Cookie e privacy: come fare per essere in regola

Cookie tecnici e di profilazione: dal 2 giugno 2015 cambia tutto.
25 aprile 2015 Normative 26 Comments

Cookie e privacy: come fare per essere in regola

Blogger e webmaster del Belpaese, dopo aver spuntato dall’agenda la data del 21 aprile (giorno del fatidico Mobilegeddon), dovrete tenere bene a mente un’altra data, quella del 2 giugno 2015.

A partire da quel giorno, infatti, il Garante della Privacy impone ai gestori di siti web l’obbligo di acquisire il consenso informato degli utenti all’installazione di cookie utilizzati per le più diverse finalità.

Cookie tecnici o di profilazione?

Nello specifico, bisognerà dapprima valutare se il proprio sito web o blog utilizza cookie tecnici (per i quali sarà necessario fornire semplicemente l’informativa ex art. 13 D.Lgs. 196 del 2003) o cookie di profilazione, finalizzati a creare profili relativi all’utente.

Entrando nello specifico, i cookie tecnici sono utilizzati per eseguire autenticazioni, monitoraggio di sessioni e memorizzazione di informazioni specifiche sugli utenti che accedono al sito. I cookie analitici (che rientrano nella categoria dei cookie tecnici) sono, poi, utilizzati per raccogliere informazioni statistiche di vario genere. Dunque, qualsiasi sito sottoposto a monitoraggio con Google Analytics, per esempio, utilizza di fatto i famigerati cookie tecnici.  (Update del 14/05: rettifichiamo in base a quanto emerso dalla lettura del kit per l’uso)

I cookie di profilazione, invece, sono utilizzati per raccogliere i dati relativi agli utenti, allo scopo per esempio di inviar loro pubblicità mirata e personalizzata (e chi utilizza Google AdWords et similia lo sa alla perfezione). Talvolta, specifica il garante, un sito web può contenere cookie provenienti da altri siti (terze parti) legati per lo più a banner pubblicitari.

In questo caso, sarà indispensabile utilizzare alcune accortezze per evitare di incorrere nelle pesanti sanzioni previste (da 6000 a 36000 euro per omessa informativa o informativa non idonea, da 10000 a 120000 euro in caso di installazione di cookie in assenza di preventivo consenso e da 20000 a 120000 euro per omessa o incompleta notificazione al Garante).

L’informativa del garante: gli obblighi del gestore

Qui potrete trovare l’informativa del garante della privacy, con tutti i dettagli sugli obblighi per il gestore di un sito o un blog.

Più nel dettaglio, cosa è necessario fare per risultare in regola?
Il primo requisito fondamentale è la presenza di un banner (posto in alto o in basso) che spieghi all’utente che il sito utilizza cookie di profilazione per inviare messaggi pubblicitari mirati (eventualmente, lo ripetiamo, potrebbe trattarsi di cookie di terze parti).

Chi usa WordPress potrà utilizzare il plugin Cookie Notice che rimanda, al contempo, alla pagina di dettaglio (Cookie Policy), ovvero l’informativa estesa sull’utilizzo dei cookie. Qui occorre istruire l’utente in merito all’eventuale disabilitazione dei cookie mediante configurazione del browser nonché alla disabilitazione di cookie di servizi di terzi.

La Cookie Policy, così come la Privacy Policy e le Note legali, dovrebbero essere linkate in ogni pagina del sito, sfruttando per esempio il footer.

Se, infine, il sito integra al suo interno un modulo contatti, finalizzato a raccogliere i dati dell’utente per i più svariati scopi, sarà necessario informare l’utente in merito alla privacy e raccogliere il suo consenso preventivamente (per esempio mediante checkbox). Per farlo, si può utilizzare il plugin per WordPress I agree.

