
Sono previste multe di parecchie migliaia di euro per i responsabili dei siti che non rispettano questo provvedimento, cerchiamo quindi di capire assieme quello che è necessario fare.
Premessa
{xtypo_rounded1}Non posso fornire pareri legali vincolanti, non sono esperto in materia (...io sono esperto in Ozio) come non posso certificare che queste interpretazioni siano corrette dal punto di vista del Garante, anche perché in alcuni passaggi la normativa sembra presentare incongruenze o parziali contraddizioni.{/xtypo_rounded1}Maledetti cookie
Il tutto gira attorno a questi maledetti cookie. Non mi soffermo a spiegare cosa siano ed a cosa servano, il web è pieno di queste informazioni. Quello che a voi interessa sapere è se Joomla ne fa uso. Si, il vostro sito Joomla (in tutte le varie versioni) utilizza certamente almeno un cookie di sessione che definiamo cookie tecnico. La normativa, che vi invito a leggere completamente, fa distinzione fra cookie tecnici e cookie di profilazione.Joomla utilizza solo cookie tecnici, sia con o senza la registrazione utenti attiva, sia con estensioni esterne installate ecc.. sempre e solo cookie tecnici vengono utilizzati in prima parte dal sito Joomla. Ovviamente ci sono anche estensioni che si "appoggiano" a servizi esterni come una per mostrare i video di youtube o per mostrare i tasti di condivisione social ecc... allora in questo caso tornano in gioco i cookie di terze parti, intesi non perchè generati dall'estensione ma perchè l'estensione richiama servizi esterni al sito dove è installata. Mentre i cookie di profilazione vengono utilizzati dai grandi portali come Google, Amazon, Facebook, Ebay ecc...
..ma che bello era quando per fare siti dovevi litigare solo con il codice di programmazione e non con il codice civile..Poi ci sono i cookie di terze parti, cioè quando attraverso il nostro sito richiamiamo funzionalità che provengono proprio da questi grandi portali esterni. Accade per esempio quando inseriamo un video di Youtube in un articolo o i tasti che conteggiano le condivisioni social, oppure se abbiamo la mappa di Google o dei banner Adsense ecc...
Ci possono essere moltissimi e moltissimi modi con cui il nostro sito veicola i cookie di questi servizi esterni, cookie quindi di terze parti. Difficile poi capire se fra questi cookie di terze parti ce ne siano alcuni solo tecnici ed alcuni probabilmente di profilazione. Ma non è compito nostro andare ad indagare su questo. Non è responsabilità nostra attendere il consenso del visitatore della pagina prima che questi cookie di terze parti (tecnici o di profilazione) siano installati nel browser del suo computer o dispositivo mobile.
I cookie dei servizi di statistica vengono assimilati ai cookie tecnici. Nel caso di Google Analytics si consiglia però l'anonimizzazione dell'indirizzo IP raccolto dalle statistiche. In questo post viene indicato come fare.
Piazziamo il banner su tutte le pagine

Quindi se per il vostro sito Joomla siete certi di non avere in nessuna pagina alcuno "script" che richiama servizi esterni potete evitare di pubblicare questo banner con l'informativa breve. Ma dovete pubblicare la pagina con l'informativa estesa e renderla disponibile con un link da tutte le pagine del sito. Questo è necessario perchè sappiamo che il nostro sito Joomla certamente utilizza almeno un suo cookie di sessione.
Vi invito però a provare a navigare una buona parte delle pagine del vostro sito attivando questa app per Chrome che vi mostrerà poi l'elenco di tutti i cookie che sono stati generati. Se nell'elenco appare solo quello di sessione di Joomla allora complimenti, siete riusciti a fare un sito che non genera cookie di terze parti.
Come pubblicare il banner dell'informativa breve?
