È un po’ tardi per parlarne, e io stesso ho sistemato il sito solo due giorni fa, ma meglio tardi che mai. Magari qualcuno ancora non lo sa e vuole rimediare, tanto a meno di casi particolari basta una serata a fare tutto (o molto meno se raffazzonate una pagina sui cookie con pochi dettagli).
Vedete la barra nera in fondo alla pagina che vi nasconde parte dell’articolo? C’è scritto che questo sito, un po’ come tutti i siti che non siano HTML e basta, fa uso di cookie. Vi avvisa e vi permette di accedere a una pagina con ulteriori dettagli sulla politica di privacy e cookie del sito, oppure di premere “Ok” e far scomparire l’avviso. La pagina con i dettagli extra è raggiungibile anche da un link sempre presente in fondo alle pagine del sito.
Come mai queste indicazioni?
Perché dal 2 giugno scatta l’obbligo, per via del provvedimento del Garante della Privacy deciso proprio un anno fa. Chi non adempie all’obbligo di indicare la presenza di cookie e l’uso dei dati personali raccolti, può ricevere multe fino a 120mila euro. Le multe peggiori sono per chi omette al visitatore l’uso di cookie di profilazione (diversi dai cookie tecnici), quelle minori per chi omette le indicazioni sulla privacy. Quest’obbligo in fatto di privacy e cookie non è solo italiano, vale per tutta l’Unione Europea.
Cosa sono i cookie e come vanno distinti a fine legale? Lascio la parola al sito del Garante della Privacy:
3. Cosa sono i cookie “tecnici”?
Sono i cookie che servono a effettuare la navigazione o a fornire un servizio richiesto dall’utente. Non vengono utilizzati per scopi ulteriori e sono normalmente installati direttamente dal titolare del sito web.
Senza il ricorso a tali cookie, alcune operazioni non potrebbero essere compiute o sarebbero più complesse e/o meno sicure, come ad esempio le attività di home banking (visualizzazione dell’estratto conto, bonifici, pagamento di bollette, ecc.), per le quali i cookie, che consentono di effettuare e mantenere l’identificazione dell’utente nell’ambito della sessione, risultano indispensabili.
4. I cookie analytics sono cookie “tecnici”?
No. Il Garante (cfr. provvedimento dell’8 maggio 2014) ha precisato che possono essere assimilati ai cookie tecnici soltanto se utilizzati a fini di ottimizzazione del sito direttamente dal titolare del sito stesso, che potrà raccogliere informazioni in forma aggregata sul numero degli utenti e su come questi visitano il sito. A queste condizioni, per i cookie analytics valgono le stesse regole, in tema di informativa e consenso, previste per i cookie tecnici.
5. Cosa sono i cookie “di profilazione”?
Sono i cookie utilizzati per tracciare la navigazione dell’utente in rete e creare profili sui suoi gusti, abitudini, scelte, ecc. Con questi cookie possono essere trasmessi al terminale dell’utente messaggi pubblicitari in linea con le preferenze già manifestate dallo stesso utente nella navigazione online.
6. È necessario il consenso dell’utente per l’installazione dei cookie sul suo terminale?
Dipende dalle finalità per le quali i cookie vengono usati e, quindi, se sono cookie “tecnici” o di “profilazione”.
Per l’installazione dei cookie tecnici non è richiesto il consenso degli utenti, mentre è necessario dare l’informativa (art. 13 del Codice privacy). I cookie di profilazione, invece, possono essere installati sul terminale dell’utente soltanto se questo abbia espresso il proprio consenso dopo essere stato informato con modalità semplificate.
Quindi, domanda domandina, Google Analytics è cookie tecnico o cookie di profilazione? Come spiega il Garante, essendo informazioni private rilasciate a una terza parte è un cookie di profilazione. Esattamente come Google Ads, che usa la profilazione degli utenti per decidere come modificare le offerte pubblicitarie mostrate. Ma chi è tenuto a fare la scartoffie burocratiche (circa 150 euro) per usare questi cookie, Google che fisicamente li installa tramite il servizio di Ads (o ne fa uso tramite Google Analytics) o il possessore del sito?
Non si sa. Non c’è ancora una risposta certa. Nel dubbio, se avete un sito su un vostro dominio e un vostro spazio, in cui voi dovete gestire tutto (come è il mio caso o quello di Gamberetta o di Zwei), vi consiglio di TOGLIERE Google Ads e di rendere assimilabile a cookie tecnico Google Analytics, se lo usate.
Come rendere ok Google Analytics?
Dovete renderlo anonimo, in modo che non possa fare profilazione coi dati che gli inviate. Se avete inserito la stringa direttamente è sufficiente aggiungere un bel
ga(‘set’, ‘anonymizeIp’, true);
sotto le righe
ga(‘create’, ‘UA-XXXXXXXX-X’, ‘auto’);
ga(‘send’, ‘pageview’);
Dove ovviamente UA-XXXXXXXX-X contiene il vostro codice specifico. Se invece avete un plugin per gestire l’inserimento del codice, per esempio io ho Google Analytics by Yoast che permette di spuntare una casella e rendere anonimo il tutto. Se avete un plugin per gestire Google Analytics e non vi dà l’opzione per renderlo anonimo, cambiate plugin o inserite il codice a mano.
