WordPress, profilazione dei Cookie a norma di legge.

WordPress, profilazione dei Cookie a norma di legge.

di Pubblicato: 15 aprile 2015 Aggiornato: 15 novembre 2015 24 commenti

Aggiornamento Novembre 2015
Google ha dismesso il plugin cookiechoise in favore di altre soluzioni.

Per chi non lo sapesse a partire dal 2 giugno 2015 ogni sito web che fa utilizzo dei cookie (ovvero il 99,9% dei siti web esistenti) dovrà portare all’attenzione dell’utente, attraverso un messaggio con due link (detto anche informativa breve) dove il primo spiega di cosa si tratta (informativa estesa) e l’altro per accettare l’utilizzo dei cookie stessi. Se non si ottempera alla questione ci sono multe salatissime. Alla pagina dell’Avvocato Nicolò Ghibellini potrete trovare tutte le indicazioni giuridico – tecniche del caso.

La questione è regolamentata dal Garante della Privacy, e le cose sono un po’ più complicate di come possano apparire. Infatti la questione non si dirime con il mettere un avviso e via. Dovremo analizzare quali tipi di Cookie il nostro sito utilizza e spiegare all’utente le finalità e come proteggersi. Questo dovrebbe avvenire solo per i Cookie di profilazione, mentre non è dovuto nulla per i Cookie tecnici e di Analytics a cui però deve fare seguito da qualche parte le indicazioni di legge che l’utente gode per proteggere la sua privacy. In sostanza “per non sapere ne leggere ne scrivere” conviene approfittare e mettere una sezione della privacy che comprenda omnibus tutta la questione.

Attenzione che i Cookie di profilazione di terze parti sono molto diffusi, ad esempio basta mettere uno dei pulsanti social (Facebook, Twitter o Google+) e state già fornendo, indirettamente, questo tipo di servizio al vostro utente. Lo stesso dicasi per i banner di Adsense o qualsivoglia altro servizio di advertising.

In tutto questo Google ci viene in aiuto per la parte tecnica. Infatti ha creato un sito che si chiama cookiechoices e comprende un Javascript comprende delle librerie esterne che ci permetteranno proprio di realizzare quanto descritto sopra. Preciso subito che per i meno esperti è più facile andare alla sezione Plugin di WordPress e cercarne uno, tra i tanti che ve ne sono a disposizione, per risolvere in pochi minuti. Siccome la mia politica sotto WordPress è quella di limitare i plugin poiché questi “costano” in termini di CPU e memoria, con la conseguenza di allungare i tempi di caricamento della pagina, quando è possibile meglio fare tutto in modo più leggero.

Let’s GO.

Quindi partiamo scaricando il pacchetto cookiechoices.zip dal sito predisposto da Google (info non è più disponibile in modo diretto, ma si può ottenere con una rapida ricerca utilizzando proprio il nome file nel motore di ricerca). Scompattiamo il file cookiechoices.js all’interno del nostro tema, se è presente una cartella JS, mettiamolo li assieme ai suoi “colleghi“.

Ora con il nostro editor preferito apriamo il file footer.php, sempre all’interno del nostro tema di WordPress. Prima del file di chiusura </body> infileremo il riferimento al nostro file Javascript e le indicazioni che ora analizzeremo.

<script type='text/javascript' src="<?php bloginfo('template_url'); ?>/js/cookiechoices.js"></script>
<script>
document.addEventListener('DOMContentLoaded', function(event) {
cookieChoices.showCookieConsentBar ('Questo sito si serve dei cookie tecnici e di terze parti per fornire servizi. Utilizzando questo sito acconsenti all\'utilizzo dei cookie.',
'OK', 'Ulteriori Informazioni', '<?php bloginfo('url'); ?>/privacy/');
});
</script>

Come potete vedere qui sopra, la prima riga richiama il file cookiechoices.js che avremo avuto cura di metterlo nella cartella js del nostro tema.
Le righe successive permettono di intervenire su alcuni parametri che riguardando l’informativa breve.
cookieChoices.showCookieConsentDialog di fatto si presenterà come una finestra POP-UP in cui l’utente è obbligato a scegliere una opzione.
cookieChoices.showCookieConsentBar invece si presenta come un messaggio a forma di barra, in alto per default, e permette comunque di navigare all’interno del sito anche senza che l’utente faccia una scelta.

