Come configurare il consenso ai cookie in WordPress (GDPR)

Secondo la legislazione europea sulla privacy, non puoi inserire cookie di tracciamento, analytics o marketing nel browser di un visitatore senza il suo consenso esplicito e informato. Questo non è opzionale e le violazioni portano a multe consistenti. La buona notizia è che configurare una buona soluzione di consenso ai cookie in WordPress richiede circa 30 minuti una volta compresi i requisiti. Questa guida copre la base giuridica, l'implementazione tecnica e gli errori comuni che possono metterti nei guai.

Cosa richiedono realmente il GDPR e la direttiva ePrivacy

Due leggi UE regolano il modo in cui i siti web gestiscono i cookie. Il GDPR (Regolamento Generale sulla Protezione dei Dati) stabilisce le regole per il trattamento dei dati personali, mentre la direttiva ePrivacy (spesso chiamata "Direttiva sui cookie") tratta specificamente la memorizzazione di informazioni sul dispositivo di un utente. Insieme formano un quadro chiaro:

• Articolo 6 GDPR (base giuridica): hai bisogno di una base giuridica per trattare i dati personali. Per i cookie che tracciano gli utenti, la base giuridica rilevante è il consenso ai sensi dell'articolo 6, paragrafo 1, lettera a). Il legittimo interesse (articolo 6, paragrafo 1, lettera f)) non si applica ai cookie non essenziali secondo la maggior parte delle autorità europee per la protezione dei dati.
• Articolo 7 GDPR (condizioni del consenso): il consenso deve essere prestato liberamente, specifico, informato e inequivocabile. Deve essere un opt-in attivo (nessuna casella preselezionata). Ritirare il consenso deve essere semplice quanto darlo.
• Direttiva ePrivacy (articolo 5, paragrafo 3): la memorizzazione o l'accesso a informazioni sul dispositivo di un utente (inclusi cookie, localStorage e tecnologie simili) richiede il consenso preventivo, a meno che il cookie non sia strettamente necessario per il servizio espressamente richiesto dall'utente.

In pratica, questo significa: niente analytics, niente pixel di marketing, niente embed di social media, niente video di terze parti incorporati e niente cookie pubblicitari finché l'utente non clicca su "Accetta". I cookie strettamente necessari (come i cookie di sessione per un carrello della spesa o i cookie di autenticazione) non richiedono il consenso.

Comprendere le categorie di cookie

Una buona implementazione del consenso suddivide i cookie in gruppi in modo che gli utenti possano fare scelte granulari. Ecco le categorie standard:

• Strettamente necessari (essenziali): cookie necessari per la funzionalità di base del sito. Gli esempi includono i cookie di sessione (ad esempio, il cookie di login di WordPress wordpress_logged_in_*), i cookie del carrello di WooCommerce, i token CSRF e il cookie delle preferenze di consenso ai cookie stesso. Questi non richiedono il consenso e non possono essere rifiutati dall'utente.
• Funzionali (preferenze): cookie che ricordano le preferenze dell'utente, come la scelta della lingua, la preferenza del tema o la regione. Questi non sono strettamente necessari ma migliorano l'esperienza utente. Richiedono il consenso.
• Analytics (statistiche): cookie impostati da strumenti come Google Analytics, Matomo o Plausible che misurano come i visitatori utilizzano il tuo sito. Anche i cookie analytics "anonimi" di solito richiedono il consenso nell'UE, a meno che non si utilizzi uno strumento rispettoso della privacy che non imposta alcun cookie (come Plausible o Fathom in modalità cookieless).
• Marketing (pubblicità): cookie da reti pubblicitarie, piattaforme di retargeting e pixel di social media (Facebook Pixel, Google Ads, LinkedIn Insight Tag). Questi richiedono sempre il consenso.

Configurare Complianz (raccomandato per la maggior parte dei siti)

1. Installa Complianz - GDPR/CCPA Cookie Consent dalla directory dei plugin di WordPress.
2. Esegui la procedura guidata di configurazione. Complianz chiede informazioni sulla posizione della tua attività, sulle regioni che servi e su quali servizi di terze parti utilizzi. Rispondi onestamente, perché la procedura guidata genera la tua politica sui cookie e la configurazione del consenso in base a queste risposte.
3. Il plugin scansiona automaticamente il tuo sito per rilevare i cookie. Rivedi i risultati della scansione e categorizza tutti i cookie che non sono stati identificati automaticamente.
4. Configura il design del banner di consenso in Complianz > Consent Banner. Scegli tra un banner in alto o in basso, un popup centrato o un pannello laterale. Assicurati che il pulsante "Reject All" sia evidente quanto il pulsante "Accept All" (questo è un requisito legale).
5. Abilita il blocco degli script. Complianz può bloccare automaticamente script noti (Google Analytics, Facebook Pixel, embed di YouTube) fino a quando l'utente non dà il consenso. Vai a Integrations e verifica che i tuoi servizi di terze parti siano elencati.
6. Per gli script personalizzati che Complianz non riconosce, avvolgili con il placeholder di Complianz. Cambia il tipo di script da text/javascript a text/plain e aggiungi un attributo data-category.
7. Testa aprendo il tuo sito in una finestra in incognito. Prima di accettare i cookie, controlla che nessuno script di analytics o marketing venga caricato (controlla la scheda Network nei DevTools del browser). Dopo l'accettazione, verifica che gli script si carichino correttamente.

