GDPR e WordPress: il tuo sito è a norma? Regolamento Europeo Privacy

Questo è un post tecnico di 7 anni fa. Le istruzioni potrebbero non essere più valide. Publicato: Febbraio 28, 2018 Aggiornato: Febbraio 3, 2020

Dal 25 Maggio 2018 è in vigore il GDPR n. 679/2016, ovvero il nuovo Regolamento Europeo in materia di protezione dei dati personali.

A tal riguardo, molte sono le domande a cui dobbiamo dare risposte immediate per aver un sito a prova di GDPR.

GDPR e WordPress: il tuo sito web è conforme alla nuova normativa europea?

Quali sono i passaggi fondamentali da seguire per adeguare un sito web al GDPR Europeo?

Quali sono le sanzioni in caso di mancato rispetto degli obblighi previsti dal nuovo regolamento europeo?

Con questa guida cercherò di adeguare il tuo sito web WordPress alla nuova normativa europea (direttiva UE sulla e-privacy e GDPR europeo).

In particolare, analizzerò le linee guida del GDPR, come applicarle ai nostri siti web e sopratutto vedremo quali sono i punti da tenere in maggiore considerazione per non incorrere nelle pesanti sanzioni stabilite dal nuovo regolamento europeo.

Ti mostrerò, infine, i migliori tool che possiamo utilizzare per adeguare i nostri siti web alla nuova normativa in tema di protezione dei dati personali.

Sei pronto? Iniziamo!

Cos’è il GDPR?

E’ una nuova legge sulla protezione dei dati personali entrata in vigore il 25 Maggio 2018.

Con questa nuova normativa, il consenso fornito dagli utenti del tuo sito web deve essere essenzialmente informato ed esplicito.

Questo significa che, tutti i visitatori del tuo sito web devono confermare di voler prestare il proprio consento al trattamento dei loro dati personali e, nel contempo, tutti i siti web devono mostrare una chiara Privacy Policy indicando esattamente quali dati verranno raccolti e memorizzati, da chi e per quanto tempo.

In qualità di proprietario del sito web, devi dare la possibilità ai tuoi visitatori di negare o modificare in qualsiasi momento il consenso al trattamento dei dati personali (gli interessati devono poter cancellare i loro dati in qualsiasi momento).

Questa nuova legge sui dati personali degli utenti, interessa tutti i siti web situati nell’Unione Europea, e comunque i siti web che prevedono di avere interazioni da parte di utenti provenienti dai paesi dell’UE. (In pratica, interessa tutti i siti web del mondo!)

Per meglio comprendere il nuovo regolamento europeo, dai un’occhiata alla sua pubblicazione sulla Gazzetta Ufficiale.

In questo nuovo contesto europeo, l’aspetto più importante per i siti web è il trattamento dei dati personali degli utenti.

Per “dati personali” si intende qualsiasi informazione riguardante una persona fisica, come ad esempio, il nome, la foto, l’indirizzo e-mail, i dati bancari, l’indirizzo di residenza o l’indirizzo IP.

Per “elaborazione dei dati” si intende, invece, qualsiasi operazione avvenuta sui dati. Quindi anche la memorizzazione dell’IP (es. tramite cookie) costituisce una forma di trattamento dei dati personali degli utenti.

Il GDPR riguarda sia i dati personali sia i dati combinati in modo tale da identificare i singoli utenti. Pertanto, quando attraverso i cookie di un sito web si elaborano dati personali (identificabili), questi cookie sono soggetti al nuovo del GDPR europeo:

(Considerando 30 del GDPR) Le persone fisiche possono essere associate a identificativi online prodotti dai dispositivi, dalle applicazioni, dagli strumenti e dai protocolli utilizzati, quali gli indirizzi IP, a marcatori temporanei (cookies) o a identificativi di altro tipo, come i tag di identificazione a radiofrequenza. Tali identificativi possono lasciare tracce che, in particolare se combinate con identificativi univoci e altre informazioni ricevute dai server, possono essere utilizzate per creare profili delle persone fisiche e identificarle.

