GDPR WordPress

GDPR WordPress.I plugin da installare sul tuo blog

GDPR WordPress. L’argomento più battuto in questo periodo, mille domande e poche risposte. In questo post troverai tutte le risposte  per adeguarsi alla normativa sulla privacy.

Recentemente avevo già scritto un post dove ho trattato l’argomento più discusso di quest’ultimo periodo: GDPR e WordPress. Ora ho deciso di approfondire la tematica dato che a breve anche il mio blog dovrà adeguarsi, quindi mi sono informato per bene.

GDPR e WordPress: come mettere a norma il tuo sito web.

Prima di inziare a indicarti tutti gli step necessari per adeguarti al GDPR WordPress è bene fare una premessa. Tutte le informazioni  che leggerai in questo articolo  è frutto di vari tutorial, webinar e articoli di altri blog famosi che stanno fornendo informazioni in merito al GDPR  e WordPress.

GDPR  WordPress

Cosa occorre fare per adeguarsi alla nuova normativa GDPR WordPress? Iniziamo subito.

Dunque, iniziamo con per controllare se il nostro sito web WordPress e in regola alle conformità GDPR. Partiamo dal presupposto che stiamo parlando di un sito web standard come un blog o un giornale online con servizi standard, ovvero raccolgono dati personali attraverso moduli web (contatti, newsletter, commenti, etc.), social, Google Analytics, etc.

GDPR  WordPress per blog/giornali online

Partiamo dal primo step. Prima di attivarci su cosa occorre installare è necessario  analizzare il nostro blog per capire se vengono raccolti dati personali ovvero cookie di profilazione dell’utente.

Nella stragrande maggioranza questo aspetto non interessa piccoli siti web ma è importante capire almeno di cosa stiamo parlando.

“Vengono definiti Cookie di profilazione perché sono in grado di capire e raccogliere informazioni riguardante le preferenze personali delle persone. Quindi con la nuova normativa la categoria dati personali e integrata e gestita dal GDPR dato che non è stata approvata la direttiva E-Privacy che avrebbe dovuto sostituire l’attuale Cookie Law.”

Quali sono i dati personali?

I dati personali si distinguono, essenzialmente, in due grandi categorie: normali (dove sono ricompresi anche i cookie) e speciali.

Tipi di dati personali: Nome, Indirizzo, Indirizzo email, Foto, Indirizzo IP, dati sulla posizione, Comportamento online (cookie), Profiling e analisi dei dati

Categorie speciali: Religione, opinioni politiche, Orientamento sessuale, Informazioni sulla salute, dati biometrici, dati genetici

Con il nuovo regolamento occorre conoscere tutti i dati personali che vengono memorizzati nel nostro sito web dati che ne siamo responsabili.

Ti faccio un esempio: se utilizziamo i social come Facebook, Google+… dobbiamo sapere in quale paese i dati personali dei nostri utenti vengono inviati dato che il trasferimento dei dati personali è vietato dal GDPR almeno che il Paese in questione fornisca un livello di protezione.

In pratica dobbiamo verificare se è iscritto alla Privacy Privacy Shield (convenzione tra UE e Americani che ha sostituito il precedente accordo Safe Harbour), oppure fonda la sua azione su apposite clausole di adeguatezza sulle quali basa il trattamento dei dati.

Ok, mi hai detto che devo controllare se il mio blog raccoglie dati personali, ma effettivamente cosa devo fare?

Al momento, la soluzione consigliata è utilizzare tool online come CookieBot o CookieMetrix per un tracciamento dei dati raccolti.

GDPR  WordPress: CookieBot cosa fa?

Il plugin Cookiebot analizza il tuo dominio  per determinare se è conforme o meno alle regolamentazioni dell’Unione Europea sul tracciamento online. Se è conforme (e non hai moduli web che raccolgono dati personali) puoi saltare gli step successivi e passare direttamente all’adeguamento della sola Privacy Policy. Se non è conforme continua a seguire questi step.

GDPR WordPress
GDPR WordPress CookieBot Tool

In pratica, Cookiebot verificherà i seguenti obblighi previsti dal Regolamento generale sulla protezione dei dati (RGPD) e dalla direttiva sulla ePrivacy (ePR) :

  1.  Previo consenso su cookie non strettamente necessari (ePR)
  2.  Previo consenso sui dati personali (GDPR)
  3.  Trasmissione dei dati personali solo in ‘paesi adeguati’ (GDPR)

Alla fine dell’analisi, Cookiebot ti invierà via mail una relazione PDF della scansione del tuo dominio dove puoi trovare informazioni dettagliate sui cookie e su altre tecnologie simili di tracciamento impiegati sul tuo sito.

Cookiebot ha anche tante altre funzionalità, tra cui quella del banner per il consenso sui cookie conforme al GDPR.

