Chi nel 2015 aveva un proprio sito, quasi sicuramente si ricorderร la corsa al banner per i cookie che era scattata in vista del 2 giugno, data a partire dalla quale era obbligatorio mettere in regola il proprio sito web con il Provvedimento del Garante per la protezione dei dati personali n. 229/2014.
ร da allora che รจ diventato obbligatorio mostrare ai visitatori del proprio sito un banner per informare e chiedere il consenso prima dellโinstallazione dei cookie e altri strumenti di tracciamento.
Purtroppo questo tema genera ancora spesso confusione dato che il regolamento non specifica ogni singolo servizio o plugin per WordPress, ma fornisce delle indicazioni generali che in alcuni casi possono essere soggette a interpretazione. Negli ultimi mesi poi sono state introdotti alcuni aggiornamenti nella normativa, per allinearla al GDPR.
Premetto e sottolineo che quello che รจ riportato in questa pagina non ha alcun valore legale. Per la redazione della privacy policy o della cookie policy per il tuo sito, e per tutto ciรฒ che riguarda il GDRP, il mio consiglio รจ quello di rivolgersi a un legale specializzato per chiarire ogni dubbio e per ottenere una consulenza personalizzata.
Evita soprattutto il copia e incolla di privacy e cookie policy da altri siti e non pensare che sia sufficiente installare un plugin per WordPress che riporta un messaggio e un pulsante โAccettaโ per essere a posto.
In questo articolo ho cercato di sintetizzare alcuni punti riguardanti il banner per la raccolta del consenso dei cookie sui siti WordPress. Queste osservazioni non hanno alcun valore legale, ma sono solo delle considerazioni che mi auguro possano aiutarti nellโimplementazione di una soluzione per cercare di rendere conforme il tuo sito alla normativa. Spero di non scrivere castronerie e, se cโรจ qualcosa di errato, mi farebbe piacere che lo segnalassi nei commenti.
Anche in questo caso la risposta รจ: dipende. Se sul tuo sito sono presenti alcuni cookie che richiedono il consenso preventivo da parte dellโutente non puoi semplicemente inserire il banner, ma devi fare in modo che tali cookie (o script di tracciamento) non vengano installati nel browser dellโutente prima che lui abbia manifestato il consenso.
Mi capita spesso infatti di vedere siti che mostrano il banner con lโinformativa breve sui cookie ma che, nel frattempo, ti hanno giร consegnato una decina di cookie di terze parti. Non va bene, รจ un poโ come entrare nella stanza di qualcuno e dopo che ci si รจ accomodati chiedere permesso.
Un esempio: se il pixel di Facebook viene attivato prima che il visitatore abbia prestato il consenso ai cookie NON VA BENE.
La risposta รจ sรฌ, dato che la normativa รจ europea. Quindi se hai un sito anche in inglese, francese e tedesco (ad esempio) non basta inserire una privacy e cookie policy in inglese per essere a posto.
Pare di no, lโimportante infatti รจ descrivere la finalitร dei cookie, piuttosto che il loro nome. Devi quindi essere consapevole e spiegare per quale motivo sono utilizzati i cookie. Questo anche perchรฉ il nome dei cookie รจ dinamico e sarebbe molto difficile stilare un elenco puntuale e costantemente aggiornato.
Se sul tuo sito sono installati solo cookie tecnici, quindi nessun cookie di terze parti e nessun cookie di profilazione, ti basterร compilare lโinformativa estesa e non avrai bisogno di mostrare il banner con lโinformativa breve sul tuo sito. Io ad esempio su alcuni siti minori non ho nemmeno installato Google Analytics nรฉ altri script di tracciamento.
Anche sul sito del Garante รจ specificato che se si utilizzano solo cookie tecnici, la relativa informazione puรฒ essere collocata nella home page del sito o nellโinformativa generale e non รจ quindi necessario adottare il banner a comparsa.
Lo scroll della finestra del browser รจ considerato un consenso valido?
Nella maggior parte dei casi le autoritร per la protezione dei dati non considerano valido questo tipo di consenso. Quindi ti consiglio di evitare che il banner per il consenso dei cookie presente sul tuo sito sparisca dopo che lโutente ha solamente effettuato uno scroll sulla pagina.
ร necessario separare il consenso per categoria?
Sรฌ, il visitatore deve poter prestare il consenso solo a determinate categorie di cookie: ad esempio quelli strettamente necessari al funzionamento del sito, quelli per lโanalisi del traffico, quelli pubblicitariโฆ
Pare che sia una cosa da valutare in base al caso, ma in linea di principio non puoi obbligare gli utenti ad accettare i cookie.
ร necessario poter consentire allโutente di proseguire la navigazione sul sito anche se non accetta i cookie (a parte quelli strettamente necessari).
Devi permettere al visitatore di modificare le proprie scelte
Nelle pagine del sito deve essere presente un link o un pulsante che permetta ai visitatori di modificare le proprie scelte riguardanti al consenso.
iubenda, Cookiebot, CookiePro e anche il plugin GDPR Cookie Consent offrono questa possibilitร .
Come anonimizzare gli indirizzi IP raccolti da Google Analytics?
Dipende dal tipo di codice di Google Analytics utilizzato. Se ad esempio utilizzi il codice standard di Google Analytics (versione Universal Analytics):
<script> (function(i,s,o,g,r,a,m){i['GoogleAnalyticsObject']=r;i[r]=i[r]||function(){ (i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o), m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m) })(window,document,'script','//www.google-analytics.com/analytics.js','ga'); ga('create', 'UA-XXXXX-X', 'auto'); ga('send', 'pageview'); </script>
in teoria il banner lo dovresti inserire (ci sono perรฒ pareri contrastanti). Dato che il provvedimento permette di utilizzare strumenti di analytics di terze parti senza obbligo del consenso solo se tali strumenti raccolgono i dati anonimizzati a livello di IP.
Ovvio perรฒ che se usi Google Analytics con lโIP anonimizzato e poi tracci lo UserID per gli utenti loggati, il consenso lo devi chiedere.
Con Universal Analytics
Per fare questo, il codice di Google Analytics dovrebbe essere modificato in questo modo, inserendo la riga
ga('set', 'anonymizeIp', true);
in questo modo il codice diventa qualcosa del genere:
<script> (function(i,s,o,g,r,a,m){i['GoogleAnalyticsObject']=r;i[r]=i[r]||function(){ (i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o), m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m) })(window,document,'script','//www.google-analytics.com/analytics.js','ga'); ga('create', 'UA-XXXXX-X', 'auto'); ga('set', 'anonymizeIp', true); ga('send', 'pageview'); </script>
Con il Global Site Tag
Se utilizzi la versione Global Site Tag devi modificarla in questo modo, inserendo la stringa { 'anonymize_ip': true }
:
<!-- Global site tag (gtag.js) - Google Analytics --> <script async src="https://www.googletagmanager.com/gtag/js?id=UA-XXXXXX-1"></script> <script> window.dataLayer = window.dataLayer || []; function gtag(){dataLayer.push(arguments);} gtag('js', new Date()); gtag('config', 'UA-XXXXXX-1', { 'anonymize_ip': true }); </script>
Se poi il tuo codice di Google Analytics viene utilizzato per il remarketing devi anche ottenere il consenso da parte dellโutente prima di installare tale codice.
Con Google Analytics 4
Considera inoltre che, se utilizzi il nuovo codice di Google Analytics 4, questo รจ giร impostato di default per anonimizzare gli indirizzi IP.
Per tutte queste funzionalitร lโinterpretazione restrittiva del provvedimento* prevede che sia necessario il consenso dellโutente, quindi teoricamente non puoi abilitare tali funzioni sul tuo sito prima che il visitatore non abbia manifestato tale intenzione. AdSense ad esempio, a seconda dei banner visualizzati, puรฒ installare parecchi cookie e per questo motivo รจ necessario il consenso.
Lo stesso dicasi per sistemi di gestione dei commenti di terze parti come disqus, che tra lโaltro installa altri cookie di Google Analytics, e anche per i widget dei social.
Per quanto riguarda i social widget, รจ opportuno fare un distinguo tra i pulsanti per la condivisione e i widget come ad esempio:
- il pulsante โMi piaceโ di Facebook,
- il widget di Twitter che mostra il numero di follower in tempo reale e permette di seguirti su Twitter;
- tutti i vari widget che incorporano JavaScript ospitati sui server dei social.
Nel caso infatti dei semplici pulsanti di condivisione non รจ infatti richiesto alcun consenso, dato che tali pulsanti sono semplicemente dei link che rimandano alle funzioni di condivisione dei vari social, ma senza installare direttamente alcun cookie.