In tutto il lunghissimo regolamento europeo (pagine n. 88), questo è l’unico riferimento ai cookie, il che potrebbe indurre il lettore poco attento a ritenere che nulla sia cambiato rispetto alla specifica legge sui cookie, la cosiddetta “Cookie Law“, in realtà queste poche righe hanno un impatto significativo sulla conformità dei cookie al GDPR europeo. In sintesi: quando attraverso i cookie è possibile identificare un individuo tramite il loro dispositivo, questi dati sono considerati dati personali. Quindi dati personali = GDPR.

Ti faccio un esempio parlando di uno dei servizi più utilizzati dalla maggior parte dei siti web: Google Analytics.

Se usi Google Analytics non anonimizzato (ovvero senza mascherare l’indirizzo IP) significa che tramite i cookie di Analytics presenti sul tuo sito web stai memorizzando l’IP dei tuoi visitatori.

In questo caso particolare stai elaborando dei dati personali dei tuoi utenti ed è qui che entra in gioco il GDPR e quindi il rispetto di tuti gli obblighi previsti dal nuovo regolamento europeo sulla protezione dei dati personali.

Tutti i cookie che raccolgono informazioni sulla persona e sono in grado di identificare un individuo, sono soggetti alla normativa europea sul trattamento dei dati personali. In pratica, ciò riguarda gran parte dei cookie (propri o di terze parti), compresi i cookie di analisi non anonimizzati, di pubblicità e di servizi come tool di sondaggio e di chat.

Tutti questi servizi non sono di tua proprietà ma sono esempi di terze parti presenti sul tuo sito web che rilasciano cookie sui browser dei tuoi visitatori mentre questi navigano all’interno del tuo sito web. In questi casi, ai sensi del nuovo GDPR europeo:

• sei responsabile della protezione dei dati che sono stati raccolti tramite questi cookie;
• sei tenuto a fornire agli interessati una chiara informazione sulle modalità con cui verranno utilizzati i loro dati.

Se nel tuo sito utilizzi cookie che contengono dati personali diretti o dati potenzialmente collegabili per identificare o rintracciare una persona (cookie di profilazione), devi rivedere il consenso sui cookie alla luce della nuova normativa europea (direttiva UE sulla e-privacy e GDPR).

Se si dispone, invece, di un sito web semplice che non raccoglie dati personali, solitamente anche i cookie impostati non vengono utilizzati per identificare i gusti e le preferenze di una persona e, pertanto, non sei soggetto al GDPR ma si applicheranno le normative precedenti (Cookie Law, ovviamente, fino all’entrata in vigore della nuova normativa europea). Non tutti i cookie sono considerati dati personali. In altre parole: solo se i cookie possono essere utilizzati per identificare un individuo sono considerati dati personali nel GDPR.

La direttiva UE sulla e-privacy richiede che il consenso da parte degli utenti del tuo sito sia preventivo e informato.

Il GDPR richiede la documentazione di ciascun consenso, specificando anche quali saranno i dati utente condivisi con i servizi di terze parti presenti nel tuo sito web, e in quale parte del mondo verranno inviati tali dati. Due sono gli aspetti principali su cui si focalizza il nuovo GDPR europeo.

• Aspetto relativo alla privacy: cosa viene registrato?
• Aspetto inerente alla trasparenza: chi ti sta monitorando? per quale scopo? dove andranno i dati e per quanto tempo resteranno in giro?

Direttiva UE sulla e-privacy + GDPR: il consenso deve essere preventivo, informato e documentato.

GDPR e WordPress dobbiamo proprio adeguarci?

Il 25 Maggio 2018 è la data limite entro cui devi o dovevi adeguare il tuo sito web al nuovo regolamento europeo.

La sanzione stabilita, in mancanza di adeguamento, può arrivare fino ad un massimo di 20 milioni di euro o al 4% del fatturato globale annuo (riferito all’esercizio precedente), se superiore.

Per conoscere le diverse sanzioni applicabili in base al tipo di violazione commessa, basta dare un’occhiata alle faq presenti sul sito del GDPR: sanzioni per violazioni del GDPR.

