Musa Formazione

WordPress e GDPR: la guida completa

PUBBLICATO IL: 02/04/2019   DA: Musa Formazione

Il GDPR è un nuovo regolamento dell’UE e riguarda anche il modo in cui WordPress svolge la propria attività. Anche i siti e le imprese non basati fisicamente in UE sono interessati

Il tuo sito web è compatibile con la legge sul GDPR? Quali sