La mia Cookie Law: interventi tecnici su siti professionali e blog amatoriali

Nelle grigie giornate d'inverno ho spesso pensato che Giugno potesse essere un buon periodo per azzardare anche una settimana di ferie: direttori artistici in attesa alle prese con location per le loro campagne online e offline, aziende di moda impegnate nei campionari, e-commerce sonnecchianti in attesa delle scorpacciate nei saldi di Luglio. "Giugno è perfetto", pensavo i primi di Gennaio, guardando il calendario: ecco perché non ci ho pensato due volte a fare un "ponte lungo" nella mia ormai amata Sicilia in occasione del 2 giugno 2015.

Peccato che in quei giorni più che dal mare sono stato sballottato dagli ondeggiamenti della EU Cookie Law. Ho passato più tempo online a prendere informazioni e ad aggiornare siti piuttosto che sulla spiaggia di Lido di Noto. Tralasciamo poi i carteggi e le telefonate con l'avvocato, che ho trattenuto in ufficio a Bologna quasi esclusivamente per aiutarmi.

Premetto: per natura mi sta altamente sulle scatole non aver compreso a fondo i cambiamenti che questa legge avrebbe portato con sè. Nell'ultimo anno mi sono limitato a esporre i banner informativi sui "miei" e-commerce, tenendoli anche un po' nascosti. Ma se il web è letteralmente esploso negli ultimi giorni di maggio (qualcuno ha parlato di un Armageddon) non devo essere stato l'unico ad aver avuto dubbi e difficoltà, visto che hanno tribolato campioni digitali più campioni di me e tecnici con esperienza pluriennale. Insomma, il mea-culpa collettivo espresso da Riccardo Luna sulle pagine di "Repubblica" (4/6/2015) è stato molto indicativo sul sentiment generale al riguardo.

Quando però ho iniziato a prendere coscienza della situazione, per una settimana non ho fatto altro che leggere articoli in rete, confrontarmi con l'avvocato e scrivere codice, interpretando prima la legge in senso restrittivo e allargando sempre di più la cinghia nei giorni seguenti. Mi sono sentito di fare così per tutelare la mia azienda e i miei clienti di fronte alle contraddizioni di un linguaggio legale che non sono abituato a leggere tutti i giorni.

Mi sono trovato ad intervenire su due "mondi" diversi, uno più professionale, l'altro di puro diletto ma non meno significativo per chi ci dedica molto tempo:

1) Siti, portali ed e-commerce sviluppati dalla mia azienda, applicazioni internet spesso complesse che non poggiano su sistemi come Wordpress o Magento ma nascono in HTML5 con Bootstrap e jQuery, arricchite a loro volta con linguaggi Microsoft come VB NET, C++, MVC o ASP;
2) Il blog KeVitaFareLaMamma, che mia moglie gestisce insieme ad altre due mamme agguerrite e piene di entusiasmo, passatempo di tutto rispetto che vanta un buon seguito di follower. Il blog purtroppo poggia su piattaforma Blogger, dico purtroppo perché so che Wordpress ha messo a disposizione dei suoi utenti strumenti migliori e più semplici per adeguarsi alla legge.

In nessuno dei casi c'erano cookie di profilazione di prima o terza parte, niente Adsense, Adwords o roba del genere, ma Analytics a manciate (il vero pomo della discordia) e un bel po' di servizi sviluppati con API di Facebook e Google. Insomma, mi sono dovuto sporcare le mani e tornare a fare il mio mestiere ;)

Perché una cosa la voglio premettere: chi pensa che sul sito basti mettere un banner che si chiude con il "tastone" OK e si collega ad una Privacy Policy scopiazzata da altri siti forse ha letto i documenti del Garante in modo superficiale o addirittura non li ha letti proprio. Come riportato nel Cookie Kit tecnico, redatto fra gli altri da NetComm e discusso con il Garante stesso, si evince che:

