Potreste aver già sentito discutere del termine “GDPR” sul web. È ancora un argomento piuttosto caldo, specialmente con tutto quello che sta succedendo con le violazioni dei dati e la sicurezza nelle notizie. Per dirla in parole semplici, il GDPR è una legge sulla privacy ideata per restituire ai cittadini il controllo dei propri dati personali. Il GDPR influisce sulla gestione dei dati su Internet. La cosa preoccupante è che la scadenza era prevista per il 25 maggio 2018 ma ci sono ancora molti aspetti sul GDPR che preoccupano le persone:
- Cos’è esattamente GDPR? In parole semplici.
- GDPR ha effetto su di me?
- Cosa devo fare per mettermi in regola col GDPR?
Molti hanno la tendenza a rimandare ciò che non capiscono. Le tasse ne sono un buon esempio. Per molti di noi, il GDPR ha semplicemente avuto una bassa priorità nelle cose da fare. Ma la scadenza del GDPR è ormai andata e dovreste davvero prendervi un po’ di tempo per stabilire se sia necessario o meno apportare delle modifiche al modo in cui la vostra azienda o il vostro sito web operano. Se non lo fate ci potrebbero essere multe pesanti.
Non preoccupatevi, cercheremo di spiegare tutto ciò che dovete sapere sul GDPR e su cosa potete fare per prepararvi. Ma noi non siamo avvocati, quindi cercheremo di non annoiarvi con tutti i dettagli legali.
Si noti che questo post è solo a scopo informativo, e non deve essere considerato come consulenza legale.
Nota: questo articolo è la traduzione dell’originale in lingua inglese. I link puntano, pertanto, a risorse in lingua inglese. I lettori di lingua italiana potranno dare un’occhiata alla Guida all’applicazione del Regolamento europeo in materia di protezione dei dati personali (regolamento UE 2016/679) dell’Autorità Garante per la Protezione dei dati Personali (Garante della Privacy). Si veda anche l’elenco completo delle risorse ufficiali sul GDPR, sempre del Garante della Privacy. Un’analisi generale con un elenco di risorse utili è disponibile anche su Wikipedia.
Cos’è il GDPR? In parole semplici
GDPR sta per General Data Protection Regulation. È una legge sulla privacy approvata il 14 aprile 2016 dalla Commissione Europea per proteggere i diritti di tutti i cittadini dell’UE (28 Stati membri) e i loro dati personali. Sostituisce la Direttiva 95/46/EC sulla protezione dei dati del 24 ottobre 1995 ed è molto più ampia della legge sui cookie del 2011 (che verrà presto sostituita dal nuovo regolamento UE ePrivacy che va di pari passo con il GDPR). Il programma di attuazione del regolamento è stato fissato in due anni e la scadenza è stata il 25 maggio 2018.
Il regolamento europeo General Data Protection Regulation (GDPR) è il più importante cambiamento nella regolamentazione della privacy dei dati in 20 anni … EU GDPR
Se desiderate leggere i numerosi PDF ufficiali del regolamento (11 capitoli, 99 articoli) vi consigliamo di consultare gdpr-info.eu, che raccoglie tutto in un sito web ben organizzato.
Ci sono alcuni termini chiave da tenere in considerazione:
- Un titolare del trattamento stabilisce i fini e gli scopi della gestione dei dati personali.
- Un responsabile del trattamento è responsabile del trattamento dei dati personali per conto del titolare del trattamento.
- Dato personale è qualsiasi informazione che possa essere utilizzata per identificare un individuo, anche indirettamente combinando quella informazione con altre.
Cosa È il Trattamento?
Qualunque operazione di accesso, archiviazione o utilizzo viene considerato trattamento. La definizione completa di trattamento data dal GDPR comprende tutte le seguenti azioni intraprese sui dati personali come costituenti trattamento di tali dati: raccolta, registrazione, organizzazione, strutturazione, conservazione, adattamento, alterazione, reperimento, consultazione, utilizzo, trasmissione, divulgazione, diffusione, combinazione, allineamento, restrizione, cancellazione o distruzione.
Principi Base del GDPR
Ci sono sette principi base che si applicano al controller nell’ambito del GDPR:
- I dati devono essere trattati in modo lecito, equo e trasparente. Ciò richiede che sia prestato il consenso.
