Come adeguare il tuo blog alla nuova legge su Privacy e cookie

Condivisioni

Forse già lo sai, dal 2 giugno 2015 è diventato operativo il provvedimento del Garante della privacy in materia di cookie e bisogna adattarsi alla normativa nata per disciplinare l’uso dei cookie di profilazione al fine di proteggere la privacy di chi naviga in rete.

Questa normativa si applica a tutti i paesi europei e non solo l’Italia.

In pochi ne parlano sul web e ancor meno sanno cosa fare per mettere il proprio sito o il proprio blog in regola con le nuove norme.

Tuttavia la questione non è affatto da sottovalutare, in quanto i proprietari dei siti che non sono a norma rischiano di prendere multe davvero salate: da 6.000 euro a 36.000 euro per omessa informativa sulla privacy e da 10.000 a 120.000 euro nel caso in cui venga dimostrata l’installazione di cookie di profilazione senza l’autorizzazione degli utenti.

Cavalcando l’onda qualcuno ha deciso di fare terrorismo psicologico raccontando di aver già ricevuto multe salate e proponendo Plugin a pagamento per risolvere il problema. Un bel modo per guadagnare soldi facili, ma poco corretto.

Per questo ho deciso di fare un po’ di chiarezza su questo argomento per evitare a tutti di spendere soldi inutilmente e per calmare gli animi inquieti. In questo articolo cercherò di trattare in maniera molto semplice le questioni che girano intorno a questo nuovo provvedimento, anche quelle più delicate.

Iniziamo…

Per rispettare la nuova normativa, è necessario che ogni sito

– richieda all’utente il consenso all’installazione dei cookie “di profilazione”

–  mostri un banner con una informativa breve ad ogni utente alla sua prima visita.

–  presenti una pagina con l’informativa completa sulla privacy

Iniziamo a chiarire quanto è necessario fare, partendo dalla gestione dei cookie.

Gestione dei Cookie e richiesta del consenso di installazione

Probabilmente sai già cosa sono i cookie: piccoli file di testo (che vengono creati in automatico) usati per tracciare le sessioni di navigazione e per memorizzare informazioni specifiche riguardanti gli utenti che accedono al server.

La nuova legge specifica chiaramente che nessun cookie può essere installato, ad eccezione dei cookie tecnici, prima che il consenso venga fornito dall’utente. Quindi, stop all’uso libero dei cookie di profilazione.

Cosa significa? Qual è la differenza tra cookie tecnici e cookie di profilazione?

L’informativa sul provvedimento (che trovi a questa pagina) chiarisce la differenza tra queste due tipologia di cookie:

Cosa sono i cookie “tecnici”?

Sono i cookie che servono a effettuare la navigazione o a fornire un servizio richiesto dall’utente. Non vengono utilizzati per scopi ulteriori e sono normalmente installati direttamente dal titolare del sito web. Senza il ricorso a tali cookie, alcune operazioni non potrebbero essere compiute o sarebbero più complesse e/o meno sicure […].

Cosa sono i cookie “di profilazione”?

Sono i cookie utilizzati per tracciare la navigazione dell’utente in rete e creare profili sui suoi gusti, abitudini, scelte, ecc. Con questi cookie possono essere trasmessi al terminale dell’utente messaggi pubblicitari in linea con le preferenze già manifestate dallo stesso utente nella navigazione online.

Questa distinzione è indispensabile in quanto i siti web che fanno uso di cookie di profilazione sono tenuti a comunicarlo all’utente che naviga sul sito web e a fare una notificazione al Garante della privacy.

Implementare un banner che avvisa gli utenti dell’uso dei cookie non è difficile. Tra un po’ vedremo come farlo attraverso un plugin gratuito di WordPress. Anche scrivere una pagina con la privacy policy non dovrebbe essere un’impresa ardua.

Il vero problema è la notificazione dei cookie di profilazione che deve essere effettuata telematicamente attraverso questa pagina e comporta il pagamento di spese di segreteria che ammontano a circa 150,00€.
Omettere questa notificazione espone i proprietari dei siti web a multe che vanno da 20.000€ a 120.000€.

Bum! E a questo punto la questione si sposta su un altro punto. Chi deve notificare al garante l’uso dei cookie di profilazione (sborsando i 150 €): il servizio che lo installa o il proprietario del sito internet che ne trae beneficio?

Prendiamo ad esempio i cookie di profilazione di Google AdSense: Google li utilizza per proporre i suoi annunci pubblicitari e sono installati dal servizio di Google e non dal proprietario del sito che tuttavia ne trae vantaggi economici.

Chi dovrebbe dichiarare l’uso di questi cookie? Google o il proprietario del sito che ospita gli annunci di AdSense?

Le opinioni sono discordanti e la risposta non è ancora chiara. Aspettiamo ancora una risposta certa da parte del Garante. Intanto se usi servizi come AdSense per guadagnare poche decine di euro al mese, ti consiglio di disattivarli. Non vale davvero la pena rischiare multe salatissime per pochi spiccioli.

L’altra questione scottante riguarda i cookie di Google Analytics, un servizio che ormai utilizzano tutti i proprietari di siti web per raccogliere dati statistici sulle visite del proprio sito web.

La stessa informativa sulla normativa recita:

I cookie Analytics sono cookie “tecnici”?

No. Il Garante (cfr. provvedimento dell’8 maggio 2014) ha precisato che possono essere assimilati ai cookie tecnici soltanto se utilizzati a fini di ottimizzazione del sito direttamente dal titolare del sito stesso, che potrà raccogliere informazioni in forma aggregata sul numero degli utenti e su come questi visitano il sito. A queste condizioni, per i cookie Analytics valgono le stesse regole, in tema di informativa e consenso, previste per i cookie tecnici.

In altri termini significa che i cookie di Google Analytics sono a tutti gli effetti dei cookie di profilazione, a meno che non raccolgano i dati degli utenti in maniera anonima. Google Analytics può infatti essere impostato per rendere anonimo l’indirizzo IP dell’utente che naviga sulle pagine del nostro sito.

Per questo ho contattato direttamente l’assistenza di big G per chiedere come anonimizzare (che parolone!) i dati raccolti da Analytics e questa è stata la risposta dell’operatore:

Devi aggiungere allo script di monitoraggio che già usi, questa stringa di codice:

ga(‘set’, ‘anonymizeIp’, true);

Per tanto il tuo codice finale apparirà in questo modo:

ga(‘create’, ‘UA-XXXXXXXX-X’, ‘auto’);
 ga(‘set’, ‘anonymizeIp’, true);
 ga(‘send’, ‘pageview’);

(Ringrazio Alessandro Marcuccio per avermi precisato il punto esatto dove inserire la stringa di codice)

L’operazione non è affatto difficile. In questo articolo trovi la guida passo passo per usare il codice di Google Analytcs sul tuo blog.
Con questo piccolo accorgimento renderai i cookie di Analytics dei cookie “tecnici” a tutti gli effetti e, nella pagina di informativa estesa sulla privacy, ti basterà segnalare l’uso di “cookie di Google Analytics con IP anonimizzato”.

Ricapitolando, per l’installazione dei cookie tecnici non è richiesto il consenso degli utenti, quindi nemmeno per quelli di Google Analytics se opportunamente anonimizzati (ma su questo punto si aspettano maggiori chiarimenti).

I cookie di profilazione, invece, possono essere installati sul computer dell’utente che visita il nostro sito soltanto dopo l’espressione del suo consenso.

Ma come ottenere il consenso dell’utente, prima di installare dei cookie di profilazione?

Secondo il team legale di Iubenda (azienda specializzata sull’argomento),

…il consenso viene fornito dall’utente tramite il proseguimento della navigazione, incluso il click sui link o lo scorrimento della pagina. Le sole situazioni in cui il consenso viene tenuto in sospeso si presentano qualora l’utente abbandoni il sito senza proseguire la navigazione (incluso lo scrolling) o qualora l’utente visualizzi la cookie policy. (Fonte a questa pagina)

Sembra semplice, ma implementare un modo per tenere il consenso in sospeso sarà impegnativo per molti siti e richiederà modifiche al codice del sito stesso.

L’unico modo per risolvere il problema facilmente e senza mettersi a fare modifiche al codice del proprio blog è proprio quello di usare il servizio di Iubenda.

L’informativa sul trattamento dei dati personali

Vediamo ora come creare l’informativa che comunica all’utente quali sono i cookie di cui il tuo blog fa uso e il modo in cui verranno trattati i suoi dati personali.

Come stabilito dal Garante l’informativa deve essere presente in due modalità: breve ed estesa. Nel momento in cui l’utente accede al sito web (sulla home page o su qualunque altra pagina), deve immediatamente comparire un banner contenente una prima informativa “breve”, con la richiesta di consenso all’uso dei cookie e un link per accedere ad un’informativa “estesa”.

Ma vediamo ora come creare il banner di informativa breve.

L’informativa breve

Il sito del Garante recita:

Come deve essere realizzato il banner?

Il banner deve avere dimensioni tali da coprire in parte il contenuto della pagina web che l’utente sta visitando. Deve poter essere eliminato soltanto tramite un intervento attivo dell’utente, ossia attraverso la selezione di un elemento contenuto nella pagina sottostante.

Quali indicazioni deve contenere il banner?

Il banner deve specificare che il sito utilizza cookie di profilazione, eventualmente anche di “terze parti”, che consentono di inviare messaggi pubblicitari in linea con le preferenze dell’utente.

Deve contenere il link all’informativa estesa e l’indicazione che, tramite quel link, è possibile negare il consenso all’installazione di qualunque cookie.

Deve precisare che se l’utente sceglie di proseguire “saltando” il banner, acconsente all’uso dei cookie.

L’obbligo di usare il banner grava anche sui titolari di siti che utilizzano solo cookie tecnici?

No. In questo caso, il titolare del sito può dare l’informativa agli utenti con le modalità che ritiene più idonee […].

Molto probabilmente, il tuo blog farà uso dei cookie di profilazione (basta avere i tasti di condivisione sui social), quindi dovrai implementare il tuo banner. Puoi farlo facilmente, scaricando il plugin gratuito Notifica Cookie.
Una volta installato il plugin, espandi il menù “impostazioni” di WordPress e clicca su “Notifica Cookie”. Da qui potrai modificare le opzioni del tuo banner.

art23-1

Attraverso il campo “Messaggio”, informa il tuo utente che continuando la navigazione accetta i cookie del tuo sito.

Poi imposta gli altri campi come da immagine, inserendo l’indirizzo della tua pagina di Privacy Policy come link personalizzato.

art23-2

Attraverso l’opzione “Link target” potrai decidere se far aprire la pagina nella stessa scheda del browser o in una nuova. Personalizza a tuo piacimento il design del banner e poi clicca su “Salva le modifiche”.

L’informativa estesa

Per quanto riguarda l’informativa estesa, invece, il Garante specifica che deve essere linkabile da ogni pagina del sito. Per adeguarti a questa direttiva, crea un link alla pagina dell’informativa nel Footer del tuo blog. Il sito del Garante riporta anche cosa deve indicare l’informativa “estesa”:

Nella pagina di informativa estesa l’utente potrà reperire maggiori e più dettagliate informazioni sui cookie e scegliere quali autorizzare attraverso le impostazioni del suo browser.

Deve […] descrivere analiticamente le caratteristiche e le finalità dei cookie installati dal sito […].

Deve includere il link aggiornato alle informative e ai moduli di consenso delle terze parti con le quali il titolare ha stipulato accordi per l’installazione di cookie tramite il proprio sito.

Deve richiamare, infine, la possibilità per l’utente di manifestare le proprie opzioni sui cookie anche attraverso le impostazioni del browser utilizzato.

Creare una pagina ad hoc e che rispetti tutte queste direttive non è affatto semplice: dovresti creare una elenco descrittivo ed esaustivo di tutti i cookie che il tuo sito installa e linkare la pagina con i termini di utilizzo di ogni singolo servizio esterno che gestisce i cookie del tuo blog.

Inoltre, dovresti indicare come effettuare un “Opt-Out” dei Cookie non graditi, precisando all’utente come impostare i diversi browser per rifiutarli.

A questo scopo puoi riportare nella tua informativa il seguente testo:

L’utente può bloccare o limitare la ricezione di cookies attraverso le opzioni del proprio browser.

Su Internet Explorer, cliccare sulla voce “Strumenti” della Barra dei menù e poi sulla sottovoce “Opzioni Internet”. Infine accedere alle impostazioni della scheda “Privacy” per modificare le preferenze relative ai cookies.

Su Firefox, cliccare sulla voce “Strumenti” della Barra dei menù e poi sulla sottovoce “Opzioni”. Infine accedere alle impostazioni della voce “Privacy” per modificare le preferenze relative ai cookies.

Su Chrome, digitare “chrome://settings/content” nella barra degli indirizzi (senza virgolette) e modificare le impostazioni relative ai cookies come si desidera.

Su Safari, selezionare la voce “Preferenze” e poi scegliere “Privacy”. Nella sezione Blocca Cookie specificare come Safari deve accettare i cookie dai siti internet.

Se si usa Safari su dispositivi portatili, come iPhone e iPad, è necessario invece agire in questo modo: andare sulla voce “impostazioni” del dispositivo e in seguito trovare “Safari” sul menù di sinistra. Da qui, alla voce “Privacy e sicurezza”, sarà possibile gestire le opzioni sui Cookie.

Per disabilitare i cookie di servizi esterni è necessario agire sulle loro impostazioni:
Servizi di Google
Facebook
Twitter

Come puoi vedere, alla fine del testo ho lasciato i link per disattivare i cookie di terze parti.

Nessuno ti proibisce di scrivere da te questa pagina, ma sinceramente penso che sia un lavoro lungo, contorto e difficile. Senza contare che la possibilità di commettere errori o omettere dati importanti è molto alta.

Ancora una volta ti consiglio di usare Iubenda. Questo servizio genererà per te la pagina di informativa estesa, in maniera pulita ed evitandoti parecchi grattacapi.

Modifiche al form della pagina Contatti

In ultimo sarà indispensabile implementare una checkbox nella pagina Contatti. Tutti i form devono infatti raccogliere il consenso informato dell’utente.
Se usi il plugin Contact Form 7 per creare i tuoi moduli di contatto, ti basterà aggiungere questa stringa al codice del tuo modulo:

<p> [acceptance Consenso] Acconsento al trattamento dei dati personali secondo le condizioni espresse nella <a href=”http://www.tuoblog.xx/privacy-policy/” target=”_blank”>pagina d’informativa sulla privacy </a>* </p>

Ricorda di sostituire http://www.tuoblog.xx/privacy-policy/ con l’indirizzo web della pagina di informativa estesa del tuo blog.

CF7 consenso

Conclusione

Credo di averti detto tutto. Scrivere contenuti di questo genere non è mai semplice in quanto le leggi sono sempre difficili da interpretare e si adattano a seconda dei casi. Se hai un blog che non usa Google AdSense e altri servizi di Affiliate Marketing, non avrai problemi con i cookie di profilazione e con la nuova legge sui cookie. Tuttavia è importante sistemare subito il codice di Google Analytics e tutti i moduli di contatto del tuo blog, implementando le checkbox come ti ho indicato. Ti terrò informato sulle novità.

Adesso non ti resta che ringraziare i burocrati e darti da fare per apportare queste modifiche al tuo blog. Riassumendo:

– Provvedi ad anonimizzare i dati di Google Analytics
– Assicurati che nel Footer del tuo sito sia sempre presente il link alla pagina di Privacy Policy
– Sistema la tua informativa estesa in modo che contenga tutti dati richiesti dalla normativa. Ti consiglio di affidarti a Iubenda per evitare grattacapi.
– Implementa il banner con l’informativa breve attraverso il plugin che ti ho indicato
– Raccogli il consenso informato dell’utente durante la compilazione di un form di qualsiasi genere (richiesta di informazioni, iscrizione alla newsletter).

Spero di averti chiarito un po’ le idee. Mentre la maggior parte dei miei colleghi sono terrorizzati dal parlare di questo tema e lo evitano come la peste, io ho cercato di darti risposte esaustive studiando per giorni l’argomento.
E non ho tenuto per me quanto appreso (mentre gli altri nascondono come un tesoro le 4 cavolate che sanno).

Se vuoi aggiungere qualcosa, lascia un commento a questo articolo, e ricorda di condividerlo per far conoscere anche ai tuoi contatti gli accorgimenti da adottare per regolarizzare il proprio sito o blog.

Nota bene: questo articolo non costituisce consulenza legale e non pretende di essere esaustivo o completo in quanto molti aspetti legati al tema sono ancora molto poco chiari.

Photo credit: EU Privacy Directive via photopin (license)

UPGRADE: Il Garante ha finalmente chiarito alcuni aspetti della legge. Puoi leggere qui le sue dichiarazioni: http://www.wired.it/internet/regole/2015/06/04/cookie-law-chiarimento-garante/

PS: Se anche tu vuoi farti conoscere grazie al web, scopri i metodi e gli strumenti migliori che ti garantiranno subito maggiore visibilità e più traffico (senza lavorare per mesi e mesi). Clicca qui!

