Come rendere conforme il sito alla normativa GDPR
(Aggiornato il 01/02/2024)
Il Regolamento generale sulla protezione dei dati (GDPR) è entrato in vigore il 25 maggio 2018. Questo ha portato il più grande cambiamento nel campo della privacy dei dati e della normativa. Qualsiasi sito web che serve i cittadini dell’UE deve essere conforme al GDPR. In caso contrario, il sito finisce per essere contrario alla legge e rischia una pesante sanzione.
Saputo questo, non vorrete certo andare contro la legge, vero? Ecco perché è necessario rendere il sito WordPress conforme al GDPR. Se non conoscete la procedura, questo articolo ve la illustrerà.
Qui ho spiegato cos’è la conformità di WordPress al GDPR, cosa dovete fare ai sensi del GDPR e come rendere il sito WordPress gdpr conforme alla normativa vigente.
Ora, entriamo nel vivo!
Cos’è il GDPR?
Il GDPR (General data protection regulation) è una legge dell’Unione Europea (UE) che offre ai cittadini dell’UE un controllo migliore e più forte su come i loro dati vengono tracciati, raccolti, archiviati e utilizzati online. L’obiettivo principale del GDPR è cambiare l’approccio alla privacy dei dati delle organizzazioni (aziende online e proprietari/sviluppatori di siti web) all’interno e all’esterno dell’UE.
La Commissione Europea ha approvato il GDPR il 14 aprile 2016, segnando un importante cambiamento nella normativa sulla privacy dei dati. Il GDPR sostituisce la Direttiva sulla protezione dei dati del 24 ottobre 1995 ed è anche più esteso della Cookie Law del 2011. Tuttavia, per l’attuazione del GDPR sono stati concessi due anni, con scadenza il 25 maggio 2018.
Vi sarà capitato di ricevere e-mail da Google e da altre aziende su come rendere il vostro sito WordPress conforme al GDPR, sull’informativa sulla privacy e su altri aspetti legali. È perché l’UE infligge pesanti sanzioni a chi non si adegua al GDPR.
Ecco alcuni termini chiave per capire il GDPR:
- Responsabile del trattamento: Un responsabile del trattamento determina i mezzi e le finalità del trattamento dei dati personali.
- Incaricato del trattamento: Un incaricato del trattamento è responsabile di tutto il trattamento dei dati personali per conto del responsabile del trattamento.
- Dati personali: I dati personali sono tutte le informazioni che consentono di identificare un individuo, anche se indirettamente collegate ad altre informazioni.
Perché il GDPR è necessario ?
L’UE non è un governo malvagio che cerca di imporre qualcosa dal nulla. Ha imposto il GDPR con l’obiettivo di proteggere i dati dei consumatori da registrazioni, tracciature o utilizzi illegali. Questo protegge dalla gestione sconsiderata dei dati e dalle violazioni.
La pesante sanzione è destinata ad attirare l’attenzione di grandi aziende come Google, Amazon e Facebook che conservano i dati personali di un gran numero di persone. Inoltre, questo incoraggia le organizzazioni a dare maggiore importanza alla protezione dei diritti delle persone.
Quindi, sebbene possiate vedere il GDPR come un cattivo, vi renderete conto che non è una follia una volta conosciuto lo spirito della legge.
Cosa prevede il regolamento GDPR ?
Abbiamo detto che il GDPR ha lo scopo di proteggere le informazioni personali degli utenti e di guidare l’organizzazione a un certo livello quando si tratta di raccogliere, archiviare e utilizzare tali informazioni.
Le informazioni personali possono includere nome, indirizzo IP, indirizzo fisico, e-mail, dettagli bancari e codici di transazione, informazioni sulla salute, reddito e altro ancora.
Il regolamento GDPR è composto da 200 pagine (11 capitoli, 99 articoli) e per sfogliare ogni pagina ci vorrà del tempo. Pertanto, metteremo in evidenza i pilastri più importanti che dovete conoscere:
1. Consenso esplicito
Se il vostro sito web raccoglie dati personali di cittadini dell’UE, dovete ottenere il loro consenso esplicito. Non potete semplicemente inviare e-mail non richieste a coloro che hanno compilato il vostro modulo di contatto o vi hanno dato il loro biglietto da visita. A meno che non si iscrivano alla vostra newsletter di marketing, le e-mail che inviate loro sono etichettate come SPAM.