Plugin CookieMetrix

Con Cookiemetrix, invece, otterrai in report nel quale verificare l’eventuale presenza del banner cookie, dei cookie di terze parti e di quelli permanenti.

GDPR WordPress
GDPR WordPress CookieMetrix tool

Quest’analisi è utile per il controllo della conformità alla Cookie Law italiana ancora in vigore fino all’applicazione della nuova normativa europea.

Come vengono raccolti i dati personali

Dopo aver analizzato  il tuo sito web con i tool che ti ho segnalato, occorre sapere che la raccolta dei dati personale oltre che tramite cookie può avvenire anche tramite  un semplice indirizzo email, un modulo web (contatti, newsletter, commenti) installato tramite codice JS o plugin, etc.

Per gestire questo aspetto puoi utilizzare per tracciare tutto quello che avviene sul nostro sito web il plugin WP Security Audit Log (versione free o premium).

Di solito questo plugin viene utilizzato per scopi di sicurezza ma in questo caso può tornarci molto utile per monitorare tutti i dati raccolti dal nostro sito web, come ad esempio i dati delle registrazioni degli utenti, dei commenti, dei moduli di contatto, ecc.

WP Security Audit Log Premium

WP Security Audit Log Premium aggiunge al monitoraggio del sito web già presente con la versione free, altre funzioni come la ricerca, i report e le notifiche via email:

  1. Scopri chi è collegato al tuo WordPress e cosa sta facendo in tempo reale: puoi interrompere in remoto sessioni sospette e/o bloccare più sessioni per lo stesso utente.
  2. Genera report e statistiche, manageriali e di conformità: genera qualsiasi tipo di report sulle attività degli utenti di WordPress. Puoi anche configurare e pianificare report automatici giornalieri, settimanali e mensili che ti saranno inviati direttamente via email.
  3. Avvisi e-mail istantanei: ricevi immediatamente un avviso via email per qualsiasi modifica avvenuta nel tuo sito WordPress.
  4. Esportazione dati: puoi esportare una copia dei log di controllo di WordPress sui servizi online come Papertrail o sul file syslog del tuo server.

Dopo aver analizzato tutti gli aspetti del nostro sito web (pluigin, codici JS utilizzati, moduli contatti, newsletter, commenti in relazione ai dati raccolti) e profilazione dati personali tramite cookie, per avere un sito web conforme al GDPR bisogna fare essenzialmente due cose:

  1. Indicare nei rispettivi moduli web le finalità di raccolta dei dati + un link alla tua privacy policy aggiornata al nuovo GDPR.
  2. Ottenere il previo consenso (non ambiguo) per il trattamento dei dati personali.

Come ricevere il consenso conforme al GDPR ?

Per ricevere questo consenso, innanzitutto, devi indicare nella tua privacy policy, le giustificazioni legali che sono alla base della tua richiesta dati. Devi, cioè, specificare quali sono le finalità per le quali stai chiedendo ai tuoi utenti i loro dati personali.

Ti faccio un esempio pratico, nel mio caso che ho il  modulo newsletter, la finalità di raccolta è  quella di inviare email informative su articoli e altro ai miei lettori quindi gli utenti del tuo sito web devono prestare il proprio consenso in modo inequivocabile e devono essere informati in maniera semplice e chiara sulle finalità del trattamento dei propri dati personali.

Per raccogliere i dati personali degli utenti del tuo sito web in base al “consenso non ambiguo”, semplicemente, devi utilizzare nei rispettivi moduli web un campo obbligatorio (checkbox) senza spunta, il cui testo, per fare un esempio nel caso del modulo newsletter, potrebbe essere il seguente: “Ho letto l’informativa Privacy e acconsento al trattamento dei miei dati personali per l’invio di newsletter mensili via mail.

Quello che assolutamente non puoi fare è creare un modulo web con una doppia finalità senza averle chiaramente specificate.

In generale, poi, ricordati che quando usi questi moduli (commenti, newsletter, contattati, etc.) devi sempre richiedere solo i dati effettivamente necessari allo scopo della richiesta.

Plugin  per richiedere consenso tramite checkbox

Per inserire i vari checkbox nei diversi moduli web, per chi non è in grado di aggiungerli manualmente, ci vengono in aiuto diverse soluzioni:

  1. NS GDPR Helper: utile per inserire il checkbox nel modulo contatti, commenti e per Woo-Commerce;
  2. WP GDPR Compliance: utile per inserire il checkbox nel modulo contatti, commenti, Gravity Forms e per Woo-Commerce.

GDPR e WordPress: banner consenso Cookie

Nel caso dei cookie occorre rivedere il banner per il consenso precedentemente installato per la Cookie Law (dove principalmente gli utenti venivano informati della presenza dei cookie) per adeguarlo al nuovo regolamento europeo sui dati personali (dove è necessario il previo consenso per i dati).

