Cookie e privacy: istruzioni per l’uso

Cookie e privacy: istruzioni per l'uso
6 maggio 2015 Normative 20 Comments

Cookie e privacy: istruzioni per l’uso

A partire dal 2 giugno 2015, il Garante della privacy impone ai gestori di blog e siti web l’obbligo di acquisire il consenso informato dell’utente all’installazione di cookie di profilazione (proprietari e/o di terze parti).

Tanto si è discusso, negli ultimi giorni, in merito a questo tema che evidentemente coinvolge un gran numero di persone. Il blog ha avuto il piacere di ospitare il prezioso contributo dell’Avvocato Raffaele Romano, esperto di privacy, il quale ci ha aiutato a far chiarezza sulla questione. La normativa, però, è complessa e tanti ancora sono i dubbi in merito.

Intanto nella giornata di ieri, a Roma, si è svolto un incontro tra il Garante Antonello Soro, il presidente di DMA Italia Fabrizio Vigo, il consigliere Fedoweb Claudio Giua, il direttore di IAB Italia Daniele Sensini, il presidente di Netcomm Roberto Liscia e la presidente della Commissione Giuridica UPA Cinzia Gaeta.
In questa occasione è stato presentato un kit di implementazione – una sorta di istruzioni per l’uso – dedicata alle aziende che intendano applicare correttamente la nuova policy inerente i cookie.

COOKIE: KIT PER L’USO

Nel kit – scaricabile qui – vengono approfonditi alcuni aspetti fino a questo momento poco chiari, quali ad esempio l’esatta definizione di cookie di profilazione (che comprende anche i cookie di retargeting, quelli di statistica gestiti da terze parti e quelli relativi ai social network).
Dapprima, spiega il documento, occorre distinguere tra cookie installati dal proprio sito (di prima parte) e cookie installati da siti esterni (di terze parti). Viene ribadito inoltre che non sarà possibile installare i cookie sul terminale utente se prima non viene acquisito il consenso dell’utente.
Il documento precisa infatti che i cookie di profilazione “dovranno essere bloccati attraverso l’intervento tecnologico sul codice del sito”.

È stata al contempo chiarita la questione riguardante la notifica al Garante: “nel caso in cui il titolare/gestore del sito utilizzi esclusivamente cookie di profilazione di terze parti, non sarà necessario provvedere alla notificazione preventiva”.

E l’onere della prova? Il documento spiega che, secondo il Garante, bisognerà all’occorrenza dimostrare di aver acquisito il consenso preventivo dell’utente ma, allo stato attuale, “non esiste ancora un sistema tecnico ‘perfetto’ in relazione alla modalità di registrazione del consenso da parte di un browser”.

Restano, quindi, diverse questioni aperte:
– Come implementare uno script che riesca a bloccare l’installazione dei cookie prima di aver acquisito il consenso?
– Come vanno considerati i cookie di Google Analytics (o altri strumenti statistici affini)? Si tratterebbe infatti di cookie di statistica gestiti completamente da terze parti.
– In che modo può essere dimostrato, infine, di aver acquisito il consenso dell’utente?

COOKIE: LA QUESTIONE ANALYTICS

UPDATE 14/05/2015: Per quanto riguarda Google Analytics, uno dei principali sttrumenti di statistica utilizzati da blogger e webmaster, sembra ci sia stata un’apertura del Garante per quanto riguarda il necessario “blocco” dei cookie di terza parte. Rendendo anonimi gli IP (che, lo ricordiamo, in ogni caso non saranno a noi visibili, ma lo saranno per Google), è possibile equiparare i cookie utilizzati dalla terza parte a normalissimi e innocui cookie tecnici di statistica. In pratica, non sarà più necessario bloccare l’installazione dei cookie finché non viene ricevuto il consenso informato dell’utente.

Per farlo si può utilizzare la funzione Javascript ga(‘set’, ‘anonymizeIp’, true) oppure, nel caso di WordPress, utilizzare il plugin Google Analytics by Yoast e, nelle impostazioni, specificare che si desidera anonimizzare gli IP address.

