7519 Letture

Legge cookie: tra una settimana il "cookiegeddon"

Manca all'incirca una settimana al cosiddetto cookiegeddon italiano.
Tra pochi giorni, tutti i siti web che utilizzano cookie di profilazione e cookie di terze parti, saranno tenuti ad esporre un'informativa breve alla prima visita di ciascun lettore-utente. Il nuovo adempimento riguarda chiunque gestisca un sito: non soltanto le grandi realtà editoriali, ma anche professionisti e coloro che gestiscono un blog in maniera amatoriale.

Tranne le aziende più grandi, sono pochi i siti web che utilizzano in proprio i cosiddetti cookie di profilazione, strumenti utilizzati per individuare in maniera univoca tutte le successive visite provenienti dallo stesso browser e legare, ad esempio, l'esposizione di contenuti pubblicitari alle preferenze ed agli interesse dell'utente (o degli utenti) che stanno utilizzando quello stesso browser.

La maggior parte delle realtà editoriali online, però, usa esporre messaggi pubblicitari gestiti da diversi circuiti di advertising (Google Adsense ne è un esempio) con la precisa finalità di ottenerne il necessario sostentamento economico per proseguire le attività (gratuitamente, senza alcun esborso economico per il lettore), pagare server e connettività, gli eventuali dipendenti e, possibilmente, ottenerne un profitto.
L'advertising aiuta non solo le grandi aziende che si occupano di editoria sul web ma anche i siti meno trafficati, compresi i blog.

Dal prossimo 2 giugno nessun sito web italiano potrà di fatto esporre banner pubblicitari prima di aver acquisito il consenso informato del lettore-utente-visitatore (che può esprimersi chiudendo l'informativa breve, cliccando su un qualunque elemento della pagina sottostante od effettuando un'operazione di scrolling).


È questo il risultato dell'entrata in vigore del provvedimento del Garante Privacy "Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie" (vedere questa pagina per leggerne il testo completo).

Cookie delle terze parti

Nonostante il punto 2) ("Soggetti coinvolti: editori e terze parti") del provvedimento del Garante distingua nettamente la figura dell'editore dalle terze parti, in chiusura dello stesso punto si prescrive che l'editore è comunque tenuto a rilasciare l'informativa ed all'acquisizione del consenso anche riguardo ai cookie delle terze parti.

Ciò significa che chiunque utilizzi circuiti advertising, plugin social (Facebook, Twitter, Google+), strumenti per la gestione dei commenti come Disqus, strumenti di statistica come Google Analytics (a meno che non sia attivata la cosiddetta mascheratura dell'indirizzo IP) è obbligato ad astenersi dalla visualizzazione di tali contenuti (e quindi dal provocare i caricamento di cookie di terze parti sul sistema degli utenti) fintanto che non avrà acquisito il consenso del lettore-utente-visitatore.

A tal proposito, dall'ufficio stampa del Garante ci è stata inviata la seguente conferma:

"Nel rispetto di quanto previsto dalla legge, confermiamo la necessità di acquisire il consenso degli utenti preventivamente rispetto all'installazione dei cookies non tecnici, anche quelli delle c.d. "terze parti". Allo scopo di semplificare tale adempimento, il Garante ha fatto ricorso allo strumento del banner da pubblicare sul sito prima parte, il cui superamento mediante azione positiva dell'utente (chiusura del banner stesso, selezione di un elemento, ecc.) configura prestazione del consenso all'installazione di tutti i cookies. Nell'informativa estesa poi, l'utente che voglia selezionare i cookies da installare, dovrà trovare le specifiche indicazioni relative ai cookies prima parte e i link ai siti delle terze parti contenenti le informative e i form per la raccolta dei consensi predisposti da queste. È importante, lo si ribadisce, che i titolari del sito prima parte si assicurino che tali link ai siti terze parti siano aggiornati e contengano effettivamente quanto richiesto dal provvedimento".