Quindi, ricapitolando:
– assicuratevi di linkare da ogni pagina del sito la Cookie Policy, le Note Legali e la Privacy Policy
– fate in modo che un simpatico banner avvisi l’utente dell’utilizzo di cookie da parte del sito o di terze parti
– raccogliete il consenso informato dell’utente prima della compilazione e dell’invio di un form di qualsiasi genere (richiesta di informazioni, registrazione al sito, iscrizione alla newsletter, commenti e così via)

Tutto chiaro? Ricordate: avete tempo fino al 2 giugno per rientrare nei parametri.

Summary
Cookie e privacy: come fare per essere in regola
Article Name
Cookie e privacy: come fare per essere in regola
Description
Dal 2 giugno 2015 sarà obbligatorio acquisire il consenso informato degli utenti all'installazione di cookie. Ecco, nel dettaglio, come fare.
Author
Publisher Name
Alessia Martalò
Publisher Logo
Tags:
Share:

26 Comments in "Cookie e privacy: come fare per essere in regola"

  1. Carlo Di Somma

    26 aprile 2015 Rispondi

    Burocrazia, burocrazie è ancora burocrazia... e basta!

  2. Vincenzo

    1 maggio 2015 Rispondi

    Complimenti Davvero un articolo interessante.

    • Alessia

      1 maggio 2015 Rispondi

      Grazie, Vincenzo! Dai un'occhiata, se non l'hai fatto, anche alla nostra intervista all'Avvocato: http://www.blog.alessiamartalo.it/cookie-e-privacy-intervista-avvocato-raffaele-romano/

  3. Gioacchino

    6 maggio 2015 Rispondi

    Sti c...i

  4. Alessandro

    11 maggio 2015 Rispondi

    Mi risulta invece, leggendo il famoso vademecum che anche Google Analytics rientra nei cookie di profilazione (in quanto è probabile che Google possa accedere ai dati disaggregati e utilizzarli per la profilazione)
    Dal Vademecum: [https://s3.amazonaws.com/iprs/files/attachments/20155/17bfe609-832b-4eb5-bd95-55239b5ae4f1__O.pdf]
    "Il Garante ha chiarito che i cookie che invece necessitano di un preventivo consenso dell’utente sono tutti i cookie non tecnici, inclusi: [...] cookie di statistica gestiti completamente dalle terze parti."

    Il problema sta nel consenso "PREVENTIVO", cioè se gli utenti non cliccano sul pulsante "acconsento" del banner non è consentito registrare la visita su Analytics!
    Mettersi in regola non è complicato, ma avrà un impatto devastante sul marketing (impossibilità di avere delle statistiche reali) e sui piccoli blog o siti nonprofit che si sostengono con i banner di Google Adsense.

    • Alessia

      11 maggio 2015 Rispondi

      Ciao Alessandro,

      ne abbiamo parlato qui: http://www.blog.alessiamartalo.it/cookie-e-privacy-istruzioni/
      Google Analytics, stando al kit per l'uso, sembrerebbe rientrare nei cookie di profilazione di terze parti (meglio usar ancora il condizionale, và!).

      Mi permetto di correggerti, però, sul discorso del consenso preventivo. Nel documento che hai linkato si spiega come sia possibile acquisire il consenso in seguito ad alcune azioni dell'utente, ovvero clic sul pulsante OK o Acconsento oppure scroll sulla pagina. E credo che questa seconda opzione andrà per la maggiore. A questo proposito, puoi trovare conferma anche nelle parole dell'Avvocato Romano (http://www.blog.alessiamartalo.it/cookie-e-privacy-intervista-avvocato-raffaele-romano/).

      • Alessandro

        11 maggio 2015 Rispondi

        E' vero, c'è questa cosa dello scroll... che personalmente trovo però assurda. Cioè si mette in piedi un ambaradan con conferenze stampa, vademecum, multe da decine di migliaia di euro ecc. e alla fine basta che l'utente faccia quello che fa di solito, cioè snobbare qualsiasi banner e scrollare in basso per leggere quello che gli interessa!? Non mi sembra proprio che questo sia un consenso informato.
        Comunque mi hai convinto che lo scroll è la soluzione :-) vado a modificare lo script.
        Ah, dimenticavo. Venerdì ho inserito lo script con un banner (tipo il vostro) in un portale da 300 sessioni al giorno e.....[rullo di tamburi]... nessuno ha cliccato "acconsento". Anche perché seguendo il consiglio del vademecum ho usato la frase "inviarvi pubblicità", che non corrisponde alla realtà. Inviare cosa? un depliant con un UPS? :-)
        Grazie Alessia per la dritta.

        • Alessia

          11 maggio 2015 Rispondi

          Bene! Ho paura a chiedere quanti utenti hanno cliccato sull'informativa estesa :D
          Forse... zero?

          • Alessandro

            12 maggio 2015

            Poiché Google Analytics non poteva essere caricato resterà un mistero! Da quando ho messo lo scroll, su una cinquantina di utenti nessuno ha cliccato sull'informativa.

        • Francesco

          14 maggio 2015 Rispondi

          Mettiamo che per assurdo l'utente visiti la pagina e non faccia nessuna azione, ma chiuda il browser.
          Di fatto l'utente ha scaricato i cookie ma non ha accettato nulla perché non ha fatto nessuna azione. Abbiamo violato la legge?

          Alessandro, sei riuscito a trovare uno script che permette di bloccare i cookie preventivamente e che li sblocchi una volta che l'utente ha fatto lo scroll sulla pagina??!!

          • Alessia

            15 maggio 2015

            Ciao Francesco,
            credo che sia proprio questo il punto: non bisogna installare nessun cookie prima di una qualsiasi azione dell'utente (clic su Conferma/ok o scroll all'interno della pagina).
            Prova a leggere il kit per l'uso che si sofferma proprio su scenari di questo tipo.

          • Francesco

            15 maggio 2015

            x Alessia.
            Ho già letto la guida. Purtroppo è veramente complicato bloccare selettivamente i singoli cookie.

  5. Riccardo

    13 maggio 2015 Rispondi

    Bell’articolo, completo ed esauriente…
    Domanda: il checkbox per la privacy deve essere inserito anche nel form per i commenti (come qui sotto) e nel form dei contatti?

    Grazie

    • Alessia

      13 maggio 2015 Rispondi

      Ciao Riccardo,

      grazie per i complimenti :)
      il checkbox per la privacy deve essere inserito ovunque sia previsto che l'utente possa lasciare dati personali, come nome e indirizzo e-mail, quindi nel form dei commenti (come avviene qui) e nel form dei contatti (come avviene qui:https://www.alessiamartalo.it/).

      Spero di esserti stata utile :)

      • Claudia

        14 maggio 2015 Rispondi

        Ciao Alessia, come si fa a mettere il checkbox per la privacy come hai fatto tu? Intendo quello presente sotto il box commenti :-) Esiste un plugin?

        • Alessia

          14 maggio 2015 Rispondi

          Ciao Claudia,
          io ho usato il plugin I agree (trovi in link nel post). È un plugin WP a pagamento (mi pare costi circa 7-8 dollari...). Una volta installato vai nel pannello delle impostazioni e abilita la funzione "Agree for comments" (e anche possibile gestire le registrazioni tramite "Agree for registrations").
          Se hai dubbi contattami tramite i miei riferimenti ;)

          • Claudia

            18 maggio 2015

            Ottimo, ti ringrazio! Ho visto solo ora la tua risposta. Lo installo quanto prima, molto utile!

          • Alessia

            18 maggio 2015

            figurati! ;)

          • Claudia

            16 dicembre 2015

            Ciao Alessia, ho appena installato questo plugin (igree) però sorge il problema. Non funziona per il servizio di newsletter ma solo per il modulo di registrazione al sito. Tu conosci una soluzione alternativa?

          • Alessia

            16 dicembre 2015

            Ciao Claudia,
            sì, hai ragione, il plugin gestisce solo la registrazione al sito o il modulo commenti. Personalmente non ho mai utilizzato plugin WordPress per newsletter, ma ho sentito parlare bene di iContact. In realtà credo che un po' tutti i plugin permettano l'opt-in e la relativa personalizzazione del testo.