In questo modo si rispetterà la normativa in essere che, come ha illustrato efficacemente l’Avv. Romano, prevede che “se perseguono scopi statistici e raccolgono le informazioni in forma aggregata i cookie analytics possono considerarsi cookie tecnici”.

Summary
Cookie e privacy: istruzioni per l'uso
Article Name
Cookie e privacy: istruzioni per l'uso
Description
È stato appena rilasciato un documento, istruzioni per l'uso, a proposito della normativa del Garante riguardante i cookie di profilazione.
Author
Publisher Name
Alessia Martalò
Publisher Logo
Tags:
Share:

20 Comments in "Cookie e privacy: istruzioni per l’uso"

  1. Claudia

    6 maggio 2015 Rispondi

    Interessante aggiornamento, anche se l'intera questione rimane a mio avviso davvero poco chiara e "poco sensata". Per quale motivo ad esempio, anche i semplici bottoni di condivisione (come quelli che hai tu sotto questo articolo), dovrebbero in qualche modo violare la privacy dell'utente? I pulsanti sono li, fermi. Se uno non ci clicca di propria volontà, sono puramente estetici.

    Inoltre anche il primo punto resta per me un grandissimo quesito. Come blocco la visione dei pulsanti sociali all'utente che non accetta l'informativa?

    Questa cosa sta decisamente mettendo in crisi....

    • Alessia

      6 maggio 2015 Rispondi

      Nel documento è scritto: “il titolare può anche adottare altri sistemi o procedure che consentano di caricare completamente le pagine (compresi i cookie) sin dalla prima visita, evitando così spazi vuoti nella pagina,
      a condizione che l’attivazione dei cookie inviati al terminale dell’utente avvenga solo dopo che è stato espresso il consenso”.

      Bisognerà, insomma, adottare qualche meccanismo che eviti di attivare il cookie benché installato, come precisato nel documento stesso (“tale cookie non può eseguire alcuna profilazione dell’utente”). Più facile a dirsi che a farsi..

      • Claudia

        6 maggio 2015 Rispondi

        Qui ci vorrebbe un bel plugin che viene in soccorso di chi come me, non si intende particolarmente della parte tecnica di un sito :-D

        Mi sono letta da cima a fondo tutto il documento che hai messo a disposizione (grazie!), ma molti dubbi persistono ancora. Purtroppo credo che, per evitare problemi, rimuoverò almeno per il momento tutti i pulsanti sociali, lasciando esclusivamente analytics che, leggendo il documento, sembra comunque sia identificato come tecnico e per tanto non ha bisogno di blocchi o altre cose simili.

        Non sapendo metter mano perfettamente al codice, purtroppo non so come altro fare :-( Personalmente rimango dell'idea che hanno "complicato" la vita a tanti blog aperti solo per passione. Credo che siano molte le persone che, in possesso di un blog ma completamente a digiuno di tutta la parte tecnica/commerciale, non sanno neanche di questa nuova legge in materia di privacy. In fin dei conti non tutti hanno blog/siti per guadagnare, ma pagine fan, pulsanti social e cose simili li hanno lo stesso.

        Prevedo un periodo bigio per il web :-(

        • Alessia

          7 maggio 2015 Rispondi

          In realtà, Claudia, su Google Analytics ci sono ancora molti dubbi.. Comunque hai ragione su un punto: per i non addetti ai lavori non sarà per niente facile adeguarsi alla normativa. :(

        • Silvio

          9 maggio 2015 Rispondi

          > "Personalmente rimango dell’idea che hanno “complicato” la vita a tanti blog aperti solo per passione"

          Claudia, ti capisco, anche io ho un blog su WP che tengo solo per passione, ho provato a metterci ADSense per pagarmi l'hosting ma non copro neanche le spese! E ora rischio delle multe stratosferiche per 'sti cookies di terze parti! Credo che molti penseranno, come te, di togliere i social e le pubblicità per non rischiare e... forse... è proprio il punto della questione.

