siti web e informativa sui cookies




Questa pagina è dedicata a chi è proprietario di un sito web e si trova davanti alla decisione di inserire o meno il messaggio di consenso all'uso dei cookies.
A partire dal 2 giugno 2015 sono previste sanzioni per chi non si adegua; di seguito troverete una breve spiegazione per capire che cosa sono i cookies e cosa fare per adeguare il proprio sito alla normativa.




Il Provvedimento del Garante per la protezione dei dati personali n. 229/2014 relativo all'individuazione delle modalità semplificate per l'informativa e l'acquisizione del consenso per l'uso dei cookie diventerà obbligatorio il 2 giugno 2015; in caso di violazione è prevista la sanzione amministrativa del pagamento di una somma da seimila a trentaseimila euro (art. 161 del Codice Privacy).
E' la così detta 'cookie law': nuova normativa di derivazione europea che l'Italia ha recepito e che entrerà in vigore il 2 giugno prossimo.
E' diventato obbligatorio, dopo circa un anno dall'"avvertimento", per tutti i proprietari di siti che utilizzano cookies avvisare l'utente ed informarlo che, proseguendo, verranno inseriti sul suo browser dei cookies.



Ma cosa sono i cookies?


I cookie sono informazioni; informazioni che il sito web 'deposita' nel computer di chi guarda il sito.

Immaginiamo, ad esempio, che un utente che chiameremo A navigando si imbatte nel sito che chiameremo X.
Il sito X può (in questo momento silenziosamente, senza l'ok dell'utente) inserire dentro il computer dell'utente un'informazione.
L'informazione depositata potrebbe essere questa: l'utente A mi ha visitato in data [...] e ha visto le pagine pag1, pag2, pag3 e pag 7.
Questa informazione viene inserita nel computer dell'utente A; lì resta.
Fino a quando? Non c'è una risposta fissa, ma i casi sono due:
1) rimane fino a quando l'utente resta nel sito, poi sparisce quando ne esce
2) rimane fino alla data [...], che può essere anche fra uno o due anni.

Che se ne fa il computer del cookie se l'utente non visita più il sito x? Nulla, rimane lì dormiente ad aspettare la propria data di scadenza, dopodichè viene eliminato.
Se invece l'utente torna nel sito dopo qualche tempo il sito stesso 'vede' che c'è un suo cookie e recupera l'informazione, venendo in possesso del fatto che l'utente ha già visto le pagine pag1, pag2, pag3 e pag 7.
Come viene utilizzata questa informazione? Nei modi più disparati, dipende dal sito web.

Un classico esempio di utilizzo dei cookies è dato dall'utente che fa il login ad un sito e poi clicca su 'ricordami', per evitare di dover fare il login la volta successiva.

Come può sapere il sito, la volta successiva, che l'utente aveva chiesto di ricordarsi che è già loggato? con i cookies! La prima volta il sito ne deposita uno con l'informazione "l'utente A ha fatto login e ha chiesto di essere ricordato", la volta successiva il sito cerca nel computer dell'utente se è presente qualche suo cookie, quando trova quello con l'informazione fa loggare automaticamente l'utente sul sito.

Image riseandshinebakery.com i cookie sono 'biscottini' di informazioni digitali.
 

Quindi i cookies sono cose utili! Perchè obbligare gli utenti a dare il consenso ad utilizzarli?


In realtà alcuni cookies sono un po' subdoli, andando a 'spiare' le preferenze di navigazione degli utenti, tipicamente per scopi commerciali.
Immaginate di andare sul sito di un social network; nei cookie potrà essere scritto che cosa andate a vedere, quali gruppi frequentate, quali interventi fate.
Ogni volta che entrate in questo sito il sistema raccoglie informazioni su di voi e le deposita nei cookies; in questo modo può, ad esempio mandarvi della pubblicità mirata, oppure costruire una profilazione molto complessa delle vostre preferenze ed abitudini.
Queste profilazioni sono oggetto di un fiorente mercato di vendita di dati: possono essere vendute a terzi per effettuare azioni di marketing.
Attenzione però queste profilazioni non sono solo possibili attraverso i cookies; le vostre abitudini di navigazioni sono registrate già server side, cioè dal sito stesso; i cookies sono un aiuto per raccogliere un maggior numero di informazioni e per condividerle da una sessione all'altra.

Urca! Quindi nei cookies possono esserci i miei dati sensibili! Chi li può leggere?


Innanzitutto voi stessi; per ogni browser (vedi link in fondo) è possibile andare a leggere quali siano le informazioni depositate sul vostro computer da tutti i siti che avete frequentato. Spesso però queste informazioni sono scritte in modo criptato ed è difficile capire che cosa contengano.
In secondo luogo il sito che vi ha messo i cookie nel computer li può leggere, mentre non è possibile per un altro sito leggere i cookies inseriti da un altro.
(attenzione però: i browser sono oggetti fallibili, fatti da uomini e spesso camuffati sotto forma di altri programmi; l'agguato è dietro l'angolo).
Volete vedere sul vostro browser quali cookies sono installati?
Basta andare in questa pagina: http://www.youronlinechoices.com/it/le-tue-scelte (solo per i cookie di profilazione pubblicitaria )

cookie policy info


Allora non metterò mai cookies nei miei siti!!

Beh, non è così facile; a volte diventano indispensabili per una navigazione facilitata, come nell'esempio precedente abbiamo citato nel 'ricordarsi' il login.
Per quanto riguarda la normativa italiana vengono definiti 'cookie tecnici' quelli che si comportano in questo modo, ossia facilitando la navigazione, mentre vengono chiamati 'cookies di profilazione' quelli che tendono a raccogliere dati sugli utenti.
Il comportamento del proprietario del sito è diverso nei due casi:
- non è obbligato a denunciare l'esistenza dei primi e a chiederne il consenso per utilizzarli
- è obbligato a ricevere il consenso per utilizzare i secondi.

Per cookie tecnici si intendono:
  • i cookie relativi ad attività strettamente necessarie al funzionamento ed
  • i cookie relativi ad attività di salvataggio delle preferenze e ottimizzazione
  • i cookie di statistica, laddove utilizzati direttamente



Design Walk 2010: Analog VS digital di Charis Tsevis


Allora... non metterò mai 'cookies di profilazione' nei miei siti!

Accidenti, anche questo non è facile.
A prescindere dal largo uso volontario che ne viene fatto dai siti di grandi aziende proprio con lo scopo di profilare gli utenti, ci sono alcuni casi in cui vengono inseriti quasi involontariamente dai proprietari dei siti.
E qui veniamo al concetto di cookies 'di terze parti'; a volte capita che nel vostro sito siano presenti cookies messi da altri. Voi (il vostro sito) ne diventa il veicolo a volte inconsapevole.
Un caso classico è quello dell'utilizzo di Google Analytics per monitorare gli accessi. In questo caso noi (proprietari del sito) consentiamo a Google di inserire un suo cookie, o meglio un suo insieme di cookies, che utilizzerà per il monitoraggio del sito ma anche per la completa profilazione dell'utente che lo frequenta; quindi, a tutti gli effetti, un cookie di profilazione. Cookie che porta con sè, quindi, l'obbligo di richiederne autorizzazione d'uso.
Lo ribadisco: qualsiasi sito che utilizza google Analytics DEVE inserire l'informativa, breve ed estesa. Riporto la nota su Analytics dal blog dell'IWA:

"Diciamo che il tuo sito usi solo Google Analytics. La FAQ del Garante (punto 4) ribadisce che i cookie analytics sono cookie di profilazione, non tecnici, e pertanto devi ottenere il consenso al loro uso prima di installarli sull'apparato dell'utente. Senonché i cookie di analytics si installano nel momento in cui l'utente accede alla pagina.
Quindi, stando al Garante, il tuo sito, e ogni sito italiano che usi Analytics deve dirottare ogni accesso al sito a una landing page dove l'utente (prima di accedere al sito e prima di installare i cookie analytics) decide se acconsente ai cookie. O questo, o il provvedimento non è scritto in Italiano."

Basta! Toglierò anche il monitoraggio dal mio sito!

Potrebbe non essere sufficiente... A parte il fatto che è utile monitorare correttamente un sito ci sono molti altri sistemi con i quali vengono inseriti cookies di terze parti.
Uno dei modi più diffusi è l'inserimento di widget, piccoli pezzi di codice che, nel sito, assumono funzione di collegamento verso altri siti; per esempio i commenti di facebook, o anche il solo pulsante 'like' o 'mi piace' messo a fine pagina comporta l'inserimento di un cookie di profilazione, a vantaggio di Facebook che raccoglierà i dati degli utenti che vedono il vostro sito. Non solo di quelli che hanno cliccato sul pulsante, ma di tutti quelli che l'hanno visto.

Volendo rincarare la dose, si può affermare che la maggior parte dei sistemi di creazione siti (CMS), soprattutto quelli facenti parte di gruppi o catene comuni, utilizzano cookies di profilazione a man bassa; in poche parole quasi tutti i siti internet utilizzano cookies di profilazione.

Quindi la soluzione di togliere tutti i cookies di profilazione è difficilmente attuabile; diventa quindi obbligatorio, se li si usa, inserire il 'disclaimer' che dia l'ok all'utilizzo dei cookies.

Ok, mi arrendo: devo inserire l'informativa.  Che devo fare per il mio sito?


Nel caso vengano utilizzati cookies di profilazione si deve realizzare un avviso, spesso viene realizzato con un banner, che la normativa chiama 'informativa breve'.
Esempio:
Questo sito utilizza cookie per inviarti pubblicità e servizi in linea con le tue
preferenze. Se vuoi saperne di più o negare il consenso a tutti o ad alcuni
cookie clicca qui. Chiudendo questo banner, scorrendo questa pagina
o cliccando qualunque suo elemento acconsenti all'uso dei cookie

Altro esempio online: http://www.upa.it/ita/cookies.html

Ogni utente che visiterà il vostro sito in qualsiasi pagina dovrà vedere, in modo invasivo e persistente, l'avviso che chiederà il consenso generico all'utilizzo dei cookies.
Tale avviso dovrà rimanere presente in ogni pagina finchè l'utente non darà il suo assenso; è consigliato l'inserimento al centro del sito o in alto.
E la volta successiva come farà il sito a 'ricordare' che l'utente ha dato l'assenso? Semplice... con un cookie! Sembra paradossale, ma è proprio questo il meccanismo concesso per ricordare le preferenze dell'utente.
Inoltre il sito dovrà 'ricordare' in qualche modo (salvandolo su un database) la preferenza dell'utente in modo da poterlo dimostrare in caso di contenzioso.
Lo stesso avviso dovrà contenere anche un link di approfondimento ('informativa estesa') dove vengano elencati e spiegati i cookie utilizzati; nel caso di cookie di terze parti può essere sufficiente il link verso le relative pagine di spiegazione.

L'informativa estesa dovrà contenere:
  • gli elementi di cui all'art. 13 d.lgs. 196/2003 (“Codice Privacy”);
  • una spiegazione generale di cosa sono i cookie e della gestione degli stessi tramite le impostazioni dei browser;
  • la spiegazione di come viene prestato il consenso (ovvero scroll, tasto OK o X e link);
  • la descrizione delle categorie di cookie tecnici suddivisi per finalità (anche quelli tecnici!);
  • la descrizione dei cookie di profilazione di prima parte con il relativo modulo di consenso;
  • la descrizione delle finalità dei cookie di terza parte. Per ogni terza parte che installa cookie (identificabile anche tramite il nome commerciale), per i quali la gestione delle preferenze ricade su tale terza parte, occorre fornire la descrizione delle fi nalità del cookie e:
    -iI link all'informativa e al modulo di consenso della terza parte con la quale il gestore del sito ha stipulato accordi per l'installazione dei cookie sul proprio sito, ove disponibili; oppure
    -il link al sito degli intermediari (solitamente il concessionario di pubblicità del sito), ove presenti.

Ecco un link ad un esempio di informativa estesa.


