Cookie Policy, notifica e consenso. Sei sicuro che il tuo sito sia in regola?

Dal banner per i cookie al blocco preventivo, quello che devi sapere

Scritto da Tiziano Fogliata
Aggiornato il

Chi nel 2015 aveva un proprio sito, quasi sicuramente si ricorderà la corsa al banner per i cookie che era scattata in vista del 2 giugno, data a partire dalla quale era obbligatorio mettere in regola il proprio sito web con il Provvedimento del Garante per la protezione dei dati personali n. 229/2014.

È da allora che è diventato obbligatorio mostrare ai visitatori del proprio sito un banner per informare e chiedere il consenso prima dell’installazione dei cookie e altri strumenti di tracciamento.

Purtroppo questo tema genera ancora spesso confusione dato che il regolamento non specifica ogni singolo servizio o plugin per WordPress, ma fornisce delle indicazioni generali che in alcuni casi possono essere soggette a interpretazione. Negli ultimi mesi poi sono state introdotti alcuni aggiornamenti nella normativa, per allinearla al GDPR.

Premetto e sottolineo che quello che è riportato in questa pagina non ha alcun valore legale. Per la redazione della privacy policy o della cookie policy per il tuo sito, e per tutto ciò che riguarda il GDRP, il mio consiglio è quello di rivolgersi a un legale specializzato per chiarire ogni dubbio e per ottenere una consulenza personalizzata.

Evita soprattutto il copia e incolla di privacy e cookie policy da altri siti e non pensare che sia sufficiente installare un plugin per WordPress che riporta un messaggio e un pulsante “Accetta” per essere a posto.

In questo articolo ho cercato di sintetizzare alcuni punti riguardanti il banner per la raccolta del consenso dei cookie sui siti WordPress. Queste osservazioni non hanno alcun valore legale, ma sono solo delle considerazioni che mi auguro possano aiutarti nell’implementazione di una soluzione per cercare di rendere conforme il tuo sito alla normativa. Spero di non scrivere castronerie e, se c’è qualcosa di errato, mi farebbe piacere che lo segnalassi nei commenti.

Ho inserito il banner con l’informativa breve, sono a posto?

Anche in questo caso la risposta è: dipende. Se sul tuo sito sono presenti alcuni cookie che richiedono il consenso preventivo da parte dell’utente non puoi semplicemente inserire il banner, ma devi fare in modo che tali cookie (o script di tracciamento) non vengano installati nel browser dell’utente prima che lui abbia manifestato il consenso.

Mi capita spesso infatti di vedere siti che mostrano il banner con l’informativa breve sui cookie ma che, nel frattempo, ti hanno già consegnato una decina di cookie di terze parti. Non va bene, è un po’ come entrare nella stanza di qualcuno e dopo che ci si è accomodati chiedere permesso.

Un esempio: se il pixel di Facebook viene attivato prima che il visitatore abbia prestato il consenso ai cookie NON VA BENE.

Ho un sito in più lingue, devo inserire banner e informativa in tutte le lingue?

La risposta è sì, dato che la normativa è europea. Quindi se hai un sito anche in inglese, francese e tedesco (ad esempio) non basta inserire una privacy e cookie policy in inglese per essere a posto.

Pare di no, l’importante infatti è descrivere la finalità dei cookie, piuttosto che il loro nome. Devi quindi essere consapevole e spiegare per quale motivo sono utilizzati i cookie. Questo anche perché il nome dei cookie è dinamico e sarebbe molto difficile stilare un elenco puntuale e costantemente aggiornato.

Se sul tuo sito sono installati solo cookie tecnici, quindi nessun cookie di terze parti e nessun cookie di profilazione, ti basterà compilare l’informativa estesa e non avrai bisogno di mostrare il banner con l’informativa breve sul tuo sito. Io ad esempio su alcuni siti minori non ho nemmeno installato Google Analytics né altri script di tracciamento.

Anche sul sito del Garante è specificato che se si utilizzano solo cookie tecnici, la relativa informazione può essere collocata nella home page del sito o nell’informativa generale e non è quindi necessario adottare il banner a comparsa.

Lo scroll della finestra del browser è considerato un consenso valido?

Nella maggior parte dei casi le autorità per la protezione dei dati non considerano valido questo tipo di consenso. Quindi ti consiglio di evitare che il banner per il consenso dei cookie presente sul tuo sito sparisca dopo che l’utente ha solamente effettuato uno scroll sulla pagina.

