Il mese di maggio ha portato parecchi pensieri ai professionisti del web, per via dell'attesa dell'
entrata in regime della normativa sui Cookie prevista per il due giugno scorso.
Me compreso. Sono stato costretto a perdere parecchio tempo per cercare di capire al meglio cosa prevedesse la normativa, e decidere come interpretare tutte le parti fumose. Per questo motivo ho creato questa raccolta di risorse, di pareri e discussioni, a mio beneficio ed anche per tutti gli altri professionisti che hanno contribuito aiutandomi a capire cosa fare.
Non entro nello specifico di cosa si debba fare, anche perché, almeno per adesso, nessuno ha le idee totalmente chiare su come gestire tutti i casi. Quindi è meglio che ognuno si faccia la sua opinione leggendo le risorse che ho allegato.
Il 21 maggio ho inviato una mail al Garante della Privacy chiedendo delucidazioni su una serie di casi reali, ma
a tutt'oggi non ho ancora ricevuto risposta.
Il campione di siti utilizzato
A seguito di questo, mi sono chiesto quali potesse essere lo stato dei siti aziendali italiani rispetto questa normativa, che ricordo presenta multe salate per gli inadempienti. Per questo motivo il
2 giugno ho deciso di scaricare 500 mila homepage di siti di aziende italiane, appartenente al nostro database di aziende (di cui ho parlato in
Ricerca sulle aziende turistiche italiane), per cercare di capire quanti si fossero messi in regola e quanti fossero inadempienti.
N.B.: tutti i dati discussi di seguito ed i rispettivi grafici saranno presenti in un file excel, scaricabile liberamente a fine post.
Tramite uno strumenti realizzato internamente, ho scaricato ed analizzato
537.216 homepage di siti di aziende italiane. Di queste 33.438 risultavano non raggiungibili per errori di vario tipo. Ulteriori 2.803 sono state esclusi, in quanto sono risultati domini parcheggiati e quindi non più attivi.
Applicabilità della Cookie Law
Ne sono rimasti quindi 500.975 su cui ho concentrato l'analisi dei dati scaricati.
Non tutti i siti devono ottemperare alla Cookie Law, chi ha un sito semplice, che non faccia profilazione di utenti e non utilizzi servizi di terze parti non deve fare nulla. Ovviamente è difficile capire con una ispezione manuale se un sito faccia profilazione, figuriamoci con una procedura automatica. Per questo mi sono concentrato a cercare l'utilizzo di servizi di terze parti. Ed ho cercato nell'html i codici di quelli più famosi, ovvero:
- Google Analytics
- Plugin di Facebook
- Plugin di Google
- Plugin di Twitter
- Plugin di Pinterest
- Plugin di Linkedin
- Utilizzo di Google Fonts
- Utilizzo di servizi di Paypal
- Plugin di ShinyStats (grazie a +Andrea Pernici per l'idea)
Ho trovato il loro codice in 293.285 homepage.
Se andiamo a guardare i siti in cui è applicabile la Cookie Law vediamo che l'68.97% usa Google Analytics, il 32.09 usa Google Fonts, mentre in quantità decisamente minore vengono usati i plugin di ShinyStats (16,61%),Facebook (13,02%), Google (8,12%), Twitter (5,52%), Linkedin (0,78%), Pinterest (0,75%). Infine il 4,61% usa Paypal.
Di questi trovo molto interessante un dato, quello di Google Analytics.
Praticamente il 60% dei siti analizzati non usa Google Analytics, che è il sistema di analitica maggiormente usato al mondo. Non dico che tutto quel 60% non faccia verifiche di traffico sul sito, ma penso che la percentuale vera non si discosti molto. Se aggiungiamo Shinystats, molto usato dai siti italiani poco complessi,
arriviamo a sfiorare il 50% (6.636 siti usano sia Google Analytics che ShinyStats, quindi i due numeri di utilizzo non possono essere completamente sommati).
In ogni caso la maggioranza dei siti delle aziende italiane non è monitorato nel traffico che ottiene. Aggiungiamo che penso che anche di quelli che hanno Google Analytics o ShinyStats,
una buona parte non abbia mai fatto accesso alla Dashboard per controllare i numeri.
