La legge sui Cookies del garante della privacy entrerà in vigore il prossimo due giugno. Siamo ancora tutti in alto mare.
La domanda che molti mi fanno è: come ci si può mettere a norma? Che è un po’ una domanda trabocchetto, perché per capire come mettersi a norma bisogna capire quali sono i cookies generati dal vostro sito.
La stragrande maggioranza dei siti web ha in essere solo cookies tecnici e cookies di terze parti. Il grosso problema della legge italiana, rispetto a quello europea, sta in questo. Secondo la legge italiana i cookies di profilazione, anche quelli di terze parti, vanno bloccati fin al consenso dell’utente, consenso che può essere effettuato non solo cliccando su “Accetto” sul banner, ma che può essere dato facendo un’azione sui siti web (scrollando, cliccando, etc).
Oltre al blocco preventivo dei Cookies, c’è la questione del banner. Ne ho visti diversi, di banner, ma quasi tutti sono fuori norma. Il banner deve essere in evidente discontinuità col sito. L’utente deve notarlo. Non va nascosto. Lo scopo del banner è informare l’utente che il sito in cui si trova utilizza cookies di profilazione. Nel banner dovrà essere inserito anche un link alla privacy policy in cui viene nel dettaglio specificato quali sono i cookies che vengono utilizzati dal sito e i link alle rispettive privacy policy dei siti di terze parti.
Tecnicamente per fare il blocco preventivo dei Cookies ho trovato due plugin. Il primo, che mi sembra abbastanza completo, è CookieBot che ha un costo che parte dai 4 euro al mese e arriva fino ai 29 euro al mese a seconda del numero di pagine che ha il sito web.
In alternativa è stato sviluppato un plugin per WordPress che si chiama Dynamic Cookie Blocker, ha un costo decisamente più accessibile: 25 euro una tantum per sito web, ma se ne avete molti siti web ci sono dei pacchetti con diverse licenze che costano meno. Dynamic Cookie Blocker è stato sviluppato in Italia e conosco, di fama, una delle persone che ci ha lavorato.
E’ importante dirvi che né CookiesBot né Dynamic Cookie Blocker generano la policy. Per quella il consiglio è quello di rivolgersi a Iubenda, partner tecnico del garante, al costo di 19 euro l’anno.
Edit del 25/05: io scelgo Dynamic Cookie Blocker
Ho valutato attentamente dal punto di vista tecnico i vari servizi disponibili per il blocco dei Cookies, compresi, oltre quelli citati, Iubenda che offre una sua soluzione apposita e i gratuiti Italy Cookies Choice e Cookie Consent.
Alla fine sono arrivata alla conclusione che il migliore, il più facile da usare e il più completo sia Dynamic Cookie Blocker che è quello che sceglierò per me. Con il sistema Dynamic Cookie Blocker posso pure tenermi Adsense senza difficoltà, perché non va a modificare il codice.
Per tutti i siti al di fuori di WordPress che hanno problemi solo con la questione Cookie di terze parti generati da Social e da Analytics consiglio invece Cookie Consent. In alternativa, per una protezione maggiore, c’è CookieBot che forse è più completo, considerando che fa anche il controllo Cookie. Il problema di Cookie Consent e CookieBot (e anche di Iubenda) è che i loro sistemi di blocco cookie sono da implementare a mano ed è un processo lungo e noioso (inoltre comunque inutile per Adsense: non si può modificare il codice di Adsense)
Per quanto riguarda Italy Cookie Choice: se funzionasse sarebbe una figata. Ha qualche problema, ma per il futuro potrebbe essere una bella sorpresa.
Aggiungo anche ho sentito vociferare che ci sarà un incontro tra Adsense Italia e il garante della privacy questa settimana. Possibili novità? Vi terrò aggiornati.
Ricordo comunque che queste ovviamente sono, come si dice a Genova, “tapulli”, ovvero tappabuchi. Si tratta di soluzioni fai-da-te e sostanzialmente automatizzate, per cui c’è sempre un rischio di non essere effettivamente a norma. Per essere certi di essere in regola a mio avviso bisogna rivolgersi ad un programmatore che vi analizzi il sito web e vi individui i cookies, quindi rivolgersi ad un avvocato per capire cosa fare di questi cookies e quindi poi di nuovo si ritorna dal programmatore con le direttive per i cookies.
