Cookie e Privacy: come mettere in regola il tuo sito wordpress
Da giugno 2021 il Garante per la Privacy ha meglio spiegato alcuni dettagli circa l’applicazione della legge sulla privacy per quanto riguarda i siti web. Sebbene alcuni punti fondamentali non siano ancora chiari, è stato messo un punto fermo su alcuni aspetti del funzionamento del banner di avviso dei cookies e sulla raccolta di questi ultimi. 6 mesi di tempo per adeguarsi, bisogna effettuare subito le opportune modifiche per evitare pesanti sanzioni (da 6mila euro a salire, fino a cifre astronomiche per siti ed organizzazioni più grandi). Cerchiamo di fare un resoconto e di indicare facilmente le novità e come adeguarsi.
PREMESSA
Ogni sito per funzionare utilizza i cookies, che sono piccoli file contenenti dati, che si suddividono i varie categorie (tecnici, funzionali, ma anche analitici, di profilazione, ecc come descritto su Kaspersky [link]). Qualche esempio per capirci: un sito con più lingue, una volta che avete selezionato la lingua italiana, tiene traccia della vostra scelta grazie ad un cookie funzionale, e ogni volta che visiterete il sito si aprirà la versione italiana. I vari siti di posta (esempio Gmail, Libero) una volta che fate il login con username e password, si “ricordano” di voi le volte successive grazie ad un cookie. Se su un sito di e-commerce (esempio Amazon) mettete un articolo nel carrello, e poi magari chiudete il sito, quando lo riaprirete troverete probabilmente quell’articolo nel carrello perché un cookie ha associato quella scelta al dispositivo che state utilizzando. Anche i siti meno complessi utilizzano dei cookies: non è lo stesso numero e tipologia di quelli utilizzati da un e-commerce o da un sito che mostri pubblicità varie, ma sempre ne utilizza. Anche semplicemente mettere la GoogleMap per mostrare dove si trovi l’attività comporta l’utilizzo di un cookie. Anche un bottone “Mi piace” di Facebook e altri social crea dei cookie. Sono solo pochi e comuni esempi, i cookies sono molti di più, per non parlare che servono per servire pubblicità targetizzate, per le statistiche dei siti, o anche solo per ottimizzare la velocità di caricamento dei siti.
OBBLIGO DI LEGGE
Ogni sito, che utilizza appunto i cookies, da qualche anno a questa parte è obbligato a rispettare una serie di regole:
Pagina con Cookie/Privacy Policy. Contiene l’elenco dei cookies utilizzati dal sito, suddivisi per categorie, e il nome del titolare del trattamento dati del sito. E’ OBBLIGATORIA. Il tuo sito dovrebbe già averla. Eventualmente controllare se siano inseriti tutti i cookies (quando si cambiano o aggiungono servizi allora cambiano anche i cookies)
Banner di avviso cookie e di consenso. Come avrai notato, alla prima visita in ogni sito compare un avviso riguardante i cookie, con un breve disclaimer, il rinvio ad una pagina di spiegazione più ampia e alla Cookie Policy, e l’opportunità di Accettare o meno il consenso. E’ diventato OBBLIGATORIO. Il tuo sito dovrebbe già averlo. Va ora implementato con le novità seguenti (giugno 2021), che potete trovare ad esempio in questi link: garanteprivacy.it, altalex.com
Ora bisogna adeguarsi ai seguenti punti:
1 – Consenso informato. Riguarda il modo in cui è proposto questo banner di consenso, ovvero:
a) Non è più valido mettere la “spunta” di default ai vari box. La stessa cosa per i moduli tipo iscrizione alla newsletter: significa che l’utente deve cliccare volontariamente su – esempio – casella “accetto condizioni del sito”
b) Non è più valido l’accettazione tramite scroll della pagina : se è indicato “proseguendo la navigazione accetti di prestare il consenso… ecc” non va più bene. Quindi l’accettazione può avvenire solo cliccando sull’apposita casellina
c) Cambiare idea. L’utente deve avere la possibilità – oltre che di accettare/non accettare – anche quella di cambiare idea facilmente –>significa che dopo l’accettazione deve rimanere presente un link che possa riaprire la finestra dove vedere quali categorie di cookie ha selezionato e se vuole togliere il consenso a tutte o a parte di queste.
2 – Registro dei consensi. E’ obbligatorio tenere archiviazione (digitale) di ogni consenso prestato da parte degli utenti. Ogni volta che l’utente visualizza il banner e fa la sua scelta (accetta tutti i cookies, non accetta, oppure ne accetta solo una o più categorie) si deve registrare la scelta e conservarla. Questi dati devono contenere: indirizzo IP dell’utente, un codice anonimo identificativo, l’orario della scelta, cosa ha scelto (quali categorie di cookies ha accettato).
MODIFICHE ED IMPLEMENTAZIONI RICHIESTE
Se per i punti del consenso informato si possono effettuare le modifiche “una tantum” modificando il banner di consenso (che dovreste già avere) togliendo le spunte di default, togliendo l’accettazione con scroll ma lasciando solo quella con click, e aggiungendo il mini banner che compare dopo l’accettazione, diverso è il discorso del registro dei consensi: intanto c’è un piccolo vuoto legislativo non chiarito. Non viene specificato se questo registro dei consensi può essere tenuto sul proprio sito (con la funzione di esportazione in caso di controllo) o deve essere su server appositi di questi fornitori (non si parla di marca temporale, ndr). Negli ultimi 8 mesi ho effettuato molti test con almeno una decina di fornitori diversi, scartando quelli che non rispondevano a tutte le caratteristiche richieste da questa nuova normativa. Altra permessa importante: in caso di conservazione presso registri terzi, il costo varia in base al volume di questo registro e/o al numero di sessioni mensili e/o di pagine del sito.
Pubblicheremo a breve una carrellata di test e prove fatte con diversi fornitori di script e plugins per gestire i cookie, con pro e contro, e sopratutto con documentazione dei costi per mantenere il nostro sito in regola e al riparo da multe. Vai alle recensioni su: ,