Se invece utilizzi i pulsanti utilizzando il codice messo a disposizione da Facebook, da Twitter e dagli altri social, vengono installati dei cookie che permettono di tracciare lโutente. Quindi, in questo caso รจ necessario il consenso preventivo dellโutente.
Lo stesso discorso vale per i contenuti embeddati (lo so, รจ una parola orribile) come ad esempio i video di YouTube. Anche questi contenuti rilasciano dei cookie che necessitano del consenso preventivo. In questo caso una soluzione potrebbe essere quella di utilizzare la funzione โAbilita modalitร di privacy avanzataโ su YouTube, che in pratica incorpora il video dal dominio youtube-nocookie.com:
*Come suggerisce Valentino Spataro, il dibattito su questa tipologia di cookie di terze parti รจ ancora molto aperto e quella suggerita in questo post รจ unโinterpretazione restrittiva del provvedimento.
Incorporare la mappa di Google nella pagine dei contatti รจ una di quelle cose che spesso vengono fatte (o chieste) di default dalla maggior parte delle persone o dai clienti.
ร una di quelle scelte che, di solito, viene fatta senza pensare se serva realmente o no. Del resto, su moltissimi siti cโรจ la mappa di Google nella pagina dei contatti, quindi perchรฉ non dovrei inserirla anchโio? ;)
ร un poโ come il discorso delle icone social nella testata del sito. Per me รจ una minchiata inserirle lรฌ, eppure per molti sono un ingrediente essenziale.
Tornando alle mappe di Google, in questo caso cโรจ anche un problema relativo ai cookie e agli script di tracciamento. Infatti, incorporare una mappa di Google sul tuo sito รจ una cosa che va indicata nella cookie policy e che va gestita in modo da visualizzare la mappa solo dopo aver ricevuto il consenso da parte degli utenti.
Il mio consiglio รจ quello di evitare di incorporare la mappa di Google se non รจ strettamente necessario. Al massimo puoi sostituirla con unโimmagine, uno screenshot della mappa. Oppure puoi inserire un link a Google Maps che punta allโindirizzo della tua azienda.
Ne esistono parecchie, ma con lโintroduzione di nuove regole piรน stringenti, come ad esempio quella relativa alla gestione delle varie categorie di cookie, molte delle soluzioni gratuite non sono piรน adatte perchรฉ non consentono di adeguarsi alla normativa.
Tra le soluzioni piรน diffuse ci sono iubenda e Cookiebot. Il primo offre anche la possibilitร di generare i testi per la privacy e cookie policy, mentre il secondo si occupa solo della gestione della raccolta del consenso dei cookie e del loro blocco preventivo.
Altri servizi che vale la pena considerare sono: CookieScript, CookieHub e CookieYes.
Si tratta di servizi a pagamento e che, soprattutto per quanto riguarda la gestione del blocco preventivo dei cookie e la visualizzazione del banner, il loro costo dipende dal traffico del tuo sito (nel caso di iubenda) e dal numero delle pagine presenti sul tuo sito (nel caso di Cookiebot).
Considera che questi servizi non ti forniscono alcuna garanzia che il tuo sito sia perfettamente a norma. Per una maggior tutela e sicurezza il consiglio รจ sempre quello di avvalersi della consulenza di un legale.
Unโalternativa ai servizi รจ quella di ricorrere a plugin WordPress come GDPR Cookie Consent di WebToffee, la Privacy Suite di Complianz oppure Borlabs Cookie. Sono disponibili anche in versione gratuita, ma รจ necessario acquistare la versione a pagamento per adeguarsi correttamente alla normativa. Questo plugin consente di gestire le varie categorie di script e si integra con moltissimi plugin per WordPress, permettendo quindi di bloccare il caricamento dei vari script di questi plugin se il visitatore non ha fornito il consenso. Questo plugin inoltre ha il vantaggio che il suo costo non dipende dal numero di pagine o dal traffico sul sito. Inoltre questo plugin permette anche di tenere un log dei consensi raccolti.
Una soluzione italiana รจ quella offerta da Formula Agile SRL con i plugin My Agile Privacy e My Agile Pixel. Il primo รจ una soluzione per gestire privacy policy, cookie policy e blocco dei cookie e raccolta del consenso. My Agile Pixel รจ invece uno strumento che permette di usare Google Analytics e il Pixel di Facebook anonimizzando i dati prima che vengano trasferiti negli Stati Uniti.
