Cookie policy: come crearla e verificarla

Cosa è la cookie policy e perchè è diversa dalla privacy policy? Come verificare se la cookie law è implementata correttamente? Devo pubblicare sempre una cookie policy? Sai che perdi dei dati usando Google Analytics in configurazione anonimizzata? Le risposte a queste ed altre domande in questo articolo che è il decimo della serie per le PMI. In fondo alla pagina il video della puntata.

10% di sconto per iubenda

Ti interessa la soluzione iubenda? Premi il pulsante per avere uno sconto del 10% sull’acquisto di generatore di Privacy, generatore di Cookie Policy, Cookie Solution, Internal Privacy Management o Consent Solution.

Chi deve scrivere una cookie policy?

Come ho già fatto per l’articolo sulla privacy policy, anche in questo caso prima di iniziare è opportuno capire se devi scrivere una cookie policy.

E la risposta in questo caso è ancora più semplice. La risposta più breve possibile è che

ogni sito deve avere una cookie policy

Nella realtà dei fatti questa è una semplificzione, ma si avvicina di molto allo scenario reale. Infatti si deve scrivere una cookie policy se il tuo sito utilizza anche un solo cookie tecnico (per sapere cosa sia un cookie puoi leggere questo articolo).

Ed è ormai estremamente raro incontrare siti completamente privi di cookie. Per tale motivo si può dire – con ottima approssimazione – che tutti i siti devono avere una cookie policy.

Due informative: breve ed estesa

La Cookie Law prevede la redazione di due informative. L’informativa breve e l’informativa estesa (comunemente chiamata cookie policy).

L’informativa breve non è nient’altro che il celeberrimo banner che compare al primo accesso di un sito.

l'informativa breve del mio sito. Il cookie banner
Quell’elemento che vedi in basso e che sembra un “pugno nell’occhio” ? è l’informativa breve o cookie banner.

L’informativa estesa è invece il documento che contiene tutte le informazioni sui cookie che vengono depositati sul dispositivo dell’utente.

Dove pubblicare la cookie policy?

La cookie policy è accessibile dal link che si trova nell’informativa breve e dal link che in genere è presente in ogni pagina, nel relativo footer (cioè sul fondo della pagina stessa).

Puoi inoltre decidere di pubblicare la cookie policy come documento a sè, indipendente. Oppure puoi decidere di pubblicarla insieme alla privacy policy, ma in una sezione separata. Qui la scelta è tua. Anche su questo specifico aspetto, puoi approfondire qui.

Cosa implementare?

Se e cosa implementare, dipende dal tipo di cookie che vengono utilizzati dal tuo sito:

  • Non devi implementare nulla se il tuo sito non ha cookie, di nessun tipo. 
  • Devi implementare solo l’informativa estesa (quindi no banner e no informativa breve) se il tuo sito utilizza solo cookie tecnici. Sono i cookie che permettono al tuo sito di funzionare, come ad esempio quelli che gestiscono il carrello di un e-commerce o che permettono ad un utente di non dover inserire la password ad ogni accesso.

    Nel caso tu stia utilizzando un software alternativo a Google Analytics (come Matomo, precedentemente noto come Piwik), installato direttamente sui tuoi server, potresti ricadere comunque in questo caso, ma è un’opzione avanzata e quindi quantomeno ipotizzo che – se non tu direttamente – la tua area IT sappia se lo stai usando e come.
  • In tutti gli altri casi devi implementare entrambe le informative. Se ad esempio sul tuo sito utilizzi Google Analytics nella sua configurazione di base (quindi senza anonimizzazione) allora devi implementare sia il banner che l’informativa estesa.

L’elemento di discontinuità

Il banner, in particolare (quello che deve contenere l’informativa breve) deve essere chiaramente visibile e distinguibile dal resto del sito, deve utilizzare un carattere più evidente rispetto a quello del sito ed un colore di sfondo contrastante (ecco perchè quello sul mio sito è così). Deve essere cioè un elemento di discontinuità rispetto al resto.

È obbligatorio mostrare il banner solo al primo accesso dell’utente; una volta raccolto il consenso di quest’ultimo il banner può essere sempre nascosto.

Nota che il consenso, nel caso della cookie law, si ritiene acquisito quando l’utente effettua una qualunque azione che lo porta a continuare con la navigazione. Ad esempio, lo scroll della pagina, o il click su un pulsante.

Lo scroll non è più valido come consenso

In una dichiarazione del 2014, il garante aveva fatto esplicito riferimento al fatto che l’azione di scroll della pagina fosse interpretabile come espressione del consenso dell’utente (vedi il punto 5 di questa pagina).
Tuttavia, il 4 maggio 2020 lo European Data Protection Board (EDPB) ha pubblicato delle linee guida che chiariscono in maniera inequivocabile che lo scroll non è più interpretabile come consenso.

Rispetto a quanto dico anche nel video quindi, lo scroll non è più un’azione valida come consenso.

Al punto 86 di questo documento (vedi l’immagine qui sotto) si dice infatti che:

azioni come lo scroll di una pagina web non possano più essere considerate azioni chiare e affermative

Il punto 86 delle linee guida di EDPB
Porzione di pagina 19 delle linee guida dell’EDPB – il punto 86 è quello interessante

Il resto del video continua ad essere valido, inclusa la metafora del sito come una stanza e del banner come una porta. Prima delle nuove linee guida, la “maniglia” poteva essere ruotata semplicemente scrollando la pagina. Ora per aprire la maniglia è necessario un’azione più diretta, come il clic sul pulsante

la parte del mio video dove paragono il cookie banner alla porta per entrare in una stanza

Cosa deve contenere la cookie policy?