Condivisioni

About Francesco Panico

Autore e fondatore di blogfacile.net. Appassionato di Web Marketing e copywriting, mi occupo di strategie di blogging e di lead-generation.
125 commenti
  1. Andrea L.
    Andrea L. dice:

    Caro Francesco, grazie anche da parte mia per tutto quello che hai scritto e per le risposte ai commenti.

    Ti chiedo un paio di cose, se le sai:
    1) i cookies che vengono utilizzati per login/logout (aree riservate) rientrano nei cookies tecnici?
    2) se nel mio sito ho il pulsante “mi piace” di Facebook è sufficiente l’informativa o devo per forza mettere anche il banner?

    Grazie.

    • Francesco Panico
      Francesco Panico dice:

      I cookie di Login consentono di effettuare e mantenere l’identificazione dell’utente nell’ambito della sessione, pertanto credo che siano tecnici. Mentre i tasti collegati ai social creano cookie di profilazione che devi dichiarare nell’informativa estesa e in quella breve.

  2. Andrea
    Andrea dice:

    Complimenti per l’articolo.
    Io gestisco siti che non fanno uso di cookie tecnici quantomeno di profilazione. Ho escluso anche quelli di terze parti, quindi presumo di non dover inserire nessun banner né redarre una pagina riguardante la privacy…

  3. Gianluca
    Gianluca dice:

    Ciao Francesco, complimenti per l’articolo.
    Anch’io, come qualcuno ha fatto, vorrei soffermarmi sul blocco preventivo dei cookie.
    In particolare, utilizzo il tuo stesso plugin di notifica (molto semplice e immediato) che però non effettua questa operazione preventiva, quindi NON idoneo secondo le direttive del garante.
    A tutt’oggi, sai se ci sono state delle implementazioni o modifiche in tal senso?

    Grazie
    Gianluca

  4. chiara
    chiara dice:

    domanda, perchè non ci sto capendo nulla…ho un blog su blogspot…cosa devo fare di preciso? cosa e dove devo inserire per essere in regola? riesci ad aiutarmi?

  5. Rossella
    Rossella dice:

    Scusami se ti faccio una domanda semplice, ma ho difficoltà leggere per intero l’articolo molto tecnico. Io ho 2 blog con adsense e una affiliazione, oltre che dei banner a delle aziende, cosa dovrò fare?

  6. paola
    paola dice:

    nella giungla di articoli, articoletti, messaggi terroristici e bizzarri consigli, questo è l’unico articolo che tranquillizza e consiglia concretamente. bravo …..

      • Maria
        Maria dice:

        Grazie! articolo molto esaustivo, vorrei sapere una cosa che non ho capito, nel mio sito ho sia un modulo contatti che i pulsanti paypal di pagamento, in questo caso sono considerati cookie di profilazione quindi soggetti al pagamento dei 150 euro oppure solo cookie di terze parti? i cookie di terze parti sono soggetti all’obbligo di pagamento e di comunicazione al garante? grazie in anticipo

        • Francesco Panico
          Francesco Panico dice:

          Paypal profila l’utente e gestisce spesso il numero della sua carta di credito. Tuttavia è un servizio di terze parti, quindi dovrebbe essere semplicemente essere dichiarato il suo uso nella pagina di informativa. Ma sto cercando info più certe al riguardo.

  7. Antonia Piancete
    Antonia Piancete dice:

    Salve, complimenti per l’articolo. Ho sentito una voce di corridoio, alla fine è vero.

    Ho 2 piccoli blog sulla piattaforma blogger. Utilizzo analytics (ho messo il codice per l’anonimato)
    ma per fortuna non ho ancora attivato adsense e non lo farò per il momento

    Non capisco cosa siano questi cookies di facebook twitter ecc, dove posso vedere i cookies che utilizza il mio blog su chrome (oppure firefox?)
    Se avessi questi cookies di facebook come posso toglierli? (non ho box per like ecc.)

    Inoltre lavoro per delle piattaforme che mi richiedono di inserire negli articoli un codice tracciamento, che serve per visualizzare quanti utenti accedono al post, del tipo
    posso tenerli o anche quellli ti fanno arrivare la multa di 6000 €?

    Assurdo avere un blog, una passione, e non dormire sogni tranquilli per paura che qualcosa non sia in regola… 150€ spese di segreteria questi sono pazzi, non sanno più come far soldi e se la prendono con un ramo in crescita bah…

    Spero che mi risponderai
    Grazie mille in anticipo!

    • Francesco Panico
      Francesco Panico dice:

      Niente terrore Antonio. Crea l’informativa breve e quella estesa e il tuo blog non rischia multe. Mi sembra di capire che solo i siti che abbiano un tasto “carrello” siano costretti al pagamento dei 150 €. Ma cerco ancora chiarimenti sulla questione. Per ora è inutile terrorizzarsi.
      installa il tuo sito e descriverne lo scopo.
      Puoi facilmente renderti conto di quali cookie usa il tuo blog grazie agli strumenti del browser Chrome: naviga tra le pagine del tuo sito per qualche secondo e poi digita nella barra degli indirizzi questa stringa:
      chrome://settings/cookies
      …e premi Invio sulla tastiera. Vedrai l’elenco di tutti i cookie scaricati navigando.

  8. aless
    aless dice:

    Grazie Francesco per il mega articolo:
    Riassumo la mia situazione. Io utilizzo:
    – Analytics
    – AdSense
    – Pulsanti Social
    – Link di Affiliazione (iTunes, Amazon, Getresponse, Siteground e altri).

    Ho capito come agire con Analytics (anonimizzando) e con la “raccolta” degli indirizzi mail e il form contatti. Da quanto ho capito anche i pulsanti social posso lasciarli.
    AdSense e i vari link di affiliazione devo rimuoverli?

    Grazie per aver reso semplice una cosa incasinatissima (come tutte le leggi italiane)

    • Francesco Panico
      Francesco Panico dice:

      I cookie rilasciati dai programmi di affiliazione vanno dichiarati nell’informativa e bloccati prima del consenso dell’utente (ma al momento non esiste un modo per farlo). Per quanto riguarda la comunicazione al Garante, è ancora incerto che sia tenuto a farla: il proprietario del sito o il servizio che li installa. Speriamo di avere info a breve.

  9. Claudia
    Claudia dice:

    Per tutti quelli che citano Iubenda… Avevo mandato una mail all’assistenza domenica, mi hanno risposto oggi scusandosi del ritardo, che ovviamente visto l’arrivo imminente della legge sono sotterrati dalle richieste di aiuto. Fin qua, direi che ci può stare. Poi, però, ad un certo punto nella mail, mi scrivono che “Il pricing della soluzione cookie verrà annunciato nei prossimi giorni e sarà basato sulle pageview generate – su base mensile – dai siti gestiti all’interno dell’account iubenda. Ti anticipo che, per siti sotto le 25 mila pageview al mese il prezzo sarà di 19 euro all’anno, in più rispetto alle eventuali licenze acquistate per utilizzare il generatore di privacy policy”. Qualcuno, magari chi ha già acquistato la licenza pro, sa qualcosa di più in merito? Ho provato a chiedere se bisognerà dunque acquistare le due licenze o sarà possibile sceglierne solo una e cosa succederà a chi ha già acquistato l’account Pro e creato entrambe le policy. Ma ovviamente temo tempi di risposta biblici. Se qualcuno sa qualcosa in più, confrontiamoci.

    • Francesco Panico
      Francesco Panico dice:

      Anche io uso la versione pro di iubenda e attualmente l’uso della cookie policy è gratuito. tuttavia stanno nascendo anche altri servizi per la gestione dei cookies, tra questi http://www.cookies.coffee che parte da 3 all’anno. Magari si potra affiancare a iubenda. I prezzi sono irrisori. Dagli un occhiata

  10. Beatrice
    Beatrice dice:

    Ciao, io ho un blog di viaggi su blogger e ho una serie di affiliazioni con banner sul blog. Sono ignorantissima in merito, fatto tutto da sola con molte difficoltà, tra l’altro sto cercando di trasferire tutto su wordpress ma questo non è ancora pronto.
    Ne ho un secondo aperto insieme ad un’amica su worpress e anche qu3sto usa banner di affiliazioni, inoltre in questo ho un forum dove le persone possono accedere con profili social
    Non riesco a capire cosa devo fare? 🙁
    Mi puoi aiutare?

    • Francesco Panico
      Francesco Panico dice:

      Secondo le ultime info, pare che per usare cookie di profilazione come quelli dei siti social o quelli di AdSense, non comporti nessun pagamento al garante. Devi solo limitarti a implementare le informative. Quella breve e quella estesa. Nessun modo finora è conosciuto per bloccare l’installazione di questi cookie prima che l’utente esprima il suo consenso.