È necessario separare il consenso per categoria?

Sì, il visitatore deve poter prestare il consenso solo a determinate categorie di cookie: ad esempio quelli strettamente necessari al funzionamento del sito, quelli per l’analisi del traffico, quelli pubblicitari…

Pare che sia una cosa da valutare in base al caso, ma in linea di principio non puoi obbligare gli utenti ad accettare i cookie.

È necessario poter consentire all’utente di proseguire la navigazione sul sito anche se non accetta i cookie (a parte quelli strettamente necessari).

Devi permettere al visitatore di modificare le proprie scelte

Nelle pagine del sito deve essere presente un link o un pulsante che permetta ai visitatori di modificare le proprie scelte riguardanti al consenso.
Iubenda, Cookiebot, CookiePro e anche il plugin GDPR Cookie Consent offrono questa possibilità.

Come anonimizzare gli indirizzi IP raccolti da Google Analytics?

Dipende dal tipo di codice di Google Analytics utilizzato. Se ad esempio utilizzi il codice standard di Google Analytics (versione Universal Analytics):

<script>
  (function(i,s,o,g,r,a,m){i['GoogleAnalyticsObject']=r;i[r]=i[r]||function(){
  (i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o),
  m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m)
  })(window,document,'script','//www.google-analytics.com/analytics.js','ga');

  ga('create', 'UA-XXXXX-X', 'auto');
  ga('send', 'pageview');
</script>

in teoria il banner lo dovresti inserire (ci sono però pareri contrastanti). Dato che il provvedimento permette di utilizzare strumenti di analytics di terze parti senza obbligo del consenso solo se tali strumenti raccolgono i dati anonimizzati a livello di IP.

Ovvio però che se usi Google Analytics con l’IP anonimizzato e poi tracci lo UserID per gli utenti loggati, il consenso lo devi chiedere.

Con Universal Analytics

Per fare questo, il codice di Google Analytics dovrebbe essere modificato in questo modo, inserendo la riga

ga('set', 'anonymizeIp', true);

in questo modo il codice diventa qualcosa del genere:

<script>
  (function(i,s,o,g,r,a,m){i['GoogleAnalyticsObject']=r;i[r]=i[r]||function(){
  (i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o),
  m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m)
  })(window,document,'script','//www.google-analytics.com/analytics.js','ga');

  ga('create', 'UA-XXXXX-X', 'auto');
  ga('set', 'anonymizeIp', true);
  ga('send', 'pageview');
</script>

Con il Global Site Tag

Se utilizzi la versione Global Site Tag devi modificarla in questo modo, inserendo la stringa { 'anonymize_ip': true }:

<!-- Global site tag (gtag.js) - Google Analytics -->
<script async src="https://www.googletagmanager.com/gtag/js?id=UA-XXXXXX-1"></script>
<script>
  window.dataLayer = window.dataLayer || [];
  function gtag(){dataLayer.push(arguments);}
  gtag('js', new Date());

  gtag('config', 'UA-XXXXXX-1', { 'anonymize_ip': true });
</script>

Se poi il tuo codice di Google Analytics viene utilizzato per il remarketing devi anche ottenere il consenso da parte dell’utente prima di installare tale codice.

Con Google Analytics 4

Considera inoltre che, se utilizzi il nuovo codice di Google Analytics 4, questo è già impostato di default per anonimizzare gli indirizzi IP.

Come mi devo comportare con i widget social, disqus, AdSense?

Per tutte queste funzionalità l’interpretazione restrittiva del provvedimento* prevede che sia necessario il consenso dell’utente, quindi teoricamente non puoi abilitare tali funzioni sul tuo sito prima che il visitatore non abbia manifestato tale intenzione. AdSense ad esempio, a seconda dei banner visualizzati, può installare parecchi cookie e per questo motivo è necessario il consenso.

Lo stesso dicasi per sistemi di gestione dei commenti di terze parti come disqus, che tra l’altro installa altri cookie di Google Analytics, e anche per i widget dei social.

Per quanto riguarda i social widget, è opportuno fare un distinguo tra i pulsanti per la condivisione e i widget come ad esempio:

  • il pulsante “Mi piace” di Facebook,
  • il widget di Twitter che mostra il numero di follower in tempo reale e permette di seguirti su Twitter;
  • tutti i vari widget che incorporano JavaScript ospitati sui server dei social.

Nel caso infatti dei semplici pulsanti di condivisione non è infatti richiesto alcun consenso, dato che tali pulsanti sono semplicemente dei link che rimandano alle funzioni di condivisione dei vari social, ma senza installare direttamente alcun cookie.

Se invece utilizzi i pulsanti utilizzando il codice messo a disposizione da Facebook, da Twitter e dagli altri social, vengono installati dei cookie che permettono di tracciare l’utente. Quindi, in questo caso è necessario il consenso preventivo dell’utente.

Lo stesso discorso vale per i contenuti embeddati (lo so, è una parola orribile) come ad esempio i video di YouTube. Anche questi contenuti rilasciano dei cookie che necessitano del consenso preventivo. In questo caso una soluzione potrebbe essere quella di utilizzare la funzione “Abilita modalità di privacy avanzata” su YouTube, che in pratica incorpora il video dal dominio youtube-nocookie.com:

embed-youtube-cookie-policy

*Come suggerisce Valentino Spataro, il dibattito su questa tipologia di cookie di terze parti è ancora molto aperto e quella suggerita in questo post è un’interpretazione restrittiva del provvedimento.

Google Maps e Cookie Policy

Incorporare la mappa di Google nella pagine dei contatti è una di quelle cose che spesso vengono fatte (o chieste) di default dalla maggior parte delle persone o dai clienti.

È una di quelle scelte che, di solito, viene fatta senza pensare se serva realmente o no. Del resto, su moltissimi siti c’è la mappa di Google nella pagina dei contatti, quindi perché non dovrei inserirla anch’io? ;)

È un po’ come il discorso delle icone social nella testata del sito. Per me è una minchiata inserirle lì, eppure per molti sono un ingrediente essenziale.

Tornando alle mappe di Google, in questo caso c’è anche un problema relativo ai cookie e agli script di tracciamento. Infatti, incorporare una mappa di Google sul tuo sito è una cosa che va indicata nella cookie policy e che va gestita in modo da visualizzare la mappa solo dopo aver ricevuto il consenso da parte degli utenti.

Il mio consiglio è quello di evitare di incorporare la mappa di Google se non è strettamente necessario. Al massimo puoi sostituirla con un’immagine, uno screenshot della mappa. Oppure puoi inserire un link a Google Maps che punta all’indirizzo della tua azienda.

Ne esistono parecchie, ma con l’introduzione di nuove regole più stringenti, come ad esempio quella relativa alla gestione delle varie categorie di cookie, molte delle soluzioni gratuite non sono più adatte perché non consentono di adeguarsi alla normativa.

Tra le soluzioni che consiglio maggiormente ci sono Iubenda e Cookiebot. Il primo offre anche la possibilità di generare i testi per la privacy e cookie policy, mentre il secondo si occupa solo della gestione della raccolta del consenso dei cookie e del loro blocco preventivo. Anche CookiePro di OneTrust è una soluzione da prendere in considerazione.

Si tratta di servizi a pagamento e che, soprattutto per quanto riguarda la gestione del blocco preventivo dei cookie e la visualizzazione del banner, il loro costo dipende dal traffico del tuo sito (nel caso di Iubenda) e dal numero delle pagine presenti sul tuo sito (nel caso di Cookiebot).

La piano base di Iubenda ad esempio comprende fino a 25.000 visualizzazioni di pagina al mese a un costo annuo di € 27.

Il piano base di Cookiebot parte invece da € 9 al mese per siti fino a 500 pagine.

Un’altra alternativa interessante è il plugin GDPR Cookie Consent di WebToffee. È disponibile anche in versione gratuita, ma è necessario ricorrere alla versione a pagamento per adeguarsi correttamente alla normativa. Questo plugin consente di gestire le varie categorie di script e si integra con moltissimi plugin per WordPress, permettendo quindi di bloccare il caricamento dei vari script di questi plugin se il visitatore non ha fornito il consenso. Questo plugin inoltre ha il vantaggio che il suo costo non dipende dal numero di pagine o dal traffico sul sito. Inoltre questo plugin permette anche di tenere un log dei consensi raccolti.

Un’altra soluzione che ti segnalo è la Privacy Suite di Complianz.

