Guida al Gdpr per Wordpress- Max Valle

Da diversi anni si sente parlare di GDPR e sei hai un sito in WordPress o con qualsiasi altro CMS, sicuramente ne avrai sentito parlare di recente per via di un aggiornamento al regolamento avvenuto a luglio 2021, con obbligo di adeguamento a partire dal 9 gennaio 2022.

Cosa significa GDPR? Quali siti sono interessati? Quali sono le sanzioni previste? Cosa serve per adeguarsi? Queste sono le domande a cui do una risposta nei paragrafi successivi.

Inoltre, ti fornirò alcune soluzioni semplici per conformare il tuo sito WordPress al GDPR perché, anche se sembra una regolamentazione legale complicata, in realtà può essere eseguita facilmente sulla maggior parte dei siti.

Cta Gdpr

Cos’è il GDPR?

La parola GDPR indica il Regolamento generale per la protezione dei dati personali 2016/79, ed è la normativa europea di riferimento in materia di protezione dei dati personali, entrata in vigore nel 2018.

 Il documento è lungo oltre 200 pagine e contiene numerose norme sulla modalità di raccolta ed elaborazione dati degli utenti.  È possibile leggere tutta la normativa dettagliata su questo sito https://gdpr.dataskydd.net/it/art/

Requisiti del GDPR

Anche se la normativa è molto complessa, in sostanza, si chiede di richiedere ai cittadini dell’UE l’esplicito consenso prima di raccogliere o utilizzare i loro dati personali.

Sono inclusi indirizzi e-mail, dati di Google Analytics, indirizzi IP e altre informazioni personali. 

Inoltre, è fatto obbligo di segnalare immediatamente qualunque violazione al sito e azioni di sottrazione dei dati, oltre che consentire agli utenti di eliminarli o esportarli tempestivamente.

Cosa deve prevedere il tuo sito web per essere a norma?

  • Indicare chiaramente la finalità di utilizzo dei dati (nella informativa sulla privacy)
  • Ottenere l’accettazione dell’uso dei cookie da parte degli utenti
  • Chiedere ai cittadini dell’UE il consenso preventivo prima di raccogliere e utilizzare i loro dati
  • Inviare e-mail solo agli abbonanti alla newsletter
  • Concedere la richiesta, da parte degli utenti, di accedere e/o cancellare i loro dati. 

I soggetti che sono obbligati ad adeguarsi al GDPR si suddividono in due gruppi:

  • Organizzazioni che hanno sede nell’UE o che vi sono presenti.
  • Organizzazioni che vendono o elaborano dati di chiunque si trovi nell’EU.

GDPR: gli 8 diritti primari per gli utenti

Il regolamento GDPR stabilisce otto diritti primari per gli utenti che visitano un sito web, nello specifico:

  1. Diritto ad essere informato. Le persone devono sapere come vengono raccolti i dati e in che modo saranno utilizzati. 
  2. Diritto di accesso ai dati. Se un utente chiede i suoi dati, si è obbligati a fornirli.
  3. Diritto di rettifica. L’utente ha il diritto di modificare o correggere qualunque informazioni sul proprio conto.
  4. Diritto all’oblio. L’utente può chiedere la cancellazione dei suoi dati e il gestore ha l’obbligo di accogliere la richiesta.
  5. Diritto di limitazione dell’elaborazione dei dati. L’utente può accettare la memorizzazioni dei dati ma non che questi vengano utilizzati per altre finalità.
  6. Diritto all’esportazione dei dati. Tutti i dati personali devono poter essere esportati in un formato comune come .xls o xcsv. 
  7. Diritto di opposizione. L’utente può opporsi all’uso dei propri dati per qualsiasi scopo.
  8. Diritti relativi al processo decisionale automatizzato (come la profilazione). 

Chi non deve preoccuparsi dell’adeguamento GDPR?

In linea teorica, tutti dovrebbero preoccuparsi di adeguare il proprio sito web al GDPR, tuttavia, chi non ha accessi da utenti UE potrebbe anche non farlo. 

Ma ne vale la pena? Ci sono siti stranieri che hanno risolto bloccando gli IP originari dell’UE, ma è evidente che non si tratta di un’ottima idea, in quanto impatta pesantemente sul traffico del sito web.

È quindi importante provvedere all’adeguamento GDPR che ricordiamo, dal 9 gennaio 2022 è obbligatorio e quindi, in caso di non conformità, si è soggetti a multe.

Idee sbagliate sull’adeguamento GDPR

Molte persone sono confuse a causa della tanta disinformazione che circola online, che le porta a percepire l’adeguamento come qualcosa di particolarmente difficile. Ecco alcuni falsi miti.

  • Bisogna richiedere l’iscrizione al sito a chi è già iscritto?

No, ma solo se si sono iscritti spontaneamente e hanno dato il consenso a ricevere messaggi e newsletter. In caso siano stati aggiunti iscritti senza ottenere il consenso, sarà necessario chiedergli di iscriversi di nuovo.