- Affinché il vostro modulo possa essere definito un consenso esplicito, deve seguire le seguenti regole:
- Deve avere un opt-in positivo (vale a dire, nessuna casella di controllo pre-selezionata)
- Deve contenere una formulazione chiara, cioè non deve contenere termini giuridici.
- Deve essere separato dagli altri termini e condizioni.
2. Diritti sui dati
Dovete informare gli utenti su come, perché e dove i loro dati vengono memorizzati, elaborati e utilizzati dal vostro sito web. Gli utenti hanno il diritto di scaricare i propri dati personali. Si riservano inoltre il diritto di far cancellare i propri dati.
Pertanto, se gli utenti annullano l’iscrizione o chiedono alla vostra azienda di cancellare il loro profilo, dovete farlo.
3. Notifiche di violazione
Le organizzazioni e i siti web devono segnalare determinate violazioni di dati alle autorità competenti entro 72 ore. L’azienda deve inoltre informare subito le persone interessate dalla violazione. Tuttavia, se la violazione è innocua e non comporta rischi per i dati degli utenti, la segnalazione non è necessaria.
4. Responsabili della protezione dei dati
Se siete un’azienda pubblica o memorizzate/elaborate grandi quantità di informazioni personali, dovete nominare un responsabile della protezione dei dati. In caso di dubbi, potete consultare un avvocato.
Per riassumere il tutto:
- Non si può continuare a inviare e-mail a persone che non le hanno richieste.
- È possibile vendere i dati degli utenti senza ottenere il loro consenso esplicito.
- È necessario cancellarli e disiscriverli dalla propria lista di e-mail se lo richiedono.
- È necessario segnalare le violazioni dei dati alle autorità competenti.
Principi di base del GDPR
I principi fondamentali del GDPR che un responsabile del trattamento deve seguire sono sette:
- Il trattamento dei dati deve essere lecito, equo e trasparente.
- I dati personali devono essere raccolti per uno scopo esplicito, legittimo e specifico e devono essere utilizzati solo per tale scopo.
- I dati personali devono essere limitati, pertinenti e adeguati solo a quanto necessario.
- I dati personali devono essere accurati e aggiornati.
- I dati personali devono essere conservati per il periodo più breve possibile in forma identificabile.
- I dati personali devono essere trattati garantendo la sicurezza dei dati.
- Il responsabile del trattamento ha la piena responsabilità di dimostrare la conformità a tutti questi principi.
Diritti degli utenti ai sensi del GDPR
Ecco i principali diritti degli utenti previsti dal GDPR:
- Diritto di essere informati: Gli utenti hanno il diritto di sapere come vengono raccolti, monitorati e utilizzati i loro dati personali.
- Diritto di accesso:Gli utenti hanno il diritto di accedere alle proprie informazioni personali e di scaricarle gratuitamente in formato elettronico dal sito web.
- Diritto di rettifica:Gli utenti possono rettificare i dati personali o completarli se sono errati o incompleti.
- Diritto alla cancellazione: gli utenti hanno il diritto di lasciare un sito web e di far cancellare tutte le loro informazioni e i loro dati personali in qualsiasi momento. È noto anche come diritto all’oblio.
- Diritto di limitare il trattamento: Gli utenti hanno il diritto di limitare il trattamento dei propri dati personali in qualsiasi momento.
- Diritto alla portabilità dei dati: Gli utenti possono scaricare e riutilizzare i propri dati personali per i propri scopi.
- Diritto di opposizione: Gli utenti possono vietare in qualsiasi momento l’uso di qualsiasi dato per il marketing o per qualsiasi altro scopo.
- Diritto di essere informati sulle violazioni dei dati:Gli utenti hanno il diritto di essere informati dai proprietari entro 72 ore dal momento in cui vengono a conoscenza di eventuali violazioni dei dati.
- Diritti relativi al processo decisionale automatizzato: Gli utenti si riservano il diritto di rifiutare qualsiasi decisione presa senza il loro coinvolgimento attivo.
Le sanzioni amministrative introdotte dal GDPR
Come già ricordato, il GDPR disciplina nel dettaglio soltanto le sanzioni amministrative, che hanno quindi natura pecuniaria; in particolare, l’articolo 83 del Regolamento UE prevede sanzioni fino a:
- 10 milioni di euro o 2% del fatturato mondiale annuo dell’anno precedente per le imprese nei casi in cui, per esempio, i dati personali degli utenti vengano trattati in maniera illecita, non venga nominato il DPO , non venga comunicato un data breach all’Autorità garante;
- 20 milioni di euro o 4% del fatturato per le imprese nei casi più gravi, come ad esempio l’inosservanza dei diritti degli interessati o il trasferimento illecito di dati personali ad altri Paesi.
