Guida al Gdpr per Wordpress- Max Valle

Da diversi anni si sente parlare di GDPR e sei hai un sito in WordPress o con qualsiasi altro CMS, sicuramente ne avrai sentito parlare di recente per via di un aggiornamento al regolamento avvenuto a luglio 2021, con obbligo di adeguamento a partire dal 9 gennaio 2022.

Cosa significa GDPR? Quali siti sono interessati? Quali sono le sanzioni previste? Cosa serve per adeguarsi? Queste sono le domande a cui do una risposta nei paragrafi successivi.

Inoltre, ti fornirรฒ alcune soluzioni semplici per conformare il tuo sito WordPress al GDPR perchรฉ, anche se sembra una regolamentazione legale complicata, in realtร  puรฒ essere eseguita facilmente sulla maggior parte dei siti.

Cta Gdpr

Cosโ€™รจ il GDPR?

La parola GDPR indica il Regolamento generale per la protezione dei dati personali 2016/79, ed รจ la normativa europea di riferimento in materia di protezione dei dati personali, entrata in vigore nel 2018.

 Il documento รจ lungo oltre 200 pagine e contiene numerose norme sulla modalitร  di raccolta ed elaborazione dati degli utenti.  รˆ possibile leggere tutta la normativa dettagliata su questo sito https://gdpr.dataskydd.net/it/art/

Requisiti del GDPR

Anche se la normativa รจ molto complessa, in sostanza, si chiede di richiedere ai cittadini dellโ€™UE lโ€™esplicito consenso prima di raccogliere o utilizzare i loro dati personali.

Sono inclusi indirizzi e-mail, dati di Google Analytics, indirizzi IP e altre informazioni personali. 

Inoltre, รจ fatto obbligo di segnalare immediatamente qualunque violazione al sito e azioni di sottrazione dei dati, oltre che consentire agli utenti di eliminarli o esportarli tempestivamente.

Cosa deve prevedere il tuo sito web per essere a norma?

  • Indicare chiaramente la finalitร  di utilizzo dei dati (nella informativa sulla privacy)
  • Ottenere lโ€™accettazione dellโ€™uso dei cookie da parte degli utenti
  • Chiedere ai cittadini dellโ€™UE il consenso preventivo prima di raccogliere e utilizzare i loro dati
  • Inviare e-mail solo agli abbonanti alla newsletter
  • Concedere la richiesta, da parte degli utenti, di accedere e/o cancellare i loro dati. 

I soggetti che sono obbligati ad adeguarsi al GDPR si suddividono in due gruppi:

  • Organizzazioni che hanno sede nellโ€™UE o che vi sono presenti.
  • Organizzazioni che vendono o elaborano dati di chiunque si trovi nellโ€™EU.

GDPR: gli 8 diritti primari per gli utenti

Il regolamento GDPR stabilisce otto diritti primari per gli utenti che visitano un sito web, nello specifico:

  1. Diritto ad essere informato. Le persone devono sapere come vengono raccolti i dati e in che modo saranno utilizzati. 
  2. Diritto di accesso ai dati. Se un utente chiede i suoi dati, si รจ obbligati a fornirli.
  3. Diritto di rettifica. Lโ€™utente ha il diritto di modificare o correggere qualunque informazioni sul proprio conto.
  4. Diritto allโ€™oblio. Lโ€™utente puรฒ chiedere la cancellazione dei suoi dati e il gestore ha lโ€™obbligo di accogliere la richiesta.
  5. Diritto di limitazione dellโ€™elaborazione dei dati. Lโ€™utente puรฒ accettare la memorizzazioni dei dati ma non che questi vengano utilizzati per altre finalitร .
  6. Diritto allโ€™esportazione dei dati. Tutti i dati personali devono poter essere esportati in un formato comune come .xls o xcsv. 
  7. Diritto di opposizione. Lโ€™utente puรฒ opporsi allโ€™uso dei propri dati per qualsiasi scopo.
  8. Diritti relativi al processo decisionale automatizzato (come la profilazione). 

Chi non deve preoccuparsi dellโ€™adeguamento GDPR?

In linea teorica, tutti dovrebbero preoccuparsi di adeguare il proprio sito web al GDPR, tuttavia, chi non ha accessi da utenti UE potrebbe anche non farlo. 

Ma ne vale la pena? Ci sono siti stranieri che hanno risolto bloccando gli IP originari dellโ€™UE, ma รจ evidente che non si tratta di unโ€™ottima idea, in quanto impatta pesantemente sul traffico del sito web.

รˆ quindi importante provvedere allโ€™adeguamento GDPR che ricordiamo, dal 9 gennaio 2022 รจ obbligatorio e quindi, in caso di non conformitร , si รจ soggetti a multe.

Idee sbagliate sullโ€™adeguamento GDPR

Molte persone sono confuse a causa della tanta disinformazione che circola online, che le porta a percepire lโ€™adeguamento come qualcosa di particolarmente difficile. Ecco alcuni falsi miti.

  • Bisogna richiedere lโ€™iscrizione al sito a chi รจ giร  iscritto?

No, ma solo se si sono iscritti spontaneamente e hanno dato il consenso a ricevere messaggi e newsletter. In caso siano stati aggiunti iscritti senza ottenere il consenso, sarร  necessario chiedergli di iscriversi di nuovo.

  • Non รจ possibile piรน raccogliere indirizzi IP personali?

In realtร  si puรฒ ancora fare ma bisogna mettere in sicurezza tutti i dati. รˆ necessario comunicare in modo chiaro come vengono raccolti i dati, avere una politica sulla privacy e permettere agli utenti di eliminare i dati in qualunque momento. รˆ necessario implementare un sistema apposito per permettere alle persone di fare richiesta di eliminazione, come ad esempio, un modulo di contatto.

  • Devo aggiungere manualmente ogni volta una casella per ottenere il consenso a ogni commento o richiesta di contatto?

Teoricamente no. In quanto basterร  utilizzare un plug-in che aggiunge questa funzione a tutti i moduli e ai box.

GDPR e sito non conforme: le sanzioni

Le sanzioni previste per il mancato adeguamento alle norme del GPDR dipendono dalle dimensioni dellโ€™organizzazione, dal tipo di business e tanti altri fattori.

Per le violazioni piรน gravi, le sanzioni arrivano fino 2 milioni di euro e dal 2% al 4% del fatturato totale dellโ€™anno precedente. 

In generale, le violazioni per imprese e professionisti sono varie: sanzioni penali e amministrative, risarcimento danni, divieto di trattamento dati finchรฉ non รจ stata risolta la situazione. Per un maggiore approfondimento sulle sanzioni leggi il mio articolo.

Cta Gdpr

Come rendere conforme il tuo sito WordPress al GDPR

In base alla tipologia di sito e a come lo utilizzi, saranno diversi i requisiti da rispettare. Ad esempio:

  • Siti e-commerce: se lo richiedono, devi permette agli utenti di vedere i dati che raccogli su di loro. Inoltre, devi permettergli di eliminare i propri account e/o esportare i dati al suo interno.
  • Newsletter via e-mail: puoi inviare email solo agli iscritti che hanno dato esplicitamente il consenso a ricevere comunicazioni da parte tua. 
  • Siti che prevedono un abbonamento: devi permettere agli utenti di eliminare lโ€™account e/o i dati tramite un semplice modulo โ€œelimina il mio accountโ€ e permettergli di modificare i dati in caso di errori.
  • Blog con commenti: devi permettere agli utenti di eliminare i commenti.
  • Cookie: devi installare un plug-in apposito per la gestione

Inoltre, per tutti i siti bisogna disporre una pagina che riporti la politica sulla privacy.  Vediamo piรน dettagliatamente cosa devi fare per rendere conforme il tuo sito WordPress.

Aggiorna sempre WordPress allโ€™ultima versione

Devi sempre mantenere il tuo sito WordPress aggiornato installando lโ€™ultima versione del CMS che solitamente include aggiornamenti importanti sulla protezione dei dati degli utenti.