Entro la data del 25 Maggio 2018, ogni Stato membro, inoltre, ha instituito una particolare società che ha il compito di verificare tutti i siti web e la loro conformità alla nuova legge. In caso di violazioni, questa società indicherà le misure correttive a cui gli interessati dovranno adeguarsi.

Nel mondo, ormai, tutti gli stati membri si sono adeguati al nuovo GDPR Europeo. Anche l’Italia ha preso in seria considerazione il nuovo regolamento europeo sulla protezione dei dati personali, al fine di evitare le pesanti sanzioni di cui ti parlavo sopra.

GDPR e WordPress: il tuo sito è conforme alla nuova normativa Europea?

In questo momento, per evitare problemi, devi capire se il tuo sito è in regola con il nuovo GDPR europeo, altrimenti devi adeguarti subito.

In pratica, all’interno del nostro sito web, dobbiamo analizzare questi aspetti:

• Moduli di registrazione utenti;
• Sezione Commenti;
• Moduli di contatto;
• Analisi dei log del traffico;
• Plugin utilizzati;
• Tools di email marketing.

Le cose che, nel tuo sito web, devi assolutamente rivedere sono:

• il modo con il quale gestisci e memorizzi i dati sensibili;
• i Cookie e, nello specifico, il banner per il consenso sui cookie. Il consenso deve rispettare i nuovi requisiti previsti dalla nuova legge sui dati personali;
• Privacy Policy, che necessariamente deve essere aggiornata per renderla conforme alla nuova legge europea.

Per risolvere il problema della Privacy Policy ed essere in regola con il nuovo regolamento europeo, puoi chiedere il supporto di un consulente legale, e questa forse è la migliore alternativa sopratutto se hai una specifica casistica da regolamentare.

Nel caso in cui il tuo sito web offra, invece, servizi relativi alla raccolta di dati piuttosto standard, puoi optare per un servizio più standardizzato, che sarà di sicuro meno oneroso dell’alternativa precedente: in questo caso uno dei migliori tool online per generare la tua Privacy Policy è stato offerto dal sito Iubenda.

Per chi vuole provvedere autonomamente (consigliato solo per esperti), può utilizzare il sito https://www.wonder.legal/it/ che permette di creare una perfetta Privacy Policy e tanti altri documenti giuridici.

Banner per il consenso dei Cookie

Se il tuo sito web installa nei browser dei visitatori qualsiasi cookie in grado di identificarli, hai solo due scelte: o elimini questi cookie o li adegui al GDPR europeo.

Controlla il banner per il consenso che attualmente stai utilizzando alla luce del nuovo regolamento europeo. La più grande differenza per i cookie in relazione al GDPR è costituita dal fatto che il consenso deve tradursi in una chiara azione affermativa degli utenti sia nel caso in cui il consenso venga fornito sia nel caso di rifiuto dello stesso consentendo però, allo stesso tempo, la continuazione della navigazione del sito.

Nella pratica, i banner che richiedono il consenso sui cookie possono considerarsi conformi al GDPR europeo solo se garantiscono che il consenso sia:

• informato e preventivo: l’utente deve essere informato in anticipo delle finalità dei cookie, e deve essere possibile selezionare e deselezionare i vari tipi di cookie;
• esplicito: il comportamento dell’utente deve essere inteso come un’azione affermativa e positiva;
• registrato: devi avere la prova del consenso;
• reversibile: gli utenti, in qualsiasi momento, devono poter ritirare il loro consenso. Gli utenti del tuo sito web devono avere la possibilità di rifiutare i cookie e di continuare normalmente la navigazione sul tuo sito web.

Sulla base di queste informazioni, mi sono messo alla ricerca di una soluzione che tenesse conto delle prescrizioni richieste dalla nuova legge europea, considerato che il banner che avevo precedentemente ne rispettava solo alcune ma non tutte.

Soluzione: navigando in internet in cerca di una soluzione che avesse questi requisiti, dopo aver testato numerosissimi tool online, mi sono imbattuto in Cookiebot, uno dei pochi servizi di cookie pienamente compatibile con il GDPR europeo e con la Direttiva europea sulla ePrivacy.