Implementazione della Cookie Law
Con lo stesso procedimento per le terze parti sono andato a cercare nelle pagine, tracce di uso degli script più usati per la gestione dei banner con le informative brevi. Qui la ricerca è decisamente più complicata. Perché in prima istanza sono andato a cercare la parola cookie nell'HTML. Però la sua presenza non è indicativa dell'applicazione della Cookie Law. I cookie possono essere usati anche per altri scopi. E quindi siamo andati più nello specifico, cercando la parola anche nel testo, il numero di occorrenze, la presenza di chiavi identificative di script che servono per la gestione della Cookie Law.
E quindi su
120.486 siti che presentavano la parola cookie, abbiamo la certezza che
68.007 implementino la Cookie Law. Per distinguere i rimanenti, sarebbe necessaria una ispezione manuale di ogni sito per capire cosa sia stato fatto, cosa ovviamente impossibile, visto il numero del campione in esame. Tutto il rimanente campione non implementa nulla. Anche in questo dato c'è un margine di incertezza, potrebbe essere state fatte implementazioni usando nomi di variabili, script e quant'altro senza usare la parola cookie. C'è da dire è che comunque durante l'analisi ne abbiamo esaminati manualmente parecchi ed abbiamo trovato un solo caso che implementasse la Cookie Law senza usare la parola cookie all'interno dell'html. Usando quella chiave di ricerca poi abbiamo trovato pochi casi applicabili.
Proviamo a incrociare questi dati con quelli dell'applicabilità della Cookie Law.
Cosa ci dice questa torta? Il 38.9% secondo i nostri dati non deve applicare la Cookie Law e giustamente non la applica.
Il 37% dovrebbe applicarla, ma non la applica (e quindi è passibile di multa). Il 11,06% la deve applicare e la applica. Mentre abbiamo un 8.54% di cui non abbiamo la certezza che l'abbia implementata. Infine abbiamo fra quelli che non dovrebbero applicarla un 2.54% di un applicazione incerta ed un 1,93% di applicazione sicura. Le ultime due voci sul grafico non sono visibili in quanto cubano un infinitesimo 0,03%.
Cosa possiamo dedurre da questi dati? Abbiamo da un 1,93 ad un 1,93 + 2,54 (certi + incerti) di implementazioni quando non ne avremmo dovute avere. Che si vanno ad aggiungere al 11,06 + 8,54 (certi + incerti), che invece lo dovrebbero avere. Il che vuole dire che
abbiamo un apprezzabile margine di errore nel rilevare la applicabilità. Non grande, ma apprezzabile.
Questo può essere dovuto a molteplici fattori:
- Il fatto che abbiamo analizzato solo la homepage. In non pochi casi sono ancora presenti doorways, con presentazioni, o peggio animazioni e basta, senza l'uso di quei servizi di terze parti che abbiamo cercato. Ma anche il servizi di terze parti potrebbero essere presenti nelle pagine interne o in homepage.
- Possono essere presenti servizi di terzi parti da quelli analizzati
- Vista la confusione della normativa, molti potrebbero averla implementata, per paura delle multe, anche se non applicabile nel loro caso.
Abbiamo un 37% dei siti, che sono fuorilegge e quindi passibili di multe. Stiamo parlando di circa 185 mila siti. Questo numero potrebbe essere incrementato per l'errore di cui abbiamo appena parlato, oppure diminuito per l'uso di implementazioni diverse da quelle cercate. Ad esempio implementazioni totalmente custom. Sono propenso a pensare che l'errore in positivo sia decisamente superiore a quello in negativo. E quindi questo 34% possa essere tranquillamente incrementato aggiungendo un 5/10%.
Soluzioni di Implementazione
Andiamo ora a vedere un secondo il dettaglio di quei 68.007 che hanno implementato la gestione della Cookie Law.
Le soluzioni usate sono:
- CookieChoice (11.885): soluzione proposta da Google
- CookieNotice (6.703): plugin Wordpress
- CookieLawInfo (4.504): plugin wordpress
- PagineGialle (2.498): soluzione proprietaria per i siti creati da Pagine Gialle
- CookieSolutionIubenda (1.951): la soluzione proposta da Iubenda
- CookieScript (1.691): soluzione javascript con supporto di statistiche (sia gratis che a pagamento)
- CookieDirective (1.115): soluzione realizzata in javascript
- CookieCompliance (898): plugin Drupal
- CookiePolicy (555): sembrerebbe una soluzione proprietaria che usa questo script http://nc.admin.abc.sm/scripts/cookies_policy/2012-it-cookies-policy.js. Il dominio è di Titanka spa, ed i siti analizzati presentano quasi tutti i credits di Titanka
- ItalyCookieChoice (517): è il plugin realizzato da +Enea Overclokk, con il contributo di +Andrea Pernici e +Andrea Cardinale per Wordpress. Realizzato pochi giorni prima dell'entrata in vigore della normativa, è stato adottato da oltre 500 siti di aziende italiane e nel momento in cui scrivo è stato adottato da oltre 10 mila siti in tutto il mondo.
- CookieGuard (398): soluzione basata su Jquery
- CookieCuttr (334): soluzione basata su Jquery usata da parecchi siti con Joomla
- CookieAssistant (91): soluzione cut&paste
- CookieAccept (23): non è chiaro se sia una soluzione adottabile da tutti. Nei siti rilevati era richiamato il seguente script http://www.cookie-accept.com/c/cookieaccept.js
Queste voci non fanno come somma 68.007 come sicuramente alcuni avranno notato. Ci sono alcune implementazioni generiche, custom e assolutamente varie, che possono essere racchiuse nelle seguenti categorie:Implementazioni generiche (15.877): presente nel testo della pagina la parola terze parti e la parola cookie. Controllati manualmente a caso 98 siti, tutti con implementazione della Cookie Law
- Implementazioni generiche (47.657): presente nel testo della pagina (quindi visibile all'utente) la parola cookie ed almeno 4 occorrenze della stessa nell'html. Controllati manualmente a caso 127 siti, tutti con implementazione della Cookie Law
- Implementazioni generiche (15.877): presente nel testo della pagina (quindi visibile all'utente) la parola terze parti. Controllati manualmente a caso 94 siti, tutti con implementazione della Cookie Law.
- Implementazioni generiche (1.864): trovata la stringa Cookie-Law nell'html. Controllati manualmente a caso 68 siti, tutti con implementazione della Cookie Law
I tre casi sopra possono essere trovati spesso in contemporanea ed in sovrapposizione anche con le soluzione descritte nel primo elenco di implementazioni. Dopo aver controllato manualmente il campione parecchie decine di volte, ed aver trovato sempre implementata la Cookie Law, ho considerato sufficientemente affidabile il segnale, per garantire l'implementazione della Cookie Law.
Pagina con Privacy Policy
Un'altra verifica che è stata effettuata sui dati è stata di cercare la
presenza di link con la parola Privacy come ancora. Questo sta ad indicare la presenza di una pagina con la privacy policy. Sono stati trovati 107.378 siti con questo tipo di link. Ho esaminato diverse centinaia di questi link. E corrispondevano tutti ad una privacy policy. Anche in questo caso ho considerato il segnale sufficiente affidabile. Esistono casi in cui l'informativa ha nomi diversi, ma sono decisamente pochi per prenderli in esame.
Sono andato a vedere come fosse la distribuzione del link in caso di applicabilità o non applicabilità della Cookie Law.
81.325 che devono implementare la Cookie Law la hanno contro 26.053 che non lo devono implementare.
Il risultato in effetti era prevedibile.
La necessità della privacy policy non è strettamente correlata alla Cookie Law. Il solo fatto di avere un sito con un modulo di contatto, impone di avere una Privacy Policy (per non ricevere multe salate dal Garante della Privacy, anche in questo caso -
esempio) e quindi è naturale che anche chi non deve adempiere alla Cookie Law abbia una privacy policy.
Da notare che nel caso della Privacy Policy
3.974 siti hanno un link verso una Privacy Policy creata con il servizio di Iubenda. Sono 4.669 i siti che hanno la parola iubenda nell'HTML. Questi siti non usano direttamente la privacy policy generata che risiede sul sito del servizio, ma la implementano in modo diverso. In pratica quasi l'1% dei siti aziendali italiani usa il servizio di Iubenda che si è affermata con grande successo in questa nicchia di mercato.
Confrontandomi con
+Martino Mosna sui dati, ho ricevuto da lui, alcune richieste di altri numeri che riteneva interessanti. Ovvero:
Su 293.285 siti a cui è applicabile, la #CookieLaw
- quanti hanno la Cookie Law - 55.434
- quanti hanno la pagina privacy - 81.325
- quanti hanno solo la privacy ma non il banner dei cookie - 49.895
- quanti hanno solo il banner dei cookie ma non hanno la privacy - 24.125
- quanti hanno entrambe - 31.430
Una piccola nota di colore. All'inizio di giugno, avevo scherzato su un gioco di parole fra privacy e provacy ed era venuto questo post.
Ebbene 9 siti, fra cui quello del
comune di Montesarchio, hanno la Provacy Policy
Alcuni pareri
Che questa trovata di legge sia assolutamente inutile (e dannosa sia per chi possiede un sito, specie se con quel sito ci campa pure, sia per l'utente poco esperto che non capirà cosa diamine succede sul suo pc) lo avevamo capito fin dall'inizio.
Con i dati si capisce che al 2 giugno c'era ancora molta confusione su cosa fare per mettersi in "regola" (e devo dire ancora oggi mentre scrivo). È stato un delirio che ora si è un po' calmato (io ne so qualcosa ;-)).
La ux è morta e nessuno legge l'informativa, anche con tutto l'impegno per creare un'informativa per educare sappiamo che poi non la leggera nessuno.
Cosa volevano ottenere, creare consapevolezza, cosa hanno ottenuto invece, fastidio (e pessimismo cit.), anzi, penso che alimenteranno la vendita di smartphone con lo schermo sempre più grande così da non avere più la rottura di un pop up che copre mezzo schermo :-).
Spero solo che con il plugin abbia alleviato un po' le sofferenze a qualcuno :-)
Il solito modo di risolvere i problemi all'italiana, qualcuno evade le tasse? Allora visto che siamo furbi le aumentiamo a tutti... Così è stato fatto con questa legge. Nel nostro paese troppo spesso si vuole mettere bocca su argomenti che non si conoscono, il calcio ci insegna qualcosa, sono tutti allenatori da casa...
Chiedo le dimissioni del garante per incompetenza cronica.
Un 'piccolo' campione che dimostra come sia un fallimento voler regolamentare un ambito dove non si considerano le implicazioni e le complessità. Questa volta, e non sembra l'unica, sebbene con buon intento, i protettori della privacy Europei hanno completamente sbagliato tutto. In Inghilterra a detta di conoscenti la situazione è stata un po' la stessa a suo tempo e in pratica dopo il rumore iniziale se ne sono fregati tutti.
Non credo sia corretto fregarsene, ma il vero problema è insito proprio nel modo di fruire i siti internet dalle persone e non tanto dalla mancanza di una reale percezione di come vengono trattati i propri dati.
Dopo l'invasione dei 'cookie banner' ho osservato moltissime persone comuni utilizzare i siti e ho potuto chiaramente notare un ovvio degrado dell'esperienza d'uso degli stessi (a partire da banner 'inchiudibili' da smartphone fino a pagine ricaricate inconsapevolmente allo scroll e dunque senso di smarrimento per almeno 5/6 secondi).
Oltre al peggioramento della fruizione dei siti l'altra nota dolente è come sia oramai 'ignorato' il contenuto testuale del banner.
Io credo che forse avrebbero potuto evitare di includere all'interno dell'obbligo di banner gli strumenti di analitica di terze parti, che in pratica rendono vano il motivo reale per cui il banner informativo avrebbe avuto un senso e avrebbe magari colpito l'attenzione dell'utente che lo avrebbe visualizzato solo in rari casi...quelli appunto dove avviene una reale profilazione dell'utente.
Che dire. Per fare un paragone a tema: da operatore del settore sembra proprio l'errore di un neofita, ossia puntare a sparare nel mucchio per fare quantità invece di modellare il messaggio pubblicitario in modo intelligente e più efficace selezionando i giusti target.
