E' entrata in vigore (dal 2 giugno 2015) la legge italiana sui cookies (chiarimento del Garante) che recepisce la direttiva del Parlamento europeo, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche. La cosiddetta "EU Cookie Law" riguarda tutti noi che realizziamo e gestiamo siti Internet anche con il CMS Joomla!Sono previste multe di parecchie migliaia di euro per i responsabili dei siti che non rispettano questo provvedimento, cerchiamo quindi di capire assieme quello che è necessario fare.
Premessa
{xtypo_rounded1}Non posso fornire pareri legali vincolanti, non sono esperto in materia (...io sono esperto in Ozio) come non posso certificare che queste interpretazioni siano corrette dal punto di vista del Garante, anche perché in alcuni passaggi la normativa sembra presentare incongruenze o parziali contraddizioni.{/xtypo_rounded1}Maledetti cookie
Il tutto gira attorno a questi maledetti cookie. Non mi soffermo a spiegare cosa siano ed a cosa servano, il web è pieno di queste informazioni. Quello che a voi interessa sapere è se Joomla ne fa uso. Si, il vostro sito Joomla (in tutte le varie versioni) utilizza certamente almeno un cookie di sessione che definiamo cookie tecnico. La normativa, che vi invito a leggere completamente, fa distinzione fra cookie tecnici e cookie di profilazione.Joomla utilizza solo cookie tecnici, sia con o senza la registrazione utenti attiva, sia con estensioni esterne installate ecc.. sempre e solo cookie tecnici vengono utilizzati in prima parte dal sito Joomla. Ovviamente ci sono anche estensioni che si "appoggiano" a servizi esterni come una per mostrare i video di youtube o per mostrare i tasti di condivisione social ecc... allora in questo caso tornano in gioco i cookie di terze parti, intesi non perchè generati dall'estensione ma perchè l'estensione richiama servizi esterni al sito dove è installata. Mentre i cookie di profilazione vengono utilizzati dai grandi portali come Google, Amazon, Facebook, Ebay ecc...
..ma che bello era quando per fare siti dovevi litigare solo con il codice di programmazione e non con il codice civile..Poi ci sono i cookie di terze parti, cioè quando attraverso il nostro sito richiamiamo funzionalità che provengono proprio da questi grandi portali esterni. Accade per esempio quando inseriamo un video di Youtube in un articolo o i tasti che conteggiano le condivisioni social, oppure se abbiamo la mappa di Google o dei banner Adsense ecc...
Ci possono essere moltissimi e moltissimi modi con cui il nostro sito veicola i cookie di questi servizi esterni, cookie quindi di terze parti. Difficile poi capire se fra questi cookie di terze parti ce ne siano alcuni solo tecnici ed alcuni probabilmente di profilazione. Ma non è compito nostro andare ad indagare su questo. Non è responsabilità nostra attendere il consenso del visitatore della pagina prima che questi cookie di terze parti (tecnici o di profilazione) siano installati nel browser del suo computer o dispositivo mobile.
I cookie dei servizi di statistica vengono assimilati ai cookie tecnici. Nel caso di Google Analytics si consiglia però l'anonimizzazione dell'indirizzo IP raccolto dalle statistiche. In questo post viene indicato come fare.
Piazziamo il banner su tutte le pagine
La normativa ci obbliga a piazzare ben visibile un banner con l'informativa breve su tutte le pagine del sito. Avrete certamente notato in queste settimane che all'apertura di molti siti appare un testo simile a quello presente su Joomla.it: "Questo sito utilizza cookie, anche di terze parti, per migliorare la tua esperienza e offrire servizi in linea con le tue preferenze. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsenti all’uso dei cookie. Se vuoi saperne di più o negare il consenso a tutti o ad alcuni cookie vai alla sezione Cookie Policy" viene quindi indicato che il sito fa uso di cookie, anche di terze parti, ed il link all'informativa estesa.Quindi se per il vostro sito Joomla siete certi di non avere in nessuna pagina alcuno "script" che richiama servizi esterni potete evitare di pubblicare questo banner con l'informativa breve. Ma dovete pubblicare la pagina con l'informativa estesa e renderla disponibile con un link da tutte le pagine del sito. Questo è necessario perchè sappiamo che il nostro sito Joomla certamente utilizza almeno un suo cookie di sessione.
Vi invito però a provare a navigare una buona parte delle pagine del vostro sito attivando questa app per Chrome che vi mostrerà poi l'elenco di tutti i cookie che sono stati generati. Se nell'elenco appare solo quello di sessione di Joomla allora complimenti, siete riusciti a fare un sito che non genera cookie di terze parti.
Come pubblicare il banner dell'informativa breve?
La grande maggioranza di siti però sappiamo che fa uso di script esterni, spesso è il template scelto che richiama API esterne, quindi c'è da pubblicare il banner con l'informativa breve. La JED ha una categoria di estensioni dedicate a questo compito. Oppure potete seguire le indicazioni presenti in questo articolo. Semplice anche l'utilizzo del modulo Cookie Accept. Anche Google ha messo a disposizione un semplice e generico script per la pubblicazione del banner: cookiechoices.org che è la soluzione utilizzata qui su Joomla.it e che ho descritto in questa installazione di Joomla Estesa (questa soluzione è valida per qualsiasi versione di Joomla o altro CMS ecc..).
Durante la procedura di test del vostro banner con l'informativa breve risulta utile capire come tornare a visualizzarlo dopo averlo "approvato". Per tornare a visualizzare i banner con l'informativa breve, nei vari siti dove abbiamo dato l'ok e quindi non è più visibile, è necessario eliminare i cookie presenti nel nostro browser e magari anche la cache (cronologia). Dal menu delle impostazioni del browser è semplice raggiungere l'opzione per cancellare i cookie memorizzati e la cronologia.Risulta anche utile utilizzare in questa fase di test il browser Chrome aprendo la finestra "di navigazione in incognito", così ad ogni riavvio di chrome non vengono memorizzati i cookie e la cache.
Premendo sull'icona nella barra degli indirizzi a sinistra del percorso (URL) del sito si apre una finestra che mostra il conteggio dei cookie generati, suddivisi appunto fra prima e terza parte. Più specifica e precisa la visualizzazione di queste informazioni se attiviamo dal menu di Chrome "Altri strumenti-->Strumenti per sviluppatori" e nel TAB "Resources" seleziooniamo il cookie da analizzare (vedi figura). Risulta quindi fondamentale ai sensi della normativa riuscire a comprendere se tutti i cookie sono generati dal dominio del sito in questione o provengono da altri domini di terze parti.
Teoricamente quindi in presenza di soli cookie tecnici primari del sito Joomla (quello di sessione ed eventuali altri) e di cookie di terze parti che siamo certi essere tecnici e non di profilazione è necessaria anche solo l'informativa estesa e non il banner con l'informativa breve. Ma capirete anche voi che non avendo alcun controllo sul tipo di coockie di terze parti che vengono trasmessi dal vostro sito è più che consigliabile in questi casi inserire anche l'informativa breve. Il gestore di questi cookie di terze parti (Google, Facebook ecc..) potrebbe cambiarne il tipo da tecnico a profilazione in qualsiasi momento, anche successivamente alle vostre verifiche (ma è praticamente impossibile capire se un cookie sia tecnico o di profilazione, se ha come tempo di durata quello della sessione del browser allora è considerato tecnico, cioè scompare appena usciamo da quel sito. Anche se ha come durata poche ore possiamo considerarlo tecnico, mentre se ha durata di settimane o mesi è probabilmente di profilazione). Quindi potrebbe accadere che dopo alcuni giorni o settimane o mesi o anni i cookie di terze parti trasmessi dal nostro sito diventino di profilazione rendendo così obbligatoria l'informativa breve su tutte le pagine del nostro sito. Meglio quindi piazzarla subito. Inoltre è buona norma contattare i gestori di questi servizi esterni per farsi dare conferma o leggere nelle loro "policy" che tipo di cookie vengono utilizzati, se solo tecnici o di profilazione. Ricordo inoltre che modificare gli script di questi servizi esterni per assicurarci che vengano utilizzati solo cookie tecnici spesso non è permesso dai loro termini di servizio.Ad oggi ci pare di capire che Google abbia confermato che il servizio Adsense che permette di monetizzare pubblicando banner pubblicitari sul proprio sito utilizza cookie di profilazione. Se trovate nelle varie "policy" queste conferme indicatele nel commento all'articolo così possiamo provare a stilare assieme un elenco di servizi esterni che dichiarano chiaramente l'utilizzo di cookie di profilazione:
- Google Adsense dichiara l'utilizzo di cookie di profilazione
- Facebook dichiara l'utilizzo di cookie di profilazione anche attraverso siti esterni che integrano i suoi servizi.
- Twitter dichiara l'utilizzo di cookie di profilazione anche attraverso siti esterni che integrano i suoi servizi.
La pagina con l'informativa estesa
Come abbiamo già accennato è obbligatorio per tutti i siti Joomla avere la pagina con l'informativa estesa. Qui su Joomla.it viene chiamata "Cookie Policy" ed il link è presente in tutte le pagine in basso a destra nel footer del sito. Questa pagina deve contenere le indicazioni sull' uso dei cookie tecnici e indicare le modalità con cui l'utente può agire sulle impostazioni del proprio browser per negare il consenso a determinati cookie. Quindi l'elenco dei link ai siti dei relativi browser più popolari che spiegano come fare. Inoltre va inserito il link youronlinechoices.com che permette all'utente di capire quali sono i cookie di terze parti che ha installato ed i collegamenti alle relative "policy" per ognuno di questi servizi esterni.Attenzione alle bufale allarmistiche
Sul web si legge di tutto su questa storia della normativa sui cookie, c'è anche chi ne approfitta per farci qualche soldino. Quindi attenzione a non cadere in trappole od andare nel panico perchè qualcuno scrive che i cookie vanno preventivamente bloccati e deve essere atteso il consenso dell'utente che naviga il sito. Non è così per i vostri siti in Joomla, gli utenti che navigano il vostro sito devono essere correttamente informati e potranno decidere attraverso le opzioni dei loro browser quali cookie accettare o meno.Non potete poi prendere voi il consenso sull'utilizzo dei cookie di terze parti come Google o Facebook ecc.., non è vostro compito. Il consenso può essere dato solo dopo un'attenta lettura delle relative "policy" che ogni azienda di questo tipo ha sui propri servizi. Quindi a noi non resta che rimandare nell'informativa estesa al link youronlinechoices.com che racchiude tutte le indicazioni sugli eventuali cookie di terze parti.
FAQ
Anche il mio piccolo sito del calcetto, del paesino, del mio hobby rientra in questa norma?Si, tutti i siti Joomla devono mettersi in regola o rischiano pesanti sanzioni.
Ma anche se sul mio piccolo sito amatoriale non faccio alcuna raccolta di dati? Non c'è alcun form di contatto, alcun form di registrazione? (non c'è numero di telefono, nè mail nè altre informazioni dove inviare eventuali dati, ci sono solo poche pagine statiche informative con testo e immagini)
Si, anche il più minuscolo sito Joomla deve adeguarsi perchè certamente trasmette almeno un cookie tecnico.
Chi è il responsabile del sito?
Solitamente ad un sito è associato un nome di dominio che è intestato ad una persona fisica o ad una entità giuridica (azienda, associazione ecc..). Non è quindi il webmaster il responsabile del sito, ma chi lo gestisce, chi ne è l'intestatario del trattamento dei dati (chi conserva e/o gestisce i dati raccolti).
In caso di sito multilingua devo tradurre le informative?
Si, devi tradurre in tutte le lingue il banner dell'informativa breve e la pagina dell'informativa estesa.
Devo notificare al Garante l'uso che il mio sito fa dei cookie e pagare 150 Euro ?
No, questo spetta solo ai grandi portali che usano cookie di profilazione propri. Esempio Google, Amazon, Ebay, Facebook ecc...
E' necessario riportare nell'informativa estesa l'elenco dei nomi di tutti i cookie generati da tutte le pagine del sito?
No, non è necessario. Basta mettere il link a youronlinechoices.com
E' necessario elencare i link a tutte le "policy" di tutti i siti esterni di cui il sito permette l'installazione di cookie di terze parti?
No, non è necessario. Basta mettere il link a youronlinechoices.com
E' necessario inserire obbligatoriamente il nominativo del responsabile dei dati nell'informativa estesa?
No.
Devo bloccare preventivamente i cookie ed attendere il consenso?
No. Solo chi fa uso di cookie di profilazione di prima parte deve attendere il consenso per inviare questi cookie. Il tuo sito Joomla non fa uso di cookie di profilazione di prima parte.
