Adeguarsi alla EU Cookies Law

Da maggio 2011 una nuova legge sulla privacy è stata deliberata dal parlamento Europeo in merito all'obbligo per i siti web di richiedere il permesso agli utenti di utilizzare cookies. La legge, denominata ormai EU Cookie Law (legge europea sui cookies), è un ammenda ad alcune precedenti direttive (precisamente del 2002) sui diritti utenti nelle comunicazioni e servizi web, sui dati personali e la protezione della privacy. Qui il testo integrale della legge per la consultazione. L'Italia ha approvato la legge con il decreto legislativo 69/2012 e 70/2012 ed è in vigore dal 1 giugno 2012.

Novità alla legge - Aggiornato Febbraio 2013

L'ICO (l'organo responsabile per l'attuazione della EU Cookie Law) ha recentemente scritto un articolo, in cui dichiara che non è più necessario il consenso esplicito dei cookie nei siti web, come precedentemente dichiarato. Anche se questa modifica non è ancora entrata in vigore e la legge non si può definire annullata, rappresenta de facto la fine della sua importanza per tutti gli addetti ai lavori del web.

Link alla notizia ufficiale: http://www.ico.gov.uk/news/current_topics/changes-to-cookies-on-our-website.aspx

Cosa comporta la legge?

In Italia (come in molti altri paesi europei, escluso il Regno Unito) è arrivata con molta lentezza, un anno dopo, scatenando un po' di ingiustificato panico tra gli sviluppatori e gli utenti finali. Per quanto riguarda i cookie, la giurisdizione italiana passa ufficialmente da un regolamento opt-out che li liberalizzava senza discriminazioni, ad uno opt-in, il quale richiede che l'utente dia necessariamente un consenso espresso, senza il quale i cookie non possono essere attivati, a meno che l'uso di questi non sia necessario alla prestazione del servizio richiesto, come descritto nell'articolo 2 n. 5 della Direttiva. In sè la Direttiva parla "chiaro", quindi: ogni sito web che utilizza cookie, se non necessario a soddisfare una specifica richiesta, deve prima ottenere il permesso dell'utente. Niente panico, le soluzioni ci sono e in questa guida spiegherò attraverso domande e risposte cosa è necessario fare e cosa no nei nostri siti in Joomla.

Prima di avanzare alle domande tecniche direi di fare una precisazione su cosa sono i cookie, dove si trovano nel computer e come si disattivano dal browser.

I cookie sono delle piccole stringhe di testo (non necessariamente file all'interno del computer) inviate da un server a un client (quindi da un sito al visitatore) e successivamente rimandate indietro per la lettura da parte del server. Sono utilizzati in generale per ricordare le preferenze, i dati e le informazioni dei visitatori su quel particolare sito web (autenticazioni automatiche, lingua, grandezza e tipo di testo, località e molto altro), ogni informazione utile alla navigazione (o anche per fini statistici, e qui la legge intende agire) viene salvata, memorizzata e utilizzata ad ogni visita. Ne esistono di vari tipi:

• di sessione (che si eliminano alla chiusura del browser)
• persistenti (che si eliminano dopo un certo periodo fissato)
• first party (che sono soggetti e leggibili al solo dominio che li ha creati)
• third party (che sono creati e soggetti a domini esterni a quello cui stiamo visitando, l'esempio più noto è analytics).

Il vero obbiettivo della legge sono i cookie di terze parti (third party) che, essendo in spaventoso aumento, a livello di privacy e profilazione sono certamente dannosi (ma anche utili direi). Ognuno è libero di scegliere se volerli o no, indipendentemente dalla legge, attraverso le impostazioni del proprio browser. Per fare ciò andate nelle opzioni e cercate le impostazioni privacy per bloccare i cookie a seconda delle vostre preferenze (ogni browser è diverso, ma tutti i principali garantiscono questa possibilità, sono sicuro una semplice ricerca su Google sarà utile per risolvere).

Ora che abbiamo capito di cosa stiamo parlando veniamo alle domande per scoprire chi è interessato dalla legge, in che modo e come Joomla sia pronto a fronteggiarla!

