Pare che di cookie si debba morire prima o poi. Qualunque sito visiti ti senti minacciato, spiato, seguito. Il clima è di terrore.

Sebbene tutti in agenzia studino il provvedimento del Garante, il ravvedimento del Garante, le risposte del Garante e via dicendo… sembra non si riesca proprio a uscirne.

Riceviamo email, telefonate, sms di clienti e anche di sconosciuti che ci chiedono pareri, consigli, proposte, anche solo un po’ di conforto su quanto fatto nel proprio sito. Il punto è: neppure noi siamo realmente in grado di dare questo conforto perché lo stesso Garante sta valutando se fare un altro provvedimento ancora per chiarire alcuni aspetti della normativa!

Però, come abbiamo fatto qualche mese fa quando è uscito il provvedimento, proviamo a dipanare la matassa…

I cookie sappiamo cosa sono adesso (o almeno dovremmo!).

Vediamo quali sono i cookie che ci interessano e come si devono comportare i gestori dei siti.

PREMESSA

I cookies si differenziano a seconda della loro durata, del dominio che li ha installati e della loro funzione.

Durata

Cookies di sessione: si tratta di file temporanei che vengono memorizzati fino a quando il sito viene abbandonato (oppure il browser di navigazione viene chiuso).

Cookies persistenti: si tratta di file che vengono immagazzinati e mantenuti anche dopo l’abbandono del sito e la chiusura del browser. Vengono eliminati solamente dopo la data di scadenza indicata nel cookie stesso.

Dominio

Cookies “proprietari  o di prima parte”: si tratta di file che vengono installati sul dispositivo dell’utente direttamente dal sito su cui si sta navigando.

Cookies “di terze parti: sono cookie impostati da un sito web diverso da quello che si sta visitando. Ad esempio, un sito che contiene al suo interno un pulsante “Mi piace” di Facebook. Quel pulsante imposterà un cookie che può essere letto da Facebook. Questo può essere considerato come un cookie di terze parti. Alcuni inserzionisti pubblicitari utilizzano questi tipi di cookie per tenere traccia delle visite dell’utilizzatore su tutti i siti sui quali offrono i propri servizi.

Vedremo successivamente cookie di terze parti quali Google Analytics, contenuti embeddati, cookie da widget social, Google Font e Google Maps.

Se un utente ritiene che questa tracciabilità possa essere fonte di preoccupazione e di ingerenza nella propria privacy, da browser è possibile disattivare i cookie di terze parti.

OPZIONI DEL BROWSER: INSTALLAZIONE E DISINSTALLAZIONE DEI COOKIE. Approfondisci qui.

 

Per quanto riguarda la FUNZIONE, per praticità seguiamo l’infografica del Garante.

Cookie-Garante-infografica

1) COOKIE TECNICI

I cookie tecnici: sono i cookie che servono a effettuare la navigazione o a fornire un servizio richiesto dall’utente. Non vengono utilizzati per scopi ulteriori e sono normalmente installati direttamente dal titolare del sito web. Non hanno quindi scopo promozionale. Sono relativi a:

  • attività strettamente necessarie al funzionamento del sito e/o del servizio richiesto.
  • statistica, ma solo se utilizzati direttamente dal gestore del sito e solo se in forma aggregata, non singolarmente.
  • attività di salvataggio delle preferenze (es. impostazione di lingua e valuta, carrello nel caso degli e-commerce ecc.). Senza il ricorso a tali cookie, alcune operazioni non potrebbero essere compiute o sarebbero più complesse e/o meno sicure, come ad esempio le attività di home banking (visualizzazione dell’estratto conto, bonifici, pagamento di bollette, ecc.), per le quali i cookie, che consentono di effettuare e mantenere l’identificazione dell’utente nell’ambito della sessione, risultano indispensabili.

Cosa dice il Garante: se ci sono soltanto cookie tecnici, avvisa il Garante, “il titolare del sito può dare l’informativa agli utenti con le modalità che ritiene più idonee, ad esempio, anche tramite l’inserimento delle relative indicazioni nella privacy policy indicata nel sito”.

Non è necessario quel classico banner (“Dai il consenso“) che si vede un po’ ovunque e che appare quando entriamo su un sito per la prima volta. Non è necessaria la costosa (150 euro) notifica al Garante.

L’informativa estesa, però, va fatta.

2) COOKIE TECNICI + ANALYTICS: parliamo di cookie “a basso potenziale identificativo”.