La cookie policy deve contenere obbligatoriamente alcuni elementi semplici e altri un po’ più complessi. Vediamo quali sono.

1. Elementi semplici

Ogni cookie policy deve contenere la spiegazione generale di cosa siano i cookie e la spiegazione generale di come un utente possa prestare il consenso, questa seconda parte è di fatto quello che già spieghi nell’informativa breve.

2. Elementi complessi

Nell’informativa estesa devono essere presenti anche:

  • La descrizione delle categorie di cookie tecnici, suddivisi per finalità. Non è quindi necessario inserire i nomi dei singoli cookie, come vedo in alcune cookie policy. Anzi, a mio parere questo rende il documento di cookie policy tropo tecnico e può generare confusione.
  • La descrizione dei cookie di profilazione gestiti direttamente dal tuo sito (i cosiddetti cookie di prima parte)
  • La descrizione della finalità dei cookie di terze parti. In aggiunta, per ogni terza che installa un cookie, devi
    • fornire il link all’informativa di quell’azienda
    • fornire il link al modulo di consenso di quel cookie, al fine di poter effettuare il cosiddetto opt-out, cioè l’interruzione dell’acquisizione dei nostri dati da parte di quel cookie

Anonimizzare Google Analytics

È possibile configurare Google Analytics in modalità cosiddetta anonima. Questa configurazione di fatto impedisce a Google di acquisire i dati personali dell’utente, come l’indirizzo IP (sul fatto che i dati di navigazione siano dati personali, puoi leggere qui) e “trasforma” i cookie di Google Analytics da cookie di profilazione a cookie tecnici.

Nel caso in cui Google Analytics fosse l’unico codice di terze parti installato sul tuo sito, potresti pertanto evitare l’informativa breve.

Attenzione però, valuta bene questo aspetto prima di applicarlo. Ecco alcune considerazioni

  • Attivando l’anonimizzazione, rinunci di fatto ad alcune informazioni e in particolare stai accettando di avere una precisione geografica inferiore rispetto alla provenienza dei tuoi utenti. Continuerai a sapere da quale nazione provengono, ma probabilmente non potrai sapere qual è la città di provenienza
  • In alcuni paesi (come ad esempio in Germania) l’anonimizzazione è obbligatoria, pertanto valuta bene in quai paesi stai operando

Cercando online, la quasi totalità dei siti che ho trovato suggeriscono di anonimizzare i cookie di Google Analytics. A me personalmente sembra una visione abbastanza limitata della realtà. Sembra quasi che quello di Google Analyitcs sia l’unico script presente su un sito, ma spesso non è così.

Suggerisco di confrontarsi con un legale per capire qual è l’opzione migliore. Certamente, la versione anonimizzata è quella più sicura da un punto di vista legale.

Come anonimizzare il cookie di Google Analytics da codice

Aggiungo qui una breve guida su come anonimizzare il cookie di Google Analytics che manca nel video.
Lavorando direttamente a livello di codice, è sufficiente individuare la porzione di codice dove viene specificato il TRACKING_ID, qualcosa di simile a questo

gtag('config', 'GA_TRACKING_ID');

ed aggiungere l’attributo anonymyze_ip, nel seguente modo

gtag('config', 'GA_TRACKING_ID', { 'anonymize_ip': true });

Considera che ‘GA_TRACKING_ID’ è un codice univoco che identifica il tuo sito e – inoltre – questa soluzione è valida per Google Analytics – Universal Analytics.
Se stai utilizzando la nuova versione di Google Analytics (GA4) allora l’anonimizzazione è attiva per impostazione predefinita.

Come anonimizzare il cookie di Google Analytics da Google Tag Manager

Se hai configurato Google Analytics tramite Google Tag Manager (seguendo quella che è la procedura che spiego proprio in questa serie), allora il passaggio è ancora più semplice e si descrive completamente con l’immagine qui sotto.

È sufficiente attivare l’opzione “Enable overriding settings in this tag” (“Abilita l’overrie delle impostazioni in questo tag” in italiano) e quindi aggiungere il campo “anonymizeip” con valore “true”, salvare e pubblicare. Tutto qui

Anonimizzazione del cookie di Google Analytics da Google Tag Manager

Il blocco preventivo dei cookie

La cookie law stabilisce che i cookie di profilazione non possano essere attivati fino a che non è stato acquisito il consenso dell’utente. Questa pratica si chiama “blocco preventivo dei cookie” e per la sua implementazione ti rimando ad un apposito articolo e relativo video.

In tantissimi siti che ho analizzato ho trovato e continuo a trovare pagine che rilasciano cookie in assenza del mio consenso. Ne ho trovati talmente tanti che questo è stato uno degli spunti che mi hanno fatto realizzare un’altra serie – da 8 puntate – sullo stato dei siti rispetto a GDPR e Cookie Law in Italia.

Nel video di questa puntata ti mostro in modo pratico, come verificare se sul nostro sito il blocco preventivo dei cookie sia stato implementato in maniera corretta.

Si tratta di una parte operativa che ti mostro direttamente sul mio computer, pertanto evito di dilungarmi troppo qui, perchè è davvero più efficace se lo guardi nel video.

Considera che il video è suddiviso in capitoli, quindi puoi anche saltare direttamente alla parte che ti interessa selezionando il capitolo che ti indico nella figura che segue

Il capitolo del mio video che parla di come verificare se il blocco preventivo dei cookie è stato implementato correttamente

Il video della puntata

Ecco infine il video collegato a questo articolo. Buona visione

Tutte le puntate | Il video successivo