- Quali dovrebbero essere i siti soggetti a questo regolamento?
La risposta più semplice è: tutti i siti che fanno uso di cookie! Nel dettaglio, come spiegato prima, tutti i siti che utilizzano cookie non richiesti da un azione utente per soddisfarla correttamente. Quindi siti che utilizzano cookies di terze parti (social widgets come facebook o twitter, analytics, disqus ecc ecc) o che utilizzano propri cookies per tracking, analisi o affiliati senza una diretta accettazione.

NB: ovviamente è da precisare che la legge è diretta a tutti i siti comunitari, cioè la cui organizzazione/persona cade sotto la giurisdizione europea indipendentemente da dove è situato il proprio server.

- Tutte le versioni di Joomla utilizzano i cookie e sono soggette a questa legge?
A seconda delle funzioni che sono presenti nel nostro sito direi che tutte le versioni di Joomla utilizzano cookie e sono quindi potenzialmente soggette alla legge. Nel caso specifico è bene che ogni proprietario o gestore di sito web nella Comunità Europea si mobiliti per vedere esattamente che cookie crea e utilizza il mio sito (utilizzando ad esempio Firebug con l'estensione Firecookies).

- Anche un sito Joomla che non offre un modulo login è soggetto a questa legge?
Se utilizza strumenti di analisi e marketing sicuramente si. La direttiva nasce proprio per porre un freno a questo tipo di cookie, come analytics, adsense, facebook e molti altri. Il mio suggerimento è valutare caso per caso i cookies che vengono salvati e agire di conseguenza, ne basta anche solo uno in teoria per essere soggetti a questa legge.

- Sul mio sito utilizzo "google analytics", quindi il mio sito deve prevedere l'avviso?
Sì, praticamente tutti i servizi esterni devono essere accettati dal visitatore. Una piccola lista comprende: google analytics, adsense, google plus, facebook widgets (anche il semplice bottone mi piace), twitter widgets (anche il semplice bottone follow), sistema disqus, youtube, vimeo e qualsiasi altro servizio che utilizza cookie e potrebbe tracciare informazioni sull'utente.

- Sul mio sito utilizzo i banner di "google adsense", quindi il mio sito deve prevedere l'avviso?
Come da precedente domanda, la risposta è sì!

- Sul mio sito utilizzo i vari bottoni "social" per la condivisione (G+, Facebook, ecc...) quindi il mio sito deve prevedere l'avviso? E' possibile bloccare i cookies di questi servizi esterni ed attivarli solo dopo il consenso del navigante?
Anche qui, purtroppo, la risposta è di nuovo sì..il sito deve prevedere l'informazione e l'accettazione dei cookies esterni. Si è possibile bloccarli prima del consenso esplicito dell'utente, a tal proposito esistono in internet già molti plugin o semplici parti di codice da aggiungere al proprio sito per soddisfare la direttiva.

- Aprendo un qualunque sito si dovrebbe quindi, prima di iniziare a vedere i contenuti, accettare 6 o 7 popup e finestrelle per accettare i cookies di ogni servizio, sia del dominio in oggetto che di quelli esterni?
Da quel che si vede in internet attualmente non esiste un vero e proprio metodo di fare le cose. Il sito dell'ICO (l'organo governativo del regno unito che regola l'applicazione della legge) ad esempio, inserisce un semplice checkbox di accettazione per tutto il sito e quindi per tutti i cookies. In generale esistono 3 metodi utilizzati per richiedere il consenso all'utilizzo dei cookies:

• Inserire un messaggio (in stile popup lightbox di solito) che informa il visitatore della presenza di cookies e ne richiede l'accettazione di tutti o a scelta. Il messaggio può anche includere un link alla pagina di informazione cookies. In questo caso è possibile avere un unico consenso per tutto il sito, landing page e siti collegati. Sicuramente il più suggerito per le medie e grandi aziende che operano in UE.
• Barra di status che fa apparire sopra tutti i contenuti lo status dell'accettazione dei cookies. Il messaggio viene visualizzato sempre se l'utente non decide o non nega il consenso.
• Messaggio di avviso che informa l'utente al primo accesso della presenza di cookies e suggerisce di visitare la pagina relativa al consenso dei cookies.

Cosa devono fare le Pubbliche Amministrazioni per ottemperare a questa nuova norma?
Il sito non fa differenza tra le categorie, tutti gli interessati (e quindi anche le Pubbliche Amministrazioni) devono effettuare le opportune modifiche ai propri siti per essere a norma di legge.

Fonte: Joomla.it