Anche Google impone ora il pieno rispetto della politica sul consenso sui cookie da parte di tutti i partner pubblicitari e propone Cookiebot come una delle possibili soluzioni perché è perfettamente integrato con tutti i servizi Google (Google Tag Manager, AdSense, Analytics e YouTube, etc.).

Infatti, con Cookiebot sarai in grado di:

• monitorare e documentare qualsiasi attività di tracciamento sul sito;
• visualizzare le informazioni richieste dal GDPR europeo per i visitatori del sito;
• documentare, in qualsiasi momento ed automaticamente tutti i consensi prestati dagli utenti.

Cookiebot è in grado di esaminare il tuo sito web alla ricerca di tutti i sistemi di tracciamento e ti fornisce un resoconto di quali servizi di terzi monitorano i tuoi utenti e dove nel mondo vengono inviate queste informazioni (UE, negli Stati Uniti, in Russia o in Cina, etc.).

Al fine di  documentare il consenso ai cookie degli utenti, Cookiebot ha sviluppato una funzione che permette di scaricare tutti i consensi in un foglio elettronico direttamente dalla pagina dei consensi di Cookiebot.

Il consenso dell’utente verrà richiesto mediante un banner comprensibile, in cui gli utenti potranno facilmente attivare e disattivare i vari tipi di cookie.

Gli utenti potranno, in qualsiasi momento, accedere alla configurazione del consenso e modificare o ritirare il proprio consenso.

Ogni dodici mesi, il consenso verrà automaticamente rinnovato alla prima visita dell’utente sul sito web.

Il consenso sarà richiesto prima della configurazione dei cookie, ad eccezione di quelli strettamente necessari e dunque legali.

Tutti i consensi verranno automaticamente raccolti tramite una connessione protetta e memorizzati come chiavi fortemente crittografate.

Clicca qui per scoprire tutte le funzioni di Cookiebot 🍪

Cookiebot ha quattro tipi di abbonamento:

Se il tuo sito web ha un numero di pagine inferiori a 100, puoi optare per il piano Gratuito (max 1 dominio), altrimenti puoi sottoscrivere un abbonamento premium corrispondente alla dimensione del tuo sito web.

Con gli abbonamenti premium, avrai altre funzioni non incluse nella versione free:

• banner personalizzato;
• dichiarazione personalizzata;
• supporto multilingua;
• report tramite email;
• esportazione dei dati;
• geolocalizzazione;
• consenso omnicomprensivo;
• statistiche sui consensi;
• alias interni del dominio per sviluppo, test e staging.

Infine, un altro aspetto che ho considerato prima di scegliere il mio nuovo banner sui consensi è stato: l’ottimizzazione del sito web.

Mi spiego meglio!

Il banner che decideremo di installare sul nostro sito web deve sicuramente essere conforme al GDPR ma allo stesso tempo non deve compromettere la velocità di caricamento delle nostre pagine web. In caso contrario, come più volte ho detto nei post per velocizzare il sito web, se il tuo sito non carica le pagine in meno di 3 secondi, significa che stai perdendo visitatori e con essi anche i tuoi guadagni.

Cookiebot, al riguardo, oltre a rendere i cookie e il tracciamento online conforme al GDPR con poche righe di Javascript non incide più di tanto sulla velocità di caricamento dei nostri siti web.

Vuoi sapere se il tuo sito è conforme al regolamento GDPR e quali cookie installa?

Prova subito il tool offerto da Cookiebot, previa registrazione gratuita.

Come installare Cookiebot in WordPress

Se hai un sito web WordPress, il modo più semplice per implementare il consenso sui cookie (da oggi anche con il blocco automatico) sul tuo sito consiste nell’utilizzare un plugin per WordPress.

Per gli utilizzatori di WordPress, è stato lanciato di recente, anche il plugin Cookiebot, che puoi trovare qui: https://wordpress.org/plugins/cookiebot/

Questo plugin, come per gli altri plugin WordPress, si installa e si attiva direttamente dal menu dei plugin della bacheca di WordPress.