- Se ci sono cookie di profilazione e di terze parti (non tecnici) è necessario mettere mano al sorgente del sito, in assenza di opportune soluzioni messe a disposizione dal Wordpress o Magento della situazione. Nel caso della profilazione di prima parte addirittura questo non basta, ci vuole pure la notifica al Garante con tanto di pagamento di una sorta di web-tax di 150 euro (scandalo autentico secondo me);
- Se ci sono solo cookie tecnici o il sito non presenta cookie, il banner non serve. Solo nel caso di cookie tecnici occorre farne menzione nell'informativa estesa, ovvero il documento sulla privacy che dovrebbe essere standard (questo sì) su qualsiasi sito web.

Insomma, il Garante sarà stato criptico e contraddittorio su tanti aspetti, ma qui mi pare molto chiaro: individuate i vostri cookie, dichiarateli, capite se dovete mettere il banner e/o comunicarmi qualcosa, con tanto di bonifico.


Diciamola tutta, per molti gestori di siti web (siti web sottolineo, mica solo blog personali) il problema è a monte, ovvero capire se il proprio sito rilascia cookie: esistono molte estensioni di browser che lo mostrano in tempo reale, come ad esempio il Cookie Manager Plus di Mozilla Firefox. Si possono trovare altre soluzioni simili facendo opportune ricerche su Google. Io semplicemente ho effettuato il check ai siti di mio interesse con Google Chrome, attraverso la seguente procedura: apertura sito > F12 o Tasto Destro sulla Pagina / Ispeziona elemento > Risorse > Cookies. Questo video-tutorial spiega benissimo come fare. In pratica è possibile vedere in tempo reale quali cookie vengono rilasciati dal nostro sito, con un'ottima probabilità di individuare fin da subito le eventuali terze parti da indicare nell'informativa estesa.

I cookie di profilazione e terze parti vanno attivati solo dopo che l'utente ha espresso il proprio consenso, facendo OK sul tasto del banner, continuando la navigazione oppure scrollando la pagina: queste azioni svolte dall'utente dovrebbero scatenare un evento che solo a quel punto fa rilasciare cookie. La risposta alla domanda che potrebbe venire in testa a molti a questo punto è: SI, in assenza di strumenti idonei, serve un intervento di programmazione che non si limiti a rendere il banner invisibile ma a bloccare/sbloccare gli elementi che possono generare cookie.

Ecco allora, nel dettaglio, gli interventi tecnici che ho svolto:

SITI, E-COMMERCE e PORTALI WEB

Come detto sopra, inizialmente sono stato restrittivo al massimo: ho messo sotto una condizione if else lo script di Analytics, i video di Youtube, le mappe di Google e anche il login con Facebook, abilitando questi elementi solo dopo aver controllato che il cookie DisplayCookieConsent (cookie che a sua volta controlla il consenso, questo sì consentito dal Garante) avesse come valore "y". Cercando le varie soluzioni in rete, ho adottato Cookiechoices di Google, ottima per evitare lo sbattimento di progettare un banner standard, ma che non fa alcun blocco preventivo.
In pratica ho aperto Chrome, ho individuato i tipi di cookie sui siti di mio interesse, ho bloccato quelli di terze parti (ripeto, di profilazione di prima parte non ne avevo) e li ho catalogati tutti nell'informativa. Passata la frenesia dei giorni a cavallo del 2 giugno, nelle settimane successive sono giunto ad uno standard più o meno definitivo: ho inserito un banner tipo lightbox in tutte le pagine (almeno l'utente può cliccare su "Chiudi" e creare quella "discontinuità sui contenuti" indicata dal Garante nel provvedimento dell' 8/5/2014) e ho fatto un lavoro più mirato sui cookie analitici.
Per Google Analytics infatti non ho vincolato lo script all'accettazione del consenso, ma l'ho reso anonimo tramite la funzione di mascheramento IP suggerita da Google. Ho visto che questa soluzione è stata adottata dai principali portali italiani.
Per evitare la notifica al Garante e il pagamento di 150 euro per tutti i domini miei e dei miei clienti, mi sono inoltre assicurato che fosse tolta la spunta su ogni collegamento ad altri prodotti e servizi di Google dal pannello di Analytics, come spiegato in questo articolo.
A mio avviso si tratta del punto più oscuro di tutta la legge, certamente non chiarito dai chiarimenti del Garante usciti in data 5/6/2015 (si veda il punto 2). In sostanza, pare che le impostazioni di default di Analytics non siano sufficienti a fare considerare i cookie analitici come semplici cookie tecnici, ma servono anche qui un intervento sul codice (mascheramento IP) e uno sul pannello di controllo di Analytics, per il quale è necessario assicurarsi di non fare condividere a Google i dati di tracciamento del sito con ulteriori terze parti. Mi fido dell'interpretazione del sempre bravo avv. Ernesto Belisario, che in questo bel pezzo su "Che Futuro" ricorda che "[...] all’interno delle condizioni di servizio di Google Analytics è contenuto l’espresso impegno di Google a non incrociare i dati con altre informazioni di cui dispone."
Per quanto riguarda altre componenti di terze parti, ho tolto il blocco ai video di Youtube , modificando però la modalità di inclusione nelle pagine web. Ho utilizzato cioè la modalità di "Privacy Avanzata": in sostanza l'embed non deve più contenere riferimenti a youtube.com, ma a youtube-nocookie.com. In questo modo i cookie sono rilasciati solo al click sul play del video (cioè dopo intervento attivo dell'utente, in conformità con la "EU Cookie Law") e Youtube non rilascia cookie di profilazione.
Ho mantenuto invece bloccati le login con Facebook e gli script che si collegano alle API di Google Maps, anche se i riferimenti assoluti al CDN di Google, richiamati nella pagina attraverso script del tipo googleapis.com (maps. / ajax. /fonts.) non dovrebbero rilasciare cookie. Le librerie jQuery e collezioni di font dovrebbero essere in salvo, dunque: consiglio tuttavia di riportare sempre nelle directory del proprio sito i vari caratteri e file javascript piuttosto che lasciare i riferimenti assoluti a siti di terze parti. Non si sa mai.
Tutto qui: tante modifiche, su tanti siti, fatte in più volte, ma certamente non un lavoro complicato a livello di stesura codice. Se avessi pianificato tutto nei mesi scorsi, sarebbe stato molto più semplice, al netto delle contraddizioni normative e dei chiarimenti che mettono più confusione che mai.

BLOGGER

Difficile lavorare su Blogger? Noioso e poco stimolante, semmai. Su un blog come KeVitaFareLaMamma sono partito dall'eliminazione dei widget di terze parti che potevano essere sostituiti in modo indolore da soluzioni similari: niente più AddThis o ShareThis ad esempio, ma semplici bottoni di sharing. Per il resto, tutti gli altri elementi di terze parti (widget di Facebook e Twitter, badge vari, ecc) sono stati attivati solo dopo il consenso dell'utente.
Non volendomi addentrare nel linguaggio di programmazione di Blogger (per carità!), ho gestito tutto tramite Javascript e jQuery: in sostanza al click su "Chiudi" vado a controllare la presenza del famoso cookie DisplayCookieConsent e attraverso il metodo .innerHTML di Javascript o .html() di Jquery metto a video i widget vari. Poco elegante forse, ma certamente funzionale: tranne qualche cookie di Blogger che proprio non riesco a debellare (commenti? piattaforma stessa di Blogger? Se qualche tecnico dell'ufficio del Garante mi fa vedere come si fa ne sarei felice...) il blog da F12 di Chrome risulta quasi pulito. Per vedere tecnicamente cosa ho fatto, basta un "visualizza sorgente" sul blog, essendo javascript e jQuery linguaggi clientside.
Altri accorgimenti, per cui sto adeguando pian piano anche questo blog: embed di Youtube in modalità privacy avanzata e occhio agli incorporamenti di Twitter e Storify: siccome sarebbe un problema bloccare questi elementi ogni volta, ho tolto le inclusioni e inserito al loro posto link o banner.
Insomma, se si vuole essere a norma su blog semplici come quelli di cui sto parlando ci dovranno essere più contenuti bloccati e/o meno widget, perché questi ultimi, se non bloccati prima del consenso, possono installare cookie anche di profilazione sul browser dell'utente: o si controllano e si catalogano nell'informativa estesa, o si tolgono e si sostituiscono con banner linkabili, come fatto ad esempio con il badge a Google Friend Connect.
NOTA BENE: kevitafarelamamma.it, come websulcampo.it, sono domini registrati e intestati a persone fisiche. Non so onestamente, per i blog amatoriali del tipo pippo.blogspot.com o pluto.wordpress.com se la "Cookie Law" vale al 100% o ricade (come mi sembrerebbe logico) sui proprietari del dominio di primo livello. Per chi è in queste condizioni, consiglio di googlare o chiedere ai bravissimi Bellisario e Scorza attraverso il sito easycookie.it o i loro profili sui social. Se avete un amico avvocato, tanto meglio ;)