Nel GDPR i cookie di profilazione sono considerati DATI PERSONALI e pertanto soggetti anche al consenso. Inoltre, se questi cookie perseguono diverse finalità occorre un consenso per ognuna di esse.

Così come avviene nei moduli web (contatti, commenti ecc..) per cui si richiedono tanti consensi quante sono le finalità, anche nel caso dei cookie di profilazione in quanto dati personali ai sensi del GDPR, il consenso deve essere richiesto per ognuno dei diversi trattamenti.

Infine, oltre a garantire la possibilità di dare il consenso è necessario fornire all’utente la possibilità di revocare il consenso in qualsiasi momento.

Quindi il nuovo banner per il consenso dei cookie deve essere in grado:

  1. ottenere il previo consenso (non ambiguo) ai dati personali;
  2. documentare il consenso ricevuto;
  3. permettere ai visitatori di cambiare idea in qualsiasi momento.

La soluzione per avere un banner per il consenso dei cookie conforme al GDPR viene sempre offerta da Cookiebot che, oltre a tracciare i dati del tuo sito web, consente di avere un registro dei consensi esportabile anche in excel. I visitatori, inoltre, in qualsiasi momento, possono revocare il consenso prestato direttamente dalla pagina dei cookie o tramite un apposito codice inserito in una voce del menu del footer del tuo sito web.

GDPR WordPress
GDPR WordPress consenso banner cookie con CookieBot

Cookiebot è uno dei pochi tool in rete, che offre un banner per il consenso dei cookie perfettamente conforme al GDPR.

GDPR  WordPress: come funziona CookieBot

La prima volta che un utente visita il tuo sito web, Cookiebot mostra una finestra di dialogo semplice da usare e diretta – a prescindere dalla prima pagina alla quale l’utente acceda. La finestra di dialogo configurabile informa l’utente dell’utilizzo dei cookie e gli chiede il consenso per impostarli sul browser web; il tutto con il minimo impatto sull’esperienza generale di utilizzo. Consente, inoltre, di revocare il consenso nel caso l’utente, per qualsiasi motivo, abbia cambiato idea!

GDPR WordPress
Plugin CookieBot – Funzionalità

Funzionalità di base:

  1. Informativa sui cookie e scansione automatica
  2. Banner di consenso per l’uso dei cookie
  3. Cookie Control API
  4.  Repository dei cookie
  5.  Consenso di massa per più domini
  6.  Supporta e rileva automaticamente ogni lingua
  7.  Geo targeting in tempo reale
  8.  Reporting
  9.  Veloce e affidabile
  10.  Sicurezza crittografata

Se usi WordPress, puoi installare l’apposito plugin gratuito di Cookiebot, direttamente da qui.

Alternative a CookieBot

Tra le alternative presenti in rete, pensando di fare cosa gradita, ti segnalo altri banner cookie conformi al GDPR:

  1. Cookie Control (per tutti i siti web)
  2. Cookie Script (per tutti i siti web)
  3. Iubenda Cookie Solution
  4. WeePie Cookie Allow

Aggiornare la Privacy Policy e la Cookie Policy

Come ultimo punto di questa mini-guida sul GDPR WordPress è quello di aggiornare la nostra informativa privacy per renderla conforme al GDPR.

le principali novità da considerare riguardano i seguenti punti:

  1. indicare il soggetto titolare del trattamento, le finalità, il tempo di conservazione dei dati personali (specificando anche quelli contenuti nei registri dei log del server);
  2. mettere a conocenza l’hosting web e/o le terze parti che tramite il nostro sito web raccolgono dati personali, come responsabili esterni del trattamento (sulla base di un apposito contratto);
  3. indicare le basi giuridiche per legittimare il trattamento dei dati personali che il titolare vuole effettuare tramite i moduli web (consenso tramite checkbox obbligatoria o altra base giuridica, es. l’interesse legittimo); Specificare che per i dati personali contenuti nei registri dei log del server, la base legale che legittima la registrazione e l’archiviazione di queste informazioni è: l’interesse del proprietario alla sicurezza dei dati (art. 6, paragrafo 1, punto F del GDPR);
  4. indicare le misure di sicurezza che abbiamo adottato per proteggere i dati contenuti nel nostro sito web e quelle adottate dall’hosting web per limitare i rischi in caso di violazioni del server.

La soluzione per aggiornare la Privacy e la Cookie Policy al GDPR è sicuramente la consulenza legale, soprattutto, se hai una specifica casistica da regolamentare.

In alternativa al supporto legale, la soluzione più semplice, economica e completa per generare un’informativa policy completa, adeguata e aggiornata alle nuove normative europee (GDPR) è rappresentata dal sito Iubenda.

