Banner per l'accettazione dei cookies e della politica della privacy

Utilizzate Google Analytics per monitorare il vostro sito con la profilazione per sesso, età ed interessi? Utilizzate le condivisioni social?
Profilate gli utenti in qualche maniera per qualsiasi scopo?
Inserite i video incorporati di Youtube nei vostri articoli?

Ci sono una serie di casi in cui dovete inserire un avviso ben visibile sul vostro sito - sia nella home che nelle altre pagine del sito - in cui informate gli utenti dell'utilizzo di cookies per la raccolta dei dati e chiedete loro di accettare la vostra politica della privacy per continuare la navigazione.

Oltre al banner ben visibile in tutte le pagine, inoltre, in ogni pagina del sito, dovete inserire un link alla pagina dove spiegate la vostra politica della privacy e dei cookie.

Tutte le informazioni possono essere comunque trovate qui, sul sito del Garante della Privacy: http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3118884

Vista la confusione generata nei mesi precedenti all'entrata in vigore il 20 giugno 2015 - il Garante della Privacy ha ben pensato di rendere disponibile una guida in PDF  - denominata "kit di implementazione" - che chiarisce tutti i dubbi e spiega le procedure da seguire per mettersi in pari con la legge  (potete scaricare il KIT di implementazione in PDF cliccando QUI).

Infine, dopo l'entrata in vigore del 2 giugno il Garante ha pubblicato ulteriori precisazioni in merito all'argomento cookie - banner - blocco - informativa: lo trovate qua.

Prima di tutto...che cookie utilizza il mio sito?

Prima di fasciarsi la testa sarebbe meglio capire se c'è una ferita. Nel caso della normativa sull'accettazione dei cookie, dovreste capire che cookie utilizza un vostro sito.

Per farlo ci sono strade facili.

Firefox
Per Firefox si puà installare un'estensione e in questo modo potete sapere un sacco di cose sui cookie che trovare in un sito web.
Un'ottima soluzione è rappresentata da Cookies Manager: https://addons.mozilla.org/it/firefox/addon/cookies-manager-plus/
Qui trovate, una alternativa molto completa, Firebug: http://getfirebug.com/ (e questo è l'approfondimento sulla gestione dei cookie: http://getfirebug.com/cookies.)

Chrome
Per Chrome un'ottimo plugin è Attacat, disponibile da qua: http://www.attacat.co.uk/resources/cookies

Web App
Per un controllo veloce dei cookie generati da un sito web potete anche utilizzare questo strumento online, che ti mostra tutti i cookie che partono in automatico: http://webcookies.org/

Premessa: tipologie di cookie secondo il Garante

Cookie TECNICI: sono i cookie che non registrano informazioni sull'utente utilizzate per profilarlo ma per garantire un servizio migliore nella navigazione. Sono quelli che si ricordano la lingua, il carrello, che raccolgono dati quantitativi sui visitatori (quanti accessi alla pagina, per quanti minuti, il percorso...). Anche i cookie che raccolgono statistiche senza profilazione di enti terzi (come Awstats o altri) sono considerati dal Garante cookie tecnici.

Cookie DI PROFILAZIONE: sono cookie che permettono al proprietario del sito (o a terze parti, come appunto, i cookie di Google Analytics) di ricevere maggiori informazioni sull'utente e di profilarlo. Statisticamente, in base alla navigazione, interessi, età, abitudini, siti visitati o altro. Oppure per il remarketing: navighi un sito, poi vai su Facebook e ti trovi la pubblicità di quel sito ovunque. O anche quelli che vengono utilizzati dai social network (es. per sapere se l'utente è iscritto o meno su Facebook e, quindi, tracciarlo).

IP. 1# Quando non serve inserire il banner per richiedere l'accettazione dei cookie

Se utilizzate solo cookie tecnici non serve il banner che richiede l'accettazione dei cookie di profilazione.
Dovete comunque avere l'informativa sulla privacy e sull'uso dei cookie per il vostro sito linkata da ogni pagina. E nell'informativa devono esserci i link alle privacy estese dei siti di terze parti, di cui il vostro sito è intermediario, per la creazione dei cookie.

Va bene anche con Google Analytics (per moltissimi siti l'unico cookie di profilazione di terzi) ma dovete rendere anonima la raccolta dei dati - ovvero anonimizzare lo script : solo in quel caso Google Analytics diventa un cookie tecnico e non c'è bisogno di bloccare con richiesta di previo consenso. (Oppure potete utilizzare per le statistiche di accesso al sito un altro servizio, come Piwik, che non scrive cookie di profilazione...)

Infatti il Garante, specifica quanto segue:
a. Cookie tecnici.
I cookie tecnici sono quelli utilizzati al solo fine di "effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell'informazione esplicitamente richiesto dall'abbonato o dall'utente a erogare tale servizio" (cfr. art. 122, comma 1, del Codice).
Essi non vengono utilizzati per scopi ulteriori e sono normalmente installati direttamente dal titolare o gestore del sito web. Possono essere suddivisi in cookie di navigazione o di sessione, che garantiscono la normale navigazione e fruizione del sito web (permettendo, ad esempio, di realizzare un acquisto o autenticarsi per accedere ad aree riservate); cookie analytics, assimilati ai cookie tecnici laddove utilizzati direttamente dal gestore del sito per raccogliere informazioni, in forma aggregata, sul numero degli utenti e su come questi visitano il sito stesso; cookie di funzionalità, che permettono all'utente la navigazione in funzione di una serie di criteri selezionati (ad esempio, la lingua, i prodotti selezionati per l'acquisto) al fine di migliorare il servizio reso allo stesso.
Per l'installazione di tali cookie non è richiesto il preventivo consenso degli utenti, mentre resta fermo l'obbligo di dare l'informativa ai sensi dell'art. 13 del Codice, che il gestore del sito, qualora utilizzi soltanto tali dispositivi, potrà fornire con le modalità che ritiene più idonee."

A - Non voglio inserire il banner e ho solo Google Analytics che profila...che faccio? Ovvero: come anonimizzare i dati raccolti da Google Analytics.

Se utilizzate solamente Google Analytics, quindi, potete fare a meno del blocco dei cookie (ma non del banner e della pagina relativa alla privacy) se rendete anonima la raccolta dei dati di Google Analytics.

NOTA BENE:
Il garante, sul discorso anonimizzazione, nei chiarimenti spiega quanto segue:

"Se i cookie analitici sono messi a disposizione da terze parti i titolari non sono soggetti ad obblighi (notificazione al Garante in primis) qualora:
A) siano adottati strumenti che riducono il potere identificativo dei cookie (ad esempio tramite il mascheramento di porzioni significative dell’IP);
B) la terza parte si impegna a non incrociare le informazioni contenute nei cookies con altre di cui già dispone."

Per rispondere al punto A, ovvero "ridurre il potere identificativo dei cookie" si va con l'anonimizzazione tramite modifiche al codice di Google Analytics.

Così dovrebbe apparire il codice di Google Analytics sul vostro sito (con le Universal Analytics, ovviamente con il vostro UA):

<script type="text/javascript">
(function(i,s,o,g,r,a,m){i['GoogleAnalyticsObject']=r;i[r]=i[r]||function(){
(i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o),
m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m)
})(window,document,'script','//www.google-analytics.com/analytics.js','ga');
ga('create', 'UA-00000-00', 'auto');
ga('set', 'anonymizeIP', true);
ga('send', 'pageview');
</script>

Io, su questo sito, ho anonimizzato Google Analytics, disattivato le opzioni che consentano ad Google Analytics di tracciare gli utenti demograficamente, ma ho mantenuto l'avviso che per navigare il sito non è obbligatorio accettare alcuna politica in quanto ci sono solamente dei cookie tecnici.