Il GDPR non prevede un valore minimo per la sanzione, che pertanto dovrà essere commisurata dall’Autorità Garante sulla base dei criteri di effettività, proporzionalità e dissuasività.
Sempre l’articolo 83, poi, prevede numerosi criteri che devono orientare il Garante nella quantificazione della sanzione: su tutti, è opportuno segnalare:
- il comma 2, lett. d), dove si afferma che si deve tenere debito conto del “grado di responsabilità del titolare del trattamento o del responsabile del trattamento tenendo conto delle misure tecniche e organizzative da essi messe in atto ai sensi degli articoli 25 e 32”;
- il comma 2, lett. j), che parla dell’ “adesione ai codici di condotta approvati ai sensi dell’articolo 40 o ai meccanismi di certificazione approvati ai sensi dell’articolo 42.
Diversi modi su come rendere il sito WordPress conforme al GDPR
Ci auguriamo che ora conosciate le basi della conformità al GDPR di WordPress e le conseguenze di un mancato rispetto delle regole. Questo ci porta al nostro argomento principale: come rendere il sito WordPress conforme al GDPR.
Non esiste un modo specifico per farlo. Tuttavia, vi illustreremo varie opzioni per aiutarvi a mettervi in carreggiata.
1. Assumere un avvocato
Ci rendiamo conto che non avete infranto alcuna legge, ma l’assunzione di un avvocato non sempre avviene solo dopo aver commesso un reato. A volte, una consulenza legale può essere utile prima di un evento. Vi consigliamo di assumere un avvocato (anche se temporaneo) che conosca la normativa GDPR e possa aiutarvi a trovare risposte alle vostre preoccupazioni in merito.
Inoltre, potrete ottenere una consulenza legale specificamente adattata alla vostra situazione e ai vostri vantaggi. In questo modo, potrete evitare la pesante sanzione di cui abbiamo parlato sopra.
2. Revisione del flusso di raccolta ed elaborazione dei dati
Il modo in cui il vostro sito web raccoglie e utilizza i dati degli utenti gioca un ruolo fondamentale nel determinare se è conforme o meno al GDPR. Secondo la nuova norma, i siti WordPress devono comunicare chiaramente agli utenti quanto segue mentre raccolgono i loro dati:
- Chi siete
- Che tipo di dati personali raccogliete
- Perché raccogliete questi dati
- Dove vengono memorizzati questi dati
- Per quanto tempo conservate questi dati
- Per quale/i scopo/i utilizzate questi dati
- Quali sono le vostre misure di sicurezza dei dati?
La trasparenza deve essere garantita a prescindere dai dati personali raccolti e dal mezzo di comunicazione. Il consenso esplicito è fondamentale per la raccolta e il monitoraggio dei dati personali.
Vi consigliamo di esaminare il vostro sito web WordPress e di determinare dove avviene la raccolta e l’elaborazione dei dati. È anche possibile capire dove vengono archiviate le informazioni. Le cose più comuni da controllare sono:
- Pagina di checkout dell’e-commerce o pagina di registrazione.
- Identificatori di cookie, indirizzi IP e posizioni GPS.
- Google Analytics, Hotjar e altri servizi di analisi.
Dopo aver individuato tutte le aree di raccolta, archiviazione e utilizzo dei dati, assicuratevi di chiedere l’autorizzazione agli utenti e di divulgare le modalità di utilizzo dei dati. A questo punto, potete sbarazzarvi dei dati che non vi servono o che non hanno alcun valore. Dopo aver verificato i dati raccolti, sarete un passo più vicini a raggiungere la conformità al GDPR di WordPress.
3. Aggiornamento di tutti i documenti
Con l’entrata in vigore del GDPR, è giunto il momento di aggiornare le pagine sulla privacy, i termini e le condizioni, i termini di affiliazione e altri accordi o documenti legali relativi agli utenti. La norma vi vieta di utilizzare moduli senza caselle di controllo, a meno che non siano in regola con il trattamento dei dati. In parole povere, dovete offrire agli utenti un modo per esprimere un consenso specifico.