Anche in questo caso non serve nessun banner, nessun consenso, né notifica al Garante e questo indistintamente se i cookie in questione sono gestiti direttamente dal titolare del sito o da una terza parte.

Il problema è che il Garante non ha chiarito qual è il “basso potenziale identificativo”……

3) COOKIE TECNICI + ANALYTICS “ad alto potenziale identificativo” + COOKIE DI PROFILAZIONE DI PRIMA PARTE (del sito stesso).

I cookie di profilazione: sono i cookie utilizzati per tracciare la navigazione dell’utente in rete e creare profili sui suoi gusti, abitudini, scelte, ecc. Con questi cookie possono essere trasmessi al terminale dell’utente messaggi pubblicitari in linea con le preferenze già manifestate dallo stesso utente nella navigazione online. Sono quindi cookie:

  • di statistica gestiti da terze parti.
  • di profilazione pubblicitaria.
  • di retargeting (il cookie _dc di GA): In caso si scelga di utilizzarlo è bene seguire le indicazioni fornite direttamente da Google qui: https://support.google.com/analytics/answer/2700409
  • dei social network.

I Cookie di profilazione non possono rimanere sul dispositivo del visitatore per un periodo superiore a 12 mesi.

Ci sono delle eccezioni (le vedremo dopo nel dettaglio):

  • Cookie gestiti da terze parti, ma anonimizzati in maniera tale che la terza parte non possa né accedere e nemmeno utilizzare i dati in forma disaggregata a livello IP. Per esempio Google Analytics.
  • Cookie inviati da software di analytics installati direttamente sul server del sito o nella server farm del sito, quindi non forniti da servizi esterni di terze parti.

Sono cookie preziosi per motivi pubblicitari, consentono infatti di veicolare messaggi in modo mirato, arrivando potenzialmente ad apparire a quegli utenti che hanno manifestato interesse per un prodotto o un servizio specifico. Si tratta di banner e video che di norma consideriamo “noiosi e fastidiosi” e che, in alcuni casi, rallentano anche la navigazione.

ATTENZIONE PERO’: il fatto però che un utente non acconsenta alla ricezione di cookie di profilazione, negando il proprio benestare tramite il banner che appare alla prima visita a un sito, non significa che la sua navigazione sarà esente da pubblicità! Semplicemente non si terrà in conto l’interesse specifico di quel video o banner.

Cosa dice il Garante: i cookie di profilazione possono essere installati sul terminale dell’utente soltanto se questo abbia espresso il proprio consenso dopo essere stato informato con modalità semplificate.

  • Il gestore del sito deve innanzitutto impedire alle terze parti di iniziare qualsiasi trattamento di dati personali dei loro visitatori prima che questi ultimi siano stati posti in condizione di scegliere se prestare o meno il consenso.

Questo va fatto con uno script che blocchi i cookie prima che l’utente dia il consenso. E’ la parte più gravosa.

L’informativa va impostata su due livelli:

  • Nel momento in cui l’utente accede a un sito web (sulla home page e su qualunque altra pagina), deve immediatamente comparire un banner contenente una prima informativa “breve”, la richiesta di consenso all’uso dei cookie e un link per accedere ad un’informativa più “estesa”. In questa pagina, l’utente potrà reperire maggiori e più dettagliate informazioni sui cookie scegliere quali specifici cookie autorizzare.
  • Il gestore del sito quale titolare di un trattamento di dati personali connesso all’installazione dei propri cookie di profilazione e/o semplicemente dei cookie di analytics non “a basso potenziale identificativo”, dovrà notificare al Garante tale trattamento come già previsto nel Codice Privacy  modificare la notificazione eventualmente già effettuata dando atto che si effettua anche un’attività di profilazione “a mezzo cookie”. Il modulo lo trovate a questo link: https://web.garanteprivacy.it/rgt/NotificaTelematica.php

Come deve essere realizzato il banner? E come deve essere l’informativa? Approfondisci qui.

4) COOKIE TECNICI + ANALYTICS “a basso potenziale identificativo” + COOKIE DI PROFILAZIONE DI TERZA PARTE

Vuol dire che il gestore del sito consente a terze parti di installare cookie di profilazione.

Cosa deve quindi fare? Deve impedire la raccolta dei dati prima che i visitatori siano stati posti in condizione di scegliere se prestare o meno il consenso.