- I dati personali devono essere raccolti per uno scopo specifico, esplicito e legittimo, e utilizzati solo per quello scopo.
- I dati personali devono essere adeguati, rilevanti e la loro raccolta deve essere limitata solo a ciò che è necessario.
- I dati personali devono essere accurati e aggiornati.
- I dati personali devono essere tenuti in una forma identificabile per il tempo più breve possibile.
- I dati personali devono essere trattati in modo da garantirne la sicurezza.
- Il controller deve essere in grado di dimostrare il rispetto di questi principi.
I Diritti Individuali Nell’Ambito del GDPR
Le persone protette in base al GDPR (i cittadini dell’UE) hanno sette diritti garantiti dal GDPR che il processor deve essere preparato a tutelare:
- Diritto ad essere informati: questo dà alla persona il diritto di sapere quali sono le informazioni che la riguardano ad essere state archiviate.
- Diritto all’accesso e alla portabilità: l’interessato può richiedere le informazioni che lo riguardano in qualsiasi momento in un formato facilmente prelevabile, o trasferire i dati ad un altro servizio. (Art. 20)
- Diritto alla rettifica.
- Diritto all’oblio: Permette all’interessato di chiedere che i suoi dati personali vengano completamente cancellati (a meno che non ci sia una valida ragione per trattenerli, come un prestito bancario). (Art. 17).
- Diritto alla restrizione del trattamento.
- Diritto di opporsi.
- Un diritto ad un trattamento equo quando sottoposto a decisioni e profilazioni automatici.
Note Aggiuntive sul GDPR
Sfortunatamente, quando si tratta di cose simili, non tutto è sempre bianco o nero, per questo ci sono alcune altre cose da tenere in mente:
- Si applica a qualsiasi dato personale (PII – qualsiasi dato correlato o utilizzabile per identificare qualcuno).
Per dati personali qualsiasi informazione riguardante una persona fisica identificata o identificabile (interessato); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online (indirizzo IP o indirizzo email) o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale di quella persona fisica. Il regolamento stabilisce anche cosa può essere fatto con le informazioni personali (Art. 4).
- Si applica a qualsiasi dato personale sensibile come razza, origine etnica, orientamento sessuale e stato di salute. (Considerando 51, Art. 9)
- Protezione dei dati dalla progettazione e per impostazione predefinita: garantisce che le informazioni personali siano protette in modo adeguato. I nuovi sistemi devono essere progettati per garantire la protezione dei dati, l’accesso ai dati deve essere rigorosamente controllato e concesso solo quando richiesto (Art. 25).
- In caso di smarrimento, furto o accesso ai dati senza autorizzazione, le autorità competenti devono essere informate entro 72 ore (Art. 33) assieme alle persone ai cui dati è stato effettuato l’accesso (Art. 34).
- I dati possono essere utilizzati solo per gli scopi indicati al momento della raccolta e vengono cancellati in modo sicuro quando non sono più necessari.
- Consente alle autorità nazionali di imporre ammende alle società che violano il regolamento.
- Il consenso dei genitori sarà necessario per elaborare i dati personali dei minori di 16 anni per i servizi online; l’età può variare in base allo stato membro, ma non potrà essere inferiore ai 13 anni (Art. 8).
Chi è interessato al GDPR?
Mentre le nuove regole del GDPR sono state create per proteggere i diritti dei cittadini dell’UE, hanno un impatto sostanziale su chiunque nel web. Esatto, tutti! Indipendentemente da dove è stabilita un’azienda o dove si svolgono le sue attività online. Se il vostro sito web sta elaborando o raccogliendo dati da cittadini dell’UE, allora dovete rispettare le regole del GDPR.
Ecco solo alcuni esempi di siti localizzati al di fuori dell’Unione Europea su cui il GDPR avrà effetti:
- Un sito WordPress di una community che raccoglie informazioni personali per ogni profilo utente.
- Un negozio di temi WordPress i cui cienti registrano account per acquistare temi o plugin (dati di vendita e fatturazione).
- Un blog WordPress con un widget di iscrizione alla newsletter o che permette ai visitatori di commentare.
- Un negozio di eCommerce (WooCommerce o Easy Digital Downloads) che vende prodotti online.
- Un sito WordPress che utilizza software di statistiche.