Per chi decide di installare il plugin, può seguire questa procedura:

1. registrati sul sito CookieBot
2. download ed installazione plugind per wp: https://wordpress.org/plugins/cookiebot/
3. inserisci cookiebot id nell’apposito text item nelle impostazioni del plugin
4. inserisci lo shortcode [cookie_declaration] nella tua pagina Privacy Policy

Se preferisci, al posto del plugin, puoi semplicemente aggiungere uno script direttamente nella pagine del tuo sito web prima del tag di chiusura </head>.

Per gli utilizzatori di WordPress, lo script può essere inserito nel file header.php prima del tag di chiusura </head> o in alternativa in un apposito plugin WordPress personalizzato.

Si tratta di un semplice javascript. Scopri come installare lo script qui.

Ok abbiamo superato il primo step, infatti, con Cookiebot possiamo dire che sono state rispettate tutte le prescrizioni richieste dal GDPR europeo riguardo al consenso sui cookie:

• Informazioni chiare e specifiche sui tipi di dati e sulla finalità dei cookie.
• Documentazione completa di tutti i consensi forniti.
• Possibilità da parte dell’utente di rifiutare i cookie superflui e utilizzare comunque il sito.
• Possibilità da parte dell’utente di revocare il consenso in qualsiasi momento.

Con Cookiebot il nostro sito web, comincia già ad essere sempre più compatibile con il nuovo regolamento europeo in materia di dati sensibili.

Tutte le altre soluzioni presentate su Internet che non includono queste funzioni non sono conformi al GDPR.

Superato l’aspetto dei cookie, il nostro lavoro di adeguamento del sito web al GDPR non è ancora terminato!

Precisazione: non tutte le soluzioni che ho presentato fino a questo momento e quelle che presenterò nel corso di questa guida, devono essere implementate tutte contemporaneamente sul tuo sito web. Scegli solo quella o quelle che ti servono in base alle specifiche esigenze del tuo business online.

Notifica le violazioni

Se il tuo sito, per qualsiasi motivo subisce una violazione dei dati, entro 72 ore devi comunicarla ai tuoi utenti.

Tutto questo significa che devi monitorare costantemente e rendere sicuro il tuo sito web.

Soluzione: in questo caso non puoi che scegliere un hosting web sicuro ed installare i principali plugin indispensabili per la sicurezza del tuo sito web. In questo modo sarai sempre in grado di rilevare e bloccare le ultime minacce presenti sul web.

Scegli sempre gli hosting web che offrono, oltre allo spazio web anche:

• un certificato di sicurezza SSL, ovvero sistema che consenta di avere un traffico crittografato da e verso il suo sito web. In questo modo le informazioni personali inviate tramite i moduli del tuo sito web passeranno dal browser al server web in forma criptata e nessuno sarà in grado di intercettare i tuoi dati.
• un sistema sicuro di backup giornaliero.

Personalmente per la sicurezza del mio blog ho scelto l’hosting web Siteground, che di recente ha implementato due nuove funzionalità per la sicurezza dei nostri dati e dei nostri blog.

1#. Site Scanner Malware Monitoring: questo scanner ti aiuta a proteggere il tuo sito scannerizzando e analizzando le tue pagine contro possibili malware. Identifica anche le più recenti tecniche di distribuzione di malware e ti avvisa tramite email. Ti dà suggerimenti su come pulire il tuo sito, evitando infezioni future. Funziona come un servizio e non richiede software installati.

2#. Backup istantaneo On Demand: oltre ai backup automatici giornalieri, Siteground ha aggiunto l’opzione per creare autonomamente backup istantanei su richiesta. Questa nuova funzione di backup istantaneo è utile prima di apportare modifiche al tuo sito web in modo da salvare tutti i tuoi aggiornamenti precedenti. Se qualcosa va storto, ripristinando l’ultimo backup che hai creato, puoi tornare indietro al momento immediatamente precedente gli ultimi cambiamenti. Questa funzione è il modo più semplice per evitare la perdita di dati a causa di errori del sito web e di sperimentare eventuali aggiornamenti.