Sparare nel mucchio non funziona mai e spesso porta all'effetto contrario di quello desiderato. Spero che questo serva da lezione e soprattutto porti a comprendere, in maniera costruttiva, il legislatore, che forse non è il modo giusto di affrontare la questione...considerando anche che, nel complesso, l'implementazione di queste cose costano dei soldi alle aziende italiane rendendole allo stesso tempo anche meno competitive rispetto ai competitor non Europei. Una cosa non da poco in questa fase storica.
Come già detto al web marketing festival. Questa è la solita legge del cavolo inutile e senza senso e questi dati lo dimostrano. Fanno solo considerare il nostro lavoro inutile e una spesa senza senso
Tutto per spillare dei soldi e per far vedere che dobbiamo sempre fare le cose diverse e peggiorarle.
Dai i dati nessuna sorpresa. Si tratta di una legge di scarsa o nulla attuazione. Se la situazione è questa, devono avere un bel fegato a comminare sanzioni di qualunque tipo.
Dalle statistiche che ho, meno dell'1% del totale del traffico dei siti visita l'informativa estesa.
E praticamente tutti all'inizio, quando c'era la novità. Negli ultimi 30 giorni non l'ha guardata NESSUNO su nessuno dei siti che monitoro. E per "NESSUNO" intendo proprio lo 0%. Sul sito più grosso che ho arriviamo allo 0,001% (non sto scherzando).
Dove sono riuscito a monitorarlo il 10-20% degli utenti invece ha nascosto l'avviso (con la X o cliccando su "accetto", a seconda delle implementazioni), che sinceramente è pure di più di quello che mi aspettavo. La stragrande maggioranza di quelli che l'hanno nascosto l'ha fatto da mobile, abbastanza prevedibilmente, perché è lo screensize dove impatta di più.
Dai dati pare di capire che:
1) il livello di penetrazione dell'applicazione della legge sia grosso modo simile a quello della legge sulla privacy (un po' meno la cookie law ma non cambia l'ordine di grandezza)
2) la conoscenza e l'applicazione delle due leggi si sovrappone solo parzialmente
3) la fetta più grossa è proprio quella dei siti che se ne sbattono sia di una che dell'altra legge
Francamente pensavo che la legge sulla privacy avesse un'adozione più ampia (anche perché su quella legge sono già state comminate diverse sanzioni agli inadempienti).
In definitiva, ritiro quanto detto sopra... se con una legge così poco applicata (quella sulla privacy) il garante cala la scure... la stessa cosa dovremo aspettarci anche per la cookie law.
E saranno lacrime e WTF.
Tutti i dati
Il file Excel con i dati che abbiamo commentato in questo articolo sono disponibili su docs.com
Conclusioni
Fin dai primi momenti in cui sono venuto a conoscenza della #CookieLaw, sono stato molto scettico sulla effettiva utilità. E spesso ho commentato sarcasticamente sui social network su questo argomento. L'introduzione di questa normativa non dà alcun aiuto o vantaggio all'utente/consumatore/navigatore. Per la quasi totalità di loro, il banner con l'informativa della privacy è un disturbo alla navigazione. Nella mia opinione, sarebbe stato molto meglio usare le risorse sprecate per definire questa normativa e quanto è costato alle aziende implementarla, per creare una campagna informativa per i rischi sulla privacy online.
Così non è, e quindi siamo costretti a tenercela, con sanzioni assolutamente spropositate annesse. Che ricordo vanno da 6.000 a 120.000 euro per i casi più gravi. Non è chiaro sei provvedimenti di sanzione verranno istruiti a seguito di denuncia oppure con controlli a campione del web. Se è come nel caso dell'informativa della privacy, ci saranno probabilmente pochi sfortunati che andranno a pagare. Se per caso decidessero di andare con controlli a tappeto (di cui dubito), avremmo in pratica una nuova tassa per le aziende italiane. 185 mila siti aziendali inadempienti a 6.000 euro di multa minimi, fanno la modica somma di un miliardo e centro milioni di euro di multa. Aggiungiamo che fra coloro che l'hanno applicata ce ne sono oltre 24 mila che presumibilmente non hanno l'informativa della privacy, il conto delle sanzioni può ancora salire.
Come ho già detto, la probabilità di sanzioni, a mio avviso è molto bassa, però meglio non correre rischi ed implementare la normativa.