Probabilmente potete intuire le conseguenze di tutto ciò. A meno che non stiate esplicitamente bloccando tutto il traffico UE, cosa che probabilmente molti di voi non faranno, allora il vostro sito sarà sotto la regolamentazione del GDPR.
Se vi state chiedendo se la vostra azienda sia già conforme al GDPR, il team di Mailjet ha creato un pratico quiz sul GDPR. Consigliamo anche di controllare la GDPR Checklist.
Conseguenze del Mancato Adeguamento al GDPR
Secondo data.verifiedjoseph, alla data del 20 marzo 2019, 1.129 siti web non sono ancora disponibile nell’Unione Europea dopo l’entrata in vigore del GDPR. 😱 Molti di questi sono siti di grandi organizzazioni di comunicazione.
Perché? Perché non sono stati in grado di rispettare le implementazioni tecniche del GDPR e quindi non vogliono rischiare multe. Per questo hanno semplicemente bloccato il traffico proveniente dall’UE.
Se la vostra attività commerciale non è conforme al GDPR, potrete ricevere una sanzione che arriva fino al 4% del fatturato globale annuo o una multa fino a 20 milioni di euro (l’importo più alto dei due), per singola violazione. C’è anche un approccio graduale per le sanzioni. Ad esempio, una società può essere multata al 2% per non avere i propri record in ordine, per non aver avvisato di una violazione le autorità di supervisione e l’interessato, o per non aver condotto una valutazione di impatto. (Art. 83)
A gennaio 2019, il watchdog francese sulla privacy dei dati ha dato uno schiaffo a Google con una multa da 57 milioni di dollari ai sensi del GDPR. E a partire da febbraio 2019, ci sono state oltre 59.000 segnalazioni di violazioni di dati e 91 multe.
Crazy stats after 1 yr of GDPR:
* ~$60m in fines
* compliance costs for US firms estimated at $150b (2500x fine amount!)
* small co's hurt more than large. GOOG actually benefits!
* VC $ invested in EU startups drops significantlyRegulatory success! 🙄https://t.co/HbSoKlRRZz
— Leo Polovets (@lpolovets) May 25, 2019
Date un’occhiata a GDPR fines tracker di Privacy Affairs per le ultime statistiche. Inutile dire che, se avete un piccolo negozio di ecommerce o siete sviluppatori WordPress, queste multe potrebbero essere devastanti!
Come Rendere Compatibile il Vostro Sito WordPress con il GDPR
Probabilmente, la sola ragione per cui state leggendo questo post è di capire come rendere il vostro sito WordPress compatibile con il GDPR. Sfortunatamente, a differenza dei nostri normali tutorial, non possiamo offrirvi una semplice guida passo passo, perché le azioni da compiere cambiano a seconda del sito. Ma qui ci sono dei suggerimenti per metersi sulla strada giusta, oltre ad alcune altre cose da tener presenti.
1. Interpellate un avvocato
In caso di dubbi sulla conformità al GDPR (che la maggior parte di voi avrà sicuramente), raccomandiamo sempre di rivolgersi ad un avvocato, anche se solo temporaneamente. Questa è una di quelle aree che noi consigliamo fortemente di non affrontare da soli. Un avvocato può fornirvi una consulenza legale adattata in modo specifico alla vostra situazione. Se vi sbagliate, potreste ricevere multe salate.
2. Esaminate il Vostro Flusso di Raccolta ed Elaborazione dei Dati
Vi consigliamo di sfogliare il vostro intero sito WordPress per determinare dove avviene la raccolta e l’elaborazione dei dati, nonché dove sono archiviate tali informazioni e per quanto tempo. Questo comprende cose come:
- Raccolta di informazioni personali su una pagina di acquisti ecommerce o su una pagina di registrazione di WordPress.
- Indirizzi IP, identificatori di cookie e posizioni GPS.
- Vari servizi come Google Analytics, Hotjar, ecc.
Dopo aver individuato tutti questi elementi, dovete dare conferma che state chiedendo l’autorizzazione dei visitatori, oltre a rendere chiaro il modo in cui vengono utilizzati i dati raccolti.
3. Il GDPR Project È Stato Inserito nel Core di WordPress per gli Sviluppatori
Dejlig Lama e Peter Suhm hanno iniziato a lavorare su un progetto chiamato GDPR per WordPress. Questo avrebbe fornito agli sviluppatori di plugin una soluzione semplice per convalidare il proprio plugin per il GDPR e offrire agli amministratori dei siti web la visione e gli strumenti per gestire le attività amministrative necessarie per essere conformi al GDPR. Comunque, la grande notizia è è ora parte del Core di WordPress.