La maggioranza dei siti sta fornendo la scelta attraverso l’utilizzo della barra. Dal punto di vista pratico è migliore poiché l’utente può anche ignorare la questione senza forzarlo a richiedere un’azione. Dal punto di vista giuridico invece è meglio la versione a pop-up poiché obbliga l’utente a scegliere. In linea di massima penso si possa seguire la massa utilizzando la barra.

Aggiornamento
Il primo caso sembra verrà accettato dal Garante, compreso il fatto che si faccia scroll verso il basso o continuando la navigazione, ma ciò vale solo per i cookie tecnici

La successiva parte riguarda il testo all’interno della barra/pop-up, ovvero potete lasciare come ve lo propongo. Infine va indicata la URL relativa alla pagina dell’informativa estesa, che io ho chiamato privacy. Questa pagina, secondo il garante, deve spiegare in modo preciso quali cookie di profilazione il vostro sito vorrebbe depositare sul PC dell’utente finale e come fare a negare tutto o in parte questa pratica.

Se desiderate modificare l’aspetto, i colori eccetera, potrete farlo modificando il file cookiechoices.js. E’ piuttosto evidente la parte CSS e dovrebbe risultarvi semplice agire di conseguenza.

La pagina dell’informativa estesa dovrebbe essere scevra dall’utilizzo di cookie, ovvero se sto visitando la pagina perché non voglio essere profilato, dovrei farlo senza incorrere in tale pratica. In realtà siccome la pagina stessa indicherà anche come cancellarli, di fatto potremo utilizzare anche una pagina di WordPress.

Aggiornamento 2 giugno 2015. Alla fine siamo giunti alla soluzione di presentare una cookiechoise forzata all’utente, ovvero questo deve per forza effettuare una scelta. Mentre per la pagina informativa abbiamo realizzato una pagina HTML statica dove mettere il testo, ed eliminando ogni javascript. Alla fine della pagina un semplice link che rimanda alla Home Page dove comunque dovrà essere effettuata la scelta.

Vedi anche come bloccare in modo preventivo i banner Adsense e mostrarli dopo il consenso.

Ora non ci resta che analizzare i cookie del nostro sito. Per farlo utilizzeremo le funzioni di debug del nostro browser. Per brevità vi riporto come fare in Google Chrome, ma è possibile farlo anche per Firefox e Internet Explorer. Quindi, una volta caricata la pagina in Chrome, faremo tasto destro e “Ispeziona Elemento” quindi nelle TAB in alto la sezione “Resources“. A lato apparirà la voce Cookies, con il sito di riferimento ed eventuali altri siti di terzi parti.

 

Nell’esempio qui sopra si possono vedere i cookie utilizzati da Tosolini.info. Sono solo 4. Mentre poco sotto si vedono altri domini, ad esempio quelli di adsense o wordpress.com. In quel caso sono i cookie di terze parti che devono essere dichiarati nell’informativa estesa.
Si dovrà quindi elencare tutti i cookie, indicandoli per nome, e per ognuno di essi spiegare la sua funzione e indicare la data di scadenza. Vi consiglio di mettere come “Permanente” tutti quelli che non sono “Session” per sicurezza. Vedasi la colonna Expires nell’immagine sopra.

Va da se che spiegare il funzionamento di un cookie non è cosa semplice. Specie se state utilizzando particolari temi grafici o plugin.
Per quelli di terze parti ovviamente non sarà possibile dire cosa fanno; sarà sufficiente elencarli e mettere permanente il tempo di esecuzione.

Si consiglia di attivare una sessione anonima per controllare i propri cookie, poiché come amministratore del sito ne otterrete un numero significativamente maggiore.