Considera, infine, di aggiungere tutte le informazioni circa la sicurezza del tuo hosting web e di come quest’ultimo sia in grado di proteggere i dati scambiati nel tuo sito web, all’interno della tua Privacy Policy.

Scegliendo Siteground come tuo hosting web, significa che stai scegliendo un hosting già conforme al regolamento europeo sui dati personali, già GDPR-compliant.

Dopo la scelta dell’hosting, ti consiglio di installare anche un plugin per monitorare costantemente il traffico del tuo sito web. Tra i migliori, oggi, compatibili con il nuovo GDPR, ti presento:

• Wp-Simple-Firewall
• Malcare

Per rendere ancora più sicuri i tuoi dati, dai un’occhiata alla mia sezione sicurezza WordPress, dove troverai tutti i modi per evitare possibili intrusioni esterne da parte di sconosciuti o attacchi hacker.

Raccolta dei dati, elaborazione e conservazione

Per rispettare gli obblighi di raccolta, elaborazione e conservazione dei dati dobbiamo focalizzarci su tre aspetti:

• Diritto di accesso: ovvero sulla possibilità degli utenti di accedere ai propri dati personali.
• Diritto all’oblio: diritto degli utenti di chiedere la cancellazione dei loro dati.
• Portabilità dei dati: ovvero la possibilità degli utenti di trasferire i propri dati personali da un sistema di elaborazione elettronico ad un altro.

La soluzione più veloce per garantire questi diritti ci viene offerta direttamente da WordPress e da WooCommerce che nelle ultime versioni sono datati di tantissime ed interessanti funzioni utili per il GDPR.

Per una panoramica completa delle nuove funzioni di WordPress collegati con quest’altra guida che ho predisposto sul “GDPR e WordPress”.

Alcune funzioni del plugin WooCommerce nella versione GDPR-compliant puoi vederle negli screenshot di questo commento.

In aggiunta alle funzioni già disponibili in WordPress e WooCommerce, è possibile testare altre soluzioni messe a disposizione dalla rete che si propongono di garantire il rispetto completo del GDPR per quanto riguarda i diritti degli interessati.

Riguardo al diritto di accesso, devi informare gli utenti del motivo per cui raccogli i loro dati, come vengono elaborati o conservati. Entro 40 giorni tutti gli utenti possono chiedere una copia gratuita dei loro dati. Per il tuo sito web, questo significa che prima di pubblicare la tua Privacy Policy devi aver ben chiaro quali dati intendi raccogliere, elaborare e conservare.

Per rispettare il diritto all’oblio, puoi utilizzare il plugin gratuito Delete Me se vuoi evitare di eliminare manualmente, in caso di esplicita richiesta, i dati degli utenti registrati al tuo sito web. Tramite un comodo shortcode, che puoi posizionare ovunque nel tuo sito web, gli utenti registrati possono eliminare tutti i dati dei loro account (messaggi, link e commenti). Consigliato per tutti i siti web che consentono la registrazione degli utenti!

Riguardo alla portabilità dei dati, è necessario trovare un sistema per consegnare i dati agli interessati che ne faranno richiesta.

Soluzione: per rispettare questi obblighi (diritto di accesso, diritto all’oblio e portabilità dei dati), dopo un’estenuante ricerca su internet, ho individuato il plugin WordPress WPGDPR. Si tratta di una delle prime soluzioni sviluppate per rendere compatibile i nostri siti web al GDPR europeo.

Questa soluzione è sempre in fase di espansione: gli sviluppatori stanno aggiungendo diversi addons premium per integrarla con i principali plugin utilizzati nei siti web WordPress.

Grazie a questo plugin potrai rendere accessibile i dati degli utenti attraverso un modulo web dove gli stessi potranno richiedere l’accesso ai loro dati personali per aggiornarli, rimuoverli o scaricarli.

Scarica e prova il plugin dalla repository ufficiale di WordPress: https://wordpress.org/plugins/wp-gdpr-core/

Uso dei plugin WordPress e GDPR europeo

Tutti i plugin che memorizzano i dati degli utenti devono rispettare le regole del GDPR.