Per vedere cosa è stato fatto, potete dare un’occhiata al GDPR Trac Ticket e alla roadmap per la conformità al GDPR. È importante per gli utenti di WordPress quanto lo è per gli sviluppatori, dato che il GDPR è una strada a due sensi di marcia. Gli utenti di WordPress avevano bisogno di nuove funzionalità integrate nei plugin che stavano già utilizzando, come checkboxe, finestre a comparsa, ecc. per essere certi di rispettare le nuove norme quando raccolgono i dati.
4. Aggiornate Tutti i Documenti Legali
Con l’entrata in vigore del GDPR è il momento di aggiornare le pagine dei termini e delle condizioni, le pagine della privacy, i termini di affiliazione e qualsiasi altro documento legale o accordo che potreste avere in essere. Non è più possibile avere moduli senza checkbox, a meno che non ricadano tutti nell’ambito della liceità di elaborazione. In altre parole, deve esserci un modo in cui l’utente possa concedere il consenso in modo specifico. Sono finiti i giorni in cui si buttava un link ai termini in fondo alla pagina, presumendo che l’utente li avrebbe letti.
Le condizioni per il consenso sono state rafforzate e le aziende non potranno più utilizzare lunghe e illegibili pagine di termini e condizioni, pieni di concetti legali, dal momento che la richiesta di consenso deve essere fornita in forma intelligibile e facilmente accessibile, allo scopo di elaborare i dati relativi a quel consenso. Il consenso deve essere chiaro e distinguibile da altre questioni e fornito in una forma intellegibile e facilmente accessibile, utilizzando un linguaggio chiaro e semplice. Ritirare il consenso deve essere facile quanto concederlo. (Fonte: EU GDPR)
Ancora una volta, si tratta di una materia per cui raccomandiamo di legarsi ad un giurista. Se state solo gestendo un semplice blog, utilizza quanto meno uno strumento come iubenda o qualcosa di simile per generare solide politiche della privacy.
Una nuova funzionalità per la creazione di una pagina sulla privacy è stata aggiunta in WordPress 4.9.6. Ora potrete designare una pagina di privacy sul vostro sito e questa apparirà nelle pagine di accesso e di registrazione. Vi consigliamo anche di metterla nel vostro footer.
Ecco un esempio della pagina predefinita della politica della privacy ora generata da WordPress. Questa dovrebbe essere usata come modello e/o punto di partenza, non avrà tutto ciò di cui il vostro sito ha bisogno.
5. Offrite la Portabilità dei Dati
In base all’Art. 20, qualsiasi azienda che raccoglie dati deve anche offrire la possibilità all’utente di scaricarli e di muovere/trasferire questi dati altrove.
L’interessato ha il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti a un titolare del trattamento e ha il diritto di trasmettere tali dati a un altro titolare del trattamento senza impedimenti da parte del titolare del trattamento cui li ha forniti.
Assicuratevi di avere ancora in atto un sistema per fornire agli utenti un file scaricabile con i loro dati, nel caso fosse richiesto (.csv, .xml, ecc.). Se non siete in grado di offrire al momento questa funzionalità, potrebbe essere opportuno assumere uno sviluppatore WordPress.
Nuove funzionalità riguardanti la gestione dei dati sono state aggiunte in WordPress 4.9.6. I proprietari dei siti possono ora esportare un file ZIP contenente i dati personali dell’utente ed anche cancellare gli stessi dati. C’è anche un nuovo metodo basato su email che può essere utilizzato per confermare le richieste di dati personali.
6. Autocertificazione in base al Privacy Shield Framework
A causa del fatto che molti siti Web raccolgono dati da tutto il mondo e con restrizioni più severe per quanto riguarda i dati personali, molte società stanno ora certificando in base ai Privacy Shield Framework EU-U.S. e Swiss-U.S. Questi sono stati generati dal Dipartimento del commercio degli Stati Uniti, dalla Commissione europea e dall’Amministrazione Svizzera, per fornire alle aziende su entrambe le sponde dell’Atlantico un meccanismo che consenta di conformarsi ai requisiti di protezione dei dati durante il trasferimento di dati personali dall’Unione europea e dalla Svizzera verso gli Stati Uniti, a sostegno del commercio transatlantico.