Tutto questo sempre considerando una situazione comunque lineare, il cui problema è rappresentato solo da Cookies di terze parti. In caso il vostro sito generi cookies di profilazione propri allora la cosa diventa più delicata, visto che c’è anche la comunicazione al garante e i 150 euro di costo di segreteria. In questo caso le sanzioni sono molto più alte (si parte dai 20.000 euro)
Cookies di terze parti
Verosimilmente se avete un sito web oggi, che siate su un dominio vostro, su wordpress.com, blogspot o altervista, avete dei cookies di profilazione di terze parti. Vi indico quelli che sono i più comuni.
- Analytics di Google. Misura il numero di visite, la provenienza delle stesse e da alcune informazioni sul visitatore (location, sistema di navigazione). Considerando la questione privacy, il consiglio è quello di utilizzare Analytics anonimizzando l’ip.
- Bottoni sociali. Sharethis, addthis, shareolic e bottoni sociali creati ad hoc… tutti i sistemi di questo tipo generano cookies.
- Plugin di Facebook. Dal like-box al sistema di commenti di Facebook, in ogni caso Facebook sa sempre chi sei. Quando si parla di profilazione, pensate sempre a Facebook
- Video di Youtube. Sì, anche l’embedd di Youtube genera cookies
- Mappe di Google. Come sopra
Inoltre dovrebbero essere considerati cookies di terze parti anche le campagne a pagamento che generano pixel di tracciamento (Facebook e Adwords).
Per finire il mio consiglio spassionato: se avete Adsense, toglietelo.
La storia di una legge poco applicabile e fatta male
Vi racconto una storia.
Nel 1999 avevo 13 anni, avevo appena comprato il mio primo computer quando i miei genitori decisero di portare internet a casa nostra. Questo cambiò radicalmente la mia vita. Qualche mese dopo, ad inizio estate del 2000, decisi di sfruttare a pieno le potenziali di internet costruendo un sito web su Dragon Ball.
Costruire un sito oggi è una cosa molto diversa a costruire un sito web nel 2000. Un tredicenne per un sito web sviluppato con la tecnologia di oggi rischia una multa minimo di 6000 euro.
La blogger che scrive la recensione dell’ultimo libro che ha letto? Anche lei rischia una multa di 6000 euro. Il fatto di essere ospitata su WordPress o blogger poco importa.
Il piccolo ecommerce che cerca di farsi il suo mercato in un modo dominato da Amazon ed Ebay? Rischia molto di più.
Succede anche che per mesi ho consigliato ad un amico, che fa il tecnico del suono, di aprirsi un blog. Adesso che finalmente si è convinto, ho dovuto dirgli che forse non conviene più.
Questa legge è una strada di opportunità perse.
Ed è una legge inoltre che mette dei limiti geografici ad internet, il che è difficilissimo. Come si metteranno in regola quei servizi come Medium, come Tumblr, come Snapchat o come instagram? E tutti i vari plugin americani?
Con queste basi il futuro Mark Zuckerberg non sarà un europeo.
Questa direttiva europea, da cui poi è nata la legge italiana, era nata con l’intendo di dare delle regole ai “colossi del web”: a Google, a Facebook, ad Amazon… e invece si ritorce verso i piccoli, verso i blog, verso i i piccoli ecommerce, verso i siti come il mio che fanno 2000 visite al mese di media. La multa da 6000 euro non me la posso permettere e arrivare a spendere 140 l’anno (cookiesbot+iubenda) per essere a norma è comunque tanto per mantenere questo blog in cui sostanzialmente “chiacchiero”.
Se da una parte sono fondamentale felice che si protegga la privacy sul web, sono però convinta che non sia questa la strada. Proteggere gli utenti significa fare formazione. Insegnare alle persone che si può navigare in incognito. Indicare agli utenti i vari addon per browser che evitano il tracciamento utente. Cercare di far capire, perché Facebook sa sempre chi siamo ovunque ci troviamo, perché, banner o non banner, Facebook saprà sempre chi siamo.
