Per adeguarsi alla nuova legge sui cookie resta ormai pochissimo tempo. Il 2 Giugno 2015, infatti, salvo proroghe (ma ormai le speranze per chi non si è ancora messo in regola sono poche) diventerà obbligatoria la cosiddetta “Cookie Law” ovvero il provvedimento n.229/2014 emesso dal Garante per la protezione dei dati personali. Tale provvedimento individua le modalità per la stesura dell’informativa e l’acquisizione del consenso per l’utilizzo dei cookie nei siti Internet. Le multe previste sono salatissime, si arriva fino a 120.000€! Ho voluto scrivere questo articolo per approfondire i punti chiave di questa legge, per fornire qualche linea guida per la sua implementazione e per raccogliere alcune risorse che reputo importanti come ulteriore approfondimento.
Introduzione e passaggi principali
Innanzitutto è fondamentale chiarire che il provvedimento si applica a tutti i siti, anche quelli responsive. Il titolare o gestore del sito dovrà occuparsi di una serie di passaggi preliminari, fra cui l’identificazione e catalogazione dei cookie utilizzati (vedremo più avanti in questo articolo le varie tipologie di cookie), compresi quelli di terze parti, per questi ultimi bisogna anche verificare e fornire il link alle privacy policy. Egli dovrà anche redarre una privacy policy del proprio sito che tenga conto dei cookie utilizzati (detta informativa estesa). Inoltre in ogni pagina del sito dovrà comparire un avviso o banner con una breve informativa la quale riporta a sua volta un link all’informativa estesa. Nella pratica, al primo accesso di un browser al sito, i cookie tecnici possono essere rilasciati, mentre i cookie non tecnici (di profilazione) non possono essere rilasciati (questi ultimi dovranno essere bloccati attraverso l’intervento tecnico sul codice del sito).
Tipologie di Cookie
Il Garante ha definito due tipologie di cookie, che vi elenco con una breve spiegazione:
- Cookie Tecnici: servono a effettuare la navigazione o a fornire un servizio richiesto dall’utente. Senza il ricorso a tali cookie, alcune operazioni non potrebbero essere compiute o sarebbero più complesse e/o meno sicure, come ad esempio le attività di home banking (visualizzazione dell’estratto conto, bonifici, pagamento di bollette, ecc.).
- Cookie di Profilazione: hanno lo scopo di creare profili relativi all’utente e vengono utilizzati al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dallo stesso nell’ambito della navigazione in rete.
A queste due categorie di cookie, in realtà si aggiungono poi i Cookie di Terze Parti ovvero cookie che sono impostati da un sito web diverso da quello che l’utente sta visitando.
Informativa Breve
L’informativa breve è l’avviso o banner che il sito dovrà fornire al primo accesso di un browser. E’ possibile disporre questo avviso al centro della pagina o anche in altra posizione purchè inequivocabilmente riconoscibile. Gli sviluppatori web hanno trovato che il posizionamento migliore sia però una strip nella parte superiore o inferiore della pagina: in questo modo non si compromette la leggibilità del sito, ma comunque si garantisce la visibilità dell’avviso.
Qualora il sito utilizzi solo cookie tecnici non è necessario fornire all’utente l’informativa breve, tuttavia deve essere sempre e comunque disponibile un’informativa estesa che fornisca informazioni circa l’utilizzo e le finalità dei cookie presenti sul sito. Qualora il sito utilizzi anche cookie di profilazione, occorre mostrare su qualsiasi pagina di primo accesso al sito l’informativa breve.
In particolare, il banner dovrà avere delle dimensioni tali da renderlo facilmente visibile, oppure espandibile (strip autoespandibile o Pushbar), dovrà avere font più evidenti rispetto a quelli del sito e un colore del fondo contrastante rispetto allo sfondo del sito e il testo del banner stesso.
Informativa Estesa
Come detto, dall’informativa breve, cliccando sul relativo link si accede all’informativa estesa. In realtà l’informativa estesa dovrà essere sempre accessibile, anche attraverso un link posizionato, per esempio, nel footer del sito. Nell’informativa estesa il titolare/gestore dovrà fornire tutte le informazioni necessarie per far comprendere l’utilizzo dei diversi cookie presenti nel proprio sito, oltre a fornire link alle privacy policy relative ai cookie di terze parti. L’informativa estesa potrà essere integrata nell’attuale pagina di Privacy Policy oppure essere situata in una pagina a parte.
Altre risorse utili
Per quel che riguarda questo argomento sulla rete internet si trova veramente di tutto, sono stati scritti articoli interessanti, così come sono stati prodotti dei video che spiegano molto bene l’argomento sia dal punto di vista legale che tecnico. Non potendo quindi linkare tutto, mi limito a segnalarvi alcune risorse che ho trovato sicuramente molto utili:
- Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie, registro dei provvedimenti n.229/2014 del 8 maggio 2014;
- Kit di implementazione della cookie law, pubblicato dalle principali associazioni di categoria (DMA Italia, Fedoweb, IAB Italia, Netcomm, UPA). E’ una che guida e aiuta l’utente a mettersi in regola con la legge sui cookie. Il kit, in formato PDF, può essere scaricato da diversi siti, uno di questi è Kit di implementazione cookie law;
- Domande più frequenti (FAQ) e relative risposte del Garante per la protezione dei dati personali;
- Video su YouTube del Garante per la protezione dei dati personali: Cookie e privacy, istruzioni per l’uso;
- Video su YouTube di InTarget Campus: Cookie Law: rischi, opportunità, consigli.
Possibili soluzioni tecniche con WordPress o Joomla
Gli sviluppatori di plugin/estensioni per WordPress e Joomla hanno creato diverse soluzioni da applicare ai propri siti per mettersi in regola con la “Cookie Law”. Mi limiterò ad elencarvi quei plugin per WordPress e quelle estensioni per Joomla che sembrano essere i migliori secondo i feedback dati dagli utenti o prove da me effettuate. Vi prego di segnalarmi eventuali plugin/estensioni che avete usato e ritenete utili/affidabili, così che possa aggiornare questa lista.
Plugin per WordPress: Cookie Law Info, Responsive Cookie Banner, WP Cookie Banner
Estensioni per Joomla: EU e-privacy Directive, Cookie Accept, Folcomedia – Cookies Alert
Conclusioni
Anche se a prima vista questa legge potrebbe sembrare di facile implementazione, in realtà richiede competenze elevate sia in termini legali che tecnici, quindi il mio consiglio è comunque quello di rivolgersi sempre a professionisti che sappiano implementare le dovute modifiche sul vostro sito, tra l’altro le multe molto elevate che sono state previste non consentono errori. Nelle prossime settimane vorrei cercare di approfondire la questione dal lato tecnico, mettendo alla prova gli strumenti disponibili per WordPress e Joomla. Nel frattempo esprimete i vostri pareri, dubbi o curiosità… come al solito sarò lieto di ascoltarvi e rispondervi.
Autore: Surian Soosay
Licenza: CC Attribution 2.0 Generic