Maggiori informazioni sui vantaggi offerti dell’autocertificazione attraverso il Privacy Shiled.
7. Cifrate i Vostri Dati / HTTPS
In termini di cifratura, ci sono diversi aspetti da considerare: cifratura del traffico web (HTTPS) e cifratura di dove sono memorizzati i dati. Vi consigliamo sempre di crittografare il vostro traffico web indipendentemente dal GDPR. I vantaggi di passare ad HTTPS superano di gran lunga gli svantaggi e questa è la direzione verso cui sta andando il Web.
Il termine stesso crittografia viene in realtà menzionato solo poche volte nel GDPR e non è necessariamente considerato come obbligatorio.
Per mantenere la sicurezza e prevenire trattamenti in violazione al presente regolamento, il titolare del trattamento o il responsabile del trattamento dovrebbe valutare i rischi inerenti al trattamento e attuare misure per limitare tali rischi, quali la cifratura (Considerando 83).
Pertanto, anche se sembra che la crittografia non sia legalmente richiesta per conformarsi al GDPR, è fortemente raccomandata, in quanto voi siete responsabili dei dati. Se utilizzate un host WordPress come Kinsta, ricordate che siamo supportati da Google Cloud Platform, il che significa che tutti i dati sono crittografati a riposo. Ulteriori informazioni sulla crittografia GDPR.
8. Controllate i Vostri Temi, i Plugin, i Servizi e le API di WordPress
Tutti i plugin WordPress o le funzionalità specifiche dei temi installati che raccolgono o memorizzano dati personali devono essere aggiornati affinché il vostro sito sia pienamente conforme al GDPR. Se siete sviluppatori di WordPress, ci auguriamo abbiate già apportato modifiche al GDPR per gli utenti. Di seguito abbiamo indicato alcuni plugin e configurazioni popolari, con i link diretti alle risorse in cui viene spiegato come questi elaborano il GDPR.
Plugin per Moduli di Contatto
Uno dei modi più semplici per mettersi in regola con il GDPR è semplicemente aggiungere un checkbox obbligatorio al modulo di contatto che permetta all’utente di fornire il consenso alla raccolta e archiviazione dei dati trasmessi. Tuttavia, si tratta del metodo “più semplice”. Non tutti i moduli di contatto necessitano del consenso. Alcuni possono ricadere sotto quella che viene definita liceità del trattamento.
- GDPR Gravity Forms
- GDPR NinjaForms
- Modulo di contatto 7 GDPR (migliore soluzione gratuita: plugin WP GDPR Compliance. Migliore soluzione premium: addon Contact Form DB 7.)
Date un’occhiata ad altri plugin per moduli di contatto WordPress.
Plugin per i Commenti
Anche i plugin per i commenti raccolgono informazioni personali. Quindi, proprio come con i moduli di contatto, uno dei modi più semplici per assicurarsi di essere in regola è quello di aggiungere un checkbox per il consenso. Ma, ancora una volta, questo può ricadere nell’ambito della liceità del trattamento.
- Commenti nativi di WordPress
- GDPR Disqus (attualmente stanno lavorando per la conformità)
- GDPR Jetpack
Una checkbox per il consenso è stata recentemente aggiunto ai commenti nativi nell’ultima Privacy and Maintenance Release di WordPress 4.9.6 (si legga di seguito).
Plugin e Servizi di Marketing
Dai plugin per le newsletter, ai plugin per i sondaggi, dai plugin per i quiz, ai plugin per le notifiche push e al vostro software di email marketing, saranno tutti interessati dal GDPR.
- GDPR MailChimp
- GDPR MailerLite
- GDPR ActiveCampaign
- GDPR AWeber (Date un’occhiata al loro post su come mantenere le registrazioni del consenso del GDPR per gli iscritti)
Analytics, Tracciamento, Remarketing
Si tratta di qualsiasi servizio o plugin di terze parti che raccoglie dati. Questi comprendono cose come Google Analytics, plugin di A/B testing, servizi di heat map, piattaforme di remarketing, ecc. Per quanto riguarda lo stesso Google Analytics, potrebbe essere consigliato di rendere anonimo l’IP.