IP. 2# Quando bisogna inserire il banner per l'accettazione dei cookie

Quando utilizzate cookie che profilano dovete inserire il banner per l'accettazione dei cookie .

Il 29 maggio, giusto pochi giorni prima della scadenza, il Garante ha pubblicato sul sito una pagina con delle FAQ per rispondere al grande dubbio degli utenti: io che ho un sito con cookie di profilazione di 3° parti...devo bloccarli o basta che informi con un banner e poi rimandi a politiche della privacy adeguate?
Qui trovate le FAQ: http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3585077

Il punto 6  delle FAQ risolve definitivamente la questione del blocco:

Quindi per i cookie di profilazione si informa prima di scrivere un cookie sul disco dell'utente (quindi Google Analytics, se non anonimizzato, va bloccato)

Quindi, nel caso utilizziate Google Analytics e non lo anonimiziate, ecco che scatta l'obbligo del banner col BLOCCO DELLA SCRITTURA PREVENTIVO.

Cosa penso io? Che anche se uso solo Google Analytics, visto che le soluzioni tecniche ci sono, andate di blocco preventivo al di là di ogni interpretazione, oppure anonimizzazione.

In  un sito web che usa cookie di profilazione - sia propri che di terze parti - come appunto quelli di Google Analytics -  deve comparire un banner  ben visibile in cui sia indicato:

• Che il sito utilizza cookie di profilazione
• Che il sito utilizza cookie di terze parti
• Link ad una informativa più ampia sulla privacy adottata e sui cookie
• L’avviso che proseguendo nella navigazione si accetta l’utilizzo dei cookie

Lo ha stabilito il Garante privacy con un provvedimento generale dell'8 maggio 2014 pubblicato, sulla Gazzetta ufficiale  n. 126 del 3 giugno 2014, nel quale ha individuato modalità semplificate per rendere agli utenti l'informativa on line sull'uso dei cookie e ha fornito indicazioni per acquisire il consenso, quando richiesto dalla legge.

Andiamo ora a vedere come inserire

- (B) il banner-avviso senza blocco dei cookie all’interno del vostro sito
- (C) il banner-avviso con blocco dei cookie
-  (D) creare una pagina con una politica della privacy in linea con i servizi attivi sul vostro sito.

B) L'avviso con banner senza blocco. Ovvero come  fare per attivare la barra delle notifiche che avvisa i vostri navigatori dell’utilizzo di cookie di profilazione - vostri o di terze parti.

Questa soluzione NON BLOCCA il caricamento dei cookie, quindi consiglio di utilizzarla se non si utilizzano cookie di profilazione o se i cookie di profilazione vengono creati successivamente, nel corso di azioni completate all'interno del sito, come l'iscrizione al sito, nel caso questa crei cookie di profilazione. Potete utilizzarla, stando alle FAQ del sito del Garante, anche se utilizzate cookie di profilazione di terze parti (anche se lo sconsiglio)

ii. Soluzione con implementazione codice HTML all’interno delle pagine senza blocco preventivo dei cookie

Caricate il file cookiechoices.js sul vostro server (scaricatelo qui, aprite lo zip e caricate il file.js: http://www.cookiechoices.org/cookiechoices.zip )

Questo è lo script da inserire nel <body> delle pagine dove vuoi far apparire l’avviso:

<script src='/cookiechoices.js'></script>
<script>
document.addEventListener('DOMContentLoaded', function(event) {
cookieChoices.showCookieConsentBar('Navigando sul nostro sito accetti la privacy policy. Il sito utilizza i cookie di terze parti per profilare gli utenti', 'Chiudi ed accetta', 'La politica della Privacy', 'http://example.com');
  });
</script>

Spiegazione modifiche da effettuare:

- /cookiechoices.js
è la directory radice dove dovete inserire il file cookiechoices.js
- Il testo “Per navigare sul nostro sito….” è quello che ho messo io. Potete personalizzarlo come volete, facendo attenzione che riporti le informazioni obbligatorie per legge.
-  http://example.com è la pagina di destinazione dove dovete scrivere la politica della privacy