Il GDPR ha rafforzato le condizioni di consenso. Le aziende devono ora fornire un modulo di consenso comprensibile e facilmente accessibile che illustri anche lo scopo del trattamento dei dati. Il consenso deve essere chiaro e distinguibile con l’uso di un linguaggio semplice e chiaro. Inoltre, deve essere facile ritirare il consenso così come darlo.
Se gestite un blog semplice, potete utilizzare strumenti come iubenda per la conformità gdpr o simili per rigenerare le informative sulla privacy conformi al GDPR. Inoltre, WordPress 4.9.6 e versioni successive dispongono di una nuova funzione di pagina sulla privacy. Questa funzione consente di designare una pagina sulla privacy sul vostro sito web che viene visualizzata nelle pagine di accesso e registrazione. È anche possibile inserirla nel piè di pagina del sito.
L’opzione si trova in Impostazioni > Privacy nella dashboard di WordPress.
4. Offrire la portabilità dei dati
L’articolo 20 del GDPR recita:
“L’interessato ha il diritto di ricevere i dati personali che lo riguardano, forniti a un responsabile del trattamento, in un formato strutturato, di uso comune e leggibile da dispositivo automatico e ha il diritto di trasmettere tali dati a un altro responsabile del trattamento senza impedimenti da parte del responsabile del trattamento a cui sono stati forniti i dati personali.”
Ciò significa che le aziende che raccolgono dati devono anche offrire agli utenti la possibilità di scaricare e trasferire i dati altrove.
Assicuratevi di disporre di un sistema per fornire ai vostri utenti il file scaricabile dei loro dati su loro richiesta. Se al momento non offrite questo servizio, affidatevi a uno sviluppatore WordPress.
Fortunatamente, WordPress 4.9.6 e versioni successive consentono di esportare un file ZIP contenente i dati personali dell’utente. Da qui è anche possibile cancellare i dati dell’utente.
Per farlo, accedere alla dashboard di WordPress. Fate quindi clic su Strumenti per individuare le opzioni.
5. Autocertificazione ai sensi del quadro dello Shield Privacy
Poiché molti siti web raccolgono dati da tutto il mondo, molte aziende si sono certificate in base ai quadri di riferimento dello Shield privacy Svizzera-USA e UE-USA. Questi quadri sono stati progettati dalla Commissione europea, dal Dipartimento del Commercio degli Stati Uniti e dall’Amministrazione svizzera per offrire alle aziende un meccanismo di allineamento ai requisiti di protezione dei dati.
Per saperne di più sul programma Privacy Shield.
6. Crittografia dei dati/HTTPS
Il considerando numero 83 della legge GDPR afferma:
“Per mantenere la sicurezza e impedire un trattamento in violazione del presente regolamento, il responsabile del trattamento o l’incaricato del trattamento dovrebbe valutare i rischi inerenti al trattamento e attuare misure per attenuare tali rischi, come la crittografia.”
La crittografia si riferisce a diverse azioni, come la crittografia del traffico web (HTTPS) e la crittografia della struttura di archiviazione dei dati. Raccomandiamo di crittografare il vostro traffico web indipendentemente dalle vostre preoccupazioni relative alla conformità di WordPress al GDPR.
Qui trovi la guida su come passare da HTTP a HTTPS su WordPress.
Il termine “crittografia” è menzionato solo poche volte nella norma GDPR e non è necessariamente un obbligo. Tuttavia, il passaggio all’HTTPS è di gran lunga vantaggioso per il vostro sito web.
7. Aggiornare l’informativa sulla privacy
L’utilizzo dell’informativa sulla privacy generata automaticamente è un metodo valido e conveniente. Tuttavia, i temi e i plugin di WordPress installati raccolgono e memorizzano dati. Per questo motivo, è necessario aggiornare l’informativa per divulgare tutti i cookie e i dati che vengono raccolti sul sito.
Ecco alcuni cookie comunemente raccolti:
- Google Analytics e altri servizi di tracciamento
- Servizi Cloudflare e CDN
- Google Adwords, Bing e altre reti pubblicitarie
- Notifiche push
- Opzioni o pop-up
- Mappe di calore
- Giocatori video
- Carrelli di checkout
Ecco alcuni plugin WordPress per GDPR che la gestiscono molto bene:
Plugin per moduli di contatto
Uno dei modi più semplici per ottenere la conformità al GDPR di WordPress è aggiungere una casella di controllo al vostro modulo di contatto per ottenere il consenso degli utenti alla raccolta e all’archiviazione dei dati. Fortunatamente, la maggior parte dei plugin per moduli di contatto più diffusi dispone già di questa funzione per garantire che il vostro WordPress sia conforme al GDPR.
