La legge, denominata ormai EU Cookie Law (legge europea sui cookies), è un ammenda ad alcune precedenti direttive (precisamente del 2002) sui diritti utenti nelle comunicazioni e servizi web, sui dati personali e la protezione della privacy. Qui il testo integrale della legge per la consultazione. L'Italia ha approvato la legge con il decreto legislativo 69/2012 e 70/2012 ed è in vigore dal 1 giugno 2012.

Novità alla legge - Aggiornato Febbraio 2013

L'ICO (l'organo responsabile per l'attuazione della EU Cookie Law) ha recentemente scritto un articolo, in cui dichiara che non è più necessario il consenso esplicito dei cookie nei siti web, come precedentemente dichiarato. Anche se questa modifica non è ancora entrata in vigore e la legge non si può definire annullata, rappresenta de facto la fine della sua importanza per tutti gli addetti ai lavori del web.  Link alla notizia ufficiale: http://www.ico.gov.uk/news/current_topics/changes-to-cookies-on-our-website.aspx

Cosa comporta la legge?

In Italia (come in molti altri paesi europei, escluso il Regno Unito) è arrivata con molta lentezza, un anno dopo, scatenando un po' di ingiustificato panico tra gli sviluppatori e gli utenti finali. Per quanto riguarda i cookie, la giurisdizione italiana passa ufficialmente da un regolamento opt-out che li liberalizzava senza discriminazioni, ad uno opt-in, il quale richiede che l'utente dia necessariamente un consenso espresso, senza il quale i cookie non possono essere attivati, a meno che l'uso di questi non sia necessario alla prestazione del servizio richiesto, come descritto nell'articolo 2 n. 5 della Direttiva. In sè la Direttiva parla "chiaro", quindi: ogni sito web che utilizza cookie, se non necessario a soddisfare una specifica richiesta, deve prima ottenere il permesso dell'utente.

Prima di avanzare alle domande tecniche direi di fare una precisazione su cosa sono i cookie, dove si trovano nel computer e come si disattivano dal browser.

I cookie sono delle piccole stringhe di testo (non necessariamente file all'interno del computer) inviate da un server a un client (quindi da un sito al visitatore) e successivamente rimandate indietro per la lettura da parte del server. Sono utilizzati in generale per ricordare le preferenze, i dati e le informazioni dei visitatori su quel particolare sito web (autenticazioni automatiche, lingua, grandezza e tipo di testo, località e molto altro), ogni informazione utile alla navigazione (o anche per fini statistici, e qui la legge intende agire) viene salvata, memorizzata e utilizzata ad ogni visita. Ne esistono di vari tipi:

• di sessione (che si eliminano alla chiusura del browser)
• persistenti (che si eliminano dopo un certo periodo fissato)
• first party (che sono soggetti e leggibili al solo dominio che li ha creati)
• third party (che sono creati e soggetti a domini esterni a quello cui stiamo visitando, l'esempio più noto è analytics).

Il vero obbiettivo della legge sono i cookie di terze parti (third party) che, essendo in spaventoso aumento, a livello di privacy e profilazione sono certamente dannosi (ma anche utili direi). Ognuno è libero di scegliere se volerli o no, indipendentemente dalla legge, attraverso le impostazioni del proprio browser. Per fare ciò andate nelle opzioni e cercate le impostazioni privacy per bloccare i cookie a seconda delle vostre preferenze (ogni browser è diverso, ma tutti i principali garantiscono questa possibilità, sono sicuro una semplice ricerca su Google sarà utile per risolvere).

- Quali dovrebbero essere i siti soggetti a questo regolamento?

 La risposta più semplice è: tutti i siti che fanno uso di cookie! Nel dettaglio, come spiegato prima, tutti i siti che utilizzano cookie non richiesti da un azione utente per soddisfarla correttamente. Quindi siti che utilizzano cookies di terze parti (social widgets come facebook o twitter, analytics, disqus ecc ecc) o che utilizzano propri cookies per tracking, analisi o affiliati senza una diretta accettazione.

NB: ovviamente è da precisare che la legge è diretta a tutti i siti comunitari, cioè la cui organizzazione/persona cade sotto la giurisdizione europea indipendentemente da dove è situato il proprio server.

- In "Configurazione Globale"  trovo i parametri "Impostazioni Cookie" a cosa servono?, Posso disabilitare l'utilizzo dei Cookie sul mio sito per non dover inserire questi avvisi oggetto della legge?