Maggiori informazioni sull’inserimento del codice manualmente le trovate qui:  http://www.cookiechoices.org

ii# Soluzione con plugin e Wordpress senza blocco preventivo dei cookie

Se utilizzi Wordpress diventa molto semplice utilizzando un plugin.
Tra i tanti Cookie notice (https://wordpress.org/plugins/cookie-notice/) è sicuramente una soluzione poco invasiva e dedicata.
Oppure potete inserire il codice all'interno del body

C. Voglio bloccare i cookie di profilazione, perchè sono il proprietario, prima che vengano scritti sul disco del visitatore al mio sito, finchè non viene accettato in qualche modo dal navigatore: ovvero Blocco dei cookie di profilazione prima di navigare all'interno del sito - dicasi "blocco preventivo".

Ripeto:
Inserire il banner, se installate dei vostri cookie di profilazione  non basta. Nessun cookie di profilazione proprietario essere creato PRIMA dell'accettazione. Nel caso di mancata accettazione della politica dei cookie o si sceglie di non far navigare l'utente nel sito, oppure si fa navigare senza i cookie di profilazione. Ora, se questi cookie vengono creati con azioni sulla pagina, successivi all'accettazione del banner, va benissimo il banner senza blocco, avvisando che continuando nella navigazione si accetteranno i cookie di profilazione e bla bla bla...
Ma se avete degli script che generano i vostri cookie di profilazione quando un utente entra nel vostro sito web, è obbligatorio bloccarlo. Ed è il caso di google analytics.

i. Soluzione Opensource con codice da implementare all'interno del sito con blocco preventivo dei cookie.

Grazie all'impegno della comunità open che si è occupata del tema (in particolare Nicholas Ruggeri ed Alessandro Nicoli) ecco la soluzione free su GitHub: https://github.com/nicholasruggeri/cookies-enabler

ii# Soluzione con codice "Sitebeam" con codice per qualunque sito per il blocco preventivo dei cookie

Sitebeam offre gratuitamente - in cambio dell'inserimento della vostra email - la possibilità di creare un codice per il blocco dei cookie, permettendovi di selezionare che cookie bloccare.

iii# Plugin per Wordpress "Dynamics Cookie blocker" per il blocco preventivo dei cookie

A pagamento c'è questo plugin di Angelo Randazzo che si chiama "Dynamic Cookies Blocker" che promette di bloccare in maniera preventiva i cookie generati dal vostro sito web in maniera definitiva, per essere a norma con la legge e con le disposizioni del Garante. Lo trovate qua: http://www.ulissepress.it/dynamic-cookie-blocker-ita/

iv# Plugin per Wordpress "WeePie cookie Allow" per  blocco preventivo dei cookie

Altro soluzione a pagamento che si trova su CodeCanyon: http://codecanyon.net/item/weepie-cookie-allow-eu-cookie-law-compliance-plugin/ offre la possibilità di far accettare i cookie allo scroll del mouse, è perfettamente responsive ed altre opzioni configurabili da backend

IP. 3# Quando bisogna  dare comunicazione al Garante dell'utilizzo sul proprio sito dei cookie di profilazione.

Se utilizzate solo cookie tecnici, che non profilano, non dovete  inserire il banner per l'accettazione dei cookie, e non dovete inviare comunicazione al Garante della Privacy.

Se utilizzate solo cookie di profilazione di terze parti  non dovete fare comunicazione al Garante della privacy.

Se utilizzate dei vostri cookie di profilazione,  oppure avete accesso alle informazioni di profilazione create in forma disaggregata da cookie di terze parte, dovete fare comunicazione al Garante della Privacy (si deve valutare la contitolarità).