Ora non ci resta che realizzare il testo dell’informativa estesa. Ho girato per la rete cercando di capire come hanno fatto gli altri e ho preso ispirazione, oltre che copiato dove la licenza lo rendeva possibile, il testo che potrete trovare (e copiare brutalmente) nella nostra Privacy avendo cura di modificare la parte dei cookie utilizzati. Vi consiglio poi di inserire comunque le parte di utilizzo relativi ai social network, questo perché ad esempio se state utilizzando JetPack di WordPress, potreste abilitare alcuni funzioni che attivano la profilazione dei maggiori social network. Prevenire è meglio che curare…

Infine è consigliato mettere il link alla pagina della privacy in modo che sia visibile da tutte le pagine del sito, ad esempio è possibile utilizzare il Menu di WordPress che trovate sotto Aspetto. Per chi invece è più avvezzo ad utilizzare il codice HTML potrebbe metterlo nel footer.

Ti è stato utile questo articolo?
Considera una piccola donazione: Bitcoin 35CGcJ2NzV9oUHmJwGzBp8QVRoWcaDdCiz oppure Paypal

Non ci sono commenti al momento

sezione commenti aperta al pubblico
  1. laura
    #1 laura 16 aprile, 2015, 21:23

    …e per un sito multilingue come mostrare l’avviso?

    Rispondi a questo commento
    • Walter Tosolini
      Walter Tosolini Autore 16 aprile, 2015, 21:42

      Non sapendo cosa stai utilizzando per il multi lingua, come prima idea direi che va integrato nel tema attraverso la funzione “_e” che permette la traduzione. Ad esempio preso da TwentyFifteen:
      < ?php _e( 'i am new text.', 'twentyfifteen' ); ?>
      Primo step puoi mettere la funzione all’interno del javascript, quindi ognuno per i campi da tradurre, avendo cura di modificare oltre che il testo, default in inglese, il domain con il nome del tema che stai utilizzando. Come secondo step aggiungere nei file di lingua ( i classici .mo e .po che dovresti già avere) la traduzione per “i am new text” in ognuna delle lingue che stai utilizzando.

      Rispondi a questo commento
      • laura
        laura 16 aprile, 2015, 22:07

        Uso ceceppa multilingua…si può fare?

        Rispondi a questo commento
        • Walter Tosolini
          Walter Tosolini Autore 16 aprile, 2015, 22:25

          Non ho mai utilizzato il plugin in questione, ma guardando la pagina su wordpress vedo che comprende anche le traduzioni del tema grafico. Quindi le indicazioni che ti ho dato in precedenza sono valide con la sola differenza dello step 2, ovvero dovrai aggiungere nel file .pot del tuo tema grafico ( di solito sotto la cartella languages; lo apri con un file di testo) i valori relativi alle frasi che andranno ad essere tradotte.
          Guardando dentro il file dovrebbe esserti chiaro come è composto e come poter aggiungere un paio di chiavi in più. Il resto poi lo farà ceceppa plugin.

          Rispondi a questo commento
  2. Roberto
    #2 Roberto 20 maggio, 2015, 11:01

    La normale funzione di registrazione al sito di WordPress si puo` intendere come profilazione? In questo caso se lascio abilitata agli utenti la possibilita` di registrarsi al sito devo pagare le 150 euro?

    Rispondi a questo commento
    • Walter Tosolini
      Walter Tosolini Autore 20 maggio, 2015, 12:45

      In linea teorica no, perché per la profilazione si intende l’atto di monitorare un preciso utente, attraverso il suo riconoscimento univoco, al fine di proporgli/proponendo della pubblicità mirata. Certo la registrazione di un utente al proprio sito, come ad un forum, è un passo verso quella direzione. Però se si utilizza adsense per capirsi, questi non hanno accesso all’anagrafica utenti e non possono collegarli all’analytics, quindi non si verifica la profilazione a cui fa riferimento il Garante. Ad ogni modo andateci con i piedi di piombo come si suol dire, siamo all’inizio e siamo in Italia, non si sa mai dove si va a parare…

      Rispondi a questo commento
  3. Marco
    #3 Marco 20 maggio, 2015, 16:36

    Non credo basti informare il visitatore. I cookie vanno bloccati sino all’accettazione dell’utente. Esempio: questo sito mostra banner adsense prima che io abbia accettato.

    Rispondi a questo commento
    • Walter Tosolini
      Walter Tosolini Autore 20 maggio, 2015, 16:50

      Dalle FAQ del garante:

      6. È necessario il consenso dell’utente per l’installazione dei cookie sul suo terminale?

      Dipende dalle finalità per le quali i cookie vengono usati e, quindi, se sono cookie “tecnici” o di “profilazione”.