Ecco alcuni dei plugin per moduli di contatto che sono già pronti per il GDPR:
- Plugin Contact Form 7
- WP Form
- Gravity Forms GDPR
- Ninja Forms GDPR
Dopo aver aggiunto la casella di controllo per il consenso al GDPR, è necessaria una sezione separata per l’informativa sulla privacy. Qui, è necessario divulgare tutte le informazioni che si raccolgono. Dipende dai campi che includete nel vostro modulo: nome, numero di telefono, indirizzo e-mail, indirizzo fisico, età, ecc.
Plugin per i commenti
Anche i plugin per i commenti che utilizzate su WordPress raccolgono informazioni personali. Pertanto, dovete assicurarvi di essere conformi al GDPR aggiungendo una casella di controllo del consenso prima che gli utenti possano inviare i loro commenti. Tuttavia, alcuni scenari possono rientrare nella legalità del trattamento che discuteremo più avanti in questo articolo.
Ecco alcuni plugin per i commenti che sono già pronti per il GDPR:
- WordPress native comments
- Jetpack GDPR
- Disqus GDPR
WordPress ha aggiunto il consenso ai commenti nativi per impostazione predefinita. Questo vale per le versioni di WordPress 4.9.6 e successive.
Servizi di marketing e plugin
Come per i moduli di contatto, è necessario ottenere il consenso degli utenti anche per i servizi e i plugin di marketing. Tutto, compresi i plugin per le newsletter, i plugin per i quiz, i plugin per i sondaggi, il software di email marketing e i plugin per le notifiche push, è interessato dal GDPR. Pertanto, è necessario il consenso dell’utente.
È possibile raccogliere il consenso con una casella di controllo che gli utenti devono cliccare prima di completare l’iscrizione o utilizzando il double-opt-in alla vostra mailing list.
Alcuni plugin di marketing conformi al GDPR sono:
Analisi, tracciamento, Remarketing
Qualsiasi plugin o servizio di terze parti che raccoglie dati deve essere conforme al GDPR. Tali servizi/plugin includono Google Analytics, servizi di mappe di calore, plugin per test A/B, piattaforme di remarketing e altri.
Soluzioni di e-commerce e dati di pagamento
Se il vostro sito web è un hub online, rientrate nel campo di applicazione del GDPR in quanto raccogliete informazioni personali, dati sulle vendite, dati sugli account degli utenti e vi integrate con metodi di pagamento di terze parti. Pertanto, è necessario divulgare le modalità di raccolta, conservazione e utilizzo dei dati.
In WooCommerce, le funzioni di privacy sono integrate. Per abilitarle:
Andate su WooCommerce > Impostazioni > sezione Account e privacy.
Quindi, attivare le opzioni per la conservazione dei dati personali, la rimozione dei dati personali e i link all’informativa sulla privacy.
Assicuratevi di aggiungere un’informativa alla vostra politica sulla privacy. Potete spiegare perché il vostro sito web raccoglie tali dati personali e come li utilizza. Potete anche aggiungere come questo migliora il vostro sito web (per migliorare le transazioni e le promozioni) e come proteggete questi dati e l’elaborazione dei pagamenti.
Altre soluzioni di eCommerce molto diffuse e conformi al GDPR sono:
Plugin della comunità
I plugin per le community, i plugin per i membri e i plugin per i forum memorizzano molte informazioni personali oltre a quelle utilizzate per l’iscrizione a WordPress. Assicuratevi quindi che questi plugin siano conformi al GDPR.
Alcuni plugin della comunità conformi al GDPR sono:
API di terze parti
Anche le API di terze parti memorizzano dati. Un buon esempio è Google Fonts. La maggior parte di voi probabilmente utilizza Google Fonts per creare il proprio sito web, sia come funzione integrata nel tema, sia dopo averli aggiunti manualmente al sito.
Qualunque sia lo scenario, controllate ogni API del vostro sito e scoprite quali dati vengono raccolti dal provider.