Configurare Real Cookie Banner (migliore per la regione DACH)

Real Cookie Banner è un plugin sviluppato in Germania che adotta un approccio basato sui servizi anziché sui cookie. Invece di categorizzare i singoli cookie, configuri ogni servizio (Google Analytics, YouTube, Google Maps, ecc.) e il plugin gestisce il resto. Questo approccio si allinea bene con l'interpretazione tedesca del GDPR.

1. Installa Real Cookie Banner dalla directory dei plugin di WordPress.
2. Esegui la procedura guidata di configurazione. Il plugin include un ampio database di template di servizi preconfigurati, quindi non devi inserire manualmente nomi di cookie o periodi di conservazione per i servizi comuni.
3. Per ogni servizio rilevato, il plugin fornisce descrizioni esaminate dal punto di vista legale, dettagli sul trattamento dei dati e informazioni sui cookie. Esaminali e adattali se necessario.
4. Configura il layout del banner di consenso. Real Cookie Banner offre ampie opzioni di personalizzazione per colori, stili dei pulsanti e testo.
5. Il plugin genera un blocco di contenuti per i contenuti incorporati (video YouTube, Google Maps, embed di social media). I visitatori vedono un placeholder con una richiesta di consenso invece del contenuto incorporato.

Configurare CookieYes

1. Installa CookieYes | GDPR Cookie Consent dalla directory dei plugin di WordPress o iscriviti su cookieyes.com.
2. Esegui la scansione automatica dei cookie. CookieYes identifica i cookie sul tuo sito e li categorizza.
3. Personalizza l'aspetto del banner, i colori dei pulsanti e il testo nel dashboard CookieYes.
4. Configura il blocco degli script per ogni categoria di cookie. CookieYes supporta sia il blocco automatico che manuale degli script.
5. CookieYes fornisce anche un generatore di politica sui cookie che puoi incorporare nella tua pagina della politica sulla privacy.

Integrazione di Google Consent Mode v2

Se utilizzi i servizi Google (Analytics, Ads, Tag Manager), devi implementare Google Consent Mode v2. Da marzo 2024, Google richiede Consent Mode per i siti che mostrano annunci agli utenti SEE. Senza questo, Google Ads non raccoglierà dati da utenti nello Spazio Economico Europeo.

Consent Mode v2 introduce due nuovi parametri oltre a quelli originali:

• ad_user_data: controlla se i dati utente possono essere inviati a Google per scopi pubblicitari.
• ad_personalization: controlla se è consentita la pubblicità personalizzata (remarketing).
• analytics_storage: controlla se i cookie analytics possono essere impostati.
• ad_storage: controlla se i cookie pubblicitari possono essere impostati.

Tutti e tre i plugin raccomandati (Complianz, Real Cookie Banner, CookieYes) supportano Google Consent Mode v2 in modo nativo. Assicurati di abilitarlo nelle impostazioni del plugin. Quando un utente non ha dato il consenso, Consent Mode invia "cookieless pings" a Google che forniscono dati aggregati e modellati senza identificare i singoli utenti.

TCF 2.2 e il framework IAB

Il Transparency and Consent Framework (TCF) versione 2.2, gestito dall'Interactive Advertising Bureau (IAB), è un protocollo standardizzato per comunicare il consenso dell'utente ai fornitori pubblicitari. Se gestisci pubblicità programmatica sul tuo sito (Google AdSense, header bidding, reti pubblicitarie), la tua soluzione di consenso deve supportare TCF 2.2. Ciò consente alle reti pubblicitarie di ricevere segnali di consenso in un formato standardizzato che possono elaborare.

Non tutti i plugin di consenso gratuiti supportano TCF 2.2. Complianz fornisce supporto TCF nella versione premium. CookieYes offre TCF 2.2 anche nei suoi piani a pagamento. Se dipendi dai ricavi pubblicitari, vale la pena investire.

Gestire Google Analytics e Tag Manager con il consenso

La configurazione più comune prevede il caricamento di Google Tag Manager (GTM) con Consent Mode v2 come stato predefinito, quindi l'aggiornamento del consenso quando l'utente interagisce con il tuo banner. Ecco lo schema:

<!-- Carica GTM con stato di consenso predefinito (negato) -->
<script>
window.dataLayer = window.dataLayer || [];
function gtag(){dataLayer.push(arguments);}
gtag('consent', 'default', {
  'analytics_storage': 'denied',
  'ad_storage': 'denied',
  'ad_user_data': 'denied',
  'ad_personalization': 'denied',
  'wait_for_update': 500
});
</script>

Il tuo plugin di consenso chiama quindi gtag('consent', 'update', {...}) quando l'utente accetta. Se utilizzi uno dei plugin WordPress raccomandati, ciò avviene automaticamente. Non devi scrivere manualmente questo codice.

