Privacy e cookie: tu sei in regola?

È un po’ tardi per parlarne, e io stesso ho sistemato il sito solo due giorni fa, ma meglio tardi che mai. Magari qualcuno ancora non lo sa e vuole rimediare, tanto a meno di casi particolari basta una serata a fare tutto (o molto meno se raffazzonate una pagina sui cookie con pochi dettagli).

Vedete la barra nera in fondo alla pagina che vi nasconde parte dell’articolo? C’è scritto che questo sito, un po’ come tutti i siti che non siano HTML e basta, fa uso di cookie. Vi avvisa e vi permette di accedere a una pagina con ulteriori dettagli sulla politica di privacy e cookie del sito, oppure di premere “Ok” e far scomparire l’avviso. La pagina con i dettagli extra è raggiungibile anche da un link sempre presente in fondo alle pagine del sito.

Come mai queste indicazioni?
Perché dal 2 giugno scatta l’obbligo, per via del provvedimento del Garante della Privacy deciso proprio un anno fa. Chi non adempie all’obbligo di indicare la presenza di cookie e l’uso dei dati personali raccolti, può ricevere multe fino a 120mila euro. Le multe peggiori sono per chi omette al visitatore l’uso di cookie di profilazione (diversi dai cookie tecnici), quelle minori per chi omette le indicazioni sulla privacy. Quest’obbligo in fatto di privacy e cookie non è solo italiano, vale per tutta l’Unione Europea.

Cosa sono i cookie e come vanno distinti a fine legale? Lascio la parola al sito del Garante della Privacy:

3. Cosa sono i cookie “tecnici”?

Sono i cookie che servono a effettuare la navigazione o a fornire un servizio richiesto dall’utente. Non vengono utilizzati per scopi ulteriori e sono normalmente installati direttamente dal titolare del sito web.

Senza il ricorso a tali cookie, alcune operazioni non potrebbero essere compiute o sarebbero più complesse e/o meno sicure, come ad esempio le attività di home banking (visualizzazione dell’estratto conto, bonifici, pagamento di bollette, ecc.), per le quali i cookie, che consentono di effettuare e mantenere l’identificazione dell’utente nell’ambito della sessione, risultano indispensabili.

4. I cookie analytics sono cookie “tecnici”?

No. Il Garante (cfr. provvedimento dell’8 maggio 2014) ha precisato che possono essere assimilati ai cookie tecnici soltanto se utilizzati a fini di ottimizzazione del sito direttamente dal titolare del sito stesso, che potrà raccogliere informazioni in forma aggregata sul numero degli utenti e su come questi visitano il sito. A queste condizioni, per i cookie analytics valgono le stesse regole, in tema di informativa e consenso, previste per i cookie tecnici.

5. Cosa sono i cookie “di profilazione”?

Sono i cookie utilizzati per tracciare la navigazione dell’utente in rete e creare profili sui suoi gusti, abitudini, scelte, ecc. Con questi cookie possono essere trasmessi al terminale dell’utente messaggi pubblicitari in linea con le preferenze già manifestate dallo stesso utente nella navigazione online.

6. È necessario il consenso dell’utente per l’installazione dei cookie sul suo terminale?

Dipende dalle finalità per le quali i cookie vengono usati e, quindi, se sono cookie “tecnici” o di “profilazione”.

Per l’installazione dei cookie tecnici non è richiesto il consenso degli utenti, mentre è necessario dare l’informativa (art. 13 del Codice privacy). I cookie di profilazione, invece, possono essere installati sul terminale dell’utente soltanto se questo abbia espresso il proprio consenso dopo essere stato informato con modalità semplificate.

Quindi, domanda domandina, Google Analytics è cookie tecnico o cookie di profilazione? Come spiega il Garante, essendo informazioni private rilasciate a una terza parte è un cookie di profilazione. Esattamente come Google Ads, che usa la profilazione degli utenti per decidere come modificare le offerte pubblicitarie mostrate. Ma chi è tenuto a fare la scartoffie burocratiche (circa 150 euro) per usare questi cookie, Google che fisicamente li installa tramite il servizio di Ads (o ne fa uso tramite Google Analytics) o il possessore del sito?

Non si sa. Non c’è ancora una risposta certa. Nel dubbio, se avete un sito su un vostro dominio e un vostro spazio, in cui voi dovete gestire tutto (come è il mio caso o quello di Gamberetta o di Zwei), vi consiglio di TOGLIERE Google Ads e di rendere assimilabile a cookie tecnico Google Analytics, se lo usate.