E ciò nonostante le FAQ, pubblicate sullo stesso sito web del Garante, sembrino a tutt'oggi chiarire qualcosa di diverso (vedere il punto 14) in questa pagina). Abbiamo provveduto a farlo presente all'ufficio stampa del Garante nei giorni scorsi.

Dal momento che a far fede è il provvedimento "Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie", diventa pressante l'esigenza di individuare la soluzione tecnica per bloccare i cookie di terze parti alla prima visita dell'utente, prima della concessione del consenso.

Come bloccare temporaneamente i cookie di terze parti

A sette giorni dall'entrata in vigore del provvedimento del Garante Privacy, restano ancora diversi dubbi sulle modalità tecniche per bloccare temporaneamente i cookie delle terze parti (fintanto che l'utente non avrà fornito il suo consenso).

Una delle possibili soluzioni consiste nell'utilizzare le versioni asincrone degli script che consentono la visualizzazione di banner pubblicitari e, attraverso una modifica minima, di posticiparne il caricamento (e quindi l'impianto dei cookie di terza parte) a consenso accordato.

Anche Iubenda, società milanese che fornisce un "kit" a pagamento per mettere in regola i propri siti web (automatizza l'elaborazione e l'aggiornamento della policy sulla privacy), fa chiaramente presente che per bloccare i cookie di terze parti è necessaria una modifica sul codice JavaScript.
Com'è immediato apprendere in questa pagina, nel caso di Adsense, ad esempio, è necessario aggiungere un'apposita classe e "neutralizzare" temporaneamente il codice JavaScript di Google trasformandolo da text/javascript a text/plain.


Ci siamo chiesti, ad esempio, se questo modus operandi sia accettato da Google che ha più volte ribadito come la modifica degli script di Adsense non sia permessa.
In questa pagina Google scrive che non sono ammesse modifiche del codice Adsense "che aumentino in modo artificioso il rendimento degli annunci o danneggino le conversioni degli inserzionisti". Non è questo il caso, certo, ma per scongiurare ogni rischio di ban dal circuito Adsense (o da altri network analoghi) per gli editori, abbiamo provato a contattare sia Google che Iubenda.
Siamo in attesa di risposte ufficiali.

Per il momento Google non ha ancora proferito parola sull'argomento. C'è solamente una dichiarazione di un dipendente Google, Marco Sgnaolin, in questa discussione: "no, soluzioni di questo tipo sono da considerare ad alto rischio di violazione policy. Modificare il codice di AdSense, anche in minima parte, non è ammesso per tutta una serie di ragioni, anche tecniche. Ad esempio può aprire la strada ad altri script che hanno lo scopo di andare a modificare il codice ulteriormente, di nascosto. D'altronde, conosciamo il contenuto della normativa ma non la soluzione ufficiale studiata per un servizio specifico, in questo caso AdSense. Quindi ogni soluzione proposta da aziende o sviluppatori autonomi, non si può considerare al momento accettabile". Ed aggiunge: "State pur certi che tutto verrà comunicato nella vostra homepage di AdSense o nella mail al momento opportuno. Per ora, grazie per l'interesse nell'argomento".
Al momento non abbiamo trovato alcun aggiornamento in merito.

Un'alternativa sarebbe ovviamente il blocco temporaneo di tutti i cookie di terze parti alla prima visita dell'utente ed il reload della pagina a consenso accordato (soluzione particolarmente fastidiosa anche in termini di usabilità).


Una domanda, poi, sorge spontanea. Allo stato attuale, l'editore del sito "A" dovrebbe bloccare il cookie di terze parti "X" eventualmente già accettato dallo stesso lettore sul sito "B" (indipendentemente dal fatto che ciò sia avvenuto su di un sito italiano o straniero). Non dovrebbe forse essere la società cui fa capo "X" a gestire il consenso ed essere invece l'editore di "A" esclusivamente tenuto alla gestione di un'informativa estesa contenente tutti i riferimenti di legge?
Il provvedimento del Garante, al momento, sposta invece gran parte degli obblighi proprio in capo all'editore del sito "A" prevedendo oltretutto sanzioni molto salate (multe da 10.000 a 120.000 euro) nel caso in cui le disposizioni non dovessero essere rispettate.