Cosa dice il Garante: gli adempimenti sono gli stessi del punto precedente (banner con informativa breve e estesa) salvo il fatto che il gestore del sito, che non è titolare di alcun trattamento di dati personali, non è tenuto a procedere a nessuna notifica al Garante.

Adesso facciamo un altro passo: come facciamo a sapere se abbiamo cookie di profilazione?

WIDGET SOCIAL

I widget social per la condivisione degli articoli: dice il Garante: “Se sono semplici link di rimando ai siti social, nessun problema. Non ci sono cookie di profilazione. Sta poi al gestore del sito sapere se invece i widget mandano cookie di profilazione all’utente”.

GOOGLE ANALYTICS

Non sono cookie di profilazione quelli analytics, a patto che i dati siano usati solo dal gestore per studiare le visite del sito. Questo ci fa tirare un sospiro di sollievo.

Il Garante spiega che “sono assimilati a quelli tecnici solo quando realizzati e utilizzati direttamente dal sito per migliorarne la fruibilità”.

È possibile evitare gli aspetti onerosi della nuova disciplina anche se “i cookie analitici sono messi a disposizione da terze parti”, a due condizioni:

  • “i gestori del sito adottino “strumenti che riducono il potere identificativo dei cookie (ad esempio tramite il mascheramento di porzioni significative dell’IP – opzione per anonimizzare analytics);
  • “la terza parte si impegna a non incrociare  le informazioni contenute nei cookies con altre di cui già dispongano”.

Per ulteriori informazioni sull’uso dei dati e sul loro trattamento da parte di Google si raccomanda di prendere visione delle informazioni al seguente indirizzo internet: http://www.google.com/intl/it/policies/privacy/.

Ulteriori informazioni sulla gestione della privacy e/o sulle modalità per rifiutare o eliminare questo tipo di cookie sono disponibili alla URL: http://www.google.it/intl/it/analytics/privacyoverview.html.

L’Utente può disabilitare in modo selettivo l’azione di Google Analytics installando sul proprio browser il componente di opt-out fornito da Google: per disabilitare la raccolta di dati da parte di Google Analytics, si rinvia al link di seguito indicato: https://tools.google.com/dlpage/gaoptout

Come gestire pulsanti social (like, condivisioni), embed di video di YouTube, Twitter, mappe di Google?

È possibile ovviare in vari modi: con widget che sostituiscono i bottoni social con link statici e usando le impostazioni privacy nell’embed di Youtube.

Già…. Ma non sono proprio questi a dare vita a un sito, a renderlo più “moderno” e dinamico?

CONTENUTI EMBEDDATI

Si tratta di cookie di terze parti. Se un sito utilizza video per esempio di Youtube e Vimeo, contenuti dei social Twitter, Facebook, Google+ e, in generale, contenuti embeddabili di altre piattaforme è consigliato informarsi direttamente presso ogni terza parte per avere maggior controllo su questi cookie.

Di seguito alcuni link utili alle policy cookie delle terze parti citate:

•  Facebook https://www.facebook.com/help/cookies/

•  Twitter https://twitter.com/privacy?lang=en

•  Youtube https://www.google.it/intl/it/policies/privacy/

•  Google+ http://www.google.com/policies/technologies/types/

•  Vimeo https://vimeo.com/cookie_policy

GOOGLE MAPS e GOOGLE FONT

Anche qui si tratta di cookie di terze parti. Se un sito utilizza in alcune parti del sito dei font dal servizio Google Fonts e le mappe di Google Maps è consigliato informarsi direttamente al link https://www.google.it/intl/it/policies/privacy/

Quindi, alla fine, quali sono i siti che usano i cookie di profilazione? Sono sostanzialmente i siti commerciali e i siti e-commerce.

Ma, dicevamo, nell’incipit dell’articolo… che lo stesso Garante sta valutando se fare un provvedimento per chiarire ancora alcuni aspetti della normativa.

Insomma, attendiamo l’evoluzione senza troppo panico.

Vi abbiamo detto tutto, ma proprio tutto. Adesso va messo in pratica… ma, ricordiamo, senza allarmismi.

Il Garante potrebbe cambiare ancora idea. In fondo, in questo modo, sta penalizzando le nostre PMI che già erano restie a entrare nel web, adesso ne hanno il terrore.

Per conoscere tutta la normativa clicca qui.

MacroWebMedia, web agency e software house dal 1999 al vostro fianco.