Cookie Law Tutorial

La normativa sui cookie italiana è l'una delle poche in Europa a imporre il blocco preventivo dei cookie di profilazione e di terze parti. Questo complica notevolmente la vita ai web designer/developer nostrani e, in particolar modo, ai neofiti (motivo per cui ho lanciato questa petizione).  Fortunatamente per i servizi più diffusi sono disponibili una serie di accorgimenti per evitare che essi installino cookie di profilazione e, pertanto, evitare di dover applicare il blocco preventivo e di esporre il banner informativo (l'informativa breve di cui sotto). Inoltre abbiamo sviluppato un plugin che permette di adempiere nel modo più semplice e meno invasivo possibile.

Segue una breve descrizione dei passi necessari a mettersi in regola con la cookie law e degli accorgimenti applicabili a Google Analytics, video di Youtube incorporati e commenti Disqus per evitare di dover implementare il blocco preventivo dei cookies.

Disclaimer: il prente articolo presuppone un buon livello di conoscenze tecniche da parte del lettore e, in particolare, una buona capacità di utilizzare le funzioni avanzate del proprio browser. Inoltre, non può in alcun modo essere considerato una consulenza legale. Pertanto l'autore non si assume nessuna responsabilità. Attenzione: la normativa prevede sanzioni a partire da €6000, qui è disponibile il testo ufficiale con tutti i riferimenti, che ogni operatore del web dovrebbe leggere e comprendere.

Passo 1: La lista dei cookie utilizzati dal proprio sito

Il primo passo richiesto dalla normativa è indubbiamente l'individuazione dei cookie utilizzati dal proprio sito. Per ottenere l'elenco sono disponibili diversi servizi online, tuttavia, se il tuo sito è di dimensioni abbastanza contenute, puoi procedere utilizzando il tuo browser, come descritto in questa guida

Una volta ottenuto l'elenco è necessario fare dei distinguo. La cookie law infatti distingue fra i seguenti tipi di cookie:

  • cookie tecnici: servono al normale funzionamento del sito;
  • cookie di profilazione: servono ad acquisire informazioni personali sui visitatori (tipicamente gusti e interessi, i più diffusi sono quelli di Google AdWords);
  • cookie di terze parti: sono cookie installati da servizi estermi (per esempio Google Analytics, i video in embed, i pulsanti "mi piace" di facebook e così via. ATTENZIONE: Tutti tag script, iframe e img che fanno riferimento ad altri siti diversi dal tuo potrebbero installare cookie!).

La cookie law impone l'obbligo di redigere una informativa estesa o cookie policy e di linkarla in calce a tutte le pagine del sito. 

Passo 2: L'Informativa Estesa o “Cookie Policy”

E’ il documento più importante, da non confondere con la “privacy policy”.

Va redatto se si utilizzano cookie di qualsiasi tipo. Deve contenere:

  1. Informazioni su cosa siano i cookie;

  2. Elenco per categorie dei cookie utilizzati (distinguendo fra tecnici, di terze parti e di profilazione oppure per finalità);

  3. Finalità dei cookie utilizzati;

  4. Scadenza dei cookie (consigliato, non obbligatorio);

  5. per i cookie di terze parti occorre il rimando ai link delle policy dei singoli servizi;

  6. indicazione del responsabile del trattamento, del titolare e degli eventuali incaricati, con indicazione delle modalità (per es. email) per contattarli al fine di far valere i propri diritti;

  7. indicazioni su come gestire i cookie dal proprio browser (è possibile linkare anche una guida esterna, per esempio questa).

In fondo a questa pagina trovi il link alla nostra cookie policy, da cui puoi prendere spunto liberamente.

Passo 3: Blocco preventivo?

Una buona notizia: se si utilizzano solo cookie tecnici, questo è l'unico adempimento necessario per essere in regola!

Nel caso in cui, invece, il tuo sito faccia uso di cookie di profilazione e di terze parti non assimilabili a cookie tecnici (come spiegato in seguito alcuni cookie di terze parti possono essere considerati cookie tecnici) allora è necessario procedere nel seguente modo.