Legalità del trattamento
Chiedere il consenso degli utenti utilizzando le modalità illustrate sopra è un modo semplice per garantire la conformità al GDPR di WordPress. Tuttavia, non è l’unico modo. Infatti, ci sono alcuni casi in cui la norma consente il trattamento dei dati senza bisogno del consenso degli utenti. Si tratta della cosiddetta “liceità del trattamento”. Ecco alcuni esempi:
Necessità contrattuale
L’articolo 6 (1) b del GDPR consente il trattamento dei dati quando è necessario. Esso recita: “Il trattamento dei dati è consentito se è necessario per l’esecuzione di un contratto di cui l’interessato è parte o per prendere provvedimenti su richiesta dell’interessato prima della stipula di un contratto”.
Interesse legittimo
L’articolo 6 (1) f del GDPR recita: “Il trattamento dei dati è consentito quando è necessario ai fini dei legittimi interessi perseguiti dal titolare del trattamento o da terzi, salvo che su tali interessi prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore”.
Nota: questa regola non si applica quando le autorità pubbliche effettuano il trattamento dei loro compiti.
Plugin WordPress utili per il GDPR
Ecco alcuni dei plugin WordPress GDPR che possono essere utili per rendere il vostro sito WordPress conforme al GDPR.
1.Iubenda Cookie and Consent Solution for GDPR
Iubenda Cookie and Consent Solution è un plugin gdpr in italiano che utilizza un approccio all-in-one per rendere il vostro WordPress conforme al GDPR. Lo fa generando il testo dell’informativa sulla privacy, bloccando la gestione dei cookie e visualizzando il banner dei cookie.
2.WP Security Audit Log
Il plugin WP Security Audit Log consente di vedere facilmente cosa succede nel vostro sito WordPress. Consigliamo di utilizzare questo plugin per motivi di sicurezza. Tuttavia, può anche essere un ottimo strumento per vedere quali dati il vostro sito web sta raccogliendo, come le registrazioni degli utenti, gli inserimenti nei moduli di contatto, i commenti e altro.
3.WP GDPR Compliance
Il plugin WP GDPR Compliance è uno strumento popolare che aiuta il vostro sito web WordPress a conformarsi alle norme GDPR. Fornisce suggerimenti comuni per la conformità. Inoltre, offre l’integrazione con altri plugin popolari come Contact Form 7, Gravity Forms, WooCommerce e i commenti nativi di WordPress.
4.GDPR
GDPR è un altro plugin efficace che vi aiuta a rendere il vostro WordPress conforme al GDPR. Alcune delle caratteristiche di rilievo di questo plugin sono:
- Informativa sulla privacy e Termini di servizio gestione del consenso alla registrazione
- Diritti alla cancellazione dei dati con un’email di conferma
- Pubblicazione delle informazioni di contatto con le impostazioni del responsabile del trattamento dei dati
- Diritto di accesso ai dati del dashboard e di esportazione
- Gestione delle preferenze dei cookie e altro ancora
5.GDPR Cookie Compliance
Il plugin GDPR Cookie Compliance consente agli utenti di dare il proprio consenso per scopi specifici sui cookie, oltre alla possibilità di attivare e disattivare le impostazioni dei cookie a livello granulare.
6.Complianz GDPR
Il plugin Complianz GDPR è un plugin semplice che fa tutto il necessario per ottenere la conformità GDPR di WordPress. Rileva automaticamente se il vostro sito necessita di un avviso sui cookie. Il plugin si integra con Google Analytics, scansiona i cookie sul vostro sito, offre opzioni per bloccare i cookie, generare una politica sui cookie e molte altre funzioni.
7.GDPR Cookie Consent
Il plugin GDPR Cookie Consent consente di visualizzare una notifica di consenso ai cookie sul proprio sito. Consente l’installazione dei cookie sul browser degli utenti solo quando questi danno un consenso esplicito. Gli utenti possono revocare il loro consenso in qualsiasi momento. Il plugin offre diverse altre opzioni di personalizzazione per adattare la barra di consenso al tema del vostro sito web.
Altri modi per rendere il sito WordPress conforme al GDPR
Oltre a quelli citati, ecco altri modi per garantire la conformità di WordPress al GDPR:
1. Aggiunta di un avviso sui cookie
Il vostro sito web potrebbe raccogliere cookie dagli utenti, come notifiche push, heatmap, carrelli della spesa, pop-up e altri. Sebbene la raccolta di cookie sia finalizzata a migliorare le prestazioni del sito, si tratta comunque di una raccolta di dati. Pertanto, è necessario aggiungere un avviso di divulgazione e accettazione dei cookie alla prima pagina.
