Cookie, privacy, blog e paranoie varie

Da qualche ora è cosa nota a tutti che il 2 giugno scadrà il termine per mettersi in regola con un provvedimento del Garante per la protezione dei dati personali relativo all’utilizzo di cookie su applicazioni web. Questo provvedimento è stato preso nel lontano 8 maggio 2014, ma è passato quasi completamente inosservato per un anno finché qualcuno ha iniziato a far notare come la stragrande maggioranza dei siti web in circolazione – o per meglio dire la totalità – sono ancora fuorilegge.

Cookie di profilazione vs Cookie tecnici

I cookie sono stati introdotti più di vent’anni fa per far sì che fosse possibile riconoscere i navigatori che tornavano su un determinato sito, e nel tempo si sono sfruttati per mille scopi.
Il Garante ha diviso sommariamente questi file di testo in due categorie: i cookie tecnici, necessari per il funzionamento dei siti e per implementare funzionalità utili all’utente che lo visita, e i cookie di profilazione, utilizzati solo a scopi pubblicitari e di controllo dell’utente.
Tra i due gli unici che interessano la nuova normativa sono quelli di profilazione, usati e abusati da molti siti web per bombardare gli utenti con pubblicità mirate e per costruire precisi profili utilizzando i dati personali e le preferenze espresse durante la navigazione sul web.

Che fare se si ha un sito web

Inutile girarci intorno: che gestiate un blog, un sito di ecommerce o qualunque altra cosa pubblicata sul web al 99.99% non siete in regola.
Sintetizzando all’estremo la normativa richiede che chi ha un sito in cui da qualche parte vengono generati dei cookie di profilazione (anche da terze parti), prima che questi inizino ad essere efficaci l’utente deve esserne informato e deve fornire un consenso (per l’appunto preventivo). Questa cosa dovrebbe essere fatta con un banner ben visibile nella pagina in cui l’utente possa leggere quali sono i “rischi” a cui va incontro continuando nella navigazione, e al suo interno vi dovrebbe essere un pulsante per confermare il consenso…

Qualcuno ha capito che il blocco della navigazione previo consenso va fatto solo se i cookie li generiamo noi, e che per quelli di terze parti basta rendere visibile il banner in cui si informa l’utente. Altri arrivano a consigliare il blocco di tutto per cautelarsi, perché la normativa è fraintendibile. Nel dubbio leggetevi la normativa, interpretatela e agite come meglio credete.
Non è del tutto chiaro nemmeno se la normativa valga solo per i cookie o anche per altre forme di memorizzazione similari (local storage, varie ed eventuali).

Ora, chi ha navigato un po’ sul web nelle ultime settimane avrà notato un proliferare di messaggi – nelle forme più disparate – in cui i siti informano gli utenti sull’utilizzo dei cookie. Il problema è che quasi nessuno di questi banner blocca l’utente se questo non esprime il suo consenso, e se questo non succede c’è il “rischio” che l’utente continui nella navigazione senza sapere che sta andando incontro a morte certa. Possibile che nessuno di questi generi dei cookie di profilazione ma utilizzi solo quelli di terze parti? E il principio di prudenza?

Il banner di Twitter

Il banner di Twitter


Il "messaggino" di Amazon

Il “messaggino” di Amazon


Un banner apparentemente fatto bene

Un banner apparentemente fatto bene

Estratti di normativa

Se volete passare qualche bel quarto d’ora qui c’è tutta la normativa.

«Si ritiene pertanto che, anche in ragione delle motivazioni sopra indicate, non si possa obbligare l’editore ad inserire sull’home page del proprio sito anche il testo delle informative relative ai cookie installati per il suo tramite dalle terze parti.»
=> semplice: non serve fare copia incolla delle informative sulla privacy delle terze parti

«Nel momento in cui l’utente accede a un sito web, deve essergli presentata una prima informativa “breve”, contenuta in un banner a comparsa immediata sulla home page (o altra pagina tramite la quale l’utente può accedere al sito), integrata da un’informativa “estesa”, alla quale si accede attraverso un link cliccabile dall’utente.»
=> semplice anche questo: il banner deve essere sintetico ma da lì deve essere possibile visualizzare un’informativa più dettagliata (un po’ come il banner di Twitter)

«Affinché la semplificazione sia effettiva, si ritiene necessario che la richiesta di consenso all’uso dei cookie sia inserita proprio nel banner contenente l’informativa breve.»
=> bene, sul banner si vuole un pulsante per esprimere il consenso