          Se usi WP e ti può essere utile, io ho trovato e usato nel mio blog un plugin per mettere la famosa informativa breve e ho scritto una breve guida su come installarlo e configurarlo, la trovi qui:

          http://www.0ex.it/2014/11/european-cookies-policy-law-e-la-legge-italiana/

          Silvio

          • Alessia

            9 maggio 2015

            Io ho trovato il plugin Cookie Notice:
            http://www.blog.alessiamartalo.it/cookie-e-privacy-come-fare-per-essere-in-regola/

            è gratuito e sembra faccia il suo sporco lavoro!

    • Silvio

      9 maggio 2015 Rispondi

      Ciao Claudia,
      parzialmente posso risponderti io. Se i pulsanti sono semplici link ai social non rientrano in alcuna questione legata ai cookies (almeno dal punto di vista del sito che li ospita).

      Il tema riguarda principalmente quei pulsanti che vengono generati dinamicamente attraverso javascript (spesso scaricato tramite le CDN - Content delivery network) degli operatori social.

      In buona sostanza quando il browser richiama il javascript lo fa inoltrando una richiesta alla terza parte che lo mette a disposizione e in quel momento c'è la possibilità di essere tracciati.

      Resta il fatto che la questione sembra di difficile soluzione, soprattutto se prevarrà l'orientamento per cui sarà necessario avere un consenso preventivo per poter anche solo 'installare' i cookies sul dispositivo dell'utente.

      Su questo stesso blog ho risposto a un commento in proposito:
      http://www.blog.alessiamartalo.it/cookie-e-privacy-intervista-avvocato-raffaele-romano/#comment-40

      Silvio

  2. Marco

    13 maggio 2015 Rispondi

    Ciao,
    da settimane sto seguendo la questione normativa Cookie.
    Devo dire che i vostri articoli mi hanno aiutato a capirne di più.
    Mi restano ancora alcuni dubbi ovvero:

    -se utilizzo Analytics, non rientra più tra i cookie tecnici però dovrebbe rientrare tra le eccezioni dei cookie di profilazione, come Cookie gestiti da terze parti, ma anonimizzati in maniera tale che la terza parte non possa accedere né utilizzare i dati in forma disaggregata a livello IP. A tal proposito ho visto che nello script di Analytics basta aggiungere il seguente codice per rendere anonimo l'IP ga('set', 'anonymizeIp', true); .

    - cookie di social network: quì non si trova ancora nulla a riguardo.. ovvero come bloccarli da script? La cosa più veloce che mi viene in mente è non mostrare i vari pulsanti o plugin social fino a quando non è stato dato il consenso.. Siamo sicuri che rientrano in questa categoria anche i semplici bottoni di condivisione (come quelli che utilizzi nel tuo blog ai piedi dell'articolo)?

    Grazie

    Marco

    • Alessia

      14 maggio 2015 Rispondi

      Ciao Marco,

      per la questione numero 1, ho appena aggiornato il post evidenziando come, allo stato attuale, sia possibile anonimizzare gli IP di Google Analytics utilizzando il plugin di Yoast indicato (senza, dunque, intervenire sul codice o nello script di Analytics). Sembra, infatti, che raccogliendo i dati in forma anonima i cookie analytics possano essere considerati cookie tecnici, in quanto non raccolgono dati specifici sull'utente, come invece fanno i cookie di profilazione per gestire pubblicità mirata.

      Per quanto riguarda il secondo punto, ahimé, non si è ancora arrivati ad una conclusione. Senz'altro i bottoni in alto, presenti in testata, non rilasciano alcuni cookie perché sono considerati al pari di semplici link. I bottoni di condivisione, invece, permettono all'utente di loggarsi al social e di condividere il contenuto e, dunque, potenzialmente potrebbero far uso di cookie di profilazione (se non altro per permettere il login dell'utente). Per questo motivo, sarebbe utile bloccarli fino a quando non sarà ottenuto il consenso (mediante accettazione della policy/clic sul banner o semplice scrolling all'interno della pagina).

      • Marco

        20 maggio 2015 Rispondi

        Grazie Alessia per le risposte!
        Ora mi è tutto più chiaro.
        Una cosa, le Cookie Policy posso integrarle nella Privacy Policy?