La grande maggioranza di siti però sappiamo che fa uso di script esterni, spesso è il template scelto che richiama API esterne, quindi c'è da pubblicare il banner con l'informativa breve. La JED ha una categoria di estensioni dedicate a questo compito. Oppure potete seguire le indicazioni presenti in questo articolo. Semplice anche l'utilizzo del modulo Cookie Accept. Anche Google ha messo a disposizione un semplice e generico script per la pubblicazione del banner: cookiechoices.org che è la soluzione utilizzata qui su Joomla.it e che ho descritto in questa installazione di Joomla Estesa (questa soluzione è valida per qualsiasi versione di Joomla o altro CMS ecc..).

Risulta anche utile utilizzare in questa fase di test il browser Chrome aprendo la finestra "di navigazione in incognito", così ad ogni riavvio di chrome non vengono memorizzati i cookie e la cache.
Premendo sull'icona nella barra degli indirizzi a sinistra del percorso (URL) del sito si apre una finestra che mostra il conteggio dei cookie generati, suddivisi appunto fra prima e terza parte. Più specifica e precisa la visualizzazione di queste informazioni se attiviamo dal menu di Chrome "Altri strumenti-->Strumenti per sviluppatori" e nel TAB "Resources" seleziooniamo il cookie da analizzare (vedi figura). Risulta quindi fondamentale ai sensi della normativa riuscire a comprendere se tutti i cookie sono generati dal dominio del sito in questione o provengono da altri domini di terze parti.

Ad oggi ci pare di capire che Google abbia confermato che il servizio Adsense che permette di monetizzare pubblicando banner pubblicitari sul proprio sito utilizza cookie di profilazione. Se trovate nelle varie "policy" queste conferme indicatele nel commento all'articolo così possiamo provare a stilare assieme un elenco di servizi esterni che dichiarano chiaramente l'utilizzo di cookie di profilazione:
- Google Adsense dichiara l'utilizzo di cookie di profilazione
- Facebook dichiara l'utilizzo di cookie di profilazione anche attraverso siti esterni che integrano i suoi servizi.
- Twitter dichiara l'utilizzo di cookie di profilazione anche attraverso siti esterni che integrano i suoi servizi.
La pagina con l'informativa estesa

Attenzione alle bufale allarmistiche

Non potete poi prendere voi il consenso sull'utilizzo dei cookie di terze parti come Google o Facebook ecc.., non è vostro compito. Il consenso può essere dato solo dopo un'attenta lettura delle relative "policy" che ogni azienda di questo tipo ha sui propri servizi. Quindi a noi non resta che rimandare nell'informativa estesa al link youronlinechoices.com che racchiude tutte le indicazioni sugli eventuali cookie di terze parti.
FAQ
Anche il mio piccolo sito del calcetto, del paesino, del mio hobby rientra in questa norma?Si, tutti i siti Joomla devono mettersi in regola o rischiano pesanti sanzioni.
Ma anche se sul mio piccolo sito amatoriale non faccio alcuna raccolta di dati? Non c'è alcun form di contatto, alcun form di registrazione? (non c'è numero di telefono, nè mail nè altre informazioni dove inviare eventuali dati, ci sono solo poche pagine statiche informative con testo e immagini)
Si, anche il più minuscolo sito Joomla deve adeguarsi perchè certamente trasmette almeno un cookie tecnico.
Chi è il responsabile del sito?
Solitamente ad un sito è associato un nome di dominio che è intestato ad una persona fisica o ad una entità giuridica (azienda, associazione ecc..). Non è quindi il webmaster il responsabile del sito, ma chi lo gestisce, chi ne è l'intestatario del trattamento dei dati (chi conserva e/o gestisce i dati raccolti).
In caso di sito multilingua devo tradurre le informative?
Si, devi tradurre in tutte le lingue il banner dell'informativa breve e la pagina dell'informativa estesa.
Devo notificare al Garante l'uso che il mio sito fa dei cookie e pagare 150 Euro ?
No, questo spetta solo ai grandi portali che usano cookie di profilazione propri. Esempio Google, Amazon, Ebay, Facebook ecc...
E' necessario riportare nell'informativa estesa l'elenco dei nomi di tutti i cookie generati da tutte le pagine del sito?