Se il mio sito è ospitato su un server fuori dalla UE è necessario rispettare ugualmente questa normativa?
Si. Se il responsabile del sito è residente in uno dei paesi della UE deve rispettare questa normativa.
Posso ricopiare l'informativa breve ed estesa presente su Joomla.it per metterla nel mio sito?
Certo, come sai è nel nostro pieno spirito di condivisione aiutare chi usa Joomla. Puoi ricopiare tutto quello che vuoi dal sito Joomla.it, ricordati almeno di leggere e capire quello che stai copiando ed elimina o sostituisci le parti che fanno riferimento a Joomla.it ed al responsabile dei dati. Quindi ricercate il termine Open Source Solutions in tutta la pagina e sostituitelo con il vostro riferimento come responsabile del sito. Quel termine si ripete circa 10 volte, quindi dovere sostituirlo in tutte le zone fino in basso alla pagina!
Altri siti rilevanti cosa fanno in merito? (in data settembre 2015)Analizzando alcuni dei più noti siti italiani questi sembrano interpretare la normativa nella stessa modalità come descritta in questo articolo.
● tiscali.it sì informativa breve e subito presenza di cookie di terze parti (Google AdSense, ecc..).
● subito.it sì informativa breve e subito presenza di cookie di terze parti (Google AdSense ecc..).
● unicredit.it sì informativa breve e subito presenza di cookie di terze parti (adnxs.com, remintrex.com).
● zalando.it sì informativa breve e subito presenza di cookie di terze parti (DoubleClick, yahoo.com ecc..).
● leonardo.it sì informativa breve e subito presenza di cookie di terze parti (DoubleClick, ecc..).
● unieuro.it sì informativa breve e subito presenza di cookie di terze parti (DoubleClick, Twitter, twenga.it).
● html.it sì informativa breve e subito presenza di cookie di terze parti (DoubleClick, GetClicky, ecc..).
● italia.it sì informativa breve e subito presenza di cookie di terze parti (Youtube, AddThis ecc..).
● paginegialle.it sì informativa breve e subito presenza di cookie di terze parti (Doubleclick, Facebook ecc..).
● ilmessaggero.it sì informativa breve e subito presenza di cookie di terze parti (Google, Imrworldwide ecc..).
● mymovies.it sì informativa breve e subito presenza di cookie di terze parti (Google, Imrworldwide ecc..).
● ilpost.it sì informativa breve e subito presenza di cookie di terze parti (Google, Imrworldwide ecc..).
● agi.it sì informativa breve e subito presenza di cookie di terze parti (Twitter, Zanox ecc..).
● meteo.it sì informativa breve e subito presenza di cookie di terze parti (Facebook, mediaset ecc..).
● deejay.it sì informativa breve e subito presenza di cookie di terze parti (Facebook, twitter ecc..).
● studenti.it sì informativa breve e subito presenza di cookie di terze parti (Facebook, twitter ecc..).
● googleitalia.blogspot.it sì informativa breve e subito presenza di cookie di terze parti (Google, youtube, ecc..).
Mentre altri sembrano non aver recepito la normativa od interpretare i cookie tecnici di terze parti come propri o come certamente tecnici e non mettono l'informativa breve:
● trenitalia.com no informativa breve ma cookie di terze parti (Omniture e expo2015.org ecc...).
● www.quirinale.it no informativa breve ma cookie di terze parti (Vimeo ecc...) e manca informativa estesa.
● poliziadistato.it no informativa breve ma cookie di terze parti (ShareThis, ecc..) e manca informativa estesa.
● italia.it no informativa breve ma cookie di terze parti (Youtube, AddThis ecc..) e manca informativa estesa.
● garanteprivacy.it no informativa breve ma cookie di terze parti (readspeaker.com)
● whitehouse.gov no informativa breve ma cookie di terze parti (facebook)
Non si possono rischiare denunce in merito al non rispetto della normativa, ma solo eventuali segnalazioni al Garante Privacy.
● tiscali.it sì informativa breve e subito presenza di cookie di terze parti (Google AdSense, ecc..).
● subito.it sì informativa breve e subito presenza di cookie di terze parti (Google AdSense ecc..).
● unicredit.it sì informativa breve e subito presenza di cookie di terze parti (adnxs.com, remintrex.com).