        Grazie

        • Alessia

          20 maggio 2015 Rispondi

          ciao Marco,
          non saprei risponderti. Io credo che in linea di massima sarebbe preferibile mantenerle distinte.
          Ricorda di fare in modo che siano presenti in ogni pagina del sito (quindi, per esempio, linkate nel footer o nel menu come ho fatto io).

          • Marco

            3 giugno 2015

            Ciao Alessia,
            oggi mi è venuto un altro dubbio.
            Su alcuni siti utilizziamo degli iframe per importare codice da un altro portale dove effettuare un login.
            Teoricamente la fase di login nel portale terzo utilizzerà dei cookie tecnici.
            Devo gestire anche questa situazione e nella cookie policy avvisare che si utilizzano cookie di terze parti?

            Grazie

            Marco

          • Alessia

            3 giugno 2015

            Ciao Marco,

            nel momento in cui l'utente accede al tuo sito vengono caricati preventivamente cookie di profilazione? Se no, non c'è alcun bisogno a mio avviso di indicare che il sito utilizza cookie di profilazione, perché di fatto - essendo necessari per il login - sarebbero cookie tecnici.

          • Marco

            8 giugno 2015

            Grazie Alessia.
            Ho sentito che se su un sito utilizziamo filmati di youtube dobbiamo pagare 150€ al Garante?

            Grazie

          • Alessia

            11 giugno 2015

            Assolutamente no, Marco! dai un'occhiata all'infografica pubblicata dal Garante: http://194.242.234.211/documents/10160/0/Infografica+cookie+e+privacy+-+cosa+devi+fare

  3. Alex

    20 maggio 2015 Rispondi

    Posso prendere spunto dalla tua Cookie Policy o è coperta da diritto d'autore di qualche avvocato? Mi sembra fatta bene

    • Alessia

      20 maggio 2015 Rispondi

      Ciao Alex,
      nessun diritto d'autore, fai pure! Controlla però che si adatti al tuo caso. Leggila attentamente ed, eventualmente, modifica o cancella le parti non necessarie. Ad esempio, se non usi determinati servizi di terze parti puoi tranquillamente eliminare anche i relativi link alle loro privacy policy. Per quanto mi riguarda, la mia privacy policy è ancora in fase di revisione.

  4. Irene

    29 maggio 2015 Rispondi

    Ciao Alessia,
    anche io mi aggiungo alla schiera di quelli che non hanno grandi competenze in materia e che sta andando un po' in crisi!! Essendomi affacciata da poco al mondo del web marketing ho pensato di creare un blog personale e un sito in Wordpress per un parente così da poter iniziare a 'smanettare' ma ora mi ritrovo ad avere ancora qualche dubbio (anche se leggendo i tuoi articoli penso di avere tutto abbastanza chiaro ormai, grazie!):
    - il sito che ho creato ha solamente cookies analytics perché ho agganciato Google Analytics ma l'IP è anonimizzato, quindi è corretto se creo solo le pagine di privacy e cookies policy linkate nel footer?
    - nel mio blog per adesso ho levato i pulsanti social in preda al panico come dice di voler fare Claudia, ma almeno i commenti li vorrei lasciare...come devo comportarmi secondo te?
    Grazie mille in anticipo!

    • Alessia

      29 maggio 2015 Rispondi

      Ciao Irene,
      provo a rispondere alle tue domande :)
      per quanto riguarda Google Analytics se vengono anonimizzati gli IP, i relativi cookie diventerebbe cookie tecnici, quindi nessun problema. Credo che il bannerino sia comunque meglio metterlo, ovviamente senza dover bloccare nessun cookie.
      I commenti non hanno niente a che fare con i cookie, dovrai però predisporre una privacy policy ricordando di chiedere il consenso al trattamento dei dati (come viene fatto anche qui). Puoi utilizzare il plugin WP I agree, qui trovi maggiori info: http://www.blog.alessiamartalo.it/cookie-e-privacy-come-fare-per-essere-in-regola/

      Spero di aver risposto alle tue domande!

Vuoi farci sapere cosa ne pensi?

La tua e-mail non verrà pubblicata. I campi obbligatori sono contrassegnati con *

Lascia un commento

Privacy Policy


Place your text here