  • Non è possibile più raccogliere indirizzi IP personali?

In realtà si può ancora fare ma bisogna mettere in sicurezza tutti i dati. È necessario comunicare in modo chiaro come vengono raccolti i dati, avere una politica sulla privacy e permettere agli utenti di eliminare i dati in qualunque momento. È necessario implementare un sistema apposito per permettere alle persone di fare richiesta di eliminazione, come ad esempio, un modulo di contatto.

  • Devo aggiungere manualmente ogni volta una casella per ottenere il consenso a ogni commento o richiesta di contatto?

Teoricamente no. In quanto basterà utilizzare un plug-in che aggiunge questa funzione a tutti i moduli e ai box.

GDPR e sito non conforme: le sanzioni

Le sanzioni previste per il mancato adeguamento alle norme del GPDR dipendono dalle dimensioni dell’organizzazione, dal tipo di business e tanti altri fattori.

Per le violazioni più gravi, le sanzioni arrivano fino 2 milioni di euro e dal 2% al 4% del fatturato totale dell’anno precedente. 

In generale, le violazioni per imprese e professionisti sono varie: sanzioni penali e amministrative, risarcimento danni, divieto di trattamento dati finché non è stata risolta la situazione. Per un maggiore approfondimento sulle sanzioni leggi il mio articolo.

Cta Gdpr

Come rendere conforme il tuo sito WordPress al GDPR

In base alla tipologia di sito e a come lo utilizzi, saranno diversi i requisiti da rispettare. Ad esempio:

  • Siti e-commerce: se lo richiedono, devi permette agli utenti di vedere i dati che raccogli su di loro. Inoltre, devi permettergli di eliminare i propri account e/o esportare i dati al suo interno.
  • Newsletter via e-mail: puoi inviare email solo agli iscritti che hanno dato esplicitamente il consenso a ricevere comunicazioni da parte tua. 
  • Siti che prevedono un abbonamento: devi permettere agli utenti di eliminare l’account e/o i dati tramite un semplice modulo “elimina il mio account” e permettergli di modificare i dati in caso di errori.
  • Blog con commenti: devi permettere agli utenti di eliminare i commenti.
  • Cookie: devi installare un plug-in apposito per la gestione

Inoltre, per tutti i siti bisogna disporre una pagina che riporti la politica sulla privacy.  Vediamo più dettagliatamente cosa devi fare per rendere conforme il tuo sito WordPress.

Aggiorna sempre WordPress all’ultima versione

Devi sempre mantenere il tuo sito WordPress aggiornato installando l’ultima versione del CMS che solitamente include aggiornamenti importanti sulla protezione dei dati degli utenti.

A partire da WordPress 4.9.6, il CMS è già conforme al GDPR, sono state apportate modifiche ai commenti, alle impostazioni sulla privacy, ai moduli di contatto e tanto altro. 

Raccolta di email

Se il tuo sito raccoglie l’indirizzo email degli utenti, devi implementare la casella di consenso nel modulo di registrazione. Puoi farlo utilizzando un qualunque plug-in di email marketing, tra i più diffusi ci sono: MailChimp, ActiveCampaign, ConvertPro e MailPoet.

Sono tutti conformi al GDPR e ti permettono di inviare e gestire gli indirizzi email degli utenti in modo sicuro.

WooCommerce/eCommerce

Se utilizzi Woocommerce per il tuo shop online dovrai fare una serie di adeguamenti che ti invito a leggere nel regolamento GDPR ufficiale

I tre passaggi fondamentali sono:

  • Creazione di una pagina sulla politica della privacy che descrive in che modo gestisci i dati raccolti
  • Implementazione di un sistema per consentire agli utenti di fare richiesta di cancellazione dei dati
  • Implementare sistemi di prevenzione e protezione contro attacchi hacker ed eventuale furto di dati.

Woocommerce non memorizza alcun dato personale, ma tante estensioni lo fanno, ti invito ad approfondire l’argomento direttamente sul sito del produttore.

Inserisci la privacy policy

Devi sempre avere una pagina in cui viene spiegata tutta la privacy policy del tuo sito web, come raccogli i dati e in che modo li utilizzi. 

WordPress, per impostazione predefinita, permette di generare una pagina sulle norme della privacy. Puoi farlo andando su Impostazioni >Privacy e poi su Crea.

WP AutoTerms è un altro plug-in gratuito che ti permette di creare diverse privacy policy per normative CCPA, GDPR e per divulgazione link di affiliazione Amazon Associates.

Tuttavia, ti suggerisco di contattare degli esperti in materia legale per redigere correttamente la tua politica sulla privacy.

Google Analytics e simili

Google Analytics tiene traccia dei dati personali degli utenti, per cui è importante capire come raccogliergli e gestirli in sicurezza. 

Google ha implementato diversi sistemi come la Modalità di consenso che permette alle impostazioni di adattarsi in modo dinamico in base al livello di consenso dell’utente. 

