Siti web e WordPress: come costruire un sito web in conformità al GDPR.
Per iniziare: quali sono i requisiti imposti dal GDPR?
Una volta entrato in vigore il GDPR, WordPress ha adeguato la piattaforma agli obblighi normativi conseguenti. Si può dire quindi che WordPress, di per sé, è conforme al GDPR. Tuttavia la conformità al GDPR deriva da quanti, quali, per quanto e a che finalità sono trattati i dati personali degli utenti che navigano su un sito web.
Quindi, per prima cosa, è utile capire
- quali requisiti prevede il GDPR;
- come WordPress può raccogliere i dati.
La lista dei requisiti previsti dal GDPR è molto lunga e non abbiamo qui alcuna pretesa di completezza. I punti importanti da sottolineare sono:
- consenso dell’utente:
il GDPR richiede un consenso esplicito, libero e informato da parte dell’utente prima di elaborare qualsiasi dati. Gli utenti devono poter rifiutare il trattamento dati. Trattare dati in caso di rifiuto del consenso da parte dell’utente è una violazione del GDPR. - finalità:
per poter raccogliere un consenso informato, occorre che le finalità del trattamento dati siano esplicitate e indicate in dettaglio. Occorre un consenso informato ed esplicito per ogni finalità del trattamento dati. Gli utenti hanno il diritto di sapere come sono raccolti i dati, quali sono, dove vengono archiviati ed elaborati. - accesso, portabilità, diritto all’oblio:
questi sono tre diritti esplicitamente riconosciuti all’interessato dal GDPR. Gli utenti devono poter accedere e ottenere una copia dei propri dati in qualsiasi momento. Non solo: gli interessati hanno il diritto di trasmettere i propri dati personali ad altri titolari del trattamento senza impedimenti da parte del titolare del trattamento che li ha forniti. Il diritto all’oblio comporta invece il dovere, da parte del responsabile del trattamento, di cancellare i dati personali qualora richiesto dall’interessato. - obbligo i notifica di data breach entro 72h:
Il GDPR prevede l’obbligo di notificare l’eventuale data breach entro 72h ore dalla sua scoperta. Ne consegue che tutti i webmaster debbano implementare meccanismi di monitoraggio dei dati.
Come WordPress raccoglie i dati degli utenti?
Andando più nel dettaglio, nella stragrande maggioranza dei casi WordPress raccoglie i dati attraverso:
- cookie e il loro utilizzo:
i cookie infatti raccolgono dati, anche personali. Se per i cookie tecnici non occorre la raccolta del consenso, dato che non c’è raccolta di dati personali, lo stesso non si può dire dei cookie di profilazione. Per i cookie di profilazione, che raccolgono dati personali e “tipizzano” l’utente, occorre esplicito consenso. Maggior dettagli qui - moduli di contatto:
praticamente tutti i siti web hanno un form (o più form) di contatto che consente all’utente di contattare il webmaster. Solitamente questi moduli richiedono dati personali come nome e cognome, indirizzo email, numero di telefono ecc… - commenti:
WordPress consente di raccogliere una serie di dati anche dai commenti degli utenti. WordPress memorizza nome, email, URL del sito web, indirizzo IP e cookie del browser dell’utente commentatore. - plugin:
qui si apre un grande (e potenzialmente infinito) capitolo. WordPress vive e si alimenta di plugin. I plugin, tutti i plugin, raccolgono ed elaborano dati dal sito web prodotto con WordPress. Alcuni plugin non si limitano ad archiviare dati relativi al sito web, ma raccolgono anche dati personali.