A partire dal mese di aprile, Google ha lanciato una nuova impostazione per Google Analytics relativa alla conservazione dei dati. Questi controlli vi danno la possibilità di impostare l’intervallo di tempo che deve trascorrere prima che i dati, a livello di utente e di eventi, archiviati da Google Analytics vengano automaticamente eliminati dai server. È possibile accedere a queste impostazioni alla voce Amministratore → Proprietà → Informazioni sul monitoraggio → Conservazione dei dati.
Avete bisogno di una richiesta di accettazione dei cookie nel caso in cui stiate utilizzando solo i rapporti di Google Analytics e non visualizzate pubblicità? Dipende. Date un’occhiata a questo ottimo post di Jeff sulla conformità al GDPR di Google Analytics: GDPR Compliance with Google Analytics – Do You Need Cookie Consent?
Soluzioni di eCommerce e Processori di Pagamento
Qualunque tipo di soluzione di eCommerce per WordPress è ovviamente pesantemente influenzata dal GDPR, dato che raccoglie dati di vendita, informazioni personali, dati dell’account utente, ed è integrata con processori di pagamento di terze parti.
- WooCommerce
- Easy Digital Downloads (attualmente in discussione)
Oltre alla documentazione di cui sopra, consigliamo vivamente di dare un’occhiata a questo ottimo post sui 12 modi per rendere il vostro sito web WooCommerce conforme al GDPR.
Plugin per Community
I plugin per le community, i plugin dei forum e i plugin per la gestione di iscrizioni memorizzano molte informazioni personali aggiuntive rispetto al processo di registrazione integrato di WordPress.
- LearnDash GDPR
- bbPress GDPR (attualmente in discussione)
- BuddyPress GDPR (attualmente in discussione)
API di terze parti
Anche le API di terze parti raccolgono dati. Un buon esempio ci è fornito da Google Fonts. La maggior parte di voi probabilmente sta utilizzando Google Fonts, sia nel caso in cui questo sia inserito nel tema di WordPress, sia che sia stato aggiunto manualmente. Dovete davvero analizzare ogni API e tirar fuori i dati che il provider sta raccogliendo. In alcuni casi, la raccolta dei dati è ammessa per interesse legittimo senza consenso (Considerando 49).
Questo può richiedere un bel po’ di lavoro e può disorientare dato che alcune aziende, finanche Google, potrebbero non fornire semplici risposte sì o no. Date un’occhiata a questa conversazione tra sviluppatori sulla compatibilità di Google Fonts con il GDPR. Potete sempre ospitare i vostri Google Font localmente sul vostro CDN, e questo risolverebbe il problema.
Terremo aggiornato questo post dato che alcuni sviluppatori di plugin di WordPress stanno al momento lavorando per aggiungere funzionalità per la conformità al GDPR. Oppure, cosa ancora più preoccupante, molti non hanno ancora iniziato. Se avete dubbi su un plugin in esecuzione, rivolgitevi direttamente allo sviluppatore per vedere come intendono gestire GDPR.
Liceità del trattamento
Mentre la semplice richiesta del consenso come spiegato sopra costituisce il modo più semplice per conformarsi al GDPR, questo non è l’unico modo. In alcuni casi, infatti, l’elaborazione dei dati è consentita senza consenso a causa di ciò che viene definito liceità del trattamento. Ecco giusto alcuni esempi:
Necessità contrattuale
Il trattamento dei dati è consentito se necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso (Art. 6 (1) b)
Interesse legittimo
il trattamento dei dati è consentito quando necessario al perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore. (Art. 6 (1) f)
Nota: ciò non si applica al trattamento effettuato dalle autorità pubbliche nell’esecuzione dei loro compiti.
Per ulteriori esempi, si consiglia di leggere il post Lawful Basis for Processing di White & Case LLP.
Plugin GDPR per WordPress
Di seguito riportiamo alcuni plugin utili cui consigliamo di dare un’occhiata che possono essere di aiuto:
- WP Security Audit Log: uno dei migliori strumenti per vedere realmente cosa succede nel vostro sito WordPress. Di solito lo consigliamo per motivi di sicurezza, ma questo plugin può offrire anche un’ottima soluzione per vedere cosa sta raccogliendo dati, come le registrazioni degli utenti, i commenti, le voci dei moduli di contatto, ecc.