In pratica devi verificare se e come i plugin che utilizzi nel tuo sito WordPress raccolgono i dati personali degli utenti.

L’esempio classico di raccolta dati per un sito WordPress è il form contatti dove i visitatori del tuo sito web possono chiederti informazioni circa i prodotti e/o servizi che offri.

Nel mio blog, per risolvere questo problema, ho preferito utilizzare il plugin Contact Form 7  (piuttosto che il plugin WPForms) perché non memorizza dati sul server e per la facilità di prevedere un campo obbligatorio (checkbox) dove gli interessati possono fornire il loro consenso al trattamento dei dati in base alle specifiche finalità della mia Privacy Policy.

Il plugin Contact Form 7 invia semplicemente il modulo ad un indirizzo email senza memorizzare alcuna informazione all’interno del database di WordPress e tale caratteristica si “sposa” bene con le nuove norme sulla privacy: nel caso di manomissioni del nostro sito WordPress nessun dato personale viene memorizzato sul server. Al contrario, il plugin WPForms memorizza le informazioni direttamente nel database di WordPress in un file di testo normale (senza alcuna protezione), e di consenguenza, se il database viene compromesso, i dati personali contenuti al suo interno restano accessibili da parte di chiunque.

Ovviamente, la mia scelta verso il “plugin Contact Form 7” è legata solo alla preoccupazione di evitare che in caso di un eventuale attacco hacker i dati personali inviati tramite i “moduli contatti” possano essere accessbili da parte di malintenzionati. Superata questa preoccupazione, preciso che anche con il plugin “WPForms” è possibile creare “form contatti” conformi al nuovo regolamento europeo in materia di protezione dei dati personali. Per maggiori dettegli leggi la guida su come creare un form contatti conformi al GDPR con il plugin di WPForms.

E’ ovvio che un’analisi di questo tipo risulta molto più semplice per i blog piuttosto che per gli e-commerce, dove si utilizzano funzionalità extra e specifiche per le vendite online.

Ora, se utilizzi plugin che memorizzano i dati degli utenti, segui questi semplici suggerimenti:

• raccogli solo i dati strettamente necessari;
• se non hai necessità particolari, utilizza principalmente plugin che non memorizzano dati nel tuo database;
• se devi raccogliere i dati dei tuoi utenti, proteggili salvandoli in maniera crittografata in un database esterno a WordPress per evitare manomissioni in caso di attacchi hacker.

Strumenti di Email Marketing e GDPR europeo

Per gli strumenti di Email Marketing, il problema principale che si potrebbe verificare per molti è il possesso di un database di contatti che è stato raccolto senza avere il consenso esplicito ed informato degli interessati.

Chi si trova in questa situazione, considerato che il GDPR ha un effetto c.d. “retroattivo” e che non può più conservare questi dati perchè privi di un consenso valido, o li elimina oppure invia ai propri iscritti un’apposita campagna con cui richiede l’aggiornamento dei dati e contestualmente il consenso al trattamento degli stessi ai sensi del nuovo regolamento europeo GDPR.

Il consenso raccolto prima del 25 Maggio 2018 resta valido solo se ha tutte le caratteristiche richieste dal GDPR.

Inoltre, non è conforme alla nuova legge la casella di controllo già selezionata per raccogliere il consenso degli utenti.

Al riguardo, devi utilizzare un tool per l’email marketing che consenta ai contatti che si sono iscritti alle tue liste, di cancellarsi in qualsiasi momento e di modificare il loro profilo attraverso una comoda interfaccia web.

Con i migliori software di direct Email Marketing, per essere conformi al GDPR, puoi utilizzare sia una checkbox obbligatoria da far spuntare ai tuoi contatti prima dell’iscrizione alla newsletter sia la procedura “double optin”, ovvero una particolare procedura di iscrizione che prevede una doppia conferma per la registrazione alla lista. Tra le due procedure è da preferire quella del “double optin” perchè consente di dimostare il consenso ricevuto tramite la registrazione della chiamata IP dell’utente con il clic sul link di conferma.