● zalando.it sì informativa breve e subito presenza di cookie di terze parti (DoubleClick, yahoo.com ecc..).
● leonardo.it sì informativa breve e subito presenza di cookie di terze parti (DoubleClick, ecc..).
● unieuro.it sì informativa breve e subito presenza di cookie di terze parti (DoubleClick, Twitter, twenga.it).
● html.it sì informativa breve e subito presenza di cookie di terze parti (DoubleClick, GetClicky, ecc..).
● italia.it sì informativa breve e subito presenza di cookie di terze parti (Youtube, AddThis ecc..).
● paginegialle.it sì informativa breve e subito presenza di cookie di terze parti (Doubleclick, Facebook ecc..).
● ilmessaggero.it sì informativa breve e subito presenza di cookie di terze parti (Google, Imrworldwide ecc..).
● mymovies.it sì informativa breve e subito presenza di cookie di terze parti (Google, Imrworldwide ecc..).
● ilpost.it sì informativa breve e subito presenza di cookie di terze parti (Google, Imrworldwide ecc..).
● agi.it sì informativa breve e subito presenza di cookie di terze parti (Twitter, Zanox ecc..).
● meteo.it sì informativa breve e subito presenza di cookie di terze parti (Facebook, mediaset ecc..).
● deejay.it sì informativa breve e subito presenza di cookie di terze parti (Facebook, twitter ecc..).
● studenti.it sì informativa breve e subito presenza di cookie di terze parti (Facebook, twitter ecc..).
● googleitalia.blogspot.it sì informativa breve e subito presenza di cookie di terze parti (Google, youtube, ecc..).
Mentre altri sembrano non aver recepito la normativa od interpretare i cookie tecnici di terze parti come propri o come certamente tecnici e non mettono l'informativa breve:
● trenitalia.com no informativa breve ma cookie di terze parti (Omniture e expo2015.org ecc...).
● www.quirinale.it no informativa breve ma cookie di terze parti (Vimeo ecc...) e manca informativa estesa.
● poliziadistato.it no informativa breve ma cookie di terze parti (ShareThis, ecc..) e manca informativa estesa.
● italia.it no informativa breve ma cookie di terze parti (Youtube, AddThis ecc..) e manca informativa estesa.
● garanteprivacy.it no informativa breve ma cookie di terze parti (readspeaker.com)
● whitehouse.gov no informativa breve ma cookie di terze parti (facebook)
Considerazione personale...
In Italia sono circa 4 milioni i siti Internet e la grandissima maggioranza non è in regola con questa legge. Moltissimi siti di pubbliche amministrazioni non sono in regola, molti siti delle più note istituzioni non sono attualmente in regola. La confusione generata dal Garante su questa questione è molta, troppa. Ovviamente la maggioranza di questi siti in Italia sono stati creati in passato secondo le regole presenti in passato, andare ora a cambiare le regole per tutti questi milioni di siti è poco corretto ed impone ai relativi responsabili e webmaster doversi far carico di nuovi adempimenti. Spesso i siti non generano "ricavi", non tutti i siti si riferiscono ad attività commerciali che possono permettersi consulenze di avvocati e specialisti. Moltissimi siti non trattano in alcun modo dati personali, non hanno moduli di contatto, non permettono la registrazione di utenti ecc.. ma vengono costretti a seguire queste normative (cookie, privacy, P.iva ecc..) molto invasive e complicate. Tutto questo porta un continuo allontanamento dal web, di conseguenza molti lasciano scadere i propri domini e fanno sparire le proprie pagine web. Si rischia di impedire la libera espressione sul web che è stata faticosamente raggiunta anche grazie ai CMS gratuiti e Open source. Una vera e propria sconfitta.
Inoltre ora i nostri siti sono costretti a mostrare in modo evidente questo "banner", il quale non ha niente a che vedere con l'argomento delle nostre pagine web, rischiando così di distrarre e distogliere l'attenzione del visitatore... ed agevolando siti concorrenti gestiti fuori dalla UE dove non sono sottoposti a questa normativa, questo in un mercato globale come la rete è uno svantaggio.
si ringrazia l'Avv. Massimo Simbula ➜ www.studiolegalesimbula.com per il supporto fornito
Commenta questo articolo sul forum