Fingerprinting

Vale la pena ricordare che le grandi società sono in grado, da tempo, di utilizzare tecniche di fingerprinting capaci di identificare univocamente uno stesso browser web, con buona approssimazione, anche senza usare i cookies (ne abbiamo parlato brevemente, ad esempio, nell'articolo EFF esamina le "impronte" lasciate dai browser web).

Auspichiamo che in questi pochi giorni che ci separano dal cookiegeddon, dall'Ufficio del Garante possa arrivare una soluzione tecnica per venire incontro a tutti quegli editori che, allo stato attuale, risulterebbero enormemente penalizzati dall'entrata in vigore del provvedimento.

Ulteriori approfondimenti

- Legge sui cookie: presentato il kit di implementazione
- Legge sui cookie, tra un mese si parte
- Normativa cookie: come adeguarsi da qui a giugno


Aggiornamento: Google ci ha fornito un primo breve chiarimento: "Siamo consapevoli della situazione per le nuove leggi sul Cookie Consent e stiamo in questi giorni lavorando a soluzioni specifiche per i diversi mercati. Rilasceremo comunicazioni ufficiali non appena avremo soluzioni tecniche pronte all'uso per i nostri publishers e partners".

Aggiornamento: L'ufficio stampa del Garante Privacy ci ha contattato anticipando che nei prossimi giorni, prima della scadenza 2 giugno (vengono esclusi rinvii dell'entrata in vigore del provvedimento), saranno pubblicate delle nuove linee guida ed una serie di chiarimenti sulle criticità emerse nelle ultime settimane.
Al momento non è dato sapere il contenuto della nota che sarà diramata dall'Ufficio del Garante.