LA MIA COOKIE LAW

Ecco cosa è stata la mia cookie law: mi ha fregato il primo ponte d'Estate, l'ho portata con me da Nord a Sud, mi ha fatto sentire l'avvocato un milione di volte, con conseguente incidenza sui costi aziendali del mese di Giugno. Forse ci sarà ancora qualcosa da modificare, ma in questo modo dovrei essere almeno sulla strada giusta. Un legale ancora più pignolo del mio potrebbe contestare alcune interpretazioni, un programmatore migliore di me dirmi che sono stato poco elegante (è vero), un blogger di successo dirmi che dovrei fare l'uomo di casa e imporre a mia moglie e compagnia bella di abbandonare Blogger.
E a chi mi dice che è tutto troppo tecnico, troppo difficile? 
Sarò impopolare, ma sposo in pieno quanto espresso da Giovanni Scrofani in questo pungente articolo: bene che ognuno sul web possa esprimere un'opinione (anche gli imbecilli citati da Eco, si dai, a patto che ne rispondano nelle sedi opportune), avere un blog, aprire la mente al proprio uditorio con contenuti sempre nuovi, a patto però che si conosca bene la macchina che si sta guidando.
Anche il gestore di un sito amatoriale ha il dovere di sapere dove fermarsi nell'aspetto tecnico e nella grafica, perchè abbellire le pagine con widget e bottoni di terze parti spesso significa che quelle terze parti possono tracciare i comportamenti dei nostri lettori: "quando il prodotto è gratis, il prodotto sei tu", ricorda bene Rudy Bandiera in questo post.
Se non si hanno le competenze per farlo, per individuare i problemi, per cercare su Google le soluzioni adeguate o non si può pagare un programmatore per piccoli interventi, non vedo perché si dovrebbe avere la pretesa di guadagnare ad esempio con la pubblicità buttata lì sul proprio blog. Non è sostenibile per me un business basato su un mondo in cui si è "incompetenti": se si vuole esprimere un'opinione, e vivaiddio che un mezzo democratico come il web lo consente, si può farlo benissimo con un blog più semplice e pulito. 
Non amo la Cookie Law, mi ha fatto incazzare e se potessi parlare con il Garante anch'io avrei tante cose da dirgli. Tuttavia sono convinto che un aspetto positivo in tutto questo ci sia: un web più regolato alla lunga aiuterà tutti a trovare la propria dimensione. Un piano editoriale e un piano di business in fondo sono due cose diverse, così come saper scrivere il codice in un mondo in cui le competenze dei bravi programmatori sembravano oscurati da widget pronti all'uso, drag and drop e prodotti cotti e mangiati.

MB





<<
>>
>>
<<
buzzoole code