  11. Claudia
    Claudia dice:

    Ciao Francesco, il tuo articolo in effetti è il più chiaro che ho trovato fin ora. C’è solo un problema. Nell’articolo dici di non utilizzare i cookie di proliferazione sul tuo sito, però hai i pulsanti social per la condivisione dei tuoi articoli.

    Per quanto mi è stato detto, quelli sono cookie di proliferazione. Quindi dovresti dichiarare anche quelli.

    Te lo chiedo perché i miei unici due problemi sono proprio analytics e i pulsanti di condivisione social. Sinceramente “mi girano un po” all’idea di rimuoverli. Per analytics hai chiarito il dubbio esistenziale 😉

    Ma per i pulsanti no, perché la tua spiegazione ha stonato con quanto vedevo. Non in senso negativo ci mancherebbe. Ma leggendo anche qualche altro commento qua e la su questo tuo articolo, hai detto in alcuni casi che anche i pulsanti social sono di proliferazione e, stando a quanto ha detto il garante, devono essere tutti bloccati preventivamente. Io mi chiedo, come faccio a nasconderli agli utenti fin quando non accettano questa “meravigliosa” politica dei cookie?

    • Francesco Panico
      Francesco Panico dice:

      Secondo le ultime info, pare che per usare cookie di profilazione come quelli dei siti social, non comporti nessun pagamento al garante. Bisogna solo limitarsi a segnalarli nell’informativa. Nessun modo finora è conosciuto per bloccare l’installazione di questi cookie prima che l’utente esprima il suo consenso. Speriamo che qualche servizio lo implementi prima del 2 giugno. Vi terrò aggiornati.

      • Claudia
        Claudia dice:

        Grazie mille Francesco! Posso chiederti per favore dove hai reperito le ultime info che lo dicono? Le hai trovate sul sito del garante?

      • Claudia
        Claudia dice:

        Altra cosa… ho notato però che accedendo a un sito, non vengono rilevati i cookie dei pulsanti social per la condivisione. Probabilmente quindi, vengono rilasciati solo dopo che l’utente ci clicca sopra ma di fatto, come dice il garante stesso, qualsiasi azione svolta dall’utente all’interno del sito, è un consenso all’uso dei cookie.

        Per tanto quando si trova a cliccare su un pulsantino social (e solo qui l’utente viene “profilato”), ha già accettato in precedenza l’utilizzo dei cookie di profilazione e per tanto non dovrebbe essere necessario il blocco preventivo, visto che, fino al momento dell’utilizzo, non profilano alcunché

        La mia è solo un’ipotesi e non so se mi sono spiegata. Che ne pensi?

        Io analizzando i cookie del mio sito, questi proprio non vengono rilevati, neanche quando sono loggata ad esempio a g+.

        • Francesco Panico
          Francesco Panico dice:

          Il blocco preventivo è sempre obbligatorio secondo il garante. Certo, quando l’utente arriva a cliccare su un tasto di condivisione ha già implicitamente accettato i cookie. A livello teorico la questione è un po’ complessa.

  12. beppe
    beppe dice:

    Salve ma qui non è chiara una cosa, il setup dell’analitycs di google che cambio comporta nelle gestione dei dati dello stesso.
    I dati di google sono anonimi già di suo. Semmai si becca l’indirizzo ip per vedere da dove vi collegate. Se rendo anonimo questo dato significa che Analitycs non serve più.

    Non mi è chiara sta cosa.

    • Francesco Panico
      Francesco Panico dice:

      Si i dati di Analytics sono dati statistici aggregati che effettivamente sono già anonimi. Ma per rendere i cookie di Analytics dei cookie “tecnici”, occorre che Google Analytics oscuri gli indirizzi IP degli utenti. Di fatto, potresti anche usare Google Analytics normalmente a patto di bloccare l’installazione dei suoi cookie prima che l’utente accetti di farli installare. Ma al momento non esiste un modo per farlo.

  13. Alex
    Alex dice:

    Complimenti per l’articolo, speriamo che in breve sia chiaro chi deve notificare cookie di profilazione e chi no.

    Ti segnalo che, dalla documentazione Google (che trovi su https://support.google.com/analytics/answer/2763052?hl=en), appare che la riga ga(‘set’, ‘anonymizeIp’, true) vada inserita PRIMA della riga ga(‘send’, ‘pageview’) e non dopo. Il paragrafo cui mi riferisco: If the anonymization function has been called prior to the page tracking function, an additional parameter is added to the pixel request. The IP anonymization parameter looks like this: &aip=1

  14. Carlo
    Carlo dice:

    Mi dite dove trovate nel Decreto Legge l’equiparazione dei cookie di analytics con quelli di profilazione?

    • Francesco Panico
      Francesco Panico dice:

      Ho riportato nell’artico il link ad una pagina di iubenda dove è scritto:

      “Fortunatamente, alcuni cookie sono esenti dall’obbligo di consenso e dunque non sono soggetti al blocco preventivo. In particolare:

      I cookie tecnici, ossia quelli strettamente necessari all’erogazione del servizio. Fra questi i cookie di preferenza, sessione, load balancing ecc.
      I cookie di statistica gestiti direttamente dal titolare, ad esempio tramite software come Piwik
      [ancora in fase di discussione] I cookie statistici di terze parti (es. Google Analytics), qualora i dati vengano anonimizzati prima di essere salvati dal servizio terzo. Su come configurare il codice di Google Analytics a questo fine, esiste una guida sul blog di iubenda che potete consultare.”

      • Claudia
        Claudia dice:

        Buongiorno, ho seguito la discussione e letto l’articolo fino a qui, alcune cose le ho comprese e altre mi restano da chiarire. Volevo chiedere una cosa io uso sia Analytics che Histat. In questo caso come possiamo definirli? Cookies tecnici? Servono solo a monitorare le visite.
        Grazie in anticipo per la risposta.

  15. alessandro
    alessandro dice:

    Ciao Francesco, uno dei migliori articoli scritti sul cruciale argomento cookie.
    Una cosa non ho ben capito, nel caso dei vari plugin social (pulsanti lile, condividi, ecc.) presenti sui siti, come bisogna comportarsi? ho visto che rilasciano dei cookie ma come faccio a sapere se fanno profilazione o meno? E se la fanno, li devo disabilitare finchè l’utente non accetta l’informativa (o scrolla la pagina…)

    Grazie

    • Francesco Panico
      Francesco Panico dice:

      Esatto Alessandro. i cookie dei social sono di profilazione. Aspettiamo una soluzione per bloccarli prima dell’installazione: iubenda ci sta lavorando.

      • alessandro
        alessandro dice:

        Grazie per la risposta, il fatto che ci stiano lavorando a circa 10 giorni dal termine per adeguarsi alla normativa, mi fa pensare che probabilmente molti siti non saranno comuque pronti per il 2 giugno.
        Il problema è che non tutti i plugin possono essere eseguiti dopo il consenso senza dover ricaricare la pagina, perdendo cosi in termini di usabilità. Come pensi si possa risolvere questa annosa questione? Grazie

        • Francesco Panico
          Francesco Panico dice:

          Qualcuno pensava di implementare una pagina di pre-home dove far decidere di accettare i cookie. Ma non è una soluzione corretta, in quanto al sito si può accedere da qualsiasi pagina, e ad ogni accesso deve avvenire il blocco dei cookie. Purtroppo, al momento, soluzione valide al problema non ce ne sono. Molti siti non saranno a norma il 2 giugno. Tieni d’occhio anche questa pagina, sembra che stiano lavorando a qualcosa di serio: http://www.cookies.coffee/

  16. Federico
    Federico dice:

    Complimenti Francesco per l’ottimo articolo!
    Avrei una curiosità, in un mio sito viene installato unicamente un cookie denominato “Local storage”. In questo caso come bisogna comportarsi?

    • Francesco Panico
      Francesco Panico dice:

      Sta attento Federico, se usi tasti di condivisione sui social, probabilmente il tuo blog installerà anche altri cookie. Usa Iubenda e seleziona dal suo pannello tutti i servizi di cui fai uso.

  17. Federica
    Federica dice:

    Ciao Francesco,
    vorrei chiederti delle info. Il mio Web Master sta creando un sito di grafica e tipografia con annesso il carrello dei prodotti per far si che la gente possa acquistare comodamente online.
    Il mio Web Master, mi avvisa di questa nuova legge che entrerà in vigore il 2 Giugno, e mi dice che “se voglio la prensenza del carrello sul sito, dovrò pagare € 150”.

    E’ giusto pagare € 150 per la presenza del carrello sul miol sito web?
    Inoltre, vorrei sapere in quali casi è giusto pagare le 150 euro e se io rientro in questi casi per essere a regola?

    Grazie mille
    F.

    • Francesco Panico
      Francesco Panico dice:

      Sinceramente non so risponderti, Federica.
      Non so quale servizio usa il tuo webmaster per implementare il carrello.
      Ad ogni modo immagino che accedendo ai dati del cliente, compresi quelli della carta di credito, sia obbligatorio fare una comunicazione al garante e pagare i 150 €. Ma non posso darti una risposta certa.

      • francesco
        francesco dice:

        Ciao
        io gestisco un sito di e-cammerce mediante prestashop e leggendo ed informandomi sto pensando di comportarmi così:
        nel mio sito non ci sono servizi tipo google adsence adword, etc,
        ho solo analytics che ho reso anonimo con il codice.
        Non ho tasti “mi piace” verso i social ma solo link alle pagine social
        l’unico dubbio è solo la presenza del modulo paypal che permette di pagare ma che non crea profilazione (almeno credo).
        Nel sito del garante i cookies di profilazione si definiscono così:
        Altri cookie possono invece essere utilizzati per monitorare e profilare gli utenti durante la navigazione, studiare i loro movimenti e abitudini di consultazione del web o di consumo (cosa comprano, cosa leggono, ecc.), anche allo scopo di inviare pubblicità di servizi mirati e personalizzati (c.d. Behavioural Advertising). Parliamo in questo caso di cookie di profilazione.
        Pay pal si limita a farsi pagare e basta!
        La presenza del carrello non credo possa essere considerata profilazione a meno che non usi cookies specifici come fa amazon ad esempio…..
        Spero di procedere correttamente…….
        cosa ne pensate??

  18. Marcello
    Marcello dice:

    Ciao Francesco, grazie per l’ottimo articolo. Preziosissimo! Vorrei chiederti se è necessario affiancare all’informativa estesa anche una pagina sulla Privacy. Grazie per l’eventuale risposta.

    • Francesco Panico
      Francesco Panico dice:

      Basta una sola pagina Marcello. La pagina con l’informativa estesa deve raccogliere le informazioni sull’uso dei dati e sui cookie.

  19. Erica
    Erica dice:

    Ciao Francesco!
    Credo che seguirò passo passo la tua guida perchè è la migliore spiegazione che ho trovato in giro.
    ho visto che citi Iubenda che ho provato a contattare, ma nn mi considera nessuno, lice chat sempre offline.. tu hai avuto modo di interfacciarti con qualcuno? o hai fatto tutto online? Perchè propongono qualcosa anche per questa nuova legge sui cookie, volevo capire se con uno strumento unico mi risolvevo il problema…
    Grazie mille!

    • Francesco Panico
      Francesco Panico dice:

      Ciao Erika, io ho fatto tutto da solo. è molto semplice.
      Ti registri al sito, anche tramite Facebook, scegli un piano Pro e nel pannello scegli i servizi che usa il tuo blog per avere una policy personalizzata. Nel tuo menù personale troverai anche il tasto per attivare la cookie policy.

      • Erica
        Erica dice:

        Ottimo! ci provo allora!
        Una domanda stupida forse… come faccio a sapere esattamente quali cookie usa il mio sito? l’ho creato con la piattaforma WordPress e utilizzato diversi plugin, ad esempio per la condivisione sui social… come faccio a capire quali cookie utilizzo?
        grazie

        • Francesco Panico
          Francesco Panico dice:

          In base ai servizi che usi. Iubenda ti propone tutti i servizi esistenti: tu devi indicare quali usi tra quelli proposti. Iubenda indicherà i relativi cookie per te

  20. Amisaba
    Amisaba dice:

    Ciao Francesco, mi aggiungo al coro di ringraziamenti per questo post così dettagliato. Io mi muovo con cautela e praticamente ti sto pedinando 🙂

  21. Marco
    Marco dice:

    Salve,
    ho un sito web statico creato circa 15 anni fa quasi per gioco e che attualmente contiene migliaia di pagine.
    Se dovessi andare a modificare a mano ogni pagina HTML del sito per inserire il codice farei prima a chiuderlo.
    Avete idea di come posso fare?

    Se lo proteggo con una password?

    • Francesco Panico
      Francesco Panico dice:

      Non c’è bisogno di soluzioni drastiche. Basta inserire nel Footer il link alla pagina della privacy e implementare un piccolo banner d’avviso con l’informativa breve.

  22. Chiara
    Chiara dice:

    Grazie per l’articolo 🙂 Purtroppo sono una neofita e ho un blog da un anno sulla piattaforma wordpress.com. Mi chiedo: il mio blog prevede cookies di profilazione? Uso solo le modalità di condivisione ai social, Facebook e Google plus e gli utenti se vogliono possono seguirmi via email. Sono cookies di profilazione? Cosa dovrei fare?

    • Francesco Panico
      Francesco Panico dice:

      I tasti di condivisione implicano cookie di profilazione. Devi dichiarare il loro uso. Inoltre, per far iscrivere i tuoi utenti alla tua mailing list, devi aggiungere una casella da far spuntare obbligatoriamente al modulo di iscrizione.

  23. Beatrice
    Beatrice dice:

    Ciao! Maaa… Una domanda: io che ho un innocuo blog da circa 2 anni, non guadagno niente dal blog, non ho mai installato niente di strano (Cookie ecc.) e pubblico “normali” articoli… Cosa devo fare per metterlo in regola? Utilizzo la piattaforma WordPress e ho sempre usufruito solo delle funzioni essenziali di WordPress senza comprare o installare niente, neanche Google Analytics perchè per le statistiche utilizzo quelle di WordPress. Grazie in anticipo! 🙂

    • Francesco Panico
      Francesco Panico dice:

      Se integri anche semplicemente dei tasti di condivisione nel tuo blog, installi dei cookie. Non esistono blog che non lasciano Cookie 🙂
      Fai un’attenta analisi del tuo blog e bada ai moduli di iscrizione.

  24. Marco
    Marco dice:

    Secondo me sono FUORI DI TESTA con questa legge.
    Prima di tutto perchè è inutile, tutti per navigare su un sito accetteranno qualsiasi cacchio di cookie, se gli interessa visitare il sito.
    La vedo SOLO come una legge fatta da i classici politici che non conoscono l’argomento e che vogliono cercare di proteggere privacy varie con il solo scopo di fare cassa di €€€ perchè le multe sono veramente assurde.
    Immagina una persona qualsiasi che apre un blog e che prende una multa del genere, ROVINATO!

  25. Daniele
    Daniele dice:

    Ciao Francesco e grazie per il tuo post a riguardo di questo tema che mi sta facendo venire il mal di testa da un po’. Gestico una webagency insieme ad alcuni soci e la normativa sui cookie sta diventando una discreta rottura di scatole soprattutto per la sua vaghezza dal punto di vista implementativo.
    Volevo segnalarti un servizio di cui non si parla nel post e nemmeno nei commenti, secondo me interessantissimo, ma soprattutto gratis e con codice open-source:

    http://sitebeam.net/cookieconsent/

    Noi lo stiamo testando sul nostro sito aziendale e mi sembra un’ottima alternativa ai servizi a pagamento. Certo qui resta l’incombenza di dover scrivere una cookie-policy personalizzata visto che non viene fornita dal servizio.

    Ciao!

    • Daniele
      Daniele dice:

      Dimenticavo, questo servizio consente anche di scegliere se usare l’opt-in o l’opt-out fornendo un sistema per bloccare preventivamente i cookies, fino a che non venga fornito il consenso dall’utente.

      • Marcello
        Marcello dice:

        Ciao Daniele, quanto consideri affidabile il servizio da te proposto? Sul mio sito sono presenti unicamente Analytics + bottoni sociali ma non vengono rilevati come cookies. Sai per caso dirmi qualcosa in merito, grazie!

        • Daniele
          Daniele dice:

          Per quanto riguarda il sistema di rilevazione non saprei dirti. Trovo invece che la soluzione offerta (tramite l’inserimento del loro script) sia molto valida perchè finora è l’unica che prevede un sistema di opt-in e un pannello dove l’utente può decidere selettivamente quali cookie consentire e quali no. In più è gratis ed il codice è open source. Io l’ho testata sul mio sito aziendale e posso dire che funziona ottimamente, in quanto finchè non viene dato l’esplicito consenso, i vari javascript di Analitycs e dei social, non vengono proprio eseguiti dal browser.

          • Alfonso
            Alfonso dice:

            Ciao Daniele vorrei sapere come ti trovi con questo script che suggerisci e se è possibile utilizzarlo per i siti che hanno cookie di profilazione. Vorrei capire un’altra cosa. Nella documentazione dello script non mi è chiaro perché dopo aver inserito lo script gratuito bisogna anche trovare gli Javascript relativi ai Social media cookies, modificare il tag script con “text/plain” e non “text/javascript”. A cosa serve questo passaggio? E’ necessario fare questo passaggio oppure e sufficiente solo il codice dello script nel tag head? Grazie di tutto.

            • Daniele
              Daniele dice:

              ti ho risposto per email; in ogni caso, a favore di chi legge i commenti, il cambio di “type” serve per implementare la modalità opt-in, cioè prevenire la scrittura di cookies fino a chè l’utente non da il consenso all’utilizzo. Cambiando il type infatti quegli script non vengono più eseguiti. Quando e se l’utente da il consenso all’utilizzo, la pagina viene ricaricata e il type viene ripristinato usando un javascript. In questo modo gli snippet ridiventano attivi e possono così scrivere i loro cookies.

  26. Claudia
    Claudia dice:

    Ciao Francesco, ottimo articolo, complimenti.
    Vorrei chiederti un chiarimento sul plugin che hai consigliato per la creazione del banner (Cookie Notice by dFactory). Nelle impostazioni, nel punto in cui dice “Scadenza del cookie” si riferisce al cookie del plugin che tiene traccia del consenso dell’utente?
    Grazie!
    Claudia

  27. Alessio Battaglino
    Alessio Battaglino dice:

    Ottimo articolo Francesco, davvero completo ed esaustivo! 😉

    Voglio però farti alcune domande.

    1) In merito a Google Analytics, ho seguito la tua procedura per rendere anonimi gli indirizzi IP, ma da quando l’ho fatto non ricevo più dati (risultano sempre 0 visitatori!). È successo anche a te? Sebbene si tratti di copiare un semplice codice, è possibile che abbia sbagliato qualcosa?

    2) Oltre a Google Analytics, utilizzo un plugin di wordpress, “WP Statistics”. L’ho impostato per anonimizzare gli indirizzi IP (ora appare “#hash#” al posto dell’IP). Ho fatto bene oppure non era necessario?

    3) Ho visto che hai inserito la tua privacy policy utilizzando Iubenda. Mi sembra un servizio completo e che fa risparmiare un mucchio di tempo. Se usassi Iubenda, dovrei ugalmente mantenere anonimi gli indirizzi IP di Google Analytics?

    Detto questo, perdona le martellanti domande e… di nuovo complimenti per il tuo articolo 😉

    • Francesco Panico
      Francesco Panico dice:

      Grazie Alessio!
      Per quanto riguarda il tuo problema con Analytics, non è normale. Forse hai un conflitto con il plugin installato. Prova a rimuoverlo.
      Io ho deciso di usare iubenda per non complicarmi la vita con la pagina d’informativa. Con 19 € mi sono tolto il pensiero. I cookie di analytics sono comunque cookie di profilazione se non anonimizzati, quindi meglio anonimizzarli per non essere costretti a dichiarare il loro uso al Garante.
      Fermo restando che questo argomento è ancora in fase di discussione… chi deve fare la comunicazione al garante: il servizio che crea i cookie (Analytics) o il proprietario del sito che li installa.

      • Alessio Battaglino
        Alessio Battaglino dice:

        Ok Francesco, grazie per il chiarimento 😉 In effetti ho implementato la medesima procedura per un altro sito che sto gestendo e i dati di Google Analytics sono regolari… approfondirò la questione! 🙂

        Quanto alla privacy policy credo che seguirò il tuo esempio e mi rivolgerò a Iubenda, così evitiamo rogne! 🙂

        P.s. la necessità di rendere anonimi gli IP vale anche per i plugin installati su wordpress come Piwik o Wp Statistics? Oppure non occorre?

        • Francesco Panico
          Francesco Panico dice:

          L’informativa di Iubenda recita: ” Fortunatamente, alcuni cookie sono esenti dall’obbligo di consenso e dunque non sono soggetti al blocco preventivo. In particolare: I cookie tecnici, ossia quelli strettamente necessari all’erogazione del servizio. Fra questi i cookie di preferenza, sessione, load balancing ecc.
          I cookie di statistica gestiti direttamente dal titolare, ad esempio tramite software come Piwik […]”

          Quindi per Piwik non dovresti avere problemi. Puoi continuare a usarlo. Non ho invece info su Wp Statistics

  28. Claudia
    Claudia dice:

    Ciao Francesco,
    grazie mille per il tuo articolo, uno dei più chiari e precisi che ho letto in questi giorni che sto studiando come mettere a norma i miei siti.
    Renderò anonimo Analytics, guarderò i cookie installati e provvederò a creare le privaci policy. Ma mi resta un dubbio. Con i dati raccolti per scrivere commenti con i Cms (come questo), in cui nome ed email sono richiesti, come ci si comporta?
    Ho letto in alto che stavi valutando ancora, volevo sapere se avevi ulteriori informazioni in merito.
    Grazie della precisazione che vorrai fare in questo senso
    Claudia

    • Francesco Panico
      Francesco Panico dice:

      Grazie Claudia. Appena saprò qualcosa di certo al riguardo scriverò un update su questo post.

      • Claudia
        Claudia dice:

        Grazie per la risposta Francesco.
        Volevo chiederti un parere. Nel blog di una cliente abbiamo installato un plugin per ricevere notifiche sui commenti, che naturalmente fa uso della mail inserita per commentare.
        C’è un checkbox da cliccare per restare aggiornati, affianco a questo ho inserito il testo: “Ricevi un avviso se ci sono nuovi commenti. Oppure iscriviti senza commentare. Iscrivendoti acconsenti al Trattamento ai sensi dell’art. 23 D.Lgs. 30 giugno 2003, n. 196 “Codice in materia di protezione dei dati personali”.
        Ti sembra possa andare come soluzione o mi conviene per il momento disattivare l’opzione?
        Grazie per il tuo suggerimento
        Claudia

        • Francesco Panico
          Francesco Panico dice:

          Devi integrare anche la tua informativa o un link ad essa. La sola scritta “Iscrivendoti acconsenti al Trattamento ai sensi dell’art. 23 D.Lgs. 30 giugno 2003, n. 196 “Codice in materia di protezione dei dati personali” da sola probabilmente non basterà

  29. patricia moll
    patricia moll dice:

    Ciao scusa se ti dico che non ho capito niente…..
    Sono assolutamente a zero quanto a nozioni informatiche.. però ho un piccolo blog di blogger http://hermioneat.blogspot.it/ sul quale ho soltanto i gadget di g+, followers di g+, i soliti contattami qui, iscriviti ai commenti e ai post, translate e cerca nel blog, lettori fissi.
    Ad sense non ce l’ho. In impostazioni su blogger nella casella Google analytics io non ho scritto niente, è bianca…..
    Che devo fare? Non saprei nemmeno dove cercare i cookie… dove li trovo?
    Ho preparato una pagina in cui ho spiegato cosa usa il mio blog (l’ho presa da Blogghidee e poi l’ho modificata secondo le mie esigenze sperando di aver fatto le cose giuste, ho preparato il banner…
    L’unica cosa che non vorrei preparare sono i soldini da dare a quei.. signori dell’autority.
    Scusami eh ma sono andata in crisi profonda.
    Ciao Patricia Moll

    • Francesco Panico
      Francesco Panico dice:

      Se non usi cookie di profilazione puoi stare tranquilla, Patricia.
      Ti basta solo dichiarare nell’informativa tutti i google tecnici che installa il tuo sito.
      Puoi facilmente renderti conto di quali cookie usa il tuo blog grazie agli strumenti del browser Chrome: svuota la cache del browser, naviga tra le pagine del tuo sito per qualche secondo e poi digita nella barra degli indirizzi questa stringa:
      chrome://settings/cookies
      …e premi Invio sulla tastiera. Vedrai l’elenco di tutti i cookie scaricati dal tuo blog.

  30. Roberto
    Roberto dice:

    Ciao articolo interessante. Il mio blog installa 4 cookie che credo siano di nn proliferazione. Cosa devo fare? Devo comunque implementare il banner e l’informativa privacy o cosa? In oltre nel tuo articolo hai spiegato come aggiungere il testo
    Che da riferimento alla legge sulla privacy per quanto riguarda i form e le iscrizioni tramite form alle newsletter ma nn hai specificato come si fa per Implementarlo anche per il form dei
    Commenti standard di wordpress. Mi potresti spiegare magari per email? Te ne sarei davvero grato… Complimenti per l’articolo grazie mille in anticipo Roberto!