  1. Avatar
    Michele Nasi
    01/06/2015 18:38:41
    La normativa, purtroppo, prevede che "(...) ed è, quindi, in tale veste che, come si vedrà più avanti, (gli editori) sono chiamati ad operare nella presente deliberazione, con riferimento al rilascio dell'informativa e all'acquisizione del consenso degli utenti online con riguardo ai cookie delle terze parti". Ho avuto diversi colloqui con l'ufficio del Garante e, come riportato in precedenza, mi hanno confermato in via ufficiale che la normativa prevede il blocco dei cookie delle terze parti. Da parte mia ho fatto notare come l'editore non svolga e non possa svolgere alcun trattamento su tali cookie, anche per motivi prettamente tecnici. Ed ho sottolineato quella che secondo me è un'anomalia: non è possibile, anche a detta di diversi legali, obbligare l'editore a bloccare un cookie che non viene generato dai suoi server, sul quale egli non può intervenire in lettura/scrittura e che spesso, addirittura, non viene nemmeno generato su richiesto di server che non sono solo in Italia ma nemmeno in Europa (tipicamente da server fisicamente posizionati negli Stati Uniti). Il copia è incolla che trovi nell'articolo è un estratto di una mail ricevuta dall'ufficio del Garante: "Nel rispetto di quanto previsto dalla legge, confermiamo la necessità di acquisire il consenso degli utenti preventivamente rispetto all'installazione dei cookies non tecnici, anche quelli delle c.d. "terze parti". Nel nostro caso, ci siamo appena adeguati alla normativa che auspico possa essere rivista proprio nella parte che introduce gravosi ed insostenibili obblighi a carico degli editori. Aggiungo che in colloquio con i responsabili dell'ufficio del Garante, si è addirittura parlato di "mettere i cookie in stand-by" o di "cookies silenti" (per usare le loro espressioni). Ho voluto far presente che non è possibile porre i cookie di terze parti in una sorta di "limbo": o si blocca il codice che li genera o lo si permette. Non ci sono mezze misure. A meno, ovviamente, di coinvolgere le terze parti (affinché mettano a disposizione gli strumenti per provvedere) e di non limitarsi all'ultimo anello della catena.
  2. Avatar
    Lettore anonimo
    01/06/2015 17:23:22
    Qualcuno mi ha detto di non considerare quel famoso KIT (che poi quale kit è un pdf)... che non mi sembra neanche più linkato sul sito del garante, ma quello che fa fede è la normativa dove non si parla di blocco di cookie... poi...
  3. Avatar
    Michele Nasi
    01/06/2015 15:59:26
    È proprio quello che tu chiami "supercazzola" che impone l'obbligo di blocco dei cookie delle terze parti. Cosa confermata dall'ufficio stampa del Garante (leggi il "virgolettato" nell'articolo de IlSoftware.it che hai commentato) e dalla segreteria del Garante per iscritto e per via telefonica. Purtroppo ci stiamo adeguando anche noi con una soluzione simile a quella di Repubblica e Corriere. Semmai, a questo punto, è importante premere affinché il provvedimento venga presto modificato sgravando quello è che davvero l'anello più debole della catena.
  4. Avatar
    Lettore anonimo
    01/06/2015 15:27:46
    Questo è il testo di cui parli: Un ulteriore elemento da considerare, ai fini della corretta definizione della materia in esame, è quello soggettivo. Occorre, cioè, tenere conto del differente soggetto che installa i cookie sul terminale dell'utente, a seconda che si tratti dello stesso gestore del sito che l'utente sta visitando (che può essere sinteticamente indicato come "editore") o di un sito diverso che installa cookie per il tramite del primo (c.d. "terze parti"). Sulla base di quanto emerso dalla consultazione pubblica, si ritiene necessario che tale distinzione tra i due soggetti sopra indicati venga tenuta in debito conto anche al fine di individuare correttamente i rispettivi ruoli e le rispettive responsabilità, con riferimento al rilascio dell'informativa e all'acquisizione del consenso degli utenti online. Vi sono molteplici motivazioni per le quali non risulta possibile porre in capo all'editore l'obbligo di fornire l'informativa e acquisire il consenso all'installazione dei cookie nell'ambito del proprio sito anche per quelli installati dalle "terze parti". In primo luogo, l'editore dovrebbe avere sempre gli strumenti e la capacità economico-giuridica di farsi carico degli adempimenti delle terze parti e dovrebbe quindi anche poter verificare di volta in volta la corrispondenza tra quanto dichiarato dalle terze parti e le finalità da esse realmente perseguite con l'uso dei cookie. Ciò è reso assai arduo dal fatto che l'editore spesso non conosce direttamente tutte le terze parti che installano cookie tramite il proprio sito e, quindi, neppure la logica sottesa ai relativi trattamenti. Inoltre, non di rado tra l'editore