Il consenso viene fornito dall'utente tramite il proseguimento della navigazione, incluso il click sui link o lo scorrimento della pagina.

E se l'utente espressamente non vuole dare il consenso? Il gestore tecnico deve assicurarsi che NON venga eseguita alcuna profilazione PRIMA dell'assenso, fermando gli script che attivano i cookies.
Le indicazioni su come NON farsi tracciare dai cookie devono rimandare alla relativa pagina per cookie di terze parti, ad una pagina ad hoc nel caso di cookies 'di prima parte' installati dal sito stesso.
L'utente non può negare il consenso all'installazione dei cookie se non visitando i siti delle terze parti (es. Google Analytics) ed utilizzando le apposite funzioni fornite dalla terza parte per prevenire il tracciamento.

Come faccio ad inserire la richiesta breve e quella estesa sul sito, e le funzionalità correlate?

Lo si deve chiedere al gestore tecnico del sito, senza dimenticarsi che se esiste una versione responsive sui device mobili anche questa va considerata.
Il gestore non solo dovrà preoccuparsi di chiedere l'assenso con l'informativa breve e preparare quella estesa, ma dovrà anche intervenire sul codice bloccando tutti gli eventuali cookies che verrebbero rilasciati prima dell'assenso; a volte si tratta di un lavoro certosino per individuare tutte le parti di codice interessate.
Inoltre deve essere eseguita un'analisi del sito per verificare quanti cookies di terze parti il sito contenga, in modo da poter predisporre l'adeguata privacy estesa.

Una particolare attenzione va dedicata alle soluzioni ready-made, quelle che promettono velocemente (e, spesso, gratuitamente) di risolvere tutti i problemi con poco sforzo.
Com'è ormai abitudine dei navigatori attenti ci si deve chiedere cosa ci sia dietro al rilascio di qualcosa di gratuito ed essere disposti a pagarne il prezzo, fosse anche solo la comunicazione del proprio indirizzo email che, naturalmente, verrà utilizzato per azioni di remarketing.
Inoltre queste soluzioni precotte molto spesso non si integrano completamente con il vostro sito, lasciando a voi l'onere e la responsabilità di indicare quanti e quali cookies vengono usati e sollevandosi dalla responsabilità in caso di contenziosi.
Da ultimo ma non meno importante: molto spesso la grafica proposta è totalmente avulsa da quella del vostro sito.
Quindi: per utilizzare queste soluzioni in modo ottimale si devono possedere alcune competenze di programmazione e grafica.

La miglior soluzione è affidarsi ad agenzie preparate in grado di analizzare nel dettaglio il vostro sito e fornirvi la migliore delle soluzioni tagliata su misura per la vostra presenza online.
L'agenzia web linkomm è naturalmente disponibile ad approfondire l'argomento: scrivete a contatti@linkomm.net.






linkografia


Linee guida : https://s3.amazonaws.com/iprs/files/attachments/20155/17bfe609-832b-4eb5-bd95-55239b5ae4f1__O.pdf
Informativa del garante per la protezione dei dati personali: http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3585077
Individuazione delle modalità semplificate per l'informativa e l'acquisizione del consenso per l'uso dei cookie - 8 maggio 2014
(Pubblicato sulla Gazzetta Ufficiale n. 126 del 3 giugno 2014): http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3118884
Per vedere quali cookie ci sono nel vostro browser: http://www.youronlinechoices.com/it/le-tue-scelte
esempio informativa breve: http://www.upa.it/ita/cookies.html
esempio informativa estesa: http://www.upa.it/ita/cookies-policy.html
Info generali: http://www.piano-d.it/business-advice/cookie-policy-dal-2-giugno-in-vigore-in-italia-la-nuova-normativa-europea/
http://www.dirittiweb.it/2015/03/cookies-come-adeguare-il-proprio-sito-web/
http://www.webranking.it/blog/digital-strategy/nereo/adeguarsi-alla-normativa-sui-cookie/
blog dell'IWA, sezione italiana dell'international Webmaster Association, interessante articolo: http://blog.iwa.it/norme/cipolla-e-il-garante/



Iscriviti alla newsletter