We have cookies – la mia esperienza con la #cookielaw

we-have-cookiesAd un anno dalla sua emissione, il provvedimento che disciplina l’uso dei cookies, emesso dal Garante per la protezione dei dati personali, è entrato in vigore. Visto che gli hashtag vanno di moda, ne esiste uno anche su questo tema: #cookielaw.

Da rimandatario cronico, ho cercato di capire la norma e di adeguare i siti che gestisco solo la notte precedente alla scadenza del periodo transitorio concesso. Questo post racconta la mia esperienza.

 

Qui si parla di cookies. Per conoscere che cosa sono o come vengono catalogati dal provvedimento, si possono consultare questi due indirizzi: wikipedia, FAQ sul sito del Garante.
Continuando con la lettura, l’autore assume che avete almeno fatto click su uno dei due link indicati. 🙂

Accetta e chiudi

Fase 1: capire cosa fare

Sono partito da un concetto chiaro: esiste una norma per la quale è necessario notificare ai visitatori che il sito fa uso di cookies e, in qualche modo, ottenere il loro consenso.

Primo passo, quindi: cercare documentazione.

Sul sito del Garante ci sono molte informazioni, alcune molto chiare, altre meno. Esiste anche una guida ben fatta del sole24ore dedicata alle imprese ma, di fatto, valida per chiunque abbia un sito pubblico. Non riuscendo però ad inquadrare la soluzione al mio nuovo problema di privacy, ho cercato su blog, forum e social network.

Da tutte queste fonti e dopo un’ora passata a leggere, ho finalmente capito che:

  1. il concetto da cui sono partito era parzialmente vero
  2. non sarei riuscito a venirne a capo facilmente
  3. applicare la norma correttamente potrebbe essere praticamente impossibile
  4. non ero solo in questa avventura…

Il perchè nella fase due.

Fase 2: prima di capire cosa fare, capire cosa dovrei fare

La fase 1 non ha funzionato: ho ancora molti dubbi e non esiste in rete uno strumento ufficiale che consenta di fare una sorta di compliance check sul proprio dominio/sito.

Cosa mi è chiaro

Se hai un sito su internet che utilizza cookie (=tutti), devi informare gli utenti con un piccolo banner che:

  • (nel caso) il sito utilizza cookie di profilazione;
  • (nel caso) il sito consente anche l’invio di cookie di “terze parti”;
  • esiste una informativa più ampia, con le  indicazioni sull’uso dei cookie inviati dal sito, dove è possibile negare il consenso alla loro installazione direttamente o collegandosi ai vari siti nel caso dei cookie di “terze parti”;
  • proseguendo nella navigazione si presta il consenso all’uso dei cookie.

Esistono due tipi di cookie: tecnici e di profilazione (anni a lavorare nell’ICT e mi ero perso questo passaggio fondamentale!). La differenza tra i due è che i secondi profilano l’utente per fini commerciali, i primi si limitano a far funzionare l’applicazione.

Se il sito ospita servizi di terze parti, occorre informare l’utente prima di procedere all’installazione di cookie di profilazione o, in alternativa, installare il cookie ma non attivarli (?) senza il suo esplicito consenso.

Se utilizzi cookie di profilazione per fini commerciali devi notificarlo al garante tramite il seguente link e il pagamento di 150€ (diritti di segreteria).

Se vengono utilizzati solo cookie tecnici, non è necessario informare gli utenti. I sistemi di analytics sono considerati tecnici se opportunamente anonimizzati.

Cosa non mi è chiaro

Ammesso anche che si abbiano le opportune competenze tecniche per:

  • comprendere la natura della problematica
  • elencare tutti i cookie installati dal sito
  • modificare il comportamento dei singoli componenti presenti sulle pagine

Per essere sicuri di rispettare la policy si dovrebbe:

  • conoscere perfettamente il comportamento dei singoli servizi che si ospita (ad esempio un pulsante di condivisione su twitter o un video di youtube)
  • essere assolutamente certi del fatto che il fornitore del widget (o della funzionalità) non decida di modificare dati raccolti (o, eventualmente, le modalità di profilazione) PRIMA di averlo opportunamente comunicato (bisogna aggiornare la policy!)
  • anonimizzare qualsiasi strumento di analytics e disattivare quelli che non prevedono questa opzione

Inoltre nel caso di siti in hosting (come questo) esiste la possibilità che il fornitore installi dei componenti non controllabili dall’utente (e quindi non disattivabili dal medesimo) per fini commerciali o di profilazione. Tali componenti possono cambiare nel tempo e possono essere modificati senza preavviso (aspetto che può essere anche presente nel contratto con il quale il fornitore offre il servizio di hosting).