Puoi comunque utilizzare plugin di analisi come MonsterInsights, che offre agli utenti una guida sull’utilizzo in linea con le norme GDPR. Il pacchetto premium include il componente aggiuntivo EU GDPR Compliance, utile a semplificare la procedura.

Esportazione/eliminazione dati 

Se raccogli i dati degli utenti con il tuo sito web, devi permettere loro di eliminarli in qualunque momento. 

Per farlo puoi utilizzare dei plug-in appositi con i quali creare dei moduli di contatto utili a consentire agli utenti di contattarti e chiedere la cancellazione dei dati. Puoi provare: WP Frontend Delete Account e Delete Me.

Installa un plug-in per chiedere il consenso all’utilizzo dei cookie. Ci sono tantissime soluzioni gratuite, te ne suggeriscono alcune:

Utilizza solo temi e plugin conformi al GDPR  

WordPress rende disponibile più di 50.000 plug-in, anche se la maggior parte hanno implementato aggiornamenti in linea con il GDPR, altri non l’hanno fatto. Questo accade se i developer non risiedono nell’UE.

Per questo motivo assicurati sempre che i temi e i plugin che installi siano conformi al GDPR e che non raccolgano dati in modo illecito o non conforme al regolamento europeo.

Ottieni l’autorizzazione dell’utente prima di divulgare i dati

Se pensi di utilizzare i dati dei tuoi utenti in qualsiasi altro modo, dovrai chiedergli il permesso. Qualunque sia l’utilizzo diverso da quello dichiarato al momento dell’accettazione iniziale, dovrà essere comunicato con richiesta di nuovo consenso

Un esempio molto chiaro è quello della vendita di un sito web con la lista delle mail di contatto dei clienti, in questo caso andrà richiesta conferma agli iscritti.

Avvisa gli utenti in caso di attacco hacker

Se il tuo sito viene violato, sei obbligato ad avvisare tutti gli utenti dell’accaduto e della possibile sottrazione dei dati. Secondo il GDPR, hai 72 ore di tempo, dal momento in cui ne vieni a conoscenza, per avvertire gli utenti.

Se utilizzati un sito web WordPress, potresti aver bisogno di contattare il tuo servizio di host per gestire al meglio la violazione hack.

Usa uno strumento di test per verificare la conformità al GDRP

Infine, un ulteriore passaggio che puoi fare è quello di utilizzare uno strumento che verifichi se il sito è conforme al GDPR.

Anche se non sono infallibili e il risultato non è garantito, potrebbero comunque esserti utili per farti un’idea e controllare la presenza di eventuali mancanze. 

Puoi provare: CookieBot e 2gdpr.com.

GDPR: il tuo sito è conforme?

Ora che sai quali sono i passaggi fondamentali per adeguare il tuo sito WordPress al GDPR, non ti resta che metterli in pratica.

In breve, riassumendo i punti salienti di questa guida sul GDPR 2022, dovrai:

  • Avvisare gli utenti della presenza dei cookie  e ottenere il consenso
  • Implementare funzioni che permettono agli utenti di eliminare o esportati i propri dati in un formato comune
  • Inviare email solo agli iscritti che hanno dato il loro esplicito consenso
  • Non utilizzare i dati di un utente se non vuole
  • Mantenere aggiornata la versione di WordPress e tutti i temi e plu-gin
  • Utilizzare solo temi/plug-in conformi al GDPR

Dopo questa breve panoramica, vorrei ricordarti la cosa più importante sul GDPR! l’adeguamento è inerente l’azienda ed i processi di trattamento dei dati.
Il sito web non è altro che uno dei trattamenti dati da adeguare.

Non cadere nel classico errore commesso da molti, ovvero pensare, che adeguando il proprio sito al GDPR, senza adeguare l’intera azienda, si sia a posto!
Le normative italiane che governano il mondo della privacy attualmente in vigore sono:

Ti consiglio di leggerli per comprendere meglio cosa fare.

Un buon adeguamento alla GDPR comprende le seguenti attività da svolgere:

  • Consulenza Telefonica preliminare
  • Auditing con analisi di tutti i processi aziendali interessati dal trattamento privacy
  • Gestione Accountability con l’identificazione dell’organigramma di trattamenti e relativi flussi dati
  • Identificazione dei Trattamenti effettuati dall’azienda
  • Analisi dei rischi e identificazione delle misure di sicurezza adottate
  • Produzione delle informative
  • Redazione delle lettere di incarico (addetti e responsabili)
  • Redazione del registro dei trattamenti
  • Privacy By Design
  • Adeguamento siti web sia come informativa che come cookie
  • Disaster Recovery (identificazione delle procedure)
Cta Gdpr
Max Valle

Da oltre 30 anni erogo consulenze e servizi digitali per aziende e professionisti, che vogliono sviluppare il loro business, aumentando i clienti in modo serio e produttivo, utilizzando le ultime tecnologie web e nel pieno rispetto delle normative vigenti in materia.