La comunicazione va effettuata telematicamente al Garante della Privacy, così come specificato qui:

"La "nuova notificazione" va eseguita unicamente in via telematica, compilando i campi del modello disponibile sul sito Internet https://web.garanteprivacy.it/rgt/.
Allo stato non sono previste e ammesse altre modalità. A differenza della notificazione prevista dalla legge n. 675/1996, non è quindi possibile utilizzare modelli cartacei o dischetti, né per la compilazione, né per l'invio".

Ogni notifica costa 150 €, sempre come specificato nella pagina che illustra le modalità con le quali effettuare la notifica (che spiega anche come pagare, oltre a dare utili informazioni):

"Ogni notificazione inviata al Garante (prima notificazione, modifica o cessazione del trattamento) deve essere accompagnata dal pagamento dei diritti di segreteria, il cui importo è fissato in euro 150,00".

Il link diretto per la notifica: https://web.garanteprivacy.it/rgt/NotificaTelematica.php

D. La pagina della privacy: una soluzione sempre aggiornata, Iubenda

Quello che vi serve ora è creare una pagina con la vostra politica della privacy che volete perseguire a cui linkare l'avviso sull'utilizzo dei cookie
Una soluzione ottimale, a 25 dollari l'anno, è sicuramente Iubenda, che ti mantiene aggiornata la politica sulla privacy con l'inserimento di un iframe all'interno della  tua pagina, configurata con tutti i tuoi servizi

Per attivare la tua politica della privacy personalizzata vai su http://www.iubenda.com/ e seleziona la lingua italiana assieme al sito per cui vuoi generare la privacy.

Quindi ti iscrivi (potete utilizzare il vostro account di Facebook per farlo più velocmente) e clicchi il link di conferma sull'email che ti viene inviata.

Scegli la password e nella schermata successiva scegli i tuoi servizi (per esempio la condivisione con Twitter, con Facebook, con LinkedIn, Google Analytics ed altri servizi che potreste utilizzare...ce ne sono già molti di già pronti)

Nel passaggio seguente hai il codice html da incorporare nel tuo sito con un iframe.

PS
Iubenda permette anche di creare il creare il banner per l'accettazione dei cookie, e fornisce un codice da inserire su ogni pagina.

Conclusione

Uno dei passaggi non capiti da molti della legge - è questo:

"L'installazione di cookie sui terminali degli utenti in assenza del preventivo consenso degli stessi comporta, invece, la sanzione del pagamento di una somma da diecimila a centoventimila euro (art. 162, comma 2-bis, del Codice)."

Per ricapitolare, ecco cosa scrive il Garante nei chiarimenti:

• I siti che non utilizzano cookie non sono soggetti ad alcun obbligo
• Per l'utilizzo di cookie tecnici è richiesta la sola informativa (ad esempio nella privacy policy del sito). Non è necessario realizzare specifici banner.
• I cookie analitici sono assimilati a quelli tecnici solo quando realizzati e utilizzati direttamente dal sito prima parte per migliorarne la fruibilità.
• Se i cookie analitici sono messi a disposizione da terze parti i titolari non sono soggetti ad obblighi (notificazione al Garante in primis) qualora:

A) siano adottati strumenti che riducono il potere identificativo dei cookie (ad esempio tramite il mascheramento di porzioni significative dell'IP);

B) la terza parte si impegna a non incrociare  le informazioni contenute nei cookies con altre di cui già dispone.

• Se sul sito ci sono link a siti terze parti (es. banner pubblicitari; collegamenti a social network) che non richiedono l'installazione di cookie di profilazione non c'è bisogno di informativa e consenso.
• Nell'informativa estesa il consenso all'uso di cookie di profilazione potrà essere richiesto per categorie (es. viaggi, sport).
• È possibile effettuare una sola notificazione per tutti i diversi siti web che vengono gestiti nell'ambito dello stesso dominio.
• Gli obblighi si applicano a tutti i siti che installano cookie sui terminali degli utenti, a prescindere dalla presenza di una sede in Italia.

E voi che ne pensate?
Fateci conoscere le soluzioni che avete adottato nei commenti!