Come ci si comporta in questi casi? Ancora non ho tutte le risposte.

Cosa potrei fare

Nel mio caso, dovrei trovare un qualche sistema per:

  • listare i cookie che il sito installa sul browser dell’utente (facile)
  • capire quali cookie posso controllare direttamente (facile)
  • capire esattamente quali dei widget presenti sono utilizzati per profilare gli utenti (impossibile!)
  • modificare in qualche modo wordpress (o i plugin installati) perchè qualsiasi cosa che si porti dietro cookies sia attivata non prima del “fire” di un evento che accerti l’accettazione dell’utente (complicato!)
  • creare la mia privacy policy (facile)

Tutto (quasi) fattibile, ma ci vuole tempo e probabilmente modificherei l’architettura interna del CMS tanto da renderlo, di fatto, non manutenibile. Questo per tutti i siti che gestisco direttamente.

Fase 3: cosa hanno fatto gli altri?

I comportamenti che sono riuscito a identificare in rete sono essenzialmente di quattro tipologie:

  1. Pochi hanno pubblicato la policy elencando analiticamente i cookie trasmessi ed ha  cambiato il codice del proprio portale per intercettare l’installazione in assenza di consenso;
  2. qualcuno ha “smontato” il proprio sito pezzo per pezzo, così da evitare di doverne riscrivere parte del codice o correre il rischio di incorrere in sansioni rilevanti;
  3. molti hanno installato un plugin che visualizza il banner e/o si sono serviti di iubenda per la creazione di una policy generica;
  4. moltissimi non hanno capito il problema pechè, come è giusto che sia, non hanno idea di cosa sia un cookie.

Fase 4: cosa ha fatto la PA italiana?

La curiosità è stata forte. Mi sono chiesto come i vari portali della PA abbiano recepito la cosa e ne ho presi 5 a caso da una rapida ricerca in google.

Per testare i portali (mi sono limitato alle home page) avrei potuto utilizzare uno qualsiasi dei molti strumenti disponibili in rete. Attacat ne rende disponibile uno semplice e completo, che permette anche di creare una privacy policy personalizzata (in inglese).

Tuttavia questi tool si basano, nella maggior parte dei casi, sulla gestione dei cookie interna del browser e può accadere che altri plugin, impostazioni custom, assistenti di ricerca abbiano già installato dei cookie sul client prima di caricare la pagina desiderata.

Per maggiore accuratezza, ho creato uno script che pilota phantomjs per lo scopo:

Naturalmente lo scopo della mia analisi è puramente comparativo: ho voluto capire come la PA si è adeguata per meglio comprendere come comportarmi.

Ecco quello che ho trovato:

http://www.interno.gov.it/it
Informativa breve NO
Informativa estesa NO
Cookie installati __utmz (.static.addtoany.com)
__utmc (.static.addtoany.com)
__utmb (.static.addtoany.com)
__utma (.static.addtoany.com)
__utmt (.static.addtoany.com)
uvc (.addtoany.com)
GEUP (.youtube.com)
PREF (.youtube.com)
_gat (.interno.gov.it)
_ga (.interno.gov.it)
YSC (.youtube.com)
VISITOR_INFO1_LIVE (.youtube.com)
has_js (www.interno.gov.it)
Blocco cookie senza consenso NO*

 

http://www.regione.lazio.it
Informativa breve SI
Informativa estesa SI
Cookie installati _gat (.lazio.it)
_ga (.lazio.it)
PHPSESSID (www.regione.lazio.it)
Blocco cookie senza consenso NO*

 

http://www.poliziadistato.it
Informativa breve NO
Informativa estesa NO
Cookie installati NID (.google.com)
__unam (.poliziadistato.it)
__utmz (.poliziadistato.it)
__utmc (.poliziadistato.it)
__utmb (.poliziadistato.it)
__utma (.poliziadistato.it)
__utmt (.poliziadistato.it)
Blocco cookie senza consenso NO*

 

http://www.innovatoripa.it
Informativa breve NO
Informativa estesa NO
Cookie installati __utmz (.innovatoripa.it)
__utmc (.innovatoripa.it)
__utmb (.innovatoripa.it)
__utma (.innovatoripa.it)
__utmt (.innovatoripa.it)
has_js (www.innovatoripa.it)
Blocco cookie senza consenso NO*