No, non è necessario. Basta mettere il link a youronlinechoices.com
E' necessario elencare i link a tutte le "policy" di tutti i siti esterni di cui il sito permette l'installazione di cookie di terze parti?
No, non è necessario. Basta mettere il link a youronlinechoices.com
E' necessario inserire obbligatoriamente il nominativo del responsabile dei dati nell'informativa estesa?
No.
Devo bloccare preventivamente i cookie ed attendere il consenso?
No. Solo chi fa uso di cookie di profilazione di prima parte deve attendere il consenso per inviare questi cookie. Il tuo sito Joomla non fa uso di cookie di profilazione di prima parte.
Se il mio sito è ospitato su un server fuori dalla UE è necessario rispettare ugualmente questa normativa?
Si. Se il responsabile del sito è residente in uno dei paesi della UE deve rispettare questa normativa.
Posso ricopiare l'informativa breve ed estesa presente su Joomla.it per metterla nel mio sito?
Certo, come sai è nel nostro pieno spirito di condivisione aiutare chi usa Joomla. Puoi ricopiare tutto quello che vuoi dal sito Joomla.it, ricordati almeno di leggere e capire quello che stai copiando ed elimina o sostituisci le parti che fanno riferimento a Joomla.it ed al responsabile dei dati. Quindi ricercate il termine Open Source Solutions in tutta la pagina e sostituitelo con il vostro riferimento come responsabile del sito. Quel termine si ripete circa 10 volte, quindi dovere sostituirlo in tutte le zone fino in basso alla pagina!
Altri siti rilevanti cosa fanno in merito? (in data settembre 2015)Analizzando alcuni dei più noti siti italiani questi sembrano interpretare la normativa nella stessa modalità come descritta in questo articolo.
● tiscali.it sì informativa breve e subito presenza di cookie di terze parti (Google AdSense, ecc..).
● subito.it sì informativa breve e subito presenza di cookie di terze parti (Google AdSense ecc..).
● unicredit.it sì informativa breve e subito presenza di cookie di terze parti (adnxs.com, remintrex.com).
● zalando.it sì informativa breve e subito presenza di cookie di terze parti (DoubleClick, yahoo.com ecc..).
● leonardo.it sì informativa breve e subito presenza di cookie di terze parti (DoubleClick, ecc..).
● unieuro.it sì informativa breve e subito presenza di cookie di terze parti (DoubleClick, Twitter, twenga.it).
● html.it sì informativa breve e subito presenza di cookie di terze parti (DoubleClick, GetClicky, ecc..).
● italia.it sì informativa breve e subito presenza di cookie di terze parti (Youtube, AddThis ecc..).
● paginegialle.it sì informativa breve e subito presenza di cookie di terze parti (Doubleclick, Facebook ecc..).
● ilmessaggero.it sì informativa breve e subito presenza di cookie di terze parti (Google, Imrworldwide ecc..).
● mymovies.it sì informativa breve e subito presenza di cookie di terze parti (Google, Imrworldwide ecc..).
● ilpost.it sì informativa breve e subito presenza di cookie di terze parti (Google, Imrworldwide ecc..).
● agi.it sì informativa breve e subito presenza di cookie di terze parti (Twitter, Zanox ecc..).
● meteo.it sì informativa breve e subito presenza di cookie di terze parti (Facebook, mediaset ecc..).
● deejay.it sì informativa breve e subito presenza di cookie di terze parti (Facebook, twitter ecc..).
● studenti.it sì informativa breve e subito presenza di cookie di terze parti (Facebook, twitter ecc..).
● googleitalia.blogspot.it sì informativa breve e subito presenza di cookie di terze parti (Google, youtube, ecc..).
Mentre altri sembrano non aver recepito la normativa od interpretare i cookie tecnici di terze parti come propri o come certamente tecnici e non mettono l'informativa breve:
● trenitalia.com no informativa breve ma cookie di terze parti (Omniture e expo2015.org ecc...).
● www.quirinale.it no informativa breve ma cookie di terze parti (Vimeo ecc...) e manca informativa estesa.
● poliziadistato.it no informativa breve ma cookie di terze parti (ShareThis, ecc..) e manca informativa estesa.