A livello di implementazione, l’utilizzo di Iubenda e Cookiebot è decisamente più semplice. In entrambi i casi infatti non è quasi necessario intervenire manualmente nei testi, perché sono tutti già tradotti in italiano. Inoltre sia Iubenda che Cookiebot offrono tutta la documentazione necessaria per una corretta configurazione del loro servizio.

Considerazioni finali

Inutile negare che la gestione di quello che comunemente viene definito “banner per i cookie” può essere piuttosto complessa e rappresenta una complicazione e dei costi in più per tutte le persone che hanno uno o più siti.

Un consiglio semplice, quasi banale, ma valido nella maggior parte dei casi è quello di ridurre all’essenziale i plugin e le funzionalità che installano script di tracciamento e cookie sul tuo sito. Questo, oltre a semplificare l’adeguamento del tuo sito alla normativa, contribuisce anche a velocizzare il caricamento delle pagine.

Non è infatti così raro vedere installati sui siti script di tracciamento e funzionalità che poi non vengono usate. Ad esempio, script di Hotjar per registrare le sessioni di navigazione (che poi magari nessuno guarda). Oppure pixel di tracciamento su siti che non fanno e forse non faranno mai alcuna campagna pubblicitaria.

Per ulteriori informazioni, oltre a consultare il sito del garante, ti invito a leggere questa pagina sul sito di Iubenda.

Scarica l'ebook gratuito sui 10 errori da evitare sul tuo sito WordPress

Se ti è piaciuto e hai trovato utile questo articolo, eccone altri che potrebbero interessarti

23 commenti su “Cookie Policy, notifica e consenso. Sei sicuro che il tuo sito sia in regola?”

  1. buongiorno,
    premesso che è difficile decifrare il provvedimento, le segnalo per completezza un parere legale in merito (http://www.alessandrodelninno.it/upload/art_articoli/documenti/00000068.pdf) da cui si evince che per i cookie di terze parti non è necessario attivare il banner.

    “Il Garante esclude che si possa obbligare l’editore ad inserire sulla home page del
    proprio sito anche il testo delle informative relative ai cookie installati per il suo
    tramite dalle terze parti. Saranno queste ultime a dover predisporre il contenuto e
    rilasciare le proprie informative.
    Per quanto concerne invece l’acquisizione del consenso per i cookie di profilazione di
    terze parti che operano sul proprio sito, gli editori devono inserire all’interno della
    propria informativa il solo link aggiornato (e non anche i testi) alle informative e ai
    moduli di consenso delle terze parti con le quali l’editore ha stipulato accordi per
    l’installazione di cookie tramite il proprio sito. Anzi, il Garante prescrive che gli
    editori acquisiscano, già in fase contrattuale, tali link. Qualora l’editore abbia contatti
    indiretti con le terze parti, dovrà linkare i siti dei soggetti che fanno da intermediari
    tra lui e le stesse terze parti. “

    Rispondi
  2. ad ogni modo – tranne che per i commenti – questi cookie che vengono banalmente usati in WordPress NON permettono a me proprietario del sito che “nicola losito” (cioè io) ha esattamente questo ip / provenienza.

    Una profilazione vera e propria non viene fatta.

    Rispondi
  3. C’è un errore nell’articolo. Per anonimizzare l’indirizzo IP nel codice di tracciamento di GA:


    ga(‘create’, ‘UA-XXXX-Y’, ‘auto’);
    ga(‘set’, ‘anonymizeIP’, true);
    ga(‘send’, ‘pageview’);

    la riga di inserzione di ga(‘send’, ‘pageview’);nell’articolo é sbagliata

    Rispondi
    • Ciao Andrea, credo che il TLD del dominio non c’entri nulla. Per quanto riguarda la nazione in cui è fisicamente ospitato il sito invece non ne sono sicuro, non ho mai trovato alcuna info a riguardo. Anche in questo caso però non credo che possa essere una scappatoia per aggirare il provvedimento.

      Rispondi
  4. Ciao, non mi è chiara una cosa. Se sul sito ospito gli annunci di AdSense e installo quindi cookie di terze parti ho l’obbligo di comunicarlo al Garante, pagando quindi la somma di 150,00€ oppure deve essere Google che deve fare la comunicazione? Grazie

    Rispondi
    • Ciao,se utilizzi AdSense non hai l’obbligo di notifica al Garante, dato che non sei tu direttamente che svolgi quell’attività. La notifica al garante deve essere fatta quando sei tu a trattare i dati direttamente.