Chi ha già scelto Cookiebot, può evitare l’abbonamento pro di Iubenda per i cookie optando solo per la Privacy Policy gratuita se nel proprio sito web non ha più di cinque servizi (es. Social Media, Moduli web, etc.) o per quella professionale al costo base di 19 euro anno.

Diritto accedere/modificare/cancellare/richiedere i dati personali

Per consentire ai visitatori del nostro sito web l’esercizio dei diritti tutelati dal GDPR, innanzitutto, possiamo attendere i prossimi aggiornamenti di WordPress previsti per la prima decade di Maggio 2018. Nelle prossime versioni di WordPress saranno, infatti, integrati nuovi strumenti per rispondere alle esigenze di adeguamento alla normativa europea GDPR.

Elaborazione dati di terze parti

L’ultimo punto dellamini guida GDPR  WordPress relativo ai siti web WordPress con servizi più o meno standardizzati si concentra sui plugin e le terze parti presenti nel nostro sito web.

Tutti i plugin, i software esterni che usi sul tuo sito web, e soprattutto, l’hosting web devono essere conformi al GDPR.

Controlla le politiche sulla privacy e/o gli accordi con i fornitori di terze parti che utilizzi nel tuo sito web. Scopri quali sono i loro piani per conformarsi al GDPR. Se non ottieni risposte soddisfacenti, cerca fornitori alternativi.

Infine, se il tuo sito web non raccoglie dati personali, come un sito web vetrina ti basta solo aggiornare la Privacy Policy indicando:

  1. indicare che il sito web non raccoglie dati personali direttamente ma solo tramite i registri dei log del traffico sul sever;
  2.  nominare come responsabile esterno del trattamento dei dati il tuo hosting web relativamente ai dati memorizzati nei registri dei log del traffico sul server.
  3.  specificare, per i dati personali contenuti nei registri dei log del server, la base legale che legittima la registrazione e l’archiviazione di queste informazioni, ovvero, l’interesse del proprietario alla sicurezza dei dati (art. 6, paragrafo 1, punto F del GDPR).
  4. indicare le misure di sicurezza adottate dall’hosting web per limitare i rischi in caso di violazioni del server.

Conclusione

Abbiamo visto tutti i passaggi da seguire per mettersi in norma con il nuovo regolamento GDPR WordPress e i plugin che ti aiutano a metterti in norma.

Riassumendo i passaggi:

  1. verifica raccolta dati personali con i tool CookieBoot o CokkieMetrix
  2. creazione della nuova privacy policy con Iubenda o un rappresentante legale.
  3. inserire checkbox nei form, commenti, newsletter con GDPR Compliance
  4. CookieBoot  per attivare banner per il consenso dei cookie GDPR.

Non finisce qui, altre guide ti aspettano:

Autore Bartolomeo

Mi chiamo Bartolomeo Alberico, sono un consulente tecnico con la passione per il web e la tecnologia e tutto quello che le ronza intorno.
Nel tempo libero scrivo articoli per il mio blog su argomenti vari, in particolare su WordPress e SEO.

Condividi questo articolo!

4 Commenti

Aurora Rispondi

Ciao purtroppo ho scoperto solo ora questo grande e difficile aggiornamento che ognuno di noi deve fare nel proprio sito e solo ora ho capito quanto io sia impedita in materia.
Ho aperto da pochi mesi il mio blog utilizzando ancora la versione WordPress.com per poter poi decidere di cambiare in WordPress.org in questo caso cosa mi consiglieresti di fare per far si che il mio blog sia a norma?

Grazie infinite!

Bartolomeo Rispondi

Ciao,
se hai intenzione di passare a wordpress.org è un ottima scelta e sarà molto più semplice avere supporto e in questo caso metterti a norma con la normativa europea GDPR date le tantissime guide fornite in rete, compreso questo blog.
Potrai accedere anche alle tantissime community/ gruppi sui vari social dove ci sono tantissime persone preparate che potranno darti una mano.
Se hai bisogno di qualche informazione su come creare un blog con WordPress.org ti lascio questo link: https://www.bartolomeoalberico.it/starting-wordpress-box/

Qui troverai tutte le informazioni utili per iniziare a creare il tuo sito web.
Se hai difficoltà scrivimi nei commenti e cercherò di darti una mano!
A Presto!

Andrea Rispondi

Come alternativa vorrei segnalare anche dmsCookie (per il quale esiste anche il plugin per WordPress) https://www.dmscookie.com. Lo trovo molto semplice da configurare e completo!

Bartolomeo Rispondi

Ciao Andrea,
grazie mille per la segnalazione! 🙂
Farò un test con il plugin da te suggerito e aggiornerò il post con il tuo suggerimento.
Grazie
A presto

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.

Ho letto la policy privacy e accetto il trattamento dei miei dati personali in conformità al D.Lgs. 196/2003