A partire da WordPress 4.9.6, il CMS รจ giร  conforme al GDPR, sono state apportate modifiche ai commenti, alle impostazioni sulla privacy, ai moduli di contatto e tanto altro. 

Raccolta di email

Se il tuo sito raccoglie lโ€™indirizzo email degli utenti, devi implementare la casella di consenso nel modulo di registrazione. Puoi farlo utilizzando un qualunque plug-in di email marketing, tra i piรน diffusi ci sono: MailChimp, ActiveCampaign, ConvertPro e MailPoet.

Sono tutti conformi al GDPR e ti permettono di inviare e gestire gli indirizzi email degli utenti in modo sicuro.

WooCommerce/eCommerce

Se utilizzi Woocommerce per il tuo shop online dovrai fare una serie di adeguamenti che ti invito a leggere nel regolamento GDPR ufficiale

I tre passaggi fondamentali sono:

  • Creazione di una pagina sulla politica della privacy che descrive in che modo gestisci i dati raccolti
  • Implementazione di un sistema per consentire agli utenti di fare richiesta di cancellazione dei dati
  • Implementare sistemi di prevenzione e protezione contro attacchi hacker ed eventuale furto di dati.

Woocommerce non memorizza alcun dato personale, ma tante estensioni lo fanno, ti invito ad approfondire lโ€™argomento direttamente sul sito del produttore.

Inserisci la privacy policy

Devi sempre avere una pagina in cui viene spiegata tutta la privacy policy del tuo sito web, come raccogli i dati e in che modo li utilizzi. 

WordPress, per impostazione predefinita, permette di generare una pagina sulle norme della privacy. Puoi farlo andando su Impostazioni >Privacy e poi su Crea.

WP AutoTerms รจ un altro plug-in gratuito che ti permette di creare diverse privacy policy per normative CCPA, GDPR e per divulgazione link di affiliazione Amazon Associates.

Tuttavia, ti suggerisco di contattare degli esperti in materia legale per redigere correttamente la tua politica sulla privacy.

Google Analytics e simili

Google Analytics tiene traccia dei dati personali degli utenti, per cui รจ importante capire come raccogliergli e gestirli in sicurezza. 

Google ha implementato diversi sistemi come la Modalitร  di consenso che permette alle impostazioni di adattarsi in modo dinamico in base al livello di consenso dellโ€™utente. 

Puoi comunque utilizzare plugin di analisi come MonsterInsights, che offre agli utenti una guida sullโ€™utilizzo in linea con le norme GDPR. Il pacchetto premium include il componente aggiuntivo EU GDPR Compliance, utile a semplificare la procedura.

Esportazione/eliminazione dati 

Se raccogli i dati degli utenti con il tuo sito web, devi permettere loro di eliminarli in qualunque momento. 

Per farlo puoi utilizzare dei plug-in appositi con i quali creare dei moduli di contatto utili a consentire agli utenti di contattarti e chiedere la cancellazione dei dati. Puoi provare: WP Frontend Delete Account e Delete Me.

Installa un plug-in per chiedere il consenso allโ€™utilizzo dei cookie. Ci sono tantissime soluzioni gratuite, te ne suggeriscono alcune:

Utilizza solo temi e plugin conformi al GDPR  

WordPress rende disponibile piรน di 50.000 plug-in, anche se la maggior parte hanno implementato aggiornamenti in linea con il GDPR, altri non lโ€™hanno fatto. Questo accade se i developer non risiedono nellโ€™UE.

Per questo motivo assicurati sempre che i temi e i plugin che installi siano conformi al GDPR e che non raccolgano dati in modo illecito o non conforme al regolamento europeo.

Ottieni lโ€™autorizzazione dellโ€™utente prima di divulgare i dati

Se pensi di utilizzare i dati dei tuoi utenti in qualsiasi altro modo, dovrai chiedergli il permesso. Qualunque sia lโ€™utilizzo diverso da quello dichiarato al momento dellโ€™accettazione iniziale, dovrร  essere comunicato con richiesta di nuovo consenso

Un esempio molto chiaro รจ quello della vendita di un sito web con la lista delle mail di contatto dei clienti, in questo caso andrร  richiesta conferma agli iscritti.