e le terze parti si frappongono soggetti che svolgono il ruolo di concessionari, risultando di fatto molto complesso per l'editore il controllo sull'attività di tutti i soggetti coinvolti. I cookie terze parti potrebbero, poi, essere nel tempo modificati dai terzi fornitori e risulterebbe poco funzionale chiedere agli editori di tenere traccia anche di queste modifiche successive. Occorre tenere conto inoltre del fatto che spesso gli editori, che comprendono anche persone fisiche e piccole imprese, sono la parte più "debole" del rapporto. Laddove invece le terze parti sono solitamente grandi società caratterizzate da notevole peso economico, servono normalmente una pluralità di editori e possono essere, rispetto al singolo editore, anche molto numerose. Si ritiene pertanto che, anche in ragione delle motivazioni sopra indicate, non si possa obbligare l'editore ad inserire sull'home page del proprio sito anche il testo delle informative relative ai cookie installati per il suo tramite dalle terze parti. Ciò determinerebbe peraltro una generale mancanza di chiarezza dell'informativa rilasciata dall'editore, rendendo nel contempo estremamente faticosa per l'utente la lettura del documento e quindi la comprensione delle informazioni in esso contenute, con ciò vanificando anche l'intento di semplificazione previsto dall'art. 122 del Codice. Analogamente, per quanto concerne l'acquisizione del consenso per i cookie di profilazione, dovendo necessariamente -per le ragioni suesposte tenere distinte le rispettive posizioni di editori e terze parti, si ritiene che gli editori, con i quali gli utenti instaurano un rapporto diretto tramite l'accesso al relativo sito, assumono necessariamente una duplice veste. Tali soggetti, infatti, da un lato sono titolari del trattamento quanto ai cookie installati direttamente dal proprio sito; dall'altro, non potendo ravvisarsi una contitolarità con le terze parti per i cookie che le stesse installano per il loro tramite, si ritiene corretto considerarli come una sorta di intermediari tecnici tra le stesse e gli utenti. Ed è, quindi, in tale veste che, come si vedrà più avanti, sono chiamati ad operare nella presente deliberazione, con riferimento al rilascio dell'informativa e all'acquisizione del consenso degli utenti online con riguardo ai cookie delle terze parti. Non si parla di Blocchi di Cookie, si dice che gli editori sono la parte debole e non possono sapere a priori cosa fanno le terze parti. Solo nell'ultimo paragrafo con una supercazzola si ributta tutto in caciara, parlando di un acquisizione di consenso. Da quello che ho potuto vedere online ad oggi i siti che fanno un blocco preventivo oltrettutto non completo sono solo La Repubblica e il Corrire...
  5. Avatar
    Michele Nasi
    01/06/2015 14:53:48
    Purtroppo non è così. Leggi il testo del provvedimento (punto 2) e kit di implementazione presentato ad inizio maggio. Ho avuto diversi colloqui sul punto con l'ufficio del Garante.
  6. Avatar
    Lettore anonimo
    01/06/2015 11:40:24
    Grazie Michele, credo di aver trovato la risposta a tutti i dubbi e che dovrebbe metterci al riparo da eventuali modifiche sui cookie di terze parti. Sulle FAQ apparse su sito del garante della privacy leggo: 14. Chi è tenuto a fornire l'informativa e a richiedere il consenso per l'uso dei cookie? Il titolare del sito web che installa cookie di profilazione. Per i cookie di terze parti installati tramite il sito, gli obblighi di informativa e consenso gravano sulle terze parti, ma il titolare del sito, quale intermediario tecnico tra queste e gli utenti, è tenuto a inserire nell'informativa "estesa" i link aggiornati alle informative e ai moduli di consenso delle terze parti stesse. http://www.garanteprivacy.it/web/guest/ ... eb/3585077 credo sia chiaro...dice: "gli obblighi di informativa e consenso gravano sulle terze parti, ma il titolare del sito, quale intermediario tecnico tra queste e gli utenti, è tenuto a inserire nell'informativa "estesa" i link aggiornati alle informative e ai moduli di consenso delle terze parti stesse." Quindi non devono essere bloccati preventivamente, basta l'informativa :popcorn:
  7. Avatar
    Michele Nasi
    30/05/2015 16:17:03
    Citazione: Scusate la mia ignoranza, ma quando si accede in una pagina, scarica tutto anche i cookie, poi ti chiede se li vuoi accettare? Mi sbaglio? :roll:
    Stando a quanto disposto dal Garante, secondo la mia interpretazione e quella di molti altri, questo non può essere fatto (dal 2 giugno prossimo, ovviamente). Va purtroppo osservato un approccio opt-in e non opt-out. Non posso negare che questo tipo di misure causeranno non pochi problemi ad un sito come IlSoftware.it che si autofinanzia con la raccolta pubblicitaria.
Legge cookie: tra una settimana il