Cookie Law, da ieri probabilmente il vostro sito non è più in regola

Dal 2 giugno, Festa della Repubblica, entra in vigore la nuova legge sui cookie (vedi sito garante).
Da ieri, quindi, molto probabilmente il vostro sito non è più in regola e con tutta probabilità sanzionabile (le multe sono salatissime, fino a 120.000€).

E’ una legge che molti ritengono ingiusta e atta ad imbavagliare il web, ma è stata approvata ed ora è qui.
Inutile confidare in proroghe o sul fatto che “tanto poi nessuno controlla“.
Il Garante ha dato alla G.d.F. il mandato di effetture i controlli e devo dire che se c’è l’intenzione di controllare lo si può fare senza troppi sforzi (basta scrivere un piccolo web crawler) grazie alle tecnologie moderne.

Internet viagga alla velocità della luce, ed i controlli pure.

Insomma, il concetto lo capirebbe chiunque, inutile negare l’evidenza. La tecnologia ha reso questo tipo di indagini assolutamente capillari e rapide, evitando a noi esseri umani tediose attività di catalogazione manuale dei siti.

Se non siete ancora convinti di quanto sia facile scrive un “bot”, provate a leggere la documentazione (o i file sorgenti) di Scrapy (http://scrapy.org/). Si tratta del primo che ho trovato con una semplice ricerca su Google e potrei scommettere che voi, con ricerche approfondite, sarete in grado di trovare anche di meglio.

Come verificare i cookie del proprio sito.

Dato che nessuno di noi poveri mortali dispone al monento di un “bot” personale in grado di redarre un report dettagliato sullo stato dei cookie del proprio sito, vi illustro un semplice metodo per farlo manualmente.

Utilizzeremo Firefox, perché dispone di un plug-in molto utile e semplice da utilizzare che elenca tutti i cookie che vengono scritti sul nostro PC.
Ecco come preparare lo strumento di controllo:

  1. Scaricare Firefox
  2. Installare Firefox sul proprio PC.
  3. Installare Firebug: Clicca su “+ Add to Firefox”, attendi qualche istante che il plug-in venga scaricato e conferma poi l’installazione.

A questo punto dovresti ritrovarti Firefox + Firebug installati correttamente sul PC.
Ecco come controllare quali cookie vengono utilizzati dal tuo sito web:

  1. Apri Firefox
  2. Digita nella barra di navigazione l’indirizzo del tuo sito e premi invio.
  3. Avvia Firebug: clicca sull’icona dello “scarrafone” che trovi alla destra della barra di navigazione.
  4. In basso compare una nuova finestra divisa a “Tab”: seleziona il Tab Cookie. Clicca “Attiva Tab” se necessario.
  5. Elimina tutti i cookie presenti (Clicca sul menu Cookie e poi su “Elimina Cookie”). In questo modo effettueremo il controllo con maggior precisione.
  6. Ricarica la pagina del tuo sito (premi F5, oppure la rotellina a destra della barra di navigazione).
  7. Buona visione.

Ecco un video che mostra questa sequenza.

video_01

Come faccio a sapere se sono in regola?

Se il tuo sito non scrive Cookie e se non fai uso di Form di contatto, allora puoi evitare di leggerti tutto l’articolo perché la nuova normativa sui cookie non ti tange.

In caso contrario e se sei del tutto sprovvisto di un documento di “Privacy Policy e Cookie Policy” allora sei assolutamente sanzionabile e non in regola.

Premesso che non sono un avvocato e che quanto segue non può essere equiparato ad una consulenza legale, cercherò di riassumere in parole semplici i tratti salienti della normativa.

Riassunto della “Europen Cookie Law”

Cookie Tecnici e di Sessione Vs. Cookie di Profilazione

Prima di tutto dovete cercare di capire quali cookie utilizza il vostro sito.
Quelli “innocui” sono quelli tecnici e di sessione, cioè tutti quei cookie utili alla navigazione (memorizzano le preferenze dell’utente, la lingua, le statistiche*, ecc..) o che alla chiusura del browser vengono automaticamente cancellati (sessione).

La buona notizia è che i cookie tecnici non richiedono l’avviso a popup (o banner) sul sito, ma solo essere dichiarati nell’informativa estesa (Privacy e Cookie Policy), e possono essere scritti senza dover richiedere il consenso.

*Per i cookie di statistiche (Google Analytics, DoubleClick, ecc..) c’è una precisazione da fare: sono considerati tecnici solo se raccolgono dati in maniera aggregata, cioè senza rilevare l’indirizzo IP dell’utente (cosa che per esempio Google Analytics non fa in modo predefinito – vedi “Mascheratura IP“).
Fate molta attenzione a questo particolare, perché non è irrilevante.
In caso contrario, cioè se il cookie rileva l’IP dell’utente, sono da considerarsi Cookie di Profilazione.

Ed eccoci al “lato oscuro della forza”: i Cookie di Profilazione.
Sono il 90% dei cookie utilizzati. Se state utilizzando TripAdvisor, Facebook, Google Map, YouTube, Twitter, AdMob, AdWords, ecc.., allora state aiutando qualcuno a raccogliere dati sui gusti e sulle preferenze dei vostri utenti.
Di questo campano Facebook, Google, Twitter, Pinterest e compagnia bella.

In questo caso, cioè nel caso stiate utilizzando cookie di profilazione, avete l’obbligo di notificarlo con un banner (o messaggio a popup bloccante) e di impedirne la scrittura fino ad avvenuto consenso.

RIASSUNTO:

Cookie Tecnici e Cookie di Sessione: NO BANNER, SI INFORMATIVA, NO BLOCCO SCRITTURA

Cookie di Profilazione: SI BANNER, SI INFORMATIVA, SI BLOCCO SCRITTURA

Ma non finisce qui, c’è l’Informativa al Garante

Se fai profilazione degli utenti (cioè se raccogli informazioni su IP, provenienza, abitudini, ecc..) dei tuoi utenti, allora devi inviare notifica on-line al garante (costa 150€ di diritti di segreteria).

Se invece usi cookie di profilazione di terze parti, ma non fai profilazione per tuo conto, hai il solo obbligo di informare l’utente su come impedirlo indicando nell’informativa il link di Opt-Out che porti alla pagina del sito del produttore con tutte le informazioni necessarie.

Conclusione

In conclusione, quasi nessuno è in regola.
A quanto pare i controlli ci saranno.

Mettersi in regola, anche con tutta la buona volontà, non è facile.
Chi utilizza CMS come WordPress o Magento ha il problema di impedire la scrittura dei cookie che molto spesso vengono gestiti dal template o dai plug-in. Ovviamante mettere le mani nel template modificando gli script PHP non è cosa consigliabile, anche perché al primo aggiornamento verrà tutto spazzato via.

La soluzione che abbiamo studiato con le startup insediate nel Parco Scientifico e Tecnologico Italia-San Marino si pone l’obiettivo di rendere l’adeguamento il più indolore possibile.
Il sito è ancora in fase di costruzione, ma le tecnologie sono perfettamente funzionanti e complete di tutto quanto richiesto dalla normativa, compreso il supporto nativo alle lingue parlate nella UE.

 

Link Utili:

FAQ del Garante: http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3585077

 

Leave a Reply

Your email address will not be published. Required fields are marked *