Ciao a tutti,
il GDPR 2018 è alle porte e iniziano a comparire domande su come adeguare le varie policies per essere in regola con la nuova norma.
Qui di seguito ho raccolto un po' di informazioni dalla norma stessa e da avvocati e consulenti.
Dopo la panoramica espongo come ho adeguato il mio sito internet.
Questa discussione è relativa ai soli cookies.
Ripeto che sono informazioni raccolte personalmente e in rete, le affermazioni che seguono possono essere giuste o sbagliate, c'è ancora parecchia confuzione a riguardo.
Generalità
Le persone fisiche possono essere associate ad identificatori online come indirizzi ip o identificatori di cookie o altri identificatori.
Ciò può lasciare tracce che se utilizzate insieme ad altre informazioni possono identificare l'utente.
Se ciò avviene, si stanno trattando dati personali, quindi bisogna adeguarsi al GDPR 2018.
Come adeguarsi?
1- Informare l'utente in via anticipata dell'impiego dei cookies
2- Informare l'utente delle finalità e modalità dell'impiego dei cookies
3- Informare l'utente circa i termini di cancellazione dei cookies
4- Consentire all'utente di attivare o disattivare i cookies in via anticipata
5- Informare l'utente circa i soggetti a cui eventualmente i dati raccolti sono trasferiti
Tipi di cookies:
6- Funzionali, autenticazione e sicurezza non persistenti, che si cancellano al termine della sessione dell'utente: non è necessaria la richiesta del consenso preventivo del visitatore. E' necessario tuttavia menzionarli all'interno della cookie policy, spiegandone la natura.
7- Cookies persistenti di prima parte: occorre la richiesta del consenso preventivo del visitatore.
8- Cookies analitici (non in forma anonima): raccolgono informazioni sui visitatori, quali indirizzi ip, provenienza geografica, sistema operativo, risoluzione dello schermo, pagine visitate, tempo di permanenza, etc.; è necessaria la richiesta preventiva del consenso dell'utente; solitamente il gestore del sito si appoggia a servizi di statistica esterni. Nella cookie policy occorre menzionarli, spiegandone l'utilizzo, menzionando anche i servizi terzi di statistica, con link alla loro cookie policy. Se presente, è buona regola inserire il link di opt-out per i cookies di terze parti.
9- Cookies utilizzati per finalità di marketing: ricadono in questa categoria anche i cookie analitici che sono utilizzati per finalità di marketing e/o profilazione. Occorre ottennere il consenso preventivo dell'utente.
Inoltre:
10- Occorre che l'utente in qualsiasi momento possa cancellare o accettare i cookie.
11- Occorre che ci sia riferimento alla cookie policy in ogni pagina del sito (ad esempio nel footer).
Cosa non fare:
12- Utilizzare un unico consenso per far accettare tutti i cookies: l'utente deve essere in grado di poter attivare o disattivare i cookies a sua scelta (??Non sono molto convinto..in quanto proprietario del sito potrei far accettare tutti i cookies insieme, o farli cancellare tutti quanti).
13- Il consenso implicito non va bene: il consenso va fornito attraverso una chiara azione del visitatore, come click su caselle di valutazione, o preferenze, o specifiche impostazioni.
Operazioni che il gestore del sito deve compiere:
14- Prevedere un box opt-in, con la possibilità dell'utente di cliccare e scegliere quali cookies attivare o disattivare (??anche questo non mi convince, il gestore potrebbe decidere di far accettare o disattivare tutti i cookies).
15- Prevedere un box opt-out, perchè la scelta dell'utente in qualsiasi momento può cambiare, e deve essere in grado di modificare le sue scelte.
16- Offrire una chiara definizione delle categorie dei cookies utilizzati sul sito, se si tratta di cookies di profilazione è necessario descrivere la logica usata, la finalità e i soggetti eventuali a cui i dati raccolti vengono trasferiti e gli effetti sull'utente.
17- Informare l'utente del periodo di permamenza dei cookies.
18- Informare l'utente dell'utilizzo dei cookies funzionali, per le altre tipologie dare la possibilità all'utente di attivarli o disattivarli.