Uno dei migliori tool, GDPR-compliant, è SendinBlue, che già nella versione gratuita offre anche l’autorisponditore automatico. Prova subito il servizio offerto da SendinBlue. Qui trovi l’apposita guida che ho predisposto per te!

Con questa nuova legge, come per il passato, è necessario integrare diverse checkbox in calce ai tuoi moduli di contatto se con i dati raccolti effettui diverse tipologie di trattamenti (es: una checkbox per ricevere aggiornamenti relativi al tuo blog, un’altra checkbox per ricevere email commerciali di prodotti o servizi propri o di terzi, se questi sono gli usi che ne farai). Dal 25 maggio 2018, in aggiunta, si introduce anche la necessità di rendere tale consenso dimostrabile nonché riconducibile a chi lo ha prestato.

Soluzione: per integrare nel mio blog WordPress le checkbox obbligatorie, ho utilizzato il plugin ConvertPro, grazie al quale, posso ricevere via email, l’accettazione degli utenti che prestano il proprio consenso (tramite apposite checkbox obbligatorie) ai diversi form contatti e newsletter sparsi nelle pagine del mio sito web.

ConvertPro è un plugin WordPress molto utile per fare lead generation a grandi livelli e per aumentare il numero degli iscritti alla newsletter.

ConvertPro è un plugin che non deve assolutamente mancare nella tua strategia di Direct Email Marketing.

Con questo plugin, facilissimo da usare, puoi creare fantastici modal pop-up, barre informative, widget optin e slide in, completamente in linea anche con le nuove regole del mobile-friendly.

Con questi accorgimenti, il richiedente deve fornire una conferma esplicita per l’iscrizione a quella determinata lista, e ciò ti garantisce la piena conformità alla nuova normativa europea in tema di dati personali già operativa dal 25 Maggio 2018.

Sintesi finale

• La nuova legge è entrata in vigore il 25 Maggio 2018.
• Si applica a qualsiasi sito web che raccoglie i dati personali degli utenti europei (tutti i siti web WordPress). Se gestisci un sito web nell’UE o hai utenti provenienti dai paesi dell’UE, sei tenuto a rispettare il Regolamento generale sulla protezione dei dati.
• Gli utenti possono controllare il flusso dei dati forniti.
• Multe elevate in caso di mancata osservanza degli obblighi stabiliti dalla nuova legge.

Da un punto di vista operativo, per rendere il tuo sito WordPress completamente conforme al GDPR Europeo devi rivedere questi aspetti.

• analizza tutti i modi con cui raccogli i dati personali dei tuoi utenti;
• rivedi la Privacy Policy alla luce della nuova normativa europea in tema di dati personali;
• chiedi sempre il consenso per memorizzare i dati personali dei tuoi utenti;
• prevedi strumenti per consentire agli utenti di controllare (aggiornare, rimuovere o scaricare) i loro dati;
• raccogli solo i dati degli utenti che sono veramente necessari;
• tutti i plugin e i tool utilizzati nel tuo sito web devono essere conformi alla nuova normativa sul trattamento dei dati personali.

Se il tuo sito non è ancora conforme ai nuovi obblighi europei, in quanto proprietario di un sito web, sarai soggetto ad elevate sanzioni fino ad un massimo di 20 milioni di euro o al 4% del fatturato globale annuo (riferito all’esercizio precedente), se superiore.

Risorse

• Checklist GDPR e WordPress: con le risposte alle domande più ricorrenti
• E-privacy e GDPR: come passare dalla teoria alla pratica
• Guida all’applicazione del GDPR da parte del Garante
• Regolamento generale sulla protezione dei dati (GDPR con riferimenti ai considerando)
• White paper GDPR & dati personali
• Linee-guida valutazione impatto protezione dei dati
• Linee-guida sul diritto alla portabilità dei dati
• Linee-guida sui responsabili della protezione dei dati
• “Privacy by Design” – I 7 principi fondamentali
• Pagina informativa di Google sulla scelta dei cookie