Considerazioni finali
Inutile negare che la gestione di quello che comunemente viene definito โbanner per i cookieโ puรฒ essere piuttosto complessa e rappresenta una complicazione e dei costi in piรน per tutte le persone che hanno uno o piรน siti.
Un consiglio semplice, quasi banale, ma valido nella maggior parte dei casi รจ quello di ridurre allโessenziale i plugin e le funzionalitร che installano script di tracciamento e cookie sul tuo sito. Questo, oltre a semplificare lโadeguamento del tuo sito alla normativa, contribuisce anche a velocizzare il caricamento delle pagine.
Non รจ infatti cosรฌ raro vedere installati sui siti script di tracciamento e funzionalitร che poi non vengono usate. Ad esempio, script di Hotjar per registrare le sessioni di navigazione (che poi magari nessuno guarda). Oppure pixel di tracciamento su siti che non fanno e forse non faranno mai alcuna campagna pubblicitaria.
Per ulteriori informazioni, oltre a consultare il sito del garante, ti invito a leggere questa pagina sul sito di iubenda.
Articolo molto utile e interessante, grazie! :)
buongiorno,
premesso che รจ difficile decifrare il provvedimento, le segnalo per completezza un parere legale in merito (http://www.alessandrodelninno.it/upload/art_articoli/documenti/00000068.pdf) da cui si evince che per i cookie di terze parti non รจ necessario attivare il banner.
“Il Garante esclude che si possa obbligare l’editore ad inserire sulla home page del
proprio sito anche il testo delle informative relative ai cookie installati per il suo
tramite dalle terze parti. Saranno queste ultime a dover predisporre il contenuto e
rilasciare le proprie informative.
Per quanto concerne invece l’acquisizione del consenso per i cookie di profilazione di
terze parti che operano sul proprio sito, gli editori devono inserire allโinterno della
propria informativa il solo link aggiornato (e non anche i testi) alle informative e ai
moduli di consenso delle terze parti con le quali l’editore ha stipulato accordi per
l’installazione di cookie tramite il proprio sito. Anzi, il Garante prescrive che gli
editori acquisiscano, giร in fase contrattuale, tali link. Qualora l’editore abbia contatti
indiretti con le terze parti, dovrร linkare i siti dei soggetti che fanno da intermediari
tra lui e le stesse terze parti. “
Grazie per questo contributo, in effetti per quanto riguarda l’informativa il discorso รจ chiaro.
ad ogni modo โ tranne che per i commenti โ questi cookie che vengono banalmente usati in WordPress NON permettono a me proprietario del sito che “nicola losito” (cioรจ io) ha esattamente questo ip / provenienza.
Una profilazione vera e propria non viene fatta.
Il solo WordPress, escludendo quindi eventuali plugin e script aggiunti dall’utente, non installa alcun cookie di profilazione.
C’รจ un errore nell’articolo. Per anonimizzare l’indirizzo IP nel codice di tracciamento di GA:
ga(‘create’, ‘UA-XXXX-Y’, ‘auto’);
ga(‘set’, ‘anonymizeIP’, true);
ga(‘send’, ‘pageview’);
la riga di inserzione di ga(‘send’, ‘pageview’);nell’articolo รฉ sbagliata
Vero, grazie della segnalazione, ho corretto l’errore. Il lato comico รจ che nell’installazione l’ho inserita correttamente ;)
Ciao Tiziano,
il tutto รจ valevole anche nel caso in cui il sito sia ospitato su server e dominio non italiano?
Grazie
Ciao Andrea, credo che il TLD del dominio non c’entri nulla. Per quanto riguarda la nazione in cui รจ fisicamente ospitato il sito invece non ne sono sicuro, non ho mai trovato alcuna info a riguardo. Anche in questo caso perรฒ non credo che possa essere una scappatoia per aggirare il provvedimento.
Ciao, non mi รจ chiara una cosa. Se sul sito ospito gli annunci di AdSense e installo quindi cookie di terze parti ho l’obbligo di comunicarlo al Garante, pagando quindi la somma di 150,00โฌ oppure deve essere Google che deve fare la comunicazione? Grazie
Ciao,se utilizzi AdSense non hai l’obbligo di notifica al Garante, dato che non sei tu direttamente che svolgi quell’attivitร . La notifica al garante deve essere fatta quando sei tu a trattare i dati direttamente.
