Come adeguarsi al GDPR con un sito WordPress

"GDPR is coming!" avrebbe detto il Ned Stark dei giorni nostri. Ci siamo quasi, il 25 maggio 2018 ​entrerà in vigore il GDPR (General Data Protection Regulation) n. 679/2016, il regolamento europeo riguardo la protezione dei dati personali.

More...

Che ci piaccia o meno, dobbiamo metterci in regola se vogliamo mantenere la nostra presenza online, senza correre il rischio di sanzioni mostruose. Vediamo cos'è, cosa comporta e cosa dovremmo fare. 

Cos'è il GDPR

Il GDPR è una nuova serie di regole progettate per dare ai cittadini dell'UE un maggiore controllo sui loro dati personali. 

Il sito web GDPR dell'UE, afferma che la legislazione è stata concepita per "armonizzare" le leggi sulla privacy dei dati in tutta Europa e per offrire maggiore protezione e diritti alle persone. All'interno del GDPR ci sono grandi cambiamenti per il pubblico, per le aziende e tutti gli enti che gestiscono le informazioni personali.

Dopo oltre quattro anni di discussioni e negoziati, il GDPR è stato adottato dal Parlamento europeo e dal Consiglio europeo nell'aprile 2016 ed entrerà in vigore il 25 maggio 2018. 

Quanto va preso seriamente?

Il GDPR va preso MOLTO seriamente, le multe per chi non è in regola vanno dal 4% del fatturato fino a 20 milioni di euro. 

Esistono varie sezioni di penalità in base alla gravità della violazione, che sono state descritte nella sezione FAQ del portale GDPR.

Ma come avverrà il controllo sui siti web?

Saranno istituite Autorità di Controllo (Supervisory Authorities - SA) nei vari stati membri, con il pieno appoggio della legge, in Italia sarà compito della Guardi di Finanza.
Le SA potranno:

  • effettuare verifiche sui siti Web,
  • emettere avvisi per non conformità,
  • emettere misure correttive da seguire con scadenze.

Le SA avranno sia poteri investigativi che correttivi per verificare la conformità alla legge e suggerire modifiche per essere conformi.

Cosa comporta per chi ha in sito in WordPress

Il tuo sito WordPress dovrebbe rendere accessibili le informazioni su come vengono elaborati ed archiviati i dati personali sul server e i passaggi che vengono fatti, dovrebbe rendere i dati visitabili e cancellabili. Di norma un sito WordPress registra i dati di un utente quando c'è:

  • Una registrazione utente.
  • Un nuovo commento.
  • La compilazione di un modulo contatto.
  • L'utilizzo di script per il monitoraggio del traffico.
  • L'utilizzo di plugin per la sicurezza.

Cosa fare?

Vediamo quali dovrebbero essere le azioni da fare per allinearsi al GDPR.

Attenzione

Io non sono un legale, i punti di seguito sono a scopo informativo e non possono in nessun caso sostituire la consulenza di un legale.

Fatta questa precisazione, il mio consiglio è di chiedere il supporto di un consulente legale in quanto alcuni punti che riporto di seguito sono applicabili in base alla tipologia di sito e di utilizzo dei dati personali.

Sia per la consulenza, che per i plugin di gestione delle direttive GDPR, puoi affidarti a Iubenda.

Stanno lavorando per dare tutti i servizi necessari per essere in regola con il GDPR, ed hanno un team di legali per le consulenze personalizzate.

Iscriviti ai loro webinar per saperne di più.