Ci sono tonnellate di plugin che vi aiuteranno a farlo. Qui abbiamo citato i due più popolari:
Cookie Notice Plugin
Cookie Notice è un plugin gratuito per la notifica dei cookie che consente di aggiungere una semplice notifica e un optin per i cookie con facilità. Questo plugin include impostazioni che consentono di aggiungere messaggi, link e pulsanti personalizzati per accettare o rifiutare i cookie.
È inoltre possibile aggiungere una scadenza per i cookie, definire il posizionamento dello script nell’intestazione o nel piè di pagina e aggiungere uno stile con diversi colori, stili di pulsanti, animazioni e posizione.
WeePie Cookie Allow
WeePie Cookie Allow è un plugin premium che vi aiuta a rispettare il GDPR. È un plugin avanzato per la conformità dei cookie che si allinea alle leggi britanniche, europee, italiane, olandesi e tedesche sui cookie. Il plugin consente di scegliere il metodo di consenso (tramite pulsante, implicito o a scorrimento), lo stile (barra o riquadro) e di aggiungere link all’informativa sulla privacy.
Il plugin è anche compatibile con il multisito e risponde a tutte le dimensioni dello schermo.
2. Facilità di richiesta/cancellazione delle informazioni da parte degli utenti
Come già detto, WordPress 4.9.6 offre opzioni integrate per la gestione dei dati degli utenti. Pertanto, se un utente desidera ottenere una copia dei propri dati o cancellare le informazioni che gli sono state fornite, può farlo all’istante. Tuttavia, per consentire agli utenti di farlo, è necessario creare un modulo di contatto che consenta loro di mettersi in contatto con voi.
A seconda del tipo di sito, potrebbe essere necessario installare un plugin per i moduli di contatto per semplificare l’invio dei contatti. Si tratta di un’opzione efficace se il vostro sito ha un gran numero di utenti, come ad esempio un sito di iscrizione o un forum online.
Alcuni plugin, come Ninja Forms, includono modelli personalizzati di esportazione e cancellazione dei dati. Tuttavia, se il vostro sito web è un blog o un sito aziendale senza account utente, potete semplicemente aggiungere un’e-mail di contatto nella pagina dell’informativa sulla privacy.
3. Invio di notifiche per eventuali aggiornamenti delle politiche o violazioni dei dati.
Questa è l’ultima parte della conformità al GDPR di WordPress che spicca per la sua importanza. Il vostro sito web è obbligato a inviare una notifica agli utenti in merito a qualsiasi aggiornamento delle politiche o a eventuali violazioni dei dati. Questo aspetto entra in gioco per i siti web che offrono account utente per raccogliere informazioni sui clienti o per gestire una newsletter.
Se si utilizza una piattaforma di posta elettronica per la comunicazione, è possibile inviare un rapido aggiornamento sulla privacy o un avviso di violazione dei dati ai propri utenti. Tuttavia, se si utilizza un plugin per la conformità al GDPR,si dispone già di un sistema di notifica integrato per contattare gli utenti del sito web.
Alcuni dei plugin GDPR consentono persino di automatizzare la notifica relativa all’aggiornamento della politica o alla violazione dei dati. In questo modo si risparmia una notevole quantità di tempo.
Audit #GDPR
La conformità al GDPR di WordPress può essere molto impegnativa e può andare oltre la confusione. Si tratta di un requisito massiccio per quanto riguarda la raccolta e la protezione dei dati personali. Se non siete sicuri del vostro sito WordPress, sarebbe saggio consultare un esperto per un audit GDPR, preferibilmente uno che lavora esclusivamente con WordPress.
Domande frequenti (FAQ)
Il GDPR si applica al mio sito web WordPress ?
Sì, il GDPR si applica al vostro sito web. Infatti, tutti i siti web e le aziende che servono i cittadini dell’UE devono conformarsi al GDPR. Le conseguenze del mancato rispetto della legge possono portare fino al 4% del vostro fatturato annuale totale o a una sanzione di oltre 23,5 milioni di dollari. Ma non preoccupatevi.
Sebbene l’importo della sanzione possa far drizzare le antenne a chiunque, l’escalation di multe non è rapida. In un primo momento si ricevono avvertimenti, seguiti da ammonizioni e dalla sospensione del trattamento dei dati. Se si continua a contravvenire alla legge, si incorre nella sanzione di cui sopra.