● italia.it no informativa breve ma cookie di terze parti (Youtube, AddThis ecc..) e manca informativa estesa.
● garanteprivacy.it no informativa breve ma cookie di terze parti (readspeaker.com)
● whitehouse.gov no informativa breve ma cookie di terze parti (facebook)
Non si possono rischiare denunce in merito al non rispetto della normativa, ma solo eventuali segnalazioni al Garante Privacy.
● tiscali.it sì informativa breve e subito presenza di cookie di terze parti (Google AdSense, ecc..).
● subito.it sì informativa breve e subito presenza di cookie di terze parti (Google AdSense ecc..).
● unicredit.it sì informativa breve e subito presenza di cookie di terze parti (adnxs.com, remintrex.com).
● zalando.it sì informativa breve e subito presenza di cookie di terze parti (DoubleClick, yahoo.com ecc..).
● leonardo.it sì informativa breve e subito presenza di cookie di terze parti (DoubleClick, ecc..).
● unieuro.it sì informativa breve e subito presenza di cookie di terze parti (DoubleClick, Twitter, twenga.it).
● html.it sì informativa breve e subito presenza di cookie di terze parti (DoubleClick, GetClicky, ecc..).
● italia.it sì informativa breve e subito presenza di cookie di terze parti (Youtube, AddThis ecc..).
● paginegialle.it sì informativa breve e subito presenza di cookie di terze parti (Doubleclick, Facebook ecc..).
● ilmessaggero.it sì informativa breve e subito presenza di cookie di terze parti (Google, Imrworldwide ecc..).
● mymovies.it sì informativa breve e subito presenza di cookie di terze parti (Google, Imrworldwide ecc..).
● ilpost.it sì informativa breve e subito presenza di cookie di terze parti (Google, Imrworldwide ecc..).
● agi.it sì informativa breve e subito presenza di cookie di terze parti (Twitter, Zanox ecc..).
● meteo.it sì informativa breve e subito presenza di cookie di terze parti (Facebook, mediaset ecc..).
● deejay.it sì informativa breve e subito presenza di cookie di terze parti (Facebook, twitter ecc..).
● studenti.it sì informativa breve e subito presenza di cookie di terze parti (Facebook, twitter ecc..).
● googleitalia.blogspot.it sì informativa breve e subito presenza di cookie di terze parti (Google, youtube, ecc..).
Mentre altri sembrano non aver recepito la normativa od interpretare i cookie tecnici di terze parti come propri o come certamente tecnici e non mettono l'informativa breve:
● trenitalia.com no informativa breve ma cookie di terze parti (Omniture e expo2015.org ecc...).
● www.quirinale.it no informativa breve ma cookie di terze parti (Vimeo ecc...) e manca informativa estesa.
● poliziadistato.it no informativa breve ma cookie di terze parti (ShareThis, ecc..) e manca informativa estesa.
● italia.it no informativa breve ma cookie di terze parti (Youtube, AddThis ecc..) e manca informativa estesa.
● garanteprivacy.it no informativa breve ma cookie di terze parti (readspeaker.com)
● whitehouse.gov no informativa breve ma cookie di terze parti (facebook)
Considerazione personale...

Tutto questo porta un continuo allontanamento dal web, di conseguenza molti lasciano scadere i propri domini e fanno sparire le proprie pagine web. Si rischia di impedire la libera espressione sul web che è stata faticosamente raggiunta anche grazie ai CMS gratuiti e Open source. Una vera e propria sconfitta.
Inoltre ora i nostri siti sono costretti a mostrare in modo evidente questo "banner", il quale non ha niente a che vedere con l'argomento delle nostre pagine web, rischiando così di distrarre e distogliere l'attenzione del visitatore... ed agevolando siti concorrenti gestiti fuori dalla UE dove non sono sottoposti a questa normativa, questo in un mercato globale come la rete è uno svantaggio.
si ringrazia l'Avv. Massimo Simbula ➜ www.studiolegalesimbula.com per il supporto fornito
