News in evidenza

Cookie policy per siti web italiani: tutti in balìa del provvedimento n° 3118884!

cookie-policy-web

Un anno per adeguarsi l’abbiamo avuto e il Garante ama ricordacelo, eppure così come gli studenti a scuola non aprono libro se non a due giorni dalla verifica o dall’esame, allo stesso modo l’allarmismo è scattato solo con l’approssimarsi del 2 giugno 2015, data di ingresso in vigore del provvedimento e entro la quale era necessario avere tutto in regola.

È proprio in questo clima di terrore e angoscia che tutti hanno iniziato a scrivere tutto sull’argomento: “Google Analytics usa cookies di profilazione”, “Il banner per la richiesta di consenso ci vuole sempre”, “Tutti i cookies devono essere bloccati”. Insomma: il solito panico che nasce quando ci si muove in ritardo e, come in questo caso, quando le indicazioni non sono molto chiare.

Abbiamo pubblicato su questo blog un articolo relativo ai cookies e alla cookie policy in data 22 gennaio, ma solo ora vengono forniti chiarimenti e delucidazioni e solo ora stiamo tutti sciogliendo gli ultimi nodi per riuscire ad avere di fronte una situazione chiara e “serena”. Ovviamente non è piacevole: lo sdegno da parte del mondo di programmatori e web agency si fa sentire e non si può biasimare, perché se è vero che la tutela della privacy è un tema importante e delicato è altrettanto vero che queste regole possono risultare limitanti e complesse da gestire.

Ormai cosa sono i cookies lo sappiamo tutti: parliamo di stringhe di testo che vengono rilasciate sul browser dell’utente dai siti che naviga e che consentono di raccogliere informazioni utili per la navigazione e/o per altre funzionalità. L’idea è in parte quella di migliorare l’esperienza di navigazione: pensiamo di entrare in un sito multilingue abitualmente, il fatto che tenga in memoria che vogliamo leggerlo in italiano è un vantaggio per l’utente e rende la visita più piacevole. Allo stesso tempo però trovarsi bombardati di pubblicità su ogni blog, sito, e-commerce e rendersi conto che a comparire nei banner sono proprio i prodotti che abbiamo recentemente cercato può essere spiacevole… o quantomeno un po’ esagerato.

Il provvedimento nasce proprio a causa dei rischi per la privacy connessi ai cookie di profilazione ed è una direttiva a livello comunitario (direttiva 2009/136/CE) cui la normativa italiana ha dovuto adeguarsi. Sarà proprio per questo che alcuni aspetti risultano così vaghi e misteriosi, ma di fatto, qualunque sia la causa, c’è bisogno di fare luce e capire almeno gli aspetti principali.

Innanzitutto è di fondamentale importanza capire che i veri “nemici” sono i cookies di profilazione: per scoprire quali cookies sono attivi sui nostri siti possiamo affidarci a un pratico software chiamato Ghostery, disponibile per tutti i browser e scaricabile in pochi minuti gratuitamente. Una volta installato farà comparire un fantasmino nel menu in alto a destra della finestra di navigazione e il fantasmino segnalerà quanti e quali cookies sono presenti nella pagina che stiamo navigando. È fondamentale ricordarsi che bisogna controllare OGNI PAGINA DEL SITO: i cookies infatti variano di pagina in pagina.

NON SOLO: suggeriamo anche di aprire pop-up, link, gallery e soprattutto video.

Abbiamo infatti scoperto che facendo partire un video incorporato da YouTube in cui sono presenti annunci pubblicitari (generalmente AdSense) ci trasciniamo dietro tutti i cookies pubblicitari, ossia proprio quelli di profilazione. Le soluzioni sono poche: togliere il video e linkarlo semplicemente, oppure se si è i proprietari, annullare la “monetizzazione” e gli annunci pubblicitari sul video in questione. Una rottura? Sì, ma è meglio non rischiare.

Oltre a questo aspetto, ormai tutti lo sappiamo, la questione che ci preme di più è capire come comportarsi rispetto ai cookies dei social media (Google+, Facebook, Pinterest, Twitter, ecc.) e ovviamente i cookies di Google Analytics, che bene o male tutti abbiamo installato sui nostri siti. Rispetto a questi due casi abbiamo avuto delle risposte parziali del Garante nei chiarimenti pubblicati il 5 giugno:

  • Se i cookie analitici sono messi a disposizione da terze parti i titolari non sono soggetti ad obblighi (notificazione al Garante in primis) qualora: A) siano adottati strumenti che riducono il potere identificativo dei cookie (ad esempio tramite il mascheramento di porzioni significative dell’IP); B) la terza parte si impegna a non incrociare le informazioni contenute nei cookies con altre di cui già dispone.

In merito a questo, Google ci dice: “Google Analytics non condivide i dati sugli indirizzi IP con i clienti. Inoltre, utilizzando il metodo di mascheratura dell’indirizzo IP, i proprietari di siti web che utilizzano Google Analytics hanno la possibilità di impostare il programma in modo da utilizzare per la geolocalizzazione solo una parte dell’indirizzo IP.” e ancora “Per impostazione predefinita, Google Analytics utilizza l’intero indirizzo IP degli utenti del sito web per fornire dati geografici di carattere generale nei rapporti. […] Per istruzioni dettagliate su come impostare il mascheramento IP, attieniti alle istruzioni nella Guida per gli sviluppatori relative a Universal Analytics (analytics.js).” ed è quindi consigliabile verificare che la mascheratura degli IP sia attiva o, altrimenti, attivarla mediante le procedure fornite da Google.

  • Se sul sito ci sono link a siti terze parti (es. banner pubblicitari; collegamenti a social network) che non richiedono l’installazione di cookie di profilazione non c’è bisogno di informativa e consenso.

Questo, però, non ci aiuta a capire come comportarci in merito ai pulsanti di LIKE e di CONDIVISIONE sui social che abbiamo inserito nei nostri siti. Proprio circa questo dubbio abbiamo interrogato il Garante e stiamo ora attendendo una sua risposta.

In merito alle decine di dubbi sorti, tra gli ulteriori chiarimenti del Garante troviamo:

  • Per l’utilizzo di cookie tecnici è richiesta la sola informativa (ad esempio nella privacy policy del sito). Non è necessario realizzare specifici banner;
  • Nell’informativa estesa il consenso all’uso di cookie di profilazione potrà essere richiesto per categorie (es. viaggi, sport);
  • È possibile effettuare una sola notificazione per tutti i diversi siti web che vengono gestiti nell’ambito dello stesso dominio;
  • Gli obblighi si applicano a tutti i siti che installano cookie sui terminali degli utenti, a prescindere dalla presenza di una sede in Italia.

image_gallery

Abbiamo poi anche questa legenda che dovrebbe essere d’aiuto per capire come intervenire sul proprio sito. La domanda (tornando al discorso dei social) è: un cookie di Facebook, utilizzato solo per inserire il pulsante “LIKE”, non rientra sicuramente nella definizione dei cookie di profilazione “volti a creare profili relativi all’utente e utilizzati al fine di inviare messaggi pubblicitari in linea con le preferenze dell’utente, ma è indubbiamente di terze parti… cosa fare? Vi aggiorneremo non appena il Garante avrà risposto a questa domanda!

 

Nel frattempo, se vi trovate alle prese con cookies di profilazione potete consultare la nostra guida!

Scrivi un commento

L'indirizzo email non sarà pubblicato.

*


diciotto + 14 =