Vediamo ​in dettaglio alcuni punti del GDPR che ci interessano da vicino:

1. Aggiorna la tua politica sulla privacy

  • Aggiornare la Policy Privacy per renderla conforme al GDPR.
  • Specifica quali informazioni, dei visitatori, raccogli e memorizzi nel tuo sito web. (ad esempio indirizzi IP, informazioni sul dispositivo, informazioni di accesso, cookie, durata e tracciamento delle visite, azioni del mouse e del cursore, e-mail, telefono, nome, indirizzo e indirizzi di fatturazione)
  • Specifica come e dove si elaborano le informazioni personali. (contabilità, marketing, ricerca UX, rapporti sulle vendite, ecc.)
    Specifica chi hai accesso a questi dati personali. (E.G. tu, MailChimp, Google, Salesforce ecc.).
  • Specificare i dettagli di contatto del responsabile della protezione dei dati.
  • Specificare come presentare una richiesta di accesso ai dati.
  • Specificare per quanto tempo si conservano le informazioni personali.

2. Aggiungi le checkbox per la privacy ad ogni opt-in e modulo contatti.

Tutte le checkbox devono essere senza spunta. Se non viene spuntata non si procede all'invio dei dati. L'accettazione attraverso la checkbox deve essere esplicita e registrata. Raccomandiamo che quando un cliente accetta i termini e le condizioni su un sito Web che una copia dei termini che hanno accettato di essere memorizzati con i dati dei clienti. In questo modo hai una registrazione esplicita di ciò che il cliente ha accettato. 

3. Raccogli solo le informazioni necessarie per gestire la tua attività.

"Se non hai le informazioni non è necessario proteggerle"

Elimina dai server le informazioni personali che non usi più.

Conserva solo una versione delle informazioni personali. È possibile conservare le copie solo per scopi di backup e ripristino e al massimo fino a 4 copie. Se ne mantieni di più deve essere giustificato. La posizione dei backup deve essere registrata nella verifica dei dati.

è illegale acquisire informazioni aggiuntive per un utilizzo futuro. Ciò che hai di una persona è ciò di cui hai bisogno, il resto deve essere cancellato

4. Gestisci le richieste di accesso ai dati

"Ho una richiesta di accesso a tutti i dati personali che possiedo sul richiedente. Cosa fare?"

  • Verifica la loro identità.
  • Assicurati di avere i dati prima di elaborare la richiesta, se non hai i dati rispondi dicendo "Non ho i dati".
  • Non creare più dati personali durante l'esecuzione della richiesta.
  • Fornisci tutti i dati in tuo possesso
  • Registralo nel tuo registro di controllo dei dati.
  • Non rivelare i dati personali di altre persone.
  • Fallo entro 20 giorni.

5. Gestisci le richieste di cancellazione dei dati

"Ho una richiesta di cancellazione di tutti i dati personali che possiedo sul richiedente. Cosa fare?"

  • Verifica la loro identità.
  • Assicurati di avere i dati prima di elaborare la richiesta, se non hai i dati rispondi dicendo "Non ho i dati".
  • Non creare più dati personali durante l'esecuzione della richiesta.
  • Cancella tutti i dati in tuo possesso, sia sul tuo server che dalle suite di marketing.
  • Registralo nel tuo registro di controllo dei dati.
  • Non rivelare i dati personali di altre persone.
  • Fallo entro 20 giorni.

Un team di sviluppatori sta lavorando su tools per la gestione del GDPR tra cui anche la cancellazione dei dati di un utente registrato. Fino a quel momento puoi usare questo plugin: Delete Me. Ti permette tramite shortcode di mettere sulle tue pagine un pulsante per la cancellazione dei dati di un utente registrato.

6. Notifica agli utenti la violazione dei dati

Un'eventuale violazione dei dati personali lede i diritti e la libertà della persona. Il GDPR regolamenta che gli utenti vanno avvisati della violazione entro 72 ore dalla presa di conoscenza.

La gestione dei Cookie

Rispetto alla "Cookie Law" ci sono alcune novità che vengono introdotte dal GDPR e non sono per nulla piacevoli. I cookie possono considerarsi conformi al GDPR europeo solo se garantiscono che il consenso sia:

  • informato e preventivo: l’utente deve essere informato in anticipo delle finalità dei cookie, e deve essere possibile selezionare e deselezionare i vari tipi di cookie;
  • esplicito: il comportamento dell’utente deve essere inteso come un’azione affermativa e positiva;
  • registrato: devi avere la prova del consenso;
  • reversibile: gli utenti, in qualsiasi momento, devono poter ritirare il loro consenso. Gli utenti del tuo sito web devono avere la possibilità di rifiutare i cookie e di continuare normalmente la navigazione sul tuo sito web.