- WP GDPR Compliance: questo plugin assiste i proprietari di siti web e webshop fornendo suggerimenti comuni per conformarsi al GDPR, offrendo integrazioni con alcuni plugin popolari come Gravity Forms, Contact Form 7, WooCommerce e i commenti nativi di WordPress.
- GDPR: un altro plugin che vi aiuta a mettervi in regola. Questo presenta i termini di servizio e la politica della privacy, la gestione del consenso alla registrazione, i diritti di cancellazione e la cancellazione dei dati con invio di email di conferma, impostazioni del trattamento dei dati e la pubblicazione delle informazioni di contatto, il diritto di accedere ai dati e all’esportazione dal pannello di amministrazione, la gestione delle preferenze dei cookie e molto altro.
- GDPR Cookie Compliance: permette agli utenti di dare il consenso per specifici cookie con la possibilità di abilitare e disabilitare i cookie a livello granulare.
- iubenda Cookie Solution for GDPR: questo plugin ha un approccio tutto-in-uno che aiuta a rendere il sito conforme al GDPR generando il testo della privacy policy, il banner dei cookie e la gestione dei blocchi dei cookie. Esegue anche una scansione automatica del sito per configurare automaticamente le soluzioni necessarie. Infine, è possibile raccogliere, archiviare e gestire i record di contenuto GDPR per i moduli web e tradurre i documenti con un solo clic (10 lingue supportate).
- Complianz GDPR: Questo plugin fa praticamente tutto ciò che serve per la conformità al GDPR! Rileva automaticamente se è necessario un avviso sui cookie, si integra con Google Analytics (potrebbe non essere necessario un avviso), esegue la scansione dei cookie per il sito, permette di bloccare i cookie, genera una cookie policy e molto altro.
- GDPR Cookie Consent: Questo plugin aiuta a visualizzare una notifica per il consenso sui cookie sul vostro sito WordPress. Permette di installare i cookie sul browser dell’utente solo quando questo ha dato il consenso esplicito. Gli utenti possono anche ritirare il loro consenso in qualsiasi momento. Inoltre, il plugin offre diverse opzioni di personalizzazione dello stile della barra di consenso in base al tema del vostro sito.
Abbiamo Creato il Nostro Plugin per il Consenso ai Cookie di WordPress
Dato che ogni azienda e ogni sito web sono diversi, è quasi impossibile per un plugin di terze parti essere conforme alle nuove norme.
Questo è esattamente il motivo per cui abbiamo alla fine deciso di creare il nostro plugin per il consenso ai cookie previsto dal GDPR. In questo modo i visitatori del nostro sito possono facilmente personalizzare tutto in base agli script e ai cookie che abbiamo in esecuzione. Ciò ci assicura di essere pienamente conformi al GDPR.
Abbiamo separato i nostri cookie in due categorie: Cookie necessari (che vengono caricati di default, ma non raccolgono PII) e cookie di marketing. L’utente può cliccare su ciascuno di essi e scegliere separatamente se accettarli o meno.
Scriveremo un post su come abbiamo creato questa soluzione, quindi rimanete sintonizzati! Oppure potreste sempre assumere uno sviluppatore WordPress per costruirne uno specifico per le esigenze del vostro sito.
GDPR Audit
Ancora confusi? 😦 Non vi preoccupate, il GDPR può essere difficile da gestire e costituisce un enorme cambiamento nella raccolta dei dati personali. Se siete preoccupati per il vostro sito WordPress, potrebbe essere saggio investire in un controllo sul GDPR da parte di un esperto, preferibilmente uno che lavori esclusivamente con WordPress. Vi consigliamo di dare un’occhiata a GDPR Audit di Grey Castle.
Le Modifiche Fatte da Kinsta per il GDPR
Dato che Kinsta è nata in Europa, abbiamo applicato restrizioni più severe sui nostri dati fin dall’inizio. Ma, come tutte le aziende, in questo momento stiamo rivisitando, con il nostro ufficio legale, ognuna delle nostre policy in materia di trattamento, raccolta e archiviazione dei dati.
Come avete visto sopra, questo includeva la visualizzazione del nostro sito WordPress e la creazione della nostra soluzione di consenso per i cookie per garantire che fossimo pienamente conformi entro la scadenza stabilita.
Kinsta utilizza Google Cloud Platform, che è completamente impegnato a rispettare il GDPR e abbiamo esaminato tutti i nostri fornitori e integrazioni di terze parti per concordare una simile elaborazione dei dati per il GDPR.
