, è ancora più difficile verificare e controllare quali siano i cookies installati e cosa facciano esattamente. Esistono alcuni plugin che mostrano il banner informativo e il click all’informativa estesa, ma nel caso di cookie di profilazione questo sistema non è a norma, in quanto in impedisce l’installazione dei cookies sui terminali degli utenti. In questi casi è necessario prevedere una splash screen che mostri esclusivamente il banner informativo, senza caricare i contenuti del sito.

E’ come sempre consigliabile non utilizzare plugin di cui non si conosca il funzionamento in modo approfondito, in particolare se utilizzano servizi di terze parti, come Google o social networks.

Utilizzare un plugin di WordPress per la Cookie Law

Se non utilizzate cookie di profilazione, potete fare ricorso ad un plugin, che faccia il “lavoro sporco” per voi. In particolare vi consiglio questi due:

Cookie Law Info (utilizzato su questo sito)

Cookie Notice by DFactory

Cookie Law e Social Networks

Altra nota dolente per gli sviluppatori sono i Social Network. Negli ultimi anni infatti è diventata prassi comune inserire nel proprio sito Facebook Like Box, pulsanti di condivisione social, player di Youtube, ecc. Ma come si pongono nei confronti della Cookie Law?

I pulsanti di condivisione social

Secondo la normativa italiana, non è chiaro se i pulsanti di condivisione social, che installano cookies di terze parti, siano da considerarsi inclusi o esclusi dal campo di applicazione. La normativa europea però parla chiaro, i pulsanti di condivisione social sono esclusi ed esenti dalla richiesta di consenso.

Cookies clearly exempt from consent according to the EU advisory body on data protection- WP29pdf include:
[…]
third‑party social plug‑in content‑sharing cookies, for logged‑in members of a social network.

Fonte: http://ec.europa.eu/ipg/basics/legal/cookies/index_en.htm#section_2

 

Altri strumenti per gli sviluppatori

Fortunatamente qualcuno pensa anche agli sviluppatori. Vi segnalo uno sito realizzato da Google, che mette a disposizione uno script js utilizzabile dai publisher per informare i propri utenti della presenza di cookie e ottenere il loro consenso all’impiego degli stessi in siti web e app. È possibile implementare una schermata iniziale, una barra delle notifiche o, per le app mobili, un avviso popup una tantum. E si può anche personalizzare la lingua presentata ai visitatori.

Strumento CookieChoices di Google: https://www.cookiechoices.org/

Cosa può fare Ecmedia per il tuo sito?

Ecmedia ti propone diverse soluzioni per adeguare il tuo sito alla Cookie Law.

Soluzione 1 (per siti con soli cookie tecnici)

– installazione di un banner che compaia in tutte le pagine del sito; su questo banner sarà presente il pulsante OK che serve a raccogliere il consenso esplicito dell’utente, e un link all’informativa estesa;
– pagina informativa estesa: integrazione dell’informativa alla privacy (già obbligatoria dal 2003, deve essere fornita dal Cliente) con i dati relativi ai cookie tecnici utilizzati dal sito;
– inserimento del link alla pagina informativa su tutte le pagine del sito.

Contattaci per conoscere prezzi e tempistiche!

Soluzione 2 (per siti con cookie tecnici e Google Analytics)

– anonimizzazione degli IP raccolti da Google Analytics;
– installazione di un banner che compaia in tutte le pagine del sito; su questo banner sarà presente il pulsante OK che serve a raccogliere il consenso esplicito dell’utente, e un link all’informativa estesa;
– pagina informativa estesa: integrazione dell’informativa alla privacy (già obbligatoria dal 2003, deve essere fornita dal Cliente) con i dati relativi ai cookie tecnici utilizzati dal sito e ai cookie di terze parti;
– inserimento del link alla pagina informativa su tutte le pagine del sito.

Contattaci per conoscere prezzi e tempistiche!

Soluzione 3 (per siti con cookie di terze parti non identificabili)

– installazione di una pagina introduttiva che compaia prima di tutte le pagine del sito; su questa pagina sarà presente il pulsante OK che serve a raccogliere il consenso esplicito dell’utente, e un link all’informativa estesa; in caso di mancato consenso, non sarà possibile accedere al sito;
– pagina informativa estesa: integrazione dell’informativa alla privacy (già obbligatoria dal 2003, deve essere fornita dal Cliente) con i dati relativi ai cookie tecnici utilizzati dal sito e ai cookie di terze parti;
– inserimento del link alla pagina informativa su tutte le pagine del sito.

Contattaci per conoscere prezzi e tempistiche!

Soluzione 4 (per siti con cookie di profilazione)

– notifica al Garante;
– installazione di una pagina introduttiva che compaia prima di tutte le pagine del sito; su questa pagina sarà presente il pulsante OK che serve a raccogliere il consenso esplicito dell’utente, e un link all’informativa estesa; in caso di mancato consenso, non sarà possibile accedere al sito;
– pagina informativa estesa: integrazione dell’informativa alla privacy (già obbligatoria dal 2003, deve essere fornita dal Cliente) con i dati relativi ai cookie tecnici utilizzati dal sito e ai cookie di terze parti;
– inserimento del link alla pagina informativa su tutte le pagine del sito.

Contattaci per conoscere prezzi e tempistiche!

 

In ogni caso Ecmedia è sollevata da qualsiasi responsabilità inerente l’adempimento della normativa, che resta sempre in capo al proprietario del sito. Queste indicazioni non potranno essere intese quale parere legale in merito all’adozione della normativa relativa ai cookie, o in qualche modo sostitutivo delle linee guida impartite dal Garante, che si suggerisce di verifi care puntualmente.

Quali altri obblighi di legge sono previsti per i proprietari di siti?

Ricordiamo che in capo ai proprietari dei siti gravano già i seguenti obblighi:

informativa sulla privacy, con indicazione delle modalità di trattamento dei dati, del responsabile del trattamento e delle modalità di cancellazione e verifica dei dati;
acquisizione del consenso al trattamento dei propri dati, necessario in tutti i moduli di contatto e/o registrazione;
– per i titolari di PARTIVA IVA, obbligo di specificare il numero di partita IVA sull’home page del sito internet che riguarda l’attività svolta;
– per le Società per azioni , Società a responsabilità limitata, le società in accomandita per azioni, obbligo di indicare sul proprio sito web:

  • sede della società
  • ufficio del registro delle imprese presso il quale la Società è iscritta ed il numero d’iscrizione
  • capitale sociale versato quale risulta esistente dall’ultimo bilancio
  • dopo lo scioglimento, l’indicazione che la Società è in liquidazione
  • solo per S.p.A. e S.r.l. l’indicazione che la Società ha un socio unico.

per PA, le imprese e i liberi professionisti, obbligo di dotarsi di un indirizzo di Posta Elettronica Certificata e renderlo pubblico.

Links utili

Il provvedimento del Garante: http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3118884
Le linee guida: https://s3.amazonaws.com/iprs/files/attachments/20155/17bfe609-832b-4eb5-bd95-55239b5ae4f1__O.pdf