Purtroppo non è andata bene. Molti di noi si aspettavano delle risposte più confortanti rispetto alle molte domande che sono state rivolte al Garante, ma di fatto, soprattutto per le questioni più tecniche, sono arrivate le conferme di quanto detto precedentemente.
Aggiornamento: il plugin che abbiamo trovato di maggior efficacia e di facile utilizzo per gli inesperti è Ginger EU Cookie Law, plugin gratuito con solo alcune estensioni a pagamento ( molto basso ).
In questo articolo facciamo riferimento ai chiarimenti rilasciati dal Garante che potete leggere su questa pagina.
Se volete un amplia spiegazione di quanto successo fino ad ora leggete questo nostro articolo sulla Cooke Law.
Google Analytics e strumenti di analisi
La distinzione fra cookie tenici e di profilazione rimane la stessa. L’unico punto chiarito è quello inerente agli strumenti di analisi. Essendo infatti, la maggior parte di questi, fra i primi Google Analytics, degli strumenti di terze parti, ne viene concesso l’uso e considerato il cookie tecnico, solo se “realizzati e utilizzati direttamente dal sito prima parte“. Con questo si intende il mascheramento del IP, come spiegato nel precedente articolo sulla Cookie Law.
Il Garante procede su questo punto dicendo:
L’impiego di tali cookie deve, inoltre, essere subordinato a vincoli contrattuali tra siti e terze parti, nei quali si faccia espressamente richiamo all’impegno della terza parte o a utilizzarli esclusivamente per la fornitura del servizio, a conservarli separatamente e a non “arricchirli” o a non “incrociarli” con altre informazioni di cui esse dispongano.
Un nostro dubbio è se con quel “vincoli contrattuali” si intende che ci deve essere un contratto fra noi e Google nel caso di Google Analytics. O bastano i termini e condizioni che abbiamo accettato usando questo servizio?
Problematiche tecniche
Circa la problematica tecnica che molti proprietari di siti hanno sollevato, visto che loro sono la parte editoriale e utilizzano strumenti messi a disposizione dalle community come i CMS e i plugin, il Garante risponde che “la consapevolezza dei vincoli tecnologici esistenti ha portato il Garante a indicare il termine di dodici mesi per attuare le indicazioni contenute nel provvedimento dell’8 maggio 2014“.
Blocco dei cookie e consenso preventivo
Questo è il punto più dolente perché è la difficolta tecnica maggiore che si deve affrontare, ovvero quella di bloccare i cookie di profilazione fino al momento in cui l’utente non dia il suo consenso. Infatti la maggior parte dei plugin attualmente in circolazione non soddisfa questo punto al 100% in automatico. Per adesso la certezza maggiore è quella di mettere mano al codice, cosa che però, come dicevamo, non è alla portata di tutti poiché richiede alte competenze tecniche.
La conseguenza è che molti strumenti che tutti i siti e i blogger hanno utilizzato fino ad oggi non sono in regola. I Plugin social, come i Mi Piace, i video di YouTube, i commenti di Facebook e molti altri ancora, devono essere bloccati fino al consenso dell’utente, poiché inseriscono nel suo computer dei cookie di profilazione.
Per tamponare la situazione, consiglio di vedere come utilizzare le Condivisioni Social in modo da non rilasciare cookie.
Quando abbiamo il consenso?
Come detto precedentemente il consenso arriva con un azione attiva dell’utente. Per azione attiva si intende che l’utente dia il consenso all’interno dell’informativa breve, ovvero il banner, oppure che prosegua la navigazione premendo un link, un’immagine e infine anche scrollando la pagina. Si è così chiarito quest’ultimo punto sullo scroll, che aveva lasciato dubbi a molti di noi.
Le società extra EU devono applicare l’informativa?
In merito ai chiarimenti richiesti sull’ambito di applicazione della normativa in materia di cookie, si evidenzia che la stessa riguarda tutti i siti che, a prescindere dalla presenza di una sede nel territorio dello Stato, installano cookie sui terminali degli utenti, utilizzando quindi per il trattamento “strumenti situati sul territorio dello Stato”.
Quindi, anche tutte le aziende extra EU, se per esempio hanno utenti che si connettono dall’Italia, devono applicare l’informativa, poiché stanno utilizzando dei computer che sono sul territorio Italiano.
E qui, perdonate una mia riflessione, ma mi chiedo se hanno mandato la comunicazione a tutti gli Stati del mondo. E mi chiedo se i rispettivi governi hanno mandato comunicazione a tutte le aziende circa l’informativa e come queste hanno reagito.
Posseggo più siti web, basta una notifica?
Per chi possiede più siti web si può “effettuare una sola notificazione per tutti i diversi siti web che gli stessi gestiscono” a patto che “nella notificazione del trattamento andranno indicati tutti i domini“.
Conclusione
Dal punto di vista tecnico vedo questa riforma pressocchè inattuabile. Mi chiedo se durante la formulazione della stessa siano stati interpellati esperti informatici e i rappresentati più in rilievo fra gli sviluppatori dei CMS famosi come WordPress, Joomla o Drupal.
Mi chiedo se il rivolgere questa legge all’ultimo anello della catena, ovvero i possesori dei siti web, sia una follia, piuttosto che prendere accordi con le terze parti, con i big della rete come Google, Facebook, Microsoft ecc…
Mi chiedo se una corretta campagna di informazione al cittadino su cosa sono i cookie e su come, nel caso, evitarli, potrebbe ottenere risultati decisamente migliori rispetto ad annoiare la navigazione dell’utente con banner da cliccare e, sicuramente, rischierebbe di dannerggiare di meno l’economia sviluppata dai siti online.
Per chi volesse firmare la petizione ricordiamo l’iniziativa blocca il cookie.
Salve, vorrei chiedervi un’informazione. Se nel mio blog wordpress, utilizzo solo alcuni plugin come: MailPoet per le newsletter, “Count per day” per il conteggio delle visite e poi google analytics. Ho installato solo “Cookie law info” senza una pagina apposita considerando che non faccio profilazione. E’ sufficiente?
Grazie.
Ciao Luca e benvenuto in Webipedia,
devi, come prima cosa verificare le tue pagine e controllare se ti lasciano dei cookie e di che tipo sono, ovvero se rientrano in quelli tecnici o di profilazione. Se ci sono dei cookie di profilazione, secondo il garante, dovresti attuare il blocco preventivo. Ovvero non puoi farli inserire fino a che l’utente non ha accettatto. Ti dico già per certo che Analytics per essere considerato tecnico non deve avere il remarketing abilitato e devi avere fatto l’anonimizzazione del IP. Sui link che ti ho mandato ci sono le spiegazioni.
Buona giornata!