      Per l’installazione dei cookie tecnici non è richiesto il consenso degli utenti, mentre è necessario dare l’informativa (art. 13 del Codice privacy). I cookie di profilazione, invece, possono essere installati sul terminale dell’utente soltanto se questo abbia espresso il proprio consenso dopo essere stato informato con modalità semplificate.

      Rispondi a questo commento
  4. Marco
    #4 Marco 20 maggio, 2015, 17:15

    Appunto. Adsense installa cookie di profilazione.

    Rispondi a questo commento
    • Walter Tosolini
      Walter Tosolini Autore 20 maggio, 2015, 17:42

      Eh.. tu stai facendo una affermazione che in realtà è ambigua e il Garante in questo non è chiaro. Se leggiamo cosa è la profilazione, ovvero la facoltà di associare i cookie ad un profilo informatico, manca del primo presupposto. Cioè io non ho modo di sapere come e quando vieni in questo sito, al massimo la analytics mi dirà che ci sono dei visitatori abituali, ma non che si chiamano Marco, Giorgio ecc. Anche Adsense fa la stessa cosa, solo che essendo un servizio di advertising molto diffuso, i loro cookie “ti seguono” su un numero piuttosto elevato di siti disomogenei tra loro. La controprova è che se tu svuoti i cookie del browser, le ricerche mirate che vedevi vanno a farsi benedire. Discorso diverso è quello dei social button, se per G+ potrebbe essere trascurabile dato che ancora non fanno pubblicità, quello di Facebook è una rogna ben maggiore rispetto ad adsense, poiché in quel caso il monitoraggio è associato al profilo, e non ad un cookie.
      Al momento la situazione, come al solito succede con la burocrazia italiana, è un gran casino. Le FAQ del Garante sono contraddittorie, un momento i cookie di terze parti sono profilazione, un altro non lo sono, oppure dipende… il testo di legge sembra mutuato dal pleistocene antico e non vi è nessuna certezza in merito. A livello europeo Adsense non è profilazione.

      Anche io non so esattamente cosa farò. La cosa più sicura è disattivare adsense e i pulsanti social, e forse anche le analytics come quelle di Google, almeno fino a quando non si chiarisce la situazione. Il problema è che quando arriverà il 2 giugno “passato il santo gabbata la festa” ed è altamente probabile che dopo un periodo di inquisizione, o presunta tale, si attivi una sorta di tolleranza, della serie “lo fanno tutti, ci giriamo dall’altra parte” che è persino peggiore, perché di fatto potresti essere inadempiente verso la legge e all’occasione la cosa può nuocere come no.

      Rispondi a questo commento
  5. Marco
    #5 Marco 20 maggio, 2015, 17:46

    Pienamente d’accordo con la tua ultima risposta.

    Rispondi a questo commento
  6. laura
    #6 laura 4 giugno, 2015, 17:51

    che casino ragazzi… sono più confusa che persuasa.
    La linea per i principali dovrebbe essere questa:
    usi analytics? Bene, o attivi l’anonimizzazione dell’ip oppure devi impostare un blocco preventivo (ho scelto l’anonimizzazione)
    usi adsense? Bene, devi bloccare la visualizzazione della pubblicità (cosa che ho fatto grazie ad un plugin)
    usi i pulsanti social? Devi bloccarne la visualizzazione (qui non ho idea come muovermi, voi cosa avete fatto a riguardo?)

    Rispondi a questo commento
    • Walter Tosolini
      Walter Tosolini Autore 4 giugno, 2015, 20:03

      Laura, tutto corretto quello che scrivi. Al momento non ho fatto nulla delle tre, ci sto lavorando. Anche perché comunque la questione è complessa e mi pare che ci siano siti ben più importanti che se ne sono stra-fregati. Ad ogni modo, la chiave di volta è il cookie di consenso. Nel caso di cookiechoise ad esempio si chiama displayCookieConsent con valore y.
      In linea di massima, dove hai piazzato i pulsanti social puoi mettere uno if statement in php del tipo

      
      if (isset($_COOKIE['displayCookieConsent ']) && ( $_COOKIE['displayCookieConsent']  = "y") {
      //mostro i bottoni
      }
      