Come rendere ok Google Analytics?
Dovete renderlo anonimo, in modo che non possa fare profilazione coi dati che gli inviate. Se avete inserito la stringa direttamente è sufficiente aggiungere un bel

ga(‘set’, ‘anonymizeIp’, true);

sotto le righe

ga(‘create’, ‘UA-XXXXXXXX-X’, ‘auto’);
ga(‘send’, ‘pageview’);

Dove ovviamente UA-XXXXXXXX-X contiene il vostro codice specifico. Se invece avete un plugin per gestire l’inserimento del codice, per esempio io ho Google Analytics by Yoast che permette di spuntare una casella e rendere anonimo il tutto. Se avete un plugin per gestire Google Analytics e non vi dà l’opzione per renderlo anonimo, cambiate plugin o inserite il codice a mano.

Torniamo alla pagina del Garante:

12. L’obbligo di usare il banner grava anche sui titolari di siti che utilizzano solo cookie tecnici?

No. In questo caso, il titolare del sito può dare l’informativa agli utenti con le modalità che ritiene più idonee, ad esempio, anche tramite l’inserimento delle relative indicazioni nella privacy policy indicata nel sito.

E qui qualcuno potrebbe tirare un sospiro di sollievo… ma anche no. Siete proprio sicuri di avere solo cookie tecnici vostri? Di non avere cookie di terze parti, a loro volta a norma con la legge, la cui privacy va indicata? Se usate WordPress su un vostro spazio, anche senza aver installato plugin vari, dovreste avere accesso a Gravatar, il sistema che permette di avere uno stesso avatar legato alla propria mail dovunque si commenta.
Lo dovete indicare. E comunque dovete mettere le indicazioni di privacy nel sito, tanto vale infilarci anche il necessario sui cookie.

E se uso blogspot o altri servizi che mi concedono loro spazio e indirizzo?
Cambia poco. Alla barra, se non potete procedere voi, dovrebbero procedere loro. Per esempio blogspot lo fa in automatico. Qui sopra c’è una schermata che mostra il blog di Michael Swanwick, autore che abbiamo pubblicato con Vaporteppa. Vista la barra blu? Cliccando per avere maggiori informazioni manda alla pagina che spiega tutti i cookie e le questioni di privacy legate al servizio fornito da Google.
Vedete il box viola in basso? Quello è fornito dal plugin di Firefox Ghostery, comodo per capire se avete cookie che tengono traccia della navigazione dei vostri lettori, soprattutto cookie di terze parti.

E qui arriva la cattiva notizia: anche se non usate Google Ads sul vostro blog fornito da blogspot, il cookie di profilazione è comunque attivo (vedi schermata sopra) perché Google comunque scheda i comportamenti dei navigatori sui blog da lui forniti. E non potete farci un cazzo, temo, se non incrociare le dita e sperare che la legge dia la responsabilità a Blogspot e non a voi che non potete farci niente. :-)
O meglio, qualcosa potete (e dovete, se ho capito giusto) farla: la pagina con le indicazioni sulla privacy. Se poi avete anche altri servizi di terze parti attivi, come box di twitter o simili, siete proprio obbligati a fare la pagina estesa e segnalarla bene nel vostro sito.

Nulla di difficile, basta farlo.
Se non sapete cosa scrivere nella pagina estesa sulla privacy provate a imitare chi lo ha già fatto. L’ideale è indicare le pagine di privacy di ogni singolo cookie di terze parti impiegato, come ho fatto io. Non è obbligatorio indicare nel dettaglio i cookie, basta far capire quali sono e come funzionano in poche parole: basta dire che avete Google Analytic, che l’avete reso anonimo e linkare la sua pagina di privacy, non siete obbligati a elencare che c’è il cookie __utmb che scade dopo 30 minuti di inattività, il cookie __utmc che scompare alla chiusura della sessione ecc. ok?
E ricordatevi di indicare in che modo, sui principali browser, l’utente può disattivare i cookie!

Ecco un paio di articoli con indicazioni su come operare:
http://www.blogfacile.net/legge-su-privacy-e-cookie/
http://wwwwelcometonocturnia.blogspot.it/2015/05/privacy-policy.html
http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3585077

E un esempio di pagina estesa con l’informativa, fatta da un sito professionale che le realizza a pagamento (per cui spero sia giusta e affidabile come impostazione e contenuti):
https://www.iubenda.com/privacy-policy/994435/cookie-policy

Per il messaggio nella barra io ho impiegato il plugin Cookie Notice by dFactory, ma potete usare altri plugin altrettanto validi.

Qui un’idea facile (ma con dei dubbi) per chi è ospitato su WordPress.com.

Ok, non era proprio il tipo di post che vi aspettavate. Non è il nuovo post a tema armi da fuoco che ho promesso di completare ad alcuni di voi due mesi fa e non è il primo post di approfondimenti sul mondo del tè, per iniziare a capire e amare il tè assieme. Non è nemmeno il post su certi aspetti famosi per chi ci lavora, ma poco noti al pubblico, che rendono l’editoria cartacea tradizionale un suicidio per gli editori e per i librai, premiando solo i distributori. Abbiate pazienza, arriverà tutto. :-)

Però almeno questo post qualche utilità ora ce l’ha, no?
Non quanto i coniglietti, ma non si può avere tutto…