Avvisa gli utenti in caso di attacco hacker

Se il tuo sito viene violato, sei obbligato ad avvisare tutti gli utenti dellโ€™accaduto e della possibile sottrazione dei dati. Secondo il GDPR, hai 72 ore di tempo, dal momento in cui ne vieni a conoscenza, per avvertire gli utenti.

Se utilizzati un sito web WordPress, potresti aver bisogno di contattare il tuo servizio di host per gestire al meglio la violazione hack.

Usa uno strumento di test per verificare la conformitร  al GDRP

Infine, un ulteriore passaggio che puoi fare รจ quello di utilizzare uno strumento che verifichi se il sito รจ conforme al GDPR.

Anche se non sono infallibili e il risultato non รจ garantito, potrebbero comunque esserti utili per farti unโ€™idea e controllare la presenza di eventuali mancanze. 

Puoi provare: CookieBot e 2gdpr.com.

GDPR: il tuo sito รจ conforme?

Ora che sai quali sono i passaggi fondamentali per adeguare il tuo sito WordPress al GDPR, non ti resta che metterli in pratica.

In breve, riassumendo i punti salienti di questa guida sul GDPR 2022, dovrai:

  • Avvisare gli utenti della presenza dei cookie  e ottenere il consenso
  • Implementare funzioni che permettono agli utenti di eliminare o esportati i propri dati in un formato comune
  • Inviare email solo agli iscritti che hanno dato il loro esplicito consenso
  • Non utilizzare i dati di un utente se non vuole
  • Mantenere aggiornata la versione di WordPress e tutti i temi e plu-gin
  • Utilizzare solo temi/plug-in conformi al GDPR

Dopo questa breve panoramica, vorrei ricordarti la cosa piรน importante sul GDPR! l’adeguamento รจ inerente l’azienda ed i processi di trattamento dei dati.
Il sito web non รจ altro che uno dei trattamenti dati da adeguare.

Non cadere nel classico errore commesso da molti, ovvero pensare, che adeguando il proprio sito al GDPR, senza adeguare l’intera azienda, si sia a posto!
Le normative italiane che governano il mondo della privacy attualmente in vigore sono:

Ti consiglio di leggerli per comprendere meglio cosa fare.

Un buon adeguamento alla GDPR comprende le seguenti attivitร  da svolgere:

  • Consulenza Telefonica preliminare
  • Auditing con analisi di tutti i processi aziendali interessati dal trattamento privacy
  • Gestione Accountability con lโ€™identificazione dellโ€™organigramma di trattamenti e relativi flussi dati
  • Identificazione dei Trattamenti effettuati dallโ€™azienda
  • Analisi dei rischi e identificazione delle misure di sicurezza adottate
  • Produzione delle informative
  • Redazione delle lettere di incarico (addetti e responsabili)
  • Redazione del registro dei trattamenti
  • Privacy By Design
  • Adeguamento siti web sia come informativa che come cookie
  • Disaster Recovery (identificazione delle procedure)
Cta Gdpr

Max Valle

Da oltre 30 anni, offro consulenza e servizi digitali ad aziende e professionisti che desiderano far crescere il proprio business. Attraverso l’acquisizione di nuovi clienti in modo etico ed efficace, e l’utilizzo delle piรน recenti tecnologie web, aiuto i miei clienti a raggiungere i loro obiettivi nel pieno rispetto delle normative vigenti.

  • Certified Professional Ethical Hacker nยฐ4053103 
  • International Web Association nยฐ0312827
  • Membro Federprivacy nยฐFP-9572
  • Associazione Informatici Professionisti nยฐ3241
  • Consulente Tecnico d’Ufficio (CTU)

Contattami
30 minuti gratuiti!
Contattami
30 minuti gratuiti!

Oppure chiamami gratuitamente:

Numero Verde Max Valle