C’era proprio bisogno della Cookie law ?

legge sui cookie

Un altro post sulla Cookie Law.. ne sentivamo davvero il bisogno? Cavolo, ne hanno parlato un po’ tutti, voglio dire anche io la mia.

Al di la dell’utilità o meno di questa legge, che a mio avviso porterà a un peggioramento della navigazione da parte dell’utente e a una sostanziale sofferenza per tutto il settore del business online e del web marketing.

Dopo averci sbattuto la testa sopra per oltre un mese vi espongo le mie conclusioni, cercando di fare chiarezza su quali sono gli obblighi per il webmaster medio e individuare le situazioni sulle quali non possiamo intervenire.

Cosa sono i cookies

La premessa è d’obbligo, perché tante persone si sono convinte che il cookie è il male supremo, vedendo tutti questi banner che li avvertono ogni volta che accedono ad un sito. Il cookie è un piccolo file di testo, che non contiene mai informazioni sensibili, come possono essere il nome della persona, il suo numero di telefono, gli estremi della carta di credito e via dicendo. Sono usati, da sempre, per memorizzare dati di sessione e migliorare l’esperienza in rete. Un piccolo esempio può aiutarci a chiarire il concetto. Ogni volta che ci logghiamo su Facebook, notiamo quella casella, un checkbox, da spuntare se vogliamo rimanere collegati, di modo da non dover inserire nuovamente l’email e la password nei successivi accessi. Quando effettuiamo l’accesso e flagghiamo quella casella, il sito in questione invia al nostro browser un cookie, nei quali sono memorizzati i dati di accesso.

Facciamo le nostre cose, chattiamo con gli amici, leggiamo un po’ di link divertenti e poi chiudiamo tutto e andiamo a lavorare. Il giorno dopo accendiamo di nuovo il computer, andiamo su Facebook e magicamente siamo già dentro, questo perché la piattaforma controlla la presenza del suo cookie, estrae l’email e la password ed effettua in automatico il login, tutto questo a nostra insaputa, tutto il processo avviene in background, in una frazione di secondo.

Questo è un esempio di cookie tecnico, secondo il provvedimento del Garante per questa tipologia non c’è bisogno di sottostare alla normativa, ma basterà indicare nell’informativa estesa che il nostro sito utilizza cookies tecnici e specificare le finalità di utilizzo.

Cookie analitici e di profilazione

Qui le cose si complicano, soprattutto per la seconda categoria. Il cookie analitico, che al 90% dei casi si riassume nell’utilizzo di Google Analytics, serve al sito internet per avere dati statistici, più o meno aggregati, al fine di migliorare il servizio offerto agli utenti.

Altro esempio chiarificatore, con il punto di vista del webmaster : Apriamo Analytics e scorriamo le statistiche, possiamo vedere quali pagine hanno avuto più visite, quelle che sono state abbandonate maggiormente, quelle che invece hanno portato gli utenti ad approfondire gli argomenti. In questo modo abbiamo idea di dovere mettere le mani, intervenendo nei punti critici del sito. In ogni modo non abbiamo informazioni personali sull’utente, non sappiamo il suo nome, il suo IP, al massimo possiamo vedere la risoluzione dello schermo o il tipo di browser utilizzato, sempre per capire in quali particolari condizioni si verificano gli eventi statistici.

Analytics invia ovviamente dei cookies, anche per memorizzare l’accesso di un visitatore ed escluderlo da dati aggregativi successivi, ad esempio quello degli utenti unici, quanti visitatori sono entrati nel sito in un arco temporale.

Qui il Garante, prendendo in considerazione provvedimento e chiarimenti ufficiali, ci dice che il cookie analitico può essere equiparato a quello tecnico, quindi evitando banner e acquisizione del consenso (di cui parleremo a breve) se utilizziamo una piattaforma completamente ospitata sul nostro server e su cui nessun altro può avere accesso ai dati. Se volete stare tranquilli al 100% potete usare Piwik.

Per continuare ad usare Google Analytics invece, bisogna in primis “limitarne il potere identificativo”, anonimizzando gli IP e fino qui lo sapevamo, aggiungendo una stringa nel codice, il software oscura le ultime tre cifre, ma ci tengo a sottolineare che il webmaster non ha mai visto questo dato, a cui ha accesso solamente Google.

Nei chiarimenti del garante, pubblicati sul suo sito ufficiale, il 5 giugno del 2015, è stato aggiunto che il webmaster deve anche avere un accordo contrattuale con il fornitore del servizio (Google) al fine che quest’ultimo non incroci le metriche con altri dati in suo possesso e soprattutto non li cede ad altre entità. A prima vista tutto questo ci ha fatto sobbalzare dalla sedia; come posso io, un piccolo blogger, costringere una multinazionale come Google, ad adeguarsi alla normativa italica ? Per fortuna è intervenuto sulla questione l’avvocato Bruno Saetta, che ha pubblicato sul sito Valigia Blu, una guida per impostare le opzioni di Analytics e renderlo conforme alle disposizioni del Garante.