Oltre a redigere l'informativa estesa di cui sopra (e a linkarla in fondo a tutte le pagine del proprio sito) è necessario:

  1. Bloccare preventivamente l'installazione di cookie di profilazione e di terze parti (bloccando quindi anche tutti i servizi esterni incorporati);
  2. Mostrare un banner informativo che prende il nome di "informativa breve" mediante il quale si informa l'utente dell'utilizzo di cookie e si permette allo stesso di effettuare una scelta;
  3. Sbloccare l'installazione dei cookie solo per gli utenti che effettuano esplicitamente una scelta in tal senso;

Se non sai assolutamente niente di HTML & co, ti consiglio vivamente di chiedere assistenza a un esperto.
Se invece possiedi qualche nozione informatica e di web, sappi che sono disponibili diverse soluzioni pronte per essere incorporate nelle pagine del tuo sito web. La nostra soluzione opensource e gratuita si chiama IT_COOKIE_LAW, un altro paio plugin piuttosto ben fatti, gratuiti e abbastanza universali sono C-Cookie  e  Cookie-script.
La migliori soluzioni dedicate a Worpress, invece, sono probabilmente costituite dai plugin Smart Cookie Kit, Italy Cookie ChoiceEuCookieLaw

Passo 4: L'Informativa breve

E’ il banner informativo per l’espressione del consenso.

E’ necessario solo in caso di cookie di profilazione e di terze parti. Si può non mettere se si usano solo cookie tecnici e di analytics anonimizzati e impostati in modo che la terza parte non li incroci con dati di altri servizi (anche se di terza parte).

Il banner deve specificare se navigando nel sito si esprime implicitamente il consenso all'installazione di cookies.

E’ possibile tenere traccia delle scelte dell’utente, magari utilizzando un cookie tecnico, per non mostrare il banner agli utenti che hanno già espresso il consenso. Il plugin cookie-script.com, linkato sopra a titolo esemplificativo, se ne occupa automaticamente.

Come evitare il blocco preventivo

Segue una lista di alcuni dei servizi più diffusi e degli accorgimenti necessari a inibirne i cookie di profilazione. E' di fondamentale importanza verificare l'efficacia degli accorgimenti dopo averli applicati.

Google Analytics

Il Garante ha chiarito nelle FAQ (risp. 2) che il cookie di Google Analytics, se anonimizzato, può essere considerato un cookie tecnico e quindi non essere soggetto al blocco preventivo.

Ma cosa comporta l’anonimizzazione di Google Analytics?

Niente più che l’oscuramento delle ultime cifre dell’IP dei visitatori. 
Le istruzioni per anonimizzare Google Analytics sono disponibili nella guida ufficiale, di seguito sono riportati alcuni listati di esempio:

 

Esempi di snippet classici anonimizzati

<script>
(function(i,s,o,g,r,a,m){i['GoogleAnalyticsObject']=r;i[r]=i[r]||function(){
(i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o),
m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m)
})(window,document,'script','//www.google-analytics.com/analytics.js','ga');

ga('create', 'UA-00000000', 'auto');
ga('set', 'anonymizeIp', true); // <-- riga da aggiungere
ga('send', 'pageview');
</script>

 

<script type="text/javascript">
var gaJsHost = (("https:" == document.location.protocol) ? "https://ssl." : "http://www.");
document.write(unescape("%3Cscript src='" + gaJsHost + "google-analytics.com/ga.js' type='text/javascript'%3E%3C/script%3E"));
</script>


<script type="text/javascript">
try {
var pageTracker = _gat._getTracker("UA-00000-00");
_gat._anonymizeIp(); //<-- riga da aggiungere
pageTracker._trackPageview();
} catch(err) {}
</script>

 

 

Esempio di snippet asincrono anonimizzato

<!-- asynchronous google analytics snippet -->
<script type="text/javascript">
var _gaq = _gaq || [];
_gaq.push(['_setAccount', 'UA-00000-00']);
_gaq.push (['_gat._anonymizeIp']); //<-- riga da aggiungere
_gaq.push(['_trackPageview']);

(function() {
var ga = document.createElement('script'); ga.type = 'text/javascript'; ga.async = true;
ga.src = ('https:' == document.location.protocol ? 'https://ssl' : 'http://www') + '.google-analytics.com/ga.js';
var s = document.getElementsByTagName('script')[0]; s.parentNode.insertBefore(ga, s);
})();
</script>

 

Google Maps

Ogni mappa incorporata da Google Maps normalmente installa sul browser dei visitatori due cookie di Google nominati "NID" e "PREF". Una versione di Google maps senza cookie* è disponibile grazie al dominio`maps.googleapis.com`.

Per attivarla occorre sostituire questo codice (tipicamente nella sezione head delle tue pagine web):

<script type="text/javascript" src="https://maps.google.com/maps/api/js?sensor=true"></script>

Con questo:

<script type="text/javascript" src="http://maps.googleapis.com/maps/api/js?v=3.5&sensor=true"></script>

*ATTENZIONE: secondo i test recentemente effettuati purtroppo questo è vero nel caso in cui l'utente non sia già loggato a Google in quel momento. Nel qual caso viene comunque installato il cookie "NID". Tuttavia il cookie NID, a giudicare dalla descrizione di Google, viene cancellato al termine della sessione e non sembra essere un cookie di profilazione. E' una situazione border-line perché pur essendo un cookie di terza parte (di Google) non è profilante ed è installato solo se il visitatore ha già un account su Google. Quindi occorre fare una scelta ed assumersene la responsabilità.
La soluzione più sicura consiste nel sostituire la mappa con una immagine (per esempio uno screenshot della mappa interattiva) e magari un link alla mappa di Google maps.

YouTube

Youtube offre la possibilità di non inserire i cookie nei video incorporati (in embed). Basta modificare i propri codici di embed sostituendo il dominio `www.youtube.com` con `www.youtube-nocookie.com`. Ecco un esempio:

Questo codice di embed (per un video interessantissimo, tra l'altro):

<iframe width="560" height="315" src="https://www.youtube.com/embed/BNHR6IQJGZs" frameborder="0" allowfullscreen></iframe>

Diventa così:

<iframe width="560" height="315" src="https://www.youtube-nocookie.com/embed/BNHR6IQJGZs" frameborder="0" allowfullscreen></iframe>

Inoltre è possibile ottenere un codice già modificato da Youtube stesso selezionando una opzione che si trova sotto alle opzioni di condivisione del video, ecco uno screenshot:

youtube no cookies embed option

 

Notare l'ultima opzione "Enable privacy-enhanced mode" (in italiano dovrebbe essere "Abilita modalità di privacy avanzata", sotto le opzioni Condividi > Codice da incorporare che si trovano generalmente sotto ai video).

 

FAQ


Nel caso di plugin social e di solo Google Analytics è necessario blocco preventivo?

Il blocco preventivo si applica a tutti i cookie non tecnici o di terze parti (escluso Google Analytics anonimizzato e, probabilmente, pochi altri cookie di terze parti sicuramente non profilanti). L’unico modo per avere una risposta precisa è controllare quali cookie vengono installati dal sito contestualmente al primo accesso, se tra essi è presente anche solo un cookie di terze parti o di profilazione allora è necessario il blocco preventivo.

Come faccio a implementare il blocco preventivo?

Se non sai programmare, per i CMS più diffusi sono già disponibili diversi plugin. In particolar modo per WordPress è disponibile Smart Cookie Kit. Puoi trovarne altre cercando nell'elenco dei plugin/estensioni della piattaforma da te utilizzata o su Google. Inoltre sono disponibili anche soluzioni a pagamento, la più famosa in italia si chiama "iubenda". Alla fine della sezione sul blocco preventivo ho indicato un paio di possibilità.

Se invece sai programmare un minimo, abbiamo sviluppato il plugin 'it_cookie_law.js', la soluzione semplice, gratuita e opensource che puoi installare sul tuo sito web.

E’ necessario lasciare traccia del consenso?

No. Ma è consigliabile per evitare di tediare i visitatori mostrandogli sempre il banner informativo (l’informativa breve).


Per altre domande o suggerimenti puoi commentare qui sotto, menzionarmi su twitter (@DuccioArmenise) o contattarmi dal sito.

E' particolarmente gratita la segnalazione di eventuali errori e di altri accorgimenti coi quali è possibile evitare il blocco preventivo, in particolar modo per altri servizi che non sono stati trattati.

Buon lavoro!

PS: se anche tu ritieni che la normativa sui cookie sia molto migliorabile, dai un'occhiata a questa petizione.

Vorrai mica perderti altri articoli come questo?
Iscriviti per riceverne altri!

Scritto da

Duccio

Duccio Armenise

Corsidia Founder

Aiuto solo i migliori Maestri a trovare i loro prossimi Studenti. Come? Così! :)

Bio - uCV

Per

Corsidia logo

I tuoi prossimi Studenti ti stanno già cercando, tu ci sei?

Materie

Trova un altro corso