I cookie che permettono di identificare univocamente la persona, devono essere trattati come dati personali.

Come si stanno muovendo i fornitori di software e servizi

Fortunatamente i fornitori di software e servizi si sono attivati e stanno lavorando per rilasciare entro il 25 maggio gli aggiornamenti necessari. Abbiamo già parlato di Iubenda vediamo ora, WordPress, Thrive Themes e Active Campaign come si stanno muovendo.

WordPress

Un team di WordPress.org sta per rilasciare tools per la gestione della privacy e dei dati personali memorizzati da WordPress. Puoi leggere cosa stanno facendo dalla roadmap. Ti anticipo che ci sarà:

  • Una pagina dedicata alla policy privacy
  • La possibilità di esportare i dati personali ( #43438#43440#43547#43547)
  • La possibilità di poter eliminare tutti i dati personali e rendere anonimi i contenuti pubblicati / pubblici (come post, commenti, ecc.) #43637

Da poco hanno pubblicato un articolo dove indicano le modifiche su cui stanno lavorando per allinearsi con il GDPR​:

  • Checkbox per il consenso esplicito
  • Export e visualizzazione dei dati memorizzati utilizzando i loro prodotti. Come per esempio nome ed email usando Thrive Leads.
  • Anonimizzare i dati in Thrive Quiz Builder
  • Eliminare o crittografare informazioni personali identificabili nei cookie

Per approfondire puoi leggere il loro articolo.

Metterà a disposizione una serie di funzioni che aiuteranno a soddisfare le esigenze del GDPR​:

Diritto di rettifica: puoi aggiornare le informazioni dei tuoi contatti in qualsiasi momento. I tuoi contatti possono contattare direttamente ActiveCampaign che correggerà o eliminerà tali informazioni per loro.

Diritto all'oblio: Puoi eliminare un contatto e rimuovere permanentemente le sue informazioni dal tuo account. Se il tuo contatto scrive direttamente ad ActiveCampaign, con una richiesta valida, verrai informato della richiesta e AC cancellerà i dati del contatto dal tuo account, o attraverso tutti gli account ActiveCampaign, se richiesto, al fine di rispettare GDPR.

Diritto di portabilità e di accesso: se i tuoi contatti richiedono i loro dati personali, puoi esportare i loro dati come file .csv. ​Possono inoltre essere consultabili se richiesto.

Conclusione

Mettersi in regola con il GDPR non sarà una passeggiata. Dal 25 maggio che non è adempiente sarà soggetto alle salatissime multe, anche se credo che daranno ancora un po' di tempo per mettersi in regola.

Riassumendo gli aspetti su cui porre attenzioni sono:

  • Dare modo al visitatore di esprimere l'esplicito consenso prima di memorizzare i dati.
  • Spiegare perché raccogliamo i dati, per quanto tempo saranno memorizzati, chi può accedervi e in quali modalità.
  • Dare modo agli utenti di accedere ai propri dati in qualsiasi momento
  • Dare modo di cancellare i propri dati.
  • Informare gli utenti in caso di violazione dei loro dati.

Puoi saperne di più leggendo il regolamento completo del GDPR o vedere l'infografica riassuntiva.

    Roberto Delisio

    Sono più di 15 anni che lavoro alla realizzazioni di applicativi e siti web. Metto la mia esperienza a disposizione di chi ha necessità di sviluppare o gestire il proprio sito in Wordpress.

    >

    Non perdere la nostra guida su come correggere gli errori più comuni su WordPress!

    21 Condivisioni
    Condividi21
    Tweet
    Condividi
    Pin
    WhatsApp