19- Tenere traccia delle scelte dell'utente: il "click" deve essere memorizzato attraverso dei record, che provino che la scelta è stata raccolta
Come mi sono adeguato?
Premettendo che il mio sito è un sito vetrina aziendale, i cookie che vengono impostati sono:
a) cookie del frontend di joomla: il nome del cookie non cambia, è pari a md5(md5('$chiave-segreta-nel-configuration.php' . 'site'))
b) il cookie plg_system_eprivacy: è il cookie del plugin EU eprivacy, che contiene l'informazione che riguarda se il visitatore ha accettato o meno il consenso
c) il cookie sc_is_visitor_unique relativo al servizio analitico StatCounter, che raccogli i dati dei visitatori in forma non anonima (l'indirizzo ip viene registrato)
d) il cookie NID di google.com, in quanto ho un iframe con google maps
Innanzitutto ho installato l'estensione gratuita EU eprivacy plugin di RicheyWeb:
https://www.richeyweb.com/software/joomla/packages/9-eu-e-privacy-directiveQuesto plugin, se opportunamente configurato permette di informare il visitatore con link alla cookie policy a qualsiasi pagina del sito internet, con un blocco preventivo di tutti i cookies e, se accettati con un click, permette di cancellarli, sempre con un click e, se cancellati, permette di riconsiderarli, sempre con un click, in qualsiasi momento (punti 1, 4, 10, 11, 13, 15).
Per poter avere il blocco preventivo dei cookies di terze parti occorre ad esempio inglobare il codice di tracking o l'iframe della mappa in moduli separati, e assegnarli a un nuovo gruppo utenti, diverso da Public, che viene impostato anche nel plugin.
Nelle impostazioni è inoltre presente l'opzione di log, che registra in una tabella del database indirizzo ip del visitatore e data dell'accettazione della cookie policy (punto 19).
Nel mio specifico caso, purtroppo questo plugin mi ha dato qualche problema, non riusciva a cancellare i cookies impostati dal mio dominio e ho dovuto agire sul codice; il cuore del discorso è che i cookies si cancellano impostando una data precedente alla data attuale ed essendo su un hosting condiviso si deve specificare il dominio per il quale si vogliono cancellare i cookie.
Ad esempio se voglio cancellare il cookie sc_is_visitor_unique impostato dal dominio
www.dominio.com basterà utilizzare il seguente codice:
<?php
setcookie('sc_is_visitor_unique', '', time()-1500,'/', 'www.dominio.com', 0);
?>
Nella cookie policy, che può essere raggiunta da qualsiasi pagina del sito, ho quindi:
a) Definito cosa sono i cookies (punto 2)
b) Quali categorie di cookies esistono (punto 2)
c) Quali delle categorie di cookies il mio sito utilizza, facendo riferimento per i cookie di terze parti ai link delle rispettive cookie policies e se presente riferimento al link di opt-out dei cookies di terze parti (punti 2, 5, 16, 18)
d) Descritto cosa succede se non si accettano i cookies
e) Come disabilitare i cookies per i browser specifici più comuni
f) Descritto quali cookies il mio sito utilizza, con riferimento a nome, tipologia (funzionale, analitico, etc, persitente, non persistente) con relativa durata (punto 17)
Infine, per dare all'utente la possibilità di visionare in ogni momento quali cookies sono impostati sul suo device (cookies di prima parte), mediante il seguente codice, che io ho inserito in uno spoiler nella cookie policy:
<?php
$cookieData = JFactory::getApplication()->input->cookie->getArray();
if ($cookieData) {
$names = implode( ', ', array_keys($cookieData));
$counter = 0;
foreach($cookieData as $value)
{
++$counter;
}
$exploded_names = explode(", ", $names);
for ($i = 0; $i <= ($counter-1); $i++)
{
echo "Nome del cookie: " . $exploded_names[$i] ."<br />";
}
}
else
{
echo "Nessun cookie impostato sul tuo device";
}
?>
PS: ovviamente non è possibile "cancellare" con php i cookies impostati da terze parti, questo deve farlo il visitatore manualmente, per questo nella cookie policy deve esserci il riferimento generale su come cancellare i cookies e a quali cookies far riferimento.