Audit manuale dei cookie del tuo sito

Prima di configurare una soluzione di consenso, è utile sapere esattamente quali cookie imposta il tuo sito. Ecco come fare l'audit:

1. Apri il tuo sito in una finestra in incognito.
2. Apri DevTools (F12) e vai alla scheda Application (Chrome) o Storage (Firefox).
3. Sotto Cookies, clicca sul tuo dominio. Annota ogni nome del cookie, il dominio, la scadenza e se è HttpOnly o Secure.
4. Naviga in diverse pagine, comprese le pagine con contenuti incorporati (video YouTube, Google Maps, feed di social media). Ogni interazione può impostare cookie aggiuntivi.
5. Controlla anche localStorage e sessionStorage, poiché questi rientrano anche nella direttiva ePrivacy.
6. Usa la scheda Network del tuo browser per identificare quali richieste impostano i cookie (cerca l'intestazione di risposta Set-Cookie).

InspectWP può aiutare in questo audit. Esegui una scansione e rivedi la sezione cookie, che elenca tutti i cookie rilevati durante la scansione.

Errori comuni con il consenso ai cookie che portano a multe

Le autorità europee per la protezione dei dati hanno imposto multe significative per violazioni dei cookie. Ecco gli errori più comuni da evitare:

• Caselle di consenso preselezionate: la Corte di giustizia dell'Unione europea ha stabilito nel caso Planet49 (2019) che le caselle preselezionate non costituiscono un consenso valido. Ogni categoria non essenziale deve essere opt-in.
• Cookie wall: bloccare l'accesso al tuo sito a meno che gli utenti non accettino tutti i cookie è considerato coercitivo e rende il consenso non valido. Gli utenti devono essere in grado di accedere ai tuoi contenuti anche se rifiutano tutti i cookie non essenziali.
• Pulsanti di rifiuto confusi: nascondere un piccolo pulsante grigio "Reject" dietro un link "Manage Preferences" mentre il pulsante "Accept All" è grande e colorato è un dark pattern. La CNIL francese ha multato Google di 150 milioni di euro in parte per questo. Entrambi i pulsanti devono essere ugualmente visibili.
• Nessun modo per ritirare il consenso: gli utenti devono essere in grado di modificare le proprie preferenze sui cookie in qualsiasi momento. Aggiungi un link o un'icona permanente (spesso una piccola icona di scudo o cookie nell'angolo) che riapre la finestra di dialogo del consenso.
• Impostazione dei cookie prima del consenso: se il tuo script di analytics si attiva prima ancora che il banner del consenso venga visualizzato, stai violando la legge, indipendentemente da quanto bello sia il tuo banner. Usa i DevTools del browser per verificare i tempi.
• Ignorare il consenso per i contenuti incorporati: gli embed di YouTube, gli iframe di Google Maps e i widget dei social media impostano tutti cookie. Devi bloccarli fino a quando il consenso non è dato, di solito sostituendo l'embed con un placeholder.

Testare la tua implementazione del consenso ai cookie

Testa accuratamente la tua soluzione di consenso dopo averla configurata:

1. Apri il tuo sito in modalità incognito. Il banner del consenso dovrebbe apparire immediatamente.
2. Controlla i DevTools per i cookie prima di interagire con il banner. Dovresti vedere solo cookie strettamente necessari.
3. Clicca su "Reject All". Nessun cookie di analytics o marketing dovrebbe essere impostato. Naviga in diverse pagine per confermare.
4. Cancella i cookie e ricarica. Clicca su "Accept All". Verifica che gli script di analytics e marketing ora vengano caricati correttamente.
5. Cancella di nuovo i cookie. Clicca su "Manage Preferences" e accetta solo analytics. Verifica che i cookie di marketing non vengano impostati ma quelli analytics sì.
6. Dopo aver accettato, cerca l'opzione per ritirare il consenso. Cliccaci sopra e verifica che i cookie non essenziali vengano eliminati.

Verifica la tua configurazione dei cookie con InspectWP

Esegui una scansione InspectWP per vedere un elenco completo dei cookie che il tuo sito imposta durante il caricamento di una pagina. La sezione GDPR evidenzia i cookie di terze parti e le risorse esterne che potrebbero richiedere il consenso. Se vedi i cookie di Google Analytics, i cookie di Facebook o altri cookie di tracciamento nel report InspectWP, verifica che la tua soluzione di consenso li blocchi correttamente prima che il consenso venga dato. Ricorda che InspectWP scansiona il tuo sito senza dare il consenso ai cookie, quindi qualsiasi cookie di tracciamento che appare nel report indica un potenziale problema di conformità.