I parametri di "Impostazioni Cookie" servono a modificare il dominio e l'indirizzo dei cookie, ad esempio quando Joomla è utilizzato in bridge con altri software (forum, ecommerce o altro) o è inserito in un sottodominio (e ad esempio vogliamo che il login nel dominio principale sia valido anche nei sottodomini). Sicuramente risulta difficile (e senza senso) disabilitare l'utilizzo di cookies per una nuova legge, giusta o sbagliata che sia, negli altri casi è possibile utilizzando differenti tecniche come riconoscimento IP, URL query string e molte altre...che in ogni caso non hanno gli stessi vantaggi dei cookies.

- Sul mio sito utilizzo "google analytics", quindi il mio sito deve prevedere l'avviso?

 Sì, praticamente tutti i servizi esterni devono essere accettati dal visitatore. Una piccola lista comprende: google analytics, adsense, google plus, facebook widgets (anche il semplice bottone mi piace), twitter widgets (anche il semplice bottone follow), sistema disqus, youtube, vimeo e qualsiasi altro servizio che utilizza cookie e potrebbe tracciare informazioni sull'utente.

- Sul mio sito utilizzo i banner di "google adsense", quindi il mio sito deve prevedere l'avviso?

Come da precedente domanda, la risposta è sì!

 - Sul mio sito utilizzo i vari bottoni "social" per la condivisione (G , Facebook, ecc...) quindi il mio sito deve prevedere l'avviso? E' possibile bloccare i cookies di questi servizi esterni ed attivarli solo dopo il consenso del navigante?

 Anche qui, purtroppo, la risposta è di nuovo sì..il sito deve prevedere l'informazione e l'accettazione dei cookies esterni. Si è possibile bloccarli prima del consenso esplicito dell'utente, a tal proposito esistono in internet già molti plugin o semplici parti di codice da aggiungere al proprio sito per soddisfare la direttiva.

- Aprendo un qualunque sito si dovrebbe quindi, prima di iniziare a vedere i contenuti, accettare 6 o 7 popup e finestrelle per accettare i cookies di ogni servizio, sia del dominio in oggetto che di quelli esterni?

Da quel che si vede in internet attualmente non esiste un vero e proprio metodo di fare le cose. Il sito dell'ICO (l'organo governativo del regno unito che regola l'applicazione della legge) ad esempio, inserisce un semplice checkbox di accettazione per tutto il sito e quindi per tutti i cookies. In generale esistono 3 metodi utilizzati per richiedere il consenso all'utilizzo dei cookies:

- Inserire un messaggio (in stile popup lightbox di solito) che informa il visitatore della presenza di cookies e ne richiede l'accettazione di tutti o a scelta. Il messaggio può anche includere un link alla pagina di informazione cookies. In questo caso è possibile avere un unico consenso per tutto il sito, landing page e siti collegati. Sicuramente il più suggerito per le medie e grandi aziende che operano in UE.

- Barra di status che fa apparire sopra tutti i contenuti lo status dell'accettazione dei cookies. Il messaggio viene visualizzato sempre se l'utente non decide o non nega il consenso.

- Messaggio di avviso che informa l'utente al primo accesso della presenza di cookies e suggerisce di visitare la pagina relativa al consenso dei cookies.

Cosa succede se non soddisfo i requisiti della legge?

Tutto e niente! E' da precisare che non esiste un metodo che permetta di controllare tutti i siti web, non è nemmeno immaginabile. La maggior parte dei proprietari potrà continuare la sua vita di sempre se non intende soddisfare i requisiti di legge (mi riferisco a blog personali, piccoli siti aziendali e cose così) anche se alla fin fine non è così complicato soddisfarli in quanto gli strumenti sono già disponibili, per tutti gli altri (chi offre servizi ai siti web le grandi aziende e, personalmente, gli sviluppatori di siti) dovrebbero pensare ad applicare le giuste modifiche.

In Italia non si può ancora dire cosa succede a chi non soddisfa la legge, posso segnalare che in UK l'ICO può perseguire a norma di legge con una multa di €500 chi non ha ancora ottemperato alla direttiva.

In conclusione, occorrono nuovi componenti o plugin che sovrintendano a questo controllo?

Per quanto riguarda i siti e portali CRM direi di sì, esistono già una decina di estensioni utili a soddisfare la legge. Per tutti i siti in generale direi che occorrono opportune modifiche per avere un consenso esplicito di ogni utente all'utilizzo di cookies (propri o di altri siti).