Torniamo alla pagina del Garante:
12. L’obbligo di usare il banner grava anche sui titolari di siti che utilizzano solo cookie tecnici?
No. In questo caso, il titolare del sito può dare l’informativa agli utenti con le modalità che ritiene più idonee, ad esempio, anche tramite l’inserimento delle relative indicazioni nella privacy policy indicata nel sito.
E qui qualcuno potrebbe tirare un sospiro di sollievo… ma anche no. Siete proprio sicuri di avere solo cookie tecnici vostri? Di non avere cookie di terze parti, a loro volta a norma con la legge, la cui privacy va indicata? Se usate WordPress su un vostro spazio, anche senza aver installato plugin vari, dovreste avere accesso a Gravatar, il sistema che permette di avere uno stesso avatar legato alla propria mail dovunque si commenta.
Lo dovete indicare. E comunque dovete mettere le indicazioni di privacy nel sito, tanto vale infilarci anche il necessario sui cookie.
E se uso blogspot o altri servizi che mi concedono loro spazio e indirizzo?
Cambia poco. Alla barra, se non potete procedere voi, dovrebbero procedere loro. Per esempio blogspot lo fa in automatico. Qui sopra c’è una schermata che mostra il blog di Michael Swanwick, autore che abbiamo pubblicato con Vaporteppa. Vista la barra blu? Cliccando per avere maggiori informazioni manda alla pagina che spiega tutti i cookie e le questioni di privacy legate al servizio fornito da Google.
Vedete il box viola in basso? Quello è fornito dal plugin di Firefox Ghostery, comodo per capire se avete cookie che tengono traccia della navigazione dei vostri lettori, soprattutto cookie di terze parti.
E qui arriva la cattiva notizia: anche se non usate Google Ads sul vostro blog fornito da blogspot, il cookie di profilazione è comunque attivo (vedi schermata sopra) perché Google comunque scheda i comportamenti dei navigatori sui blog da lui forniti. E non potete farci un cazzo, temo, se non incrociare le dita e sperare che la legge dia la responsabilità a Blogspot e non a voi che non potete farci niente. :-)
O meglio, qualcosa potete (e dovete, se ho capito giusto) farla: la pagina con le indicazioni sulla privacy. Se poi avete anche altri servizi di terze parti attivi, come box di twitter o simili, siete proprio obbligati a fare la pagina estesa e segnalarla bene nel vostro sito.
Nulla di difficile, basta farlo.
Se non sapete cosa scrivere nella pagina estesa sulla privacy provate a imitare chi lo ha già fatto. L’ideale è indicare le pagine di privacy di ogni singolo cookie di terze parti impiegato, come ho fatto io. Non è obbligatorio indicare nel dettaglio i cookie, basta far capire quali sono e come funzionano in poche parole: basta dire che avete Google Analytic, che l’avete reso anonimo e linkare la sua pagina di privacy, non siete obbligati a elencare che c’è il cookie __utmb che scade dopo 30 minuti di inattività, il cookie __utmc che scompare alla chiusura della sessione ecc. ok?
E ricordatevi di indicare in che modo, sui principali browser, l’utente può disattivare i cookie!
Ecco un paio di articoli con indicazioni su come operare:
http://www.blogfacile.net/legge-su-privacy-e-cookie/
http://wwwwelcometonocturnia.blogspot.it/2015/05/privacy-policy.html
http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3585077
E un esempio di pagina estesa con l’informativa, fatta da un sito professionale che le realizza a pagamento (per cui spero sia giusta e affidabile come impostazione e contenuti):
https://www.iubenda.com/privacy-policy/994435/cookie-policy
Per il messaggio nella barra io ho impiegato il plugin Cookie Notice by dFactory, ma potete usare altri plugin altrettanto validi.
Qui un’idea facile (ma con dei dubbi) per chi è ospitato su WordPress.com.
Ok, non era proprio il tipo di post che vi aspettavate. Non è il nuovo post a tema armi da fuoco che ho promesso di completare ad alcuni di voi due mesi fa e non è il primo post di approfondimenti sul mondo del tè, per iniziare a capire e amare il tè assieme. Non è nemmeno il post su certi aspetti famosi per chi ci lavora, ma poco noti al pubblico, che rendono l’editoria cartacea tradizionale un suicidio per gli editori e per i librai, premiando solo i distributori. Abbiate pazienza, arriverà tutto. :-)
Però almeno questo post qualche utilità ora ce l’ha, no?
Non quanto i coniglietti, ma non si può avere tutto…
Segnalo che Ghostery dà qualche problema, ad esempio segnala la presenza di ADsense (e Double Click) sui blog di blogger, tipo il mio, anche quando è assente.