 

http://www.lineaamica.gov.it
Informativa breve SI
Informativa estesa SI
Cookie installati loc (.addthis.com)
vc (.addthis.com)
bt (.addthis.com)
di2 (.addthis.com)
dt (.addthis.com)
cslhVISITOR (servizi.lineaamica.gov.it)
uvc (.addthis.com)
uit (.addthis.com)
uid (.addthis.com)
__atuvs (www.lineaamica.gov.it)
__atuvc (www.lineaamica.gov.it)
cookieid (servizi.lineaamica.gov.it)
__utmz (.lineaamica.gov.it)
__utmc (.lineaamica.gov.it)
__utmb (.lineaamica.gov.it)
__utma (.lineaamica.gov.it)
__utmt (.lineaamica.gov.it)
has_js (www.lineaamica.gov.it)
Blocco cookie senza consenso NO*

* sarebbe da verificare se i cookie sono “attivati” solo dopo il consenso

Da quello che mi sembra (per questi pochi portali e nel momento in scrivo questo post) anche la PA è piuttosto indietro; dei siti testati, praticametne nessuno blocca l’installazione dei cookie prima dell’accettazione e solo alcuni hanno realizzato l’informativa breve e/o estesa.

Sono ancora più confuso.

Fase 5: torniamo al 1999

A questo punto ho preso una decisione. Non sapendo bene cosa fare, ho fatto l’unica cosa semplice: ho cominciato a smontare i miei siti.

In pratica:

  1. ho costruito la mappa dei cookie installati (con lo stesso script utilizzato nella fase precedente);
  2. ho disattivato tutti i servizi esterni che non conosco o il cui comportamento non posso controllare;
  3. ho anonimizzato tutti gli strumenti di analytics;
  4. (in alcuni casi) ho aggiornato la policy specificando che ci sono alcuni cookie che non sono sotto il mio controllo.

Per farla breve: niente pulsanti di condivisione, niente strumenti di pubblicazione avanzata, niente widget youtube, spotify, instagram, …

Sembra di essere tornati al 1999. Non mi stupirei se improvvisamente tornasse in voga AltaVista.

Morale

Le penali applicabili, soprattutto nel caso di cookie installati senza consenso, sono altissime (fino a 120.000€) e uguali per tutti, anche per chi – come me – gestisce un blog personale per finalità non commerciali / senza scopo di lucro, senza ads, in hosting gratuito.

E’ difficile pensare che la normativa sia realmente compresa da soggetti che, pur pubblicando contenuti su internet con regolarità, non conoscano la materia e (giustamente) non siano nemmeno interessati a conoscerla.

Non esiste uno strumento tecnico ufficiale per verificare il proprio stato di compliance ma solo molti servizi generici (alcuni a pagamento); quelli dedicati sono offerti da aziende specializzate e, quindi, hanno un costo.

In Europa ogni stato ha recepito l’indicazione su cooke e privacy in modo diverso. L’italia è tra quelli che hanno scelto di applicare le policy più restrittive e forse l’unico a prevedere un pagamento per notificare l’utilizzo di particolari tipologie di cooke.

Molti, compreso il sottoscritto, pensano che sia una forma di limitazione della libertà di espressione e, in alcuni casi, una forma di tassazione.

Ma queste sono solo opinioni personali.

2 pensieri su “We have cookies – la mia esperienza con la #cookielaw

  1. ArMyZ

    Benvenuto nel club.
    Sono arrivato alle stesse conclusioni (unica integrazione: per quanto ho capito, i cookie “tecnici” vanno comunque notificati ma non serve l’autorizzazione preventiva).
    E il cookie che tiene traccia della lettura e accettazione delle policy? Va notificato? Occorre l’autorizzazione? #ricorsionidelmenga

    Replica
    1. Marco Giovinazzi Autore articolo

      Credo che per i cookie tecnici, che nella maggior parte dei casi sono assimilabili a quelli che la normativa europea chiama session cookie, non sia mai necessaria la notifica. Sul secondo punto invece le FAQ del garante dicono:
      Per tenere traccia del consenso acquisito, il titolare del sito può avvalersi di un apposito cookie tecnico, sistema non particolarmente invasivo e che non richiede a sua volta un ulteriore consenso.
      Visto che di cookie tecnico si parla (questo termine mi da sempre più fastidio) non dovrebbe essere necessaria notifica o informativa analitica…

      Replica

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.