WordPress e GDPR: la conformità passo passo
Terminata l’analisi generale di quali dati occorrerà elaborare tramite il sito web e attraverso quali mezzi, la conformità va realizzata passando all’azione. Ecco i consigli di WordPress:
- Implementa il protocollo HTTPS:
che garantisce la sicurezza della connessione criptata. Se non lo fai, non solo la maggior parte dei browser segnalerà il tuo sito come pericoloso, ma esporrai i a rischi i dati degli utenti. - Pubblica una policy privacy
la policy privacy deve informare gli utenti DETTAGLIATAMENTE sulle modalità di trattamento dei dati. Deve contenere almeno:
- quali dati sono trattati e come;
- quale base giuridica legittima il trattamento (ad esempio il legittimo interesse, il consenso dell’interessato ecc…);
- quali finalità giustificano il trattamento dati (analytics? Profilazione?);
quali terze parti accedono ai dati raccolti, ad esempio tramite plugin, widget, pulsanti social o altre integrazioni; - i diritti degli interessati: accesso, cancellazione, rettifica, portabilità ecc…;
- l’identità e i contatti del titolare del trattamento e/o del responsabile del trattamento.
Cerchi un generatore italiano di privacy e cookie policy?
Acconsento.click genera in automatico le informative necessarie!
- Consenti agli utenti un modo per accedere ed eliminare i propri dati:
Il GDPR è chiaro: se un interessato richiede l’eliminazione dei propri dati personali il responsabile / titolare del trattamento devono agire tempestivamente e senza ingiustificato ritardo. Non solo: l’esercizio dei diritti degli interessati va assecondato e facilitato, pena la violazione del GDPR e delle linee guida dell’EDPB.
Su WordPress, il modo più semplice per garantire l’esercizio dei diritti dell’interessato è prevedere un apposito modulo di contatto o un apposito indirizzo email al quale rivolgersi.
- attiva un cookie banner:
Il cookie banner deve sicuramente contenere l’informativa breve e un collegamento cliccando sul quale si può accedere all’informativa estesa. Deve indicare chiaramente quali azioni saranno valevoli come consenso (ricordiamo sul punto che lo scrolling non può più essere considerato un valido consenso). Deve prevedere un’area dove l’utente possa prestare un consenso granulare, ovvero scegliere in dettaglio quali cookie consentire e quali no. In ultimo va ovviamente previsto un pulsante che consenta all’utente di esprimere o negare il consenso. Scopri di più > Linee Guida del Garante su privacy e cookie: con Acconsento la conformità in un attimo
- installa widget e plugin di terze pari conformi al GDPR:
il popolo di WordPress ricorre diffusamente a widget di terze parti. Inutile dire che questi widget trattano dati, ma il responsabile del trattamento dati sei sempre tu che gestiSci il sito web. Installare un widget non conforme è una violazione al GDPR. Prima di utilizzare qualsiasi widget verifica la conformità al GDPR o contatta i suoi sviluppatori per avere informazioni.
Come installare il acconsento.click per generare automaticamente le cookie policy e privacy policy per il tuo sito
Installare acconsento.click è veramente semplice e alla portata di tutti. Il generatore di informative, in pochi click realizza la cookie policy e la privacy policy di cui hai bisogno, specifiche e personalizzate per il tuo sito web, secondo le indicazioni del Regolamento Generale sulla Protezione dei Dati (GDPR) e rispettando le nuove linee guida del Garante italiano per la Protezione dei Dati Personali ormai in vigore dal 10 giugno 2021.
Lo scan engine individua quali cookie sono presenti sul tuo sito web e infine genera un widget (una sorta di pulsante) graficamente elegante e non invasivo che apparirà in basso a sinistra nella home page del tuo sito. Il widget permette all’utente di accedere al Centro di controllo privacy per conoscere le modalità con cui sono trattati i suoi dati personali e per poter modificare i consensi concessi con la stessa facilità con cui sono stati inizialmente rilasciati, tutto secondo le nuove normative in materia.
Vedi qui la guida, step by step, per installare acconsento.click sul tuo sito web WordPress
Altri Widget utili conformi al GDPR
Questi sono solo alcuni consigli. I widget per WordPress sono infiniti e quelli che indichiamo qui non sono gli unici conformi al GDPR, quindi prendi queste righe per quel che sono: una possibilità tra tantissime.
- WooCommerce per i siti ecommerce;
- MailerLite o MailChimp per l’email marketing;
- NinjaForm, WPForm per i moduli di contatto;
- Disqus per i commenti.
Vuoi verificare se il tuo sito web è conforme alla normativa vigente? Contattaci, ti aiuteremo noi!