  6. LaFra

    28 maggio 2015 Rispondi

    Ciao, la questione cookies mi sta esaurendo... fortunatamente esistono risorse come questo blog che aiutano a fare chiarezza.
    Stavo giusto ultimando la creazione di due siti: un mio sito personale (una sorta di biglietto da visita virtuale) e un blog che tenevo in forma privata da alcuni anni su Blogger e che ho spostato di recente su Wordpress. A giorni prevedevo di pubblicizzare la cosa tra amici e parenti (per farvi capire le dimensioni della mia presenza sul web!) e mi è arrivata come una secchiata d'acqua gelida la questione cookies.

    Allora, io ho utilizzato il servizio offerto da Iubenda (spero di non fare cosa poco gradita nel segnalare il nome di questo fornitore) e quindi ho installato il banner e ho le mie belle policy privacy e cookies linkate nel footer. I dubbi però sono ancora tanti. Provo a elencarli, magari aiutano anche altre persone:
    1) Nella policy bisogna indicare il responsabile del sito, quindi io. In molti casi ho visto inserire anche l'indirizzo, ma io non sono un'azienda e vorrei evitare di mettere il mio indirizzo di casa sul mio blog. Si può fare?
    2) Non essendo molto ferrata in argomento, faccio ancora fatica a capire quali cookies ci sono nei miei siti, quali profilano e quali sono tecnici (considerando che ho tre cose installate), ma soprattutto, se sono tra i fortunati che devono comunicare al Garante e pagare i 150 euro (sto chiamando il numero del Garante, ma figuriamoci, è sempre occupato).
    3) Ho letto che anche i video embeddati da YouTube rientrano tra quelli che profilano, ma che esiste un codice che li blocca preventivamente. Quindi dovrei ricaricare tutti i video che ho nel blog (saranno una trentina)?
    4) Ho appreso da questo sito di due risorse importanti come Analytics by Yoast e I Agree, esiste per caso un plugin per dummies come me, in grado di bloccare preventivamente i cookies?
    5) Considerando che chi apre un blog per diletto di sicuro non può sostenere le spese di un legale, allora farà da solo come sto facendo io. Esiste uno strumento o qualcuno (anche il Garante stesso, ma dubito) in grado di fare un controllo sui siti per vedere se è tutto ok? Io come faccio a sapere se ho fatto tutto bene? Magari sono in buona fede e poi mi becco la sanzione.

    Scusate per la lungaggine, ma l'argomento è fonte di mille dubbi e considerazioni.

    Grazie.

    LaFra

    • Alessia

      28 maggio 2015 Rispondi

      Ciao,
      ti tranquillizzo subito sulla questione notifica al Garante, la quale è dovuta soltanto se utilizzi cookie di prima parte (per capirci sistemi di profilazione creati da te).
      Per quanto riguarda il video, ti parlo da profana. io ne ho uno nel mio sito (https://www.alessiamartalo.it), e ho notato che youTube non installa nessun cookie preventivamente, a meno che naturalmente non si clicchi sul video per avviarlo. In questo caso, però, l'utente manifesta la chiara volontà di voler interagire con il sito e dunque implicitamente accetta la cookie policy.
      Plugin per bloccare preventivamente i cookie di profilazione non ce ne sono - al momento - ma se utilizzi Google Analytics by Yoast devi necessariamente settare l'anonimizzazione degli IP, come spiegato qui: http://www.blog.alessiamartalo.it/cookie-e-privacy-istruzioni/. In questo modo i cookie saranno considerati tecnici.
      Per semplificare, comunque, puoi utilizzare google Chrome per capire se all'avvio del tuo sito (non solo dalla home page, ma da qualsiasi pagina interna) vengono installati preventivamente dei cookie di profilazione. Basta ricordarsi, però, di cancellare i dati di navigazione in modo da non falsare i risultati. Fai clic sull'icona della pagina bianca accanto alla barra delle URL e il gioco è fatto! Se hai dubbi siamo qui :)

  7. Silvio

    1 giugno 2015 Rispondi

    Ciao, posto qui sotto perchè non riesco più a trovare i miei precedenti post ai quali volevo dare seguito dopo l'uscita dei chiarimenti dell'Autorità Garante.