Alcune modifiche in arrivo comprenderanno:
- Offrire nuovi modi per rispettare la portabilità dei dati.
- Addendum sul trattamento dei dati.
- Kinsta è membro del EU-U.S and Swiss-U.S. Privacy Shield Framework.
Come clienti di Kinsta, ci si riferisce a voi come controller di dati. Ciò significa che siete responsabili dell’implementazione di misure tecniche e organizzative appropriate per garantire e dimostrare che l’elaborazione dei dati venga eseguita in conformità con il GDPR.
Riepilogo
Come probabilmente avrete capito, il GDPR è davvero un grosso problema! Interesserà quasi tutti i siti WordPress sul web. Con l’avvicinarsi della scadenza, invitiamo tutti a ritagliarsi un po’ di tempo per fare ricerche e garantire che il proprio sito sia pienamente conforme. Se non lo fate, potreste vedervi arrivare una bella multa pesante!
Avete domande su GDPR e WordPress? Lasciatele qui sotto nei commenti. Oppure, se conoscete qualche altro popolare plugin per WordPress che è già in regola con il GDPR, fatecelo sapere e lo aggiungeremo qui sopra!
Ottimo articolo. Grazie
E’ possibile sapere che plugin usi per la barra dei cookie con la possibilità di attivarne o meno l’utilizzo?
grazie
Ciao Alessio, grazie per il tuo commento.
Brian risponde: “L’avviso dei cookie che vedi nel sito di Kinsta è stato realizzato dai nostri programmatori al nostro interno. Ci sono diversi plugin nella repository da provare e, in conseguenza del GDPR, ne vedremo presto spuntare degli altri. Eccone uno davvero interessante che sarà lanciato a breve: https://consently.co/ “
Non ci sto capendo nulla. Io ho un blog wordpress , quello semplice della piattaforma gratuita, come si inseriscono i plugin dopo averli scaricati?
Ciao Sergio. Se hai un blog su WordPress.com, con il piano gratuito non puoi installare tuoi plugin. Per attivare questa funzionalità, devi passare ad un piano Pro. In alternativa, se vuoi il pieno controllo del tuo sito, devi valutare la possibilità di una soluzione self-hosted, scegliendo il servizio di hosting che meglio si adatta alle tue esigenze.
Io ho sempre usato Cookie Notice for GDPR, un semplicissimo plugin che mostra un banner che avvisa l’utente dell’uso dei cookies con annesso il link alla privacy policy. Finisce qui però: niente consenso preventivo nè pannello per gestire le preferenze. Per questo di recente ne ho scaricato un altro con le due cose sopracitate. Il problema è che se l’utente rifiuta niente annunci AdSense e addio guadagni. Si può tenere un semplice banner oppure ogni sito deve munirsi di pannello per consentire all’utente di modificare le sue preferenze in qualsiasi momento?
Ciao Faby, la norma prevede che l’utente abbia sempre la possibilità di rivedere le sue impostazioni. I vari plugin hanno implementato questa funzionalità in modo diverso. Alcuni permettono di personalizzare dettagliatamente le preferenze dell’utente, altri sono più generici. Bisognerebbe provarne diversi per individuare quello più adatto al sito e al modo in cui viene monetizzato. Certo, se i ricavi derivano principalmente da annunci pubblicitari, un sistema di opzioni più dettagliato potrebbe essere più adatto
Esiste un plug in per la generazione di un registro dei consensi? Come faccio a salvare tutti i consensi dell’utente?
Ciao Emanuele. Dovresti cercare un plugin che offra questa funzionalità, come GDPR Cookie Consent (https://it.wordpress.org/plugins/cookie-law-info/), disponibile gratuitamente nella directory dei plugin di WordPress. Ma ci sono anche altre opzioni che puoi prendere in considerazione.
Possiedo sul mio sito una piccola newsletter e un box per i commenti… come posso comportarmi con i registri dei consensi? Ho dato un’occhiata alla consent solution di iubenda ma non mi sembra il caso di spendere tutti questi soldi per un piccolo sito che ha come traffico mensile una trentina di visite… C’é qualche soluzione piú economica o gratuita?
Ciao Emanuele, dovrebbero offrire una versione gratuita, ma non saprei se copra anche il tuo caso d’uso. Proverei a contattare il loro servizio di supporto