      
      Rispondi a questo commento
  7. Sonia
    #7 Sonia 12 giugno, 2015, 22:01

    Ciao Walter, grazie ottimo articolo! ho un piccolo problema con il link alla Policy. Uso il tema Tema wordpress twentythirteen ma non mi carica la pagina. Nella tua stringa 5 ho modificato così:

    ‘OK’, ‘Ulteriori Informazioni’, ‘/privacy.html/’);

    ma non lo trova perchè mi crea un percorso così:
    miosito.com/news/privacy.html

    Il mio file privacy.html è sulla dir principale: miosito.com/privacy.html

    Non riesco a risalire di una directory… e non mi accetta il link per esteso: miosito.com/privacy.html

    Puoi aiutarmi?

    grazie Sonia

    Rispondi a questo commento
    • Walter Tosolini
      Walter Tosolini Autore 12 giugno, 2015, 23:08

      Ciao, io ho messo il link per esteso, ‘https://www.tosolini.info/privacy.html’ e mi funziona. Hai messo http:// davanti? il link era tra le virgolette?

      Rispondi a questo commento
    • Walter Tosolini
      Walter Tosolini Autore 12 giugno, 2015, 23:12

      p.s. se la parte sopra l’hai copiata, attenzione perché le virgolette sono aperte e chiuse, tipico di word o wordpad… Usa un editor tipo notepad++ (e gratuito) perché php non accetta quel tipo di virgolette.

      Rispondi a questo commento
      • Sonia
        Sonia 17 giugno, 2015, 10:00

        Grazie Walter questa sera proverò, ma credo di aver provato anche con http davanti. Ti faccio sapere domani

        Rispondi a questo commento
        • Sonia
          Sonia 19 giugno, 2015, 09:59

          Ho risolto Walter grazie! era un problema di percorso del link 🙂
          Nel preparare la pagina dell’informativa estesa però, mi sono resa conto che dovrei capire che tipo di cookie utilizza il mio sito wordpress 🙁 come faccio a vederlo? c’è un sistema per farlo? non ho proprio idea di come fare
          grazie per le info
          Sonia

          Rispondi a questo commento
          • Walter Tosolini
            Walter Tosolini Autore 19 giugno, 2015, 13:57

            Se leggi l’articolo è descritto come fare, ovvero con la modalità debug del tuo browser. Ricordati solo di farlo in modalità anonima (chrome e firefox) perché da admin ti prendi una marea di cookies che gli utenti normali non avranno mai.

            Rispondi a questo commento
  8. Lino
    #8 Lino 5 novembre, 2016, 20:13

    Ciao Walter, vorrei fare una domanda… ho avuto un sito sempre in manutenzione e caricavo i miei progetti….un giorno mi sono deciso e ho messo online, il sito è fatto in wp e aveva i classici pulsanti dei social network e il jet pack ….a distanza di un giorno precisamente 33 ore (170 visite ricevute), mi sono accorto di questa normativa cookie..al chè (per la paura) ho messo offline il sito e cancellato dal server il tutto…..posso stare tranquillo? erano solo progetti e niente di pericoloso. Grazie Walter spero che mi aiuterai

    Rispondi a questo commento
    • Walter Tosolini
      Walter Tosolini Autore 5 novembre, 2016, 21:50

      Sicuramente puoi stare tranquillo. Non mi risulta che da quando è entrata la norma qualcuno abbia avuto conseguenze per questo, tra l’altro ci sono siti parecchio noti e grandi che la violano allegramente. Se vuoi rimettere il sito e stare sicuro basta mettere il classico banner di avviso e con WP oramai è strapieno di plugin che fanno questo lavoro.

      Rispondi a questo commento
      • Lino
        Lino 6 novembre, 2016, 17:32

        Grazie per la risposta celere Walter…i visitatori sono anche da social…mi spiego, ho messo il link del sito su un gruppo di fb e su instagram e poi mi sono accorto di questa storia della normativa e quindi cancellato il tutto dal server……e comunque come cookie ho trovato sul mio browser Firefox solo wp-settings e wp-settings-time…..scusami se ti ho raccontato un po’ la storia ma credimi…un po’ di paura sta..quindi posso stare tranquillo al 101%?

        Rispondi a questo commento

Rispondi