Ciao,
ho fatto un test nel tuo sito. Io non ho accettato i cookie ma mi installi etSocialCookie. E’ corretto? Non รจ un cookie di profilazione? Grazie.
Ciao Marco, etSocialCookie รจ un cookie tecnico che riguarda il widget di condivisione social che appare quando scrolli la pagina verso il basso. Serve semplicemente a fare in modo che il widget non ti appaia in continuazione.
Salve anche se รจ contro la politica del sito vorrei far presente un sito dove ho trovato molti risposte a dubbi che ho avevo anche letto qui, quindi penso di fare cosa gradita a molti postando il link del sito http://marketingturisticoemozionale.blogspot.it/2015/06/Come-adeguare-proprio-sito-legge-Cookies-privacy.html
Soprattutto o trovato risposte per il blocco preventivo dei cookie, per il mascheramento ip ed incrocio dei dati dei cookie analitici , come anche una ampia interpretazione della legge sui cookie.
Salve Tiziano. Vorrei chiedere se includendo i video Youtube nel proprio sito linkati in iframe con il dominio youtube-nocookie si รจ esenti dal presentare qualsiasi tipo di informativa sui cookie considerato che non ne vengono installati. Mi puoi chiarire come stanno le cose? Grazie.
Ciao Giuseppe, se inserisci i video usando il dominio youtube-nocookie.com non sei obbligato a bloccare preventivamente tali contenuti o segnalare l’uso di tali cookie all’interno della cookie policy.
L’obbligo di informativa dipende perรฒ ovviamente da quali altri cookie installa il tuo sito.
Grazie per la risposta, Tiziano. A causa di queste misure restrittive della Legge sui cookies, in particolar modo per l’uso dei cookies di Terze parti, nel mio sito ho sospeso i commenti Disqus, eliminato i Google fonts, moduli di contatto, statistiche visite, sostituito l’inclusione di Google Maps con una immagine screeshot ed infine eliminando la pubblicazione dei miei video sostituite da una pagina dove indico agli utenti che i video saranno visibili direttamento sul mio canale Youtube (oltre ad aver provveduto al reindirizzamento di tutti i link registrati dai motore di ricerca alla suddetta pagina tramite htaccess).
Attualmente il sito web non usa nessun tipo di cookie. I video, che erano richiamati come giร detto, tramite il dominio youtube-nocookie , erano attivati con il play automatico all’apertura della pagina. Ho verificato che non venivano installati dei cookie. Siccome in altri Forum e Discussioni in vari siti ho letto che con il sistema suindicato i cookie non vengono installati solo fintanto che l’utente non avvia il player (ma a me non risulta anche a video avviato), mi trovo nella confusione se devo o meno implementare una informativa breve su banner, o breve + estesa. Risultato di questa confusione = eliminato tutti i servizi che avevo nel sito.
Mi puoi chiarire, per favore. Saluti
Ciao, dopo aver letto decine di di articoli su cookies e compagnia bella, mi ritrovo sul tuo e ho visto che sei ben disposto a chiarire alcuni punti, ho una domanda per te, spero la piรน semplice: ho relaizzato un semplicissimo sito (www.smagianegratattoo.com) secondo quanto letto non contiene alcun Cookie, a questo punto cose devo fare? devo inserire il banner? devo inserire la polic
N.B. alla pagina contatti c’e’ presente la mappa di google inserita tramite codice in un iframe.
CIao, per essere sicuro di essere in regola, la cosa migliore รจ rivolgersi a un legale specializzato. In questo post ho fornito alcune indicazioni/interpretazioni, ma la questione รจ piuttosto delicate e io non sono un consulente legale.
Ciao Tiziano,
per il banner contenente lโinformativa breve che compare qui nel tuo sito, e successivo riquadro, non capisco se usi Iubenda o deriva da altro plug-in.
Grazie e saluti,
Giovanni
Ciao Giovanni, su questo sito uso Iubenda.
Ciao Tiziano, mi sapresti indicare, anche in privato se vuoi e se puoi, qualche nominativo di legale specializzato per la gestione della cookie e privacy policy di siti web?
Sono completamente a digiuno su questi argomenti e mi sto informando per mettermi al sicuro da sanzioni.
Grazie.
Ciao Marco, ti posso suggerire il buon Alessandro Vercellotti che รจ specializzato sugli aspetti legati al digitale.