«…l’archiviazione delle informazioni nell’apparecchio terminale di un contraente o di un utente o l’accesso a informazioni già archiviate sono consentiti unicamente a condizione che il contraente o l’utente abbia espresso il proprio consenso dopo essere stato informato..»
=> in tutta la normativa si parla di cookie, ma qui solo di un generico “archiviare”… per me il tutto vale per ogni meccanismo di memorizzazione sul client, anche futuro

«Il suindicato banner, oltre a dover presentare dimensioni sufficienti a ospitare l’informativa, seppur breve, deve essere parte integrante dell’azione positiva nella quale si sostanzia la manifestazione del consenso dell’utente. In altre parole, esso deve determinare una discontinuità, seppur minima, dell’esperienza di navigazione: il superamento della presenza del banner al video deve essere possibile solo mediante un intervento attivo dell’utente (appunto attraverso la selezione di un elemento contenuto nella pagina sottostante il banner stesso).»
=> secondo me il significato di questo paragrafo non è in grado di capirlo nemmeno chi l’ha scritto, si presta a ogni genere di interpretazione e sembra fatto a posta per farci mangiare sopra gli avvocati. Qui lo dico e qui lo nego.

Caso specifico: blog personale senza grandi pretese

Quello che ho capito io è che se volete stare tranquilli almeno nella fase iniziale è meglio andarci con i piedi di piombo, togliendo dal proprio blog tutto quello che potrebbe non essere a norma e magari aggiungere anche una paginetta di Informativa sulla privacy. Se non volete aggiungere anche il banner in modo da richiedere il consenso preventivo all’utente dovete cercare di eliminare ogni potenziale rischio che qualcosa crei attraverso il vostro sito dei cookie di profilazione (o che ne utilizzi di creati in precedenza). E poi magari aggiungete anche il banner attraverso un plugin, ché ce ne sono tanti.

I cosiddetti “pulsanti social”

Toglieteli, non servono a niente a parte appesantire il caricamento delle pagine, occupare spazio e rendere più antipatica la stampa degli articoli. Certo che se avete un blog molto seguito vedere i numeretti delle condivisioni fa festa, ma sono comunque numeri abbastanza fasulli. Però davano un tocco di colore…

Il plugin di wordpress che avevo usato io per dare un tocco di colore. Peccato.

Il plugin di wordpress che avevo usato io per dare un tocco di colore. Peccato.

Google Analytics

Profilazione per antonomasia. Qualcuno dice che questi non contino, ma in realtà se avete gli analytics di BigG sul vostro sito viene creato almeno un cookie _ga, quindi contano eccome.
Se volete leggervelo qui si parla di come funzionano i cookie di Google Analytics.
I Google analytics si possono configurare per anonimizzare l’ip degli utenti, utilizzando l’apposito parametro _anonymizeIp da inserire all’interno dello snippet di codice che deve essere aggiunto alle pagine da analizzare. Io nel dubbio ho tolto tutto, fra qualche settimana se ne riparlerà.

Twitter

Anche i badge di Twitter naturalmente tengono traccia del comportamento dell’utente, se quindi avete aggiunto uno widget/plugin in cui visualizzate i vostri tweet, sembra proprio che questo possa generare dei cookie di profilazione. Però se andate nella pagina delle impostazioni di Twitter, dove potete generarvi il badge (da includere poi come widget html sul blog), c’è una spunta che forse fa al caso nostro: “Disattiva la personalizzazione”.

La checkbox "Disattiva la personalizzazione" dovrebbe servire per rientrare nella normativa. Forse.

La checkbox “Disattiva la personalizzazione” dovrebbe servire per rientrare nella normativa. Forse.

Controllare i cookie generati dal vostro sito

Qui si va un po’ sul tecnico, ma niente di trascendentale. Dopo aver fatto un po’ di pulizia – almeno per togliere lo sporco che puzza – è giunto il momento di guardare nel dettaglio i cookie collegati al nostro sito.
Se avete il browser Chrome – e per il vostro bene dovreste già averlo installato – fate click con il tasto destro del mouse in un punto della pagina e nel menù contestuale che si apre scegliete la voce “Ispeziona elemento”. Nella finestra che si apre andate nella scheda “Resources”, da qui nella voce cookies, e poi sull’url del vostro sito. A questo punto vi conviene fare pulizia per evitare di leggere cookie salvati chissà quando: è sufficiente cliccare con il tasto destro sull’url del sito (sotto cookies) e poi premere “clear”.
Fate un giretto nel vostro sito visualizzando tutti i vari widget e plugin che potreste avere ancora installati e controllate che i cookies non proliferino.
Qui potete controllare a cosa servono i cookie generati da Google.
cookie-chrome

Nel mio sito rimangono solo un cookie di Google e due di Twitter, temo possano essere cookie di profilazione ma credo fortemente che nessuno morirà per questo.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.