WordPress è conforme al GDPRm ?
Sì, WordPress è conforme al GDPR dalla versione 4.9.6 in poi. Il team centrale di WordPress ha apportato diversi miglioramenti al GDPR per assicurarne la conformità. È importante sapere che ci riferiamo al sito WordPress.org in hosting autonomo.
Vedi la differenza tra WordPress.org e WordPress.com.
Tuttavia, è fondamentale sapere che nessuna piattaforma, tema o plugin può offrire il 100% di conformità a WordPress. Le regole del GDPR variano a seconda del tipo di sito, dei dati memorizzati e del modo in cui vengono elaborati.
Su chi impatta il GDPR ?
Le norme del GDPR sono state concepite per proteggere la privacy dei dati dei cittadini dell’UE. Tuttavia, la norma ha un impatto su tutti coloro che operano sul web. È indipendente dal luogo in cui la vostra azienda è stata fondata o dal fatto che svolga attività online. Se la vostra azienda raccoglie o elabora dati di cittadini dell’UE, il GDPR si applica a voi.
Ecco alcuni esempi di siti web che hanno un impatto sull’UE ma che si trovano al di fuori della regione:
– Un sito web WordPress che raccoglie informazioni personali dagli utenti.
– Un negozio che chiede agli utenti di registrarsi per acquistare temi o plugin.
– Un blog che prevede l’iscrizione alla newsletter o ai commenti dei visitatori.
– Un sito web di commercio elettronico che vende prodotti online.
– Un sito web che utilizza un software di analisi.
Quindi, il succo è che se prendete i dati di un cittadino dell’UE, dovete rispettare le regole del GDPR. Bloccare i cittadini dell’UE sarebbe la via d’uscita dal problema del GDPR. Ma ancora una volta, non potete permettervelo, né potete permettervi di disobbedire alla legge.
Vi consigliamo di rendere il vostro sito web conforme al GDPR per ottenere una situazione vantaggiosa per entrambe le parti.
A quali informazioni si applica il GDPR ?
La nuova norma del GDPR si applica a tutte le informazioni che possono essere unite ad altre per riconoscere l’identità di una persona. Di fatto, la nuova legge ridefinisce la portata delle informazioni relative alla raccolta, all’archiviazione e all’utilizzo dei dati online. Pertanto, il GDPR tiene conto di ogni piccolo dettaglio, come ad esempio:
– Nome e cognome
– Numero di cellulare
– Indirizzo e-mail
– Foto
– Indirizzo fisico
– Dati relativi alla posizione
– Indirizzo IP
– Dati di profilazione, vendita e analisi
– Numero di previdenza sociale
– Comportamento online (cookie)
Inoltre, la legge si applica anche ad altri dati personali sensibili che richiedono un trattamento più attento. Si tratta di:
– Stato di salute
– Dati genetici
– Orientamento sessuale
– Credenze religiose
– Opinioni politiche
– Dati comportamentali
– Dati finanziari
– Dati biometrici
In generale, la norma del GDPR si applica sia ai dati personali che a quelli sensibili.
Sintesi
Il GDPR è una grande preoccupazione quando si tratta di gestire un sito web. Ha un impatto su tutti i siti web WordPress presenti su Internet. Se il vostro sito web riceve un cittadino dell’UE, siete tenuti a rispettare le norme del GDPR.
In questa guida abbiamo fornito una breve introduzione al GDPR e ai motivi per cui dovreste rispettarlo. Inoltre, abbiamo evidenziato vari modi per rendere il vostro sito WordPress conforme alla normativa GDPR. Vi consigliamo di seguire queste istruzioni e di fare ulteriori ricerche per garantire che il vostro WordPress sia pienamente conforme al GDPR.
Infine, consigliamo vivamente di contattare un consulente GDPR, preferibilmente quello che si occupa della conformità GDPR di WordPress. Potranno fornirvi diversi consigli per garantire la piena conformità al GDPR.
Non indugiate a rendere il vostro WordPress conforme al GDPR, o potreste incorrere nelle allarmanti multe di cui abbiamo parlato in precedenza. Per ulteriori dubbi e domande, lasciate un commento qui sotto.
Lascia un Commento
Vuoi partecipare alla discussione?Sentitevi liberi di contribuire!