Discutendo con Nick del blog Nocturnia mi ha detto che a vari utenti ha dato lo stesso problema…
@AleK
Bisogna vedere se sono davvero assenti. Il fatto che il proprietario non usi la pubblicità non implica che Google, ugualmente, non usi il traffico di utenti per farne profilazione (in base alla pagina visitata).
Per esempio su Nocturnia è indicato il cookie, anche se Google Adsense non è attivo, giusto? E ci viene indicato da dove proviene il cookie:
Guardando il sorgente della pagina infatti troviamo:
Ho messo le [ e ] al posto degli iniziali < e > per renderlo visibile (il tag “code” non mi funziona).
Non sembra un falso positivo, nella pagina il pezzo è presente. :-)
Scusa, ho riletto l’articolo e ho visto che lo avevi pure scritto esplicitamente senza possibilità di fraintendimento… -_-‘
Per non so quale ragione il mio cervello pensava ad Analytics e non Ads.
Bisogna anche vedere se quel tracker richiamato è veramente un cookie di profilazione. Io ipotizzo di sì, essendo la soluzione ideale per google, ma non lo so con certezza.
La questione è che non ci si può far niente per cui non resta che sperare per il meglio e dato che l’url è di google, il servizio è di google ecc. e il “proprietario” del blog in realtà è solo uno a cui è concesso di scrivere in spazi non suoi, la legge non dia addosso a chi pubblica su spazi che non può davvero gestire. :-)
(E magari, poi, non è un cookie di profilazione…)
Ciao
Oggi ho parlato con un mio amico che fa il programmatore di computer, mi ha confermato la stessa cosa, cioè che probabilmente il motivo per cui con alcuni plug in come Ghostery vengono fuori lle presenze di Adsense o Double Click anche quando non sono utilizzate su un blog dipendono semplicemente dal fatto che sono cookie di Google e quindi sono presenti le loro tracce su tutti i blog di blogspot anche se il gestore di un blog non li attiva.
insomma, ci sono e noi non ci possiamo fare niente.
Dimenticavo: grazie per aver linkato e citato il mio post. ;)
Prego, era uno degli articoli più completi sull’argomento per cui era un dovere segnalarlo a chi deve arrabattarsi all’ultimo come ho fatto io per compilare la pagina. :-D
Soluzione rapida per chi usa un blog su WordPress.com (e non può installare plugin nuovi, per esempio per avere il bannerone) può essere di piazzare un bel box BEN visibile (scritta di titolo grossa e colorata? sfondo colorato? immagine che richiami l’attenzione?) laterale in ALTO sulla pagina. In pratica, con i widget, semplicemente in cima agli altri.
Dentro ci si scrive una annotazione sull’uso di cookie e sulla privacy per via di quanto richiesto dal Garante bla bla bla e si rimanda alla pagina di Policy Privacy e Cookie della società che gestisce ed è responsabile di queste questioni per il blog, ovvero Automattic Inc.
http://automattic.com/privacy/
PROBLEMI, secondo me:
– Automattic non definisce uno per uno i cookie di profilazione usati (non ne ha? ahahahaah) né quelli di terzi parti.
– Automattic non descrive nel dettaglio come rinunciare ai cookie con i principali browser, si limita a indicare che ciò è possibile.
Opinioni?
Ciao
Nuovo comunicato con qualche chiarimento del garante:
http://www.garanteprivacy.it/cookie
In particolare le Faq del garante sono molto interessanti:
http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3585077
La pagina delle FAQ è quella già linkata nell’articolo. Le indicazioni sembrano le stesse di prima su come gestire le indicazioni su quelle di terze parti e su quelli di statistiche. Che differenze ci sono?
Errore mio (sorry).
Di niente, capita!
Vedo un po’ di agitazione in giro, tra chi corre ai ripari all’ultimo. Noi che abbiamo fatto a 1-2 settimane dalla scadenza, e forse abbiamo fatto pure più del necessario con ‘sto bannerone qua, sembriamo quasi degli early adopter. ^___^
Ciao, anche io ho inserito da poco la cookie policy sul mio blog ma ho un dubbio su Tumblr. Ho sempre pensato che fosse un social network più che un blog e non so se la cookie policy va inserita anche li. Spero tanto di no perché non saprei proprio come fare !!!
http://Romymc.com
Un articolo con altre info utili, anche per stare sereni riguardo l’uso di Google Analytics
http://www.chefuturo.it/2015/06/guida-cookielaw-garante-banner-analytics-cookies/
Duca, grazie per tutte le info!
Io ho tenuto chiuso il blog fino a che su wordpress.com non è diventato possibile avere proprio un banner dedicato. Ora sto cercando di settare il tutto, così da riaprirlo senza timori, anche se la prospettiva del blog in inglese con banner in italiano mi fa ridere… Vabbè, devo comunque ancora studiar bene la cosa.
Di nuovo grazie per il tempo speso ad informarci :D