      Rispondi
  5. Ciao,
    ho fatto un test nel tuo sito. Io non ho accettato i cookie ma mi installi etSocialCookie. E’ corretto? Non è un cookie di profilazione? Grazie.

    Rispondi
    • Ciao Marco, etSocialCookie è un cookie tecnico che riguarda il widget di condivisione social che appare quando scrolli la pagina verso il basso. Serve semplicemente a fare in modo che il widget non ti appaia in continuazione.

      Rispondi
  6. Salve anche se è contro la politica del sito vorrei far presente un sito dove ho trovato molti risposte a dubbi che ho avevo anche letto qui, quindi penso di fare cosa gradita a molti postando il link del sito http://marketingturisticoemozionale.blogspot.it/2015/06/Come-adeguare-proprio-sito-legge-Cookies-privacy.html
    Soprattutto o trovato risposte per il blocco preventivo dei cookie, per il mascheramento ip ed incrocio dei dati dei cookie analitici , come anche una ampia interpretazione della legge sui cookie.

    Rispondi
  7. Salve Tiziano. Vorrei chiedere se includendo i video Youtube nel proprio sito linkati in iframe con il dominio youtube-nocookie si è esenti dal presentare qualsiasi tipo di informativa sui cookie considerato che non ne vengono installati. Mi puoi chiarire come stanno le cose? Grazie.

    Rispondi
    • Ciao Giuseppe, se inserisci i video usando il dominio youtube-nocookie.com non sei obbligato a bloccare preventivamente tali contenuti o segnalare l’uso di tali cookie all’interno della cookie policy.
      L’obbligo di informativa dipende però ovviamente da quali altri cookie installa il tuo sito.

      Rispondi
      • Grazie per la risposta, Tiziano. A causa di queste misure restrittive della Legge sui cookies, in particolar modo per l’uso dei cookies di Terze parti, nel mio sito ho sospeso i commenti Disqus, eliminato i Google fonts, moduli di contatto, statistiche visite, sostituito l’inclusione di Google Maps con una immagine screeshot ed infine eliminando la pubblicazione dei miei video sostituite da una pagina dove indico agli utenti che i video saranno visibili direttamento sul mio canale Youtube (oltre ad aver provveduto al reindirizzamento di tutti i link registrati dai motore di ricerca alla suddetta pagina tramite htaccess).

        Attualmente il sito web non usa nessun tipo di cookie. I video, che erano richiamati come già detto, tramite il dominio youtube-nocookie , erano attivati con il play automatico all’apertura della pagina. Ho verificato che non venivano installati dei cookie. Siccome in altri Forum e Discussioni in vari siti ho letto che con il sistema suindicato i cookie non vengono installati solo fintanto che l’utente non avvia il player (ma a me non risulta anche a video avviato), mi trovo nella confusione se devo o meno implementare una informativa breve su banner, o breve + estesa. Risultato di questa confusione = eliminato tutti i servizi che avevo nel sito.

        Mi puoi chiarire, per favore. Saluti

        Rispondi
  8. Ciao, dopo aver letto decine di di articoli su cookies e compagnia bella, mi ritrovo sul tuo e ho visto che sei ben disposto a chiarire alcuni punti, ho una domanda per te, spero la più semplice: ho relaizzato un semplicissimo sito (www.smagianegratattoo.com) secondo quanto letto non contiene alcun Cookie, a questo punto cose devo fare? devo inserire il banner? devo inserire la polic

    N.B. alla pagina contatti c’e’ presente la mappa di google inserita tramite codice in un iframe.

    Rispondi
    • CIao, per essere sicuro di essere in regola, la cosa migliore è rivolgersi a un legale specializzato. In questo post ho fornito alcune indicazioni/interpretazioni, ma la questione è piuttosto delicate e io non sono un consulente legale.

      Rispondi
  9. Ciao Tiziano,
    per il banner contenente l’informativa breve che compare qui nel tuo sito, e successivo riquadro, non capisco se usi Iubenda o deriva da altro plug-in.

    Grazie e saluti,
    Giovanni

    Rispondi
  10. Ciao Tiziano, mi sapresti indicare, anche in privato se vuoi e se puoi, qualche nominativo di legale specializzato per la gestione della cookie e privacy policy di siti web?
    Sono completamente a digiuno su questi argomenti e mi sto informando per mettermi al sicuro da sanzioni.
    Grazie.

    Rispondi

Lascia un commento