    • Francesco Panico
      Francesco Panico dice:

      Roberto, il banner non è indispensabile se usi solo cookie tecnici. Ma sei sicuro di non usarne? Per quanto riguarda i commenti, ancora non prendo provvedimenti e sto studiando come implementare l’informativa per questo elemento.

      • Roberto
        Roberto dice:

        ho usato un’estensione di firefox di cui ora mi sfugge il nome che mi ha permesso di vedere i cookie: sono quattro e 2 di worpress 1 di clef (un applicazione che uso per eseguire l’accesso con tel) e un altro cookie che è temporaneo. google analitica non l’ho istallato ho solo jetpack per le statistiche… aiuto non so cosa fare.. mi potresti scrivere per email per favore? grazie… ciao buona serata…

  31. Sonia Bertinat
    Sonia Bertinat dice:

    Utilissimo articolo soprattutto per i non addetti al mestiere come me e utilissimi i commenti di precisazione che ho letto.
    Ho due domande, se puoi:
    1) la stringa da aggiungere in Analytics va aggiunta al fondo o in un punto particolare del codice?
    2) non trovo info su come considerare i siti fatti con Google Sites. Vengono adeguati da Google come Blogger o bisogna agire su di essi? E se si hai idea di come visto che non si può accedere al codice?
    Grazie infinite

    • Francesco Panico
      Francesco Panico dice:

      Come ho scritto nell’articolo, la stringa va aggiunta immediatamente sotto alle righe

      ga(‘create’, ‘UA-XXXXXXXX-X’, ‘auto’);
      ga(‘send’, ‘pageview’);

      Per quanto riguarda la seconda domanda, non so aiutarti. Mai usato Google sites.

      • Sonia
        Sonia dice:

        Per la prima domanda, scusa ma ho letto dopo e non riuscivo a modificare il commento.
        Per la seconda, temevo, sembra non li usi nessuno :,(
        Grazie!

  32. Francesco
    Francesco dice:

    Ciao Francesco,
    una domanda, ma nel documento privacy, nella sezione dei cookies è necessario indicare tutti i cookie e a cosa servono? Io ne ho trovati alcuni che non ho la più pallida idea di cosa siano (non sono un tecnico eh!)

    guarda quanti! 😛

    SnapABugHistory
    __hstc
    __smToken
    __utma
    __utmz
    __zlcmid
    _ga
    _pk_id.2.3354
    _sac
    _sacvar
    _sah
    ap_id
    cookie_notice_accepted
    etBloomCookie_optin_1
    etBloomCookie_optin_11
    etBloomCookie_optin_12
    et_bloom_subscribed_to_optin_5d4682e4ad6
    et_bloom_subscribed_to_optin_6d4682e4ad6
    hbs_104330
    hbuid
    hbv_104330
    hsfirstvisit
    hubspotutk
    km_ai
    km_lv
    km_uq
    of_current_opt
    viewed_cookie_policy
    woocommerce_recently_viewed
    wordpress_logged_in_9af3cb75f0543f3c86e9e63967c4c99d
    wordpress_sec_9af3cb75f0543f3c86e9e63967c4c99d
    wordpress_sec_9af3cb75f0543f3c86e9e63967c4c99d
    wordpress_test_cookie
    wp-settings-1001002
    wp-settings-time-1001002
    wp-settings-time-1001014
    wp-settings-time-1001016
    wp-settings-time-1001017
    wp-settings-time-1001025
    Database indicizzato
    Database indicizzato
    Local storage
    Local storage
    Service Workers

    • Francesco Panico
      Francesco Panico dice:

      Sì, i cookie vanno dichiarati tutti. Fai una ricerca per ognuno di loro su Google, troverai quali servizi li installa. Ma mi sembra improbabile che siano tutti installati dal tuo sito.

  33. Francesco
    Francesco dice:

    Bell’articolo!
    Ho notato che il tuo sito utilizza anche cookie di terze parti (Chome ne ha contati 37) come Facebook, YouTube, Linkedin e Twitter e che non vengono preventivamente bloccati come richiede la norma.
    Secondo me il legislatore non si è reso conto che restare nella legalità è (quasi) impossibile…
    Quindi se metto un iframe di facebook dovrei pagare 150€ al garante della privacy?

    PS
    cliccando su “Invia commento” mi iscrivo automaticamente alla tua Newsletter e non c’è la formula “Acconsento al Trattamento bla bla bla…”

    PPS
    non ci voglio nemmeno pensare che il 2 Giugno il garante della privacy si metterà a fare multe da minimo 6.000€…

    • Francesco Panico
      Francesco Panico dice:

      Grazie Francesco.
      In effetti non avevo pensato all’iscrizione alla newsletter via commenti. Per precauzione l’ho rimossa. Per quanto riguarda i cookie relativi a Facebook, Youtube e Twitter, non credo che siano cookie di profilazione e dovrebbe bastare indicare come disabilitarli attraverso le impostazioni dei servizi stessi.
      Questo punto è ancora molto vago…

      • Francesco
        Francesco dice:

        Io invece credo che Google, Facebook e Twitter profilino l’utente attraverso i cookie (altrimenti a che servirebbero?), per poi mostrare pubblicità mirata nei loro social network, come scritto nelle loro pagine dedicate ai cookie.

        La norma differenzia i Cookie di profilazione:
        • installati dall’editore (gestore del sito)
        • installati da “terze parti”

        Se vengono installati dall’editore ci dovrebbe essere la comunicazione al garante della privacy mentre se vengono installati da “terze parti” no.

        Quindi in teoria anche utilizzando Google Analytics senza rendere anonimi i dati non dovrei pagare queste 150€ perché dal pannello di controllo io posso vedere solamente i dati in forma aggregata mentre solo Google può vedere i dati nel dettaglio.

        Il punto aperto rimane nel bloccare preventivamente i cookie di profilazione, come richiesto dalla norma.

  34. Nick Murdaca
    Nick Murdaca dice:

    Ciao, Francesco. Prima di tutto, voglio farti i complimenti per l’articolo super-esaustivo, e per uno come me, povero di cognizioni tecniche, è una manna. Poi, vorrei chiederti se avendo io come piattaforma WordPress.com (che come ben sai è una piattaforma gratuita con una serie di restrizioni, tra cui l’impossibilità di installare plugin) spetta a me apportare le modifiche tecniche al blog (aiuto!) per adattarmi alla nuova normativa. Grazie. Nick

  35. Roberto Corio
    Roberto Corio dice:

    Complimenti ti sei dato da fare, un po’ di chiarezza in più. Non ho capito però che tipo di cookies sono quelli relativi ai link di affiliazione. Bisogna comportarsi come con adsense?

    • Francesco Panico
      Francesco Panico dice:

      Si Roberto, i servizi di affiliate marketing creano cookie di profilazione che fanno in modo che l’utente riceva messaggi pubblicitari in linea con le preferenze già manifestate durante la navigazione.

  36. Roberto Corio
    Roberto Corio dice:

    Finalmente un po’ di chiarezza, vedo che ti sei dato da fare 🙂 Io però non ho capito una cosa: chi ha link di affiliazione si deve comportare come con adsense? Sono cookies di profilazione o tecnici?

  37. RobDesideri
    RobDesideri dice:

    Ottimo post Francesco, complimenti. Il dubbio sull’anonimizzazione degli IP però rimane. Tutt’ora non c’è alcun documento legale che affermi che tale procedura faccia passare i cookie di GA come tecnici.

  38. Valentina
    Valentina dice:

    Grazie per questo post molto accurato e approfondito 🙂

    Ho una domanda: se si utilizza AdSense come strumento per monetizzare il blog è necessaria la notificazione al garante della psivacy dei cookie di profilazione? Mi pare di aver capito che non bisogna farla in quanto non si ha la possibilità di accedere alle informazioni sensibili relative agli utenti che questi cookie raccolgono. In questo caso basta soltanto indicare agli utenti nell’informativa estesa che dovrà essere presente sul blog le modalità per disattivare i cookie sui siti web dei servizi esterni. Ho capito bene?
    In tal caso, bisognerà comunque avvertire l’utente dell’uso di questi cookie di profilazione di terze parti indicandoli nel dettaglio e descrivendone le funzioni.
    Per questo genere di cookie di profilazione, però, come si può dare la possibilità all’utente di scegliere se installarli o meno? Si può semplicemente informarlo che se prosegue con la navigazione sul sito/blog questi cookie verranno comunque installati…
    Non è così?

    • Francesco Panico
      Francesco Panico dice:

      Ciao Valentina,
      AdSense installa dei cookie di profilazione e quindi andrebbe notificato al garante.
      Tuttavia ancora non è chiaro chi deve notificare al garante l’uso dei cookie di profilazione (sborsando i 150 €): tu o AdSense. La questione è argomento di discussione. Ad ogni modo sei tenuta ad informare i tuoi utenti dell’uso di tali cookie sia nell’informativa breve che in quella estesa. E, sì, secondo la legge il tuo sito non può installare cookie di profilazione prima del permesso dell’utente. Implementare un modo per tenere il consenso in sospeso richiede modifiche al codice del sito stesso e per questo motivo ti consiglio di affidarti al servizio di Iubenda o di abbandonare i servizi che usano la profilazione dei tuoi utenti se non sono abbastanza remunerativi.

      • Valentina
        Valentina dice:

        Grazie mille per la risposta così celere 🙂
        Penso che per il momento farò a meno di AdSense sul mio blog visto che alla fine non mi porta grandi guadagni così risolvo il problema.
        L’unico lato positivo di questa legge è che ci spinge a pensare metodi alternativi di monetizzazione da inserire sul blog privi di cookie di profilazione… Magari a lungo andare si dimostreranno persino più remunerativi di AdSense 🙂
        Speriamo bene!

        Grazie ancora Francesco!

  39. Andrea
    Andrea dice:

    Ciao Francesco bel post 🙂 sono da apprezzare le persone come te che cercando id fare chiarezza. A proposito di chiarezza,colgo l’occasione per fare alcune precisazioni perché in alcuni punti ci sono delle informazioni incomplete.

    1. – Guardiamo questa affermazione “Nella pagina di informativa estesa l’utente potrà reperire maggiori e più dettagliate informazioni sui cookie e scegliere quali autorizzare attraverso le impostazioni del suo browser.”
    Non è proprio così. Il provvedimento del Garante dice infatti: L’informativa estesa deve contenere tutti gli elementi previsti dall’art. 13 del Codice, descrivere in maniera specifica e analitica le caratteristiche e le finalità dei cookie installati dal sito e consentire all’utente di selezionare/deselezionare i singoli cookie.”
    L’autorizzazione dei cookie, quindi, deve avvenire direttamente nell’informativa e non attraverso le impostazioni del browser! Certo, nel provvedimento si dice anche “Nel medesimo spazio dell’informativa estesa deve essere richiamata la possibilità per l’utente (alla quale fa riferimento anche l’art. 122, comma 2, del Codice) di manifestare le proprie opzioni in merito all’uso dei cookie da parte del sito anche attraverso le impostazioni del browser, indicando almeno la procedura da eseguire per configurare tali impostazioni”, ma questo, purtroppo, non basta per essere a norma.

    2. Con riferimento alla frase “Il banner deve avere dimensioni tali da coprire in parte il contenuto della pagina web che l’utente sta visitando.” bisogna precisare che il banner deve avere dimensioni tali da “costituire una percettibile discontinuità nella fruizione dei contenuti della pagina web che si sta visitando”. Quindi un banner che copre in maniera non conforme a quanto richiesto dal Garante non è a norma. Guarda qui http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3167231

    3. Infine dire ” I tuoi dati sono al sicuro e sono trattati in piena conformità alla Legge sulla Privacy n.196/2003.” purtroppo non è sufficiente per informare gli utenti e per richiedere il loro consenso. Mancano tutti gli elementi informativi necessari.

    Scusa se mi sono permesso di fare certe integrazioni, ma la norma se non è rispettata in toto, di fatto non è rispettata.

    • Francesco Panico
      Francesco Panico dice:

      Le tue integrazioni sono gradite. L’importante è che si inizi a parlare seriamente di come implementare le modifiche previste dalla norma.
      Rispondo ai tuoi 3 punti:
      1) La dicitura “consentire all’utente di selezionare/deselezionare i singoli cookie” vale solo per i cookie di profilazione perché, ricordo, che quelli tecnici non hanno bisogno di permessi per essere installati. Per questo motivo ho consigliato nell’articolo i servizi di Iubenda per ovviare a questo problema che di fatto è il più spinoso.
      Per quanto riguarda invece la dicitura “descrivere in maniera specifica e analitica le caratteristiche e le finalità dei cookie installati dal sito”, si brancola veramente nel buio. Cosa si intende per “specifica e analitica”?
      Io nella mia informativa scrivo che “I cookies “tecnici” di Google Analytics con IP anonimizzato sono gli unici tipi di cookies sfruttati, con lo scopo di ottenere i dati di navigazione sopra indicati.” Mi sembra abbastanza specifica e analitica, poi quando si ha a che fare con la legge, purtroppo, tutto diventa opinabile.
      2) Il banner che crea il plugin da me proposto mi sembra “sufficientemente discontinuo rispetto all’esperienza di navigazione del sito per far sì che venga notato dall’utente”. Quello che propone il Garante nell’immagine da te linkata è un modello possibile, non l’unico.
      3) Dopo diverse ricerche, non ho trovato niente al riguardo del testo da aggiungere ai moduli di iscrizione. Sul web si fa riferimento solo alla checkbox e anche sul sito del Garante non c’è niente di preciso. Tu hai info più precise su questo punto?

      • Andrea
        Andrea dice:

        Premesso che per fare la cosa più semplice ci sono, come hai detto tu, diverse soluzioni tra cui anche Cookies.Coffee.

        Bisogna fare attenzione a definire i cookie analytics (anche anonimi) come tecnici: non sono tecnici ma sono assimilati ai tecnici! Per esempio nel tuo sito dovresti descrivere come cookie tecnico PHPSESSID, popupally-cookie-1, ecc. ma soprattutto dovresti gestire in maniera corretta i cookie di terze parti di Facebook, linkendin, twitter e youtube, i quali, naturalmente, non sono assolutamente tecnici 🙂

        La discontinuità del banner deve essere quella descritta dal garante.Ovviamente si è liberi di interpretare come si vuole la discontinuità. mi auguro che il Garante la interpreti come te!

        Infine mi preme ricordare che ogni qualvolta si chiedono dati a persone, vuoi per rispondere a richieste, vuoi per iscrizioni a newsletter bisogna sempre rispettare il D.Lgs. 196/03 (c.d. Codice Privacy) ed in particolare l’art. 13 – Informativa e 23 – Consenso.

          • Claudia
            Claudia dice:

            Ho provato ora ad accedere a Cookies.Coffe, ma non mi da nessuna risposta dopo la scansione de sito. l’opzione base non funziona. Può darsi che mi sbaglio io, ma non lo vedo molto sicuro.

            • Francesco Panico
              Francesco Panico dice:

              Stesso problema. Il sito è intasato di richieste probabilmente. Pazientiamo un po’.

  40. Fabio Piccigallo
    Fabio Piccigallo dice:

    Ciao Francesco, mi associo ai complimenti di Luca, uno dei migliori articoli in giro sull’argomento.
    Un paio di domande su questioni che vorrei approfondire:
    1) Analytics. Mi pare di capire che l’anonimizzazione in pratica elimina la possibilità di creare liste di remarketing, o questa possibilità viene comunque salvata?
    2) Sempre Analiytics: la riga di anonimizzazione è compatibile con l’istruzione ga(‘require’, ‘displayfeatures’); ?
    3) Terze parti: vedo che ad esempio il tuo sito installa cookies di Facebook e Youtube. È nostro compito impedire l’installazione di questi cookies, o è sufficiente informare che si possono eliminare?
    Grazie mille e ancora complimenti
    Fabio

    • Francesco Panico
      Francesco Panico dice:

      Grazie Fabio!
      Per creare liste di remarketing dovrai installare dei cookie di profilazione nei terminali che hanno visitato il tuo sito. Per questo motivo penso che probabilmente l’istruzione che mi chiedi al secondo punto sia incompatibile con l’anonimizzazione dei dati di Analytics. Se vuoi continaure a implementare le liste di remarketing ti consiglio di usare i servizi di Iubenda.
      Per quanto riguarda la terza domanda: è sufficiente informare gli utenti che devono disattivare i cookie dei servizi esterni attraverso le impostazioni di quei servizi e fornire il link opportuno.

  41. Luca Borghi
    Luca Borghi dice:

    Ciao Francesco!
    Davvero un ottimo articolo!
    Era da tempo che cercavo informazioni in merito alle nuove disposizioni su Privacy, policy e cookie.
    Qui ho trovato tutto quello che mi interessava! Ora devo soltanto metterle in pratica!
    Di nuovo complimenti e grazie!
    Luca

Trackbacks & Pingbacks

I commenti sono chiusi.