    Premesso che questi nuovi adempimenti sono davvero estenuanti un po' per tutti e io spero di non dover più mettere mano a queste cose, alla fine, sul mio Blog Wordpress, ho installato un plugin (se vi interessa googolate 'divas cookies') che permette di eliminare completamente da tutte le pagine del sito il codice che piazza cookies fino a quando l'utente non ha accettato di riceverli.

    La cosa comodissima secondo me è che non c'è bisogno di mettere mano al codice perchè il plugin scansiona le pagine del blog alla ricerca di tutti gli script e li presenta in una finestra dalla quale si può decidere se filtrarli con un click.

    Io per sicurezza ho filtrato sia AdSense che Analytics (che sono le cose che mettono cookies sul mio sito) e controllando tra i cookie del browser ho verifiato che non viene giù nulla fino all'approvazione.

    • Alessia

      1 giugno 2015 Rispondi

      Silvio, prova a dare un'occhiata al plugin di Andrea Pernici, Third Party Cookie Eraser. Fa lo stesso lavoro, ma in compenso non è necessario mettere mano al codice (almeno per i casi più comuni).

      • Silvio

        4 giugno 2015 Rispondi

        L'ho provato: il vantaggio indiscutibile è che è disponibile gratuitamente sul wordpress.org e beneficia del sistema di aggiornamento automatico di WP. Inoltre è interessante il fatto che si collega a un cookie tecnico che il proprietario del sito può inserire nei setting così si può mettere insieme a qualsiasi plugin per l'informativa semplificata. Nel mio caso però il fatto che elimina tutte le possibili fonti di cookies indiscriminatamente e le sostituisce (credo con un segnaposto) mi "scassa" il layout... Comunque grazie Alessia per il suggerimento, è un plugin da tenere d'occhio per vedere se l'autore aggiunge qualche opzione!

  8. Alessandro

    4 giugno 2015 Rispondi

    Ciao, un punto (uno dei tanti) che secondo me non è chiaro è chi sia il "gestore del sito". Se ho uno spazio web gratuito su digilander tipo http://digilander.libero.it/miosito, il gestore chi è? io certamente lo gestisco, perché posso mettere tutto il codice e tutti i cookie di questo mondo, ma anche "Libero" può farlo (mette infatti la barra di libero in alto".
    Oppure: se creo un forum e nella firma gli utenti si mettono uno script per visualizzare un "mi piace" di facebook.
    Oppure se ho un guestbook nel mio sito dove si può mettere del codice, un embed di un video di youtube, ma io non posso controllare se un utente lo fa oppure no... nelle informative devo mettere Youtube come ipotesi?
    Ovvio che sono tutte pratiche che normalmente dovrei impedire, ma se volessi dare agli utenti la possibilità di farlo? Chi è il gestore del sito? chi inserisce i contenuti, chi cura la parte tecnica, l'intestatario del dominio? Finora ho sempre pensato fosse l'intestatario del dominio che, in teoria, dovrebbe essere consapevole di cosa viene inserito, ma nei rari casi in cui non si abbia il controllo diretto in quanto sono i visitatori a inserire i contenuti? Tipo Facebook, come fa a sapere se gli utenti inseriscono video di Youtube e adeguare l'informativa di conseguenza?
    Nel caso di digilander devo creare una mia informativa e citare libero come soggetto terzo, linkando la sua informativa?
    E se uso una piattaforma chiusa tipo wordpress.com (non il cms) senza associarci il dominio, oppure forumfree (es. mioforum.forumfree.it), come faccio a far apparire il banner e inserire un link in tutte le pagine per l'informativa?
    Però di fatto sono io il gestore e nel provvedimento di parla solo di gestori. Che ne pensate?

Vuoi farci sapere cosa ne pensi?

La tua e-mail non verrà pubblicata. I campi obbligatori sono contrassegnati con *

Lascia un commento

Privacy Policy


Place your text here