Ricapitolando quello che si deve fare per GA : anonimizzare IP e settare le impostazioni come descritto. In questo modo il suo utilizzo ci esenta dal banner, dal blocco preventivo e dalla notifica al Garante (150 € di non tanto chiare spese di segreteria).

Veniamo ai cookies di profilazione, e chiamiamoli con il loro vero nome : Google Adsense. Allora, come funzionano gli annunci di Adsense? A grandi linee, nel momento in cui si compie una ricerca, Google memorizza dei cookies sul tuo dispositivo, magari scrivendoci sopra che ti piacciono le moto da corsa. Nel momento in cui finisci in un sito che ospita i banner di Adsense, questo accede al dato in questione, legge le tue preferenze e ti mostra (se disponibili) annunci pubblicitari in target. Niente di particolarmente invasivo, anzi dal mio modestissimo parere è un servizio utile, migliore del marketing a pallettoni che le compagnie telefoniche ci hanno tristamente abituato con le loro telefonate invadenti a tutte le ore del giorno. Se poi la cosa vi da veramente fastidio, basta collegarsi alla pagina di preferenze e modificare le impostazioni per gli annunci di Google.

Cosa deve fare un povero Cristo che usa Adsense ? Bloccare gli annunci fino al consenso dell’utente, esporre il banner in cui implora il consenso (per conto di terze parti…) e inserire nell’informativa estesa tutte le informazioni su questa tipologia di cookie, linkare le policy del servizio terzo e pregare che abbia risposto correttamente alle ingarbugliate disposizioni del Garante.

Blocco preventivo dei cookies non necessari

Questo è il punto cruciale, per il quale il Garante (ma anche i suoi colleghi europei) è bersagliato di critiche. Nel provvedimento sembra esserci un’apertura nei confronti del ruolo dell’editore, facendola breve si dice che siamo considerati come l’anello debole della catena, che non possiamo sapere quali sono i cookies che Facebook e Google inviano attraverso i pulsanti di condivisione o i banner pubblicitari, ma alla fine conclude definendoci come degli intermediari tecnici e il consenso lo dobbiamo chiedere noi per loro. Panico!

Prima difficoltà riscontrata, puramente interpretativa; il Garante dice devi acquisire il consenso, un termine che implica l’azione di chiedere prima di fornire, quindi non possiamo installare i cookies di terze parti (perché di quelli si parla, i cookies profilanti proprietari sono una realtà che colpisce i grandi editori) prima che il malcapitato visitatore abbia acconsentito, anche continuando la navigazione. Però poi nella FAQ pubblicate nel suo sito ufficiale, al punto 14, ci dice che l’acquisizione del consenso spetta alla terza parte e il webmaster si deve limitare a mettere i link verso le policy del provider.

Conclusioni

Un bel casotto… Tutti i problemi creati da questa normativa sono risolvibili per un webmaster con un minimo di conoscenza dei principali linguaggi di programmazione. In primo luogo bloccare un cookie proveniente da un terzo dominio non è possibile, è una delle regole base della sicurezza su Internet. Se fosse attuabile, potremmo intercettare i login di una home banking e cose del genere. Noi possiamo solamente oscurare le porzioni di codice che rilasciano cookies, come script, widget dei social network, video di Youtube e banner pubblicitari. Mettiamo tutta questa roba all’interno di una funzione che controlla la presenza di un cookie tecnico che viene creato nel momento in cui l’utente acconsente all’installazione di cookies sul suo pc. Se il cookie non è presente, le funzionalità aggiuntive non vengono mostrate.

E chi ha scelto wordpress.com e blogger come piattaforma ? Si attacca …. Perché non può intervenire sul codice… Una fattispecie a cui il Garante non ha pensato, chiarendo ultimamente che vi ha dato un anno di tempo per intervenire. Traduco : Dovevate migrare verso una soluzione sui cui poi un tecnico, a pagamento, avrebbe risolto la questione.

Ultimo concetto da ricordare sono le sanzioni; si va dai 6.000 € fino a 120.000 € nei casi più gravi, che dobbiamo capire quali siano.. cifre spaventose che hanno portato alla chiusura di molti blog amatoriali e che se attuate nei confronti di piccole realtà, anche commerciali, poteranno probabilmente a situazioni tragiche che il nostro fantastico paese, che continua a giustificarsi con il detto “ce lo chiede l’Europa, ci ha tristemente abituato.

Per ogni informazione sui cookies e per confrontarvi con altre persone in difficoltà, potete iscrivervi al gruppo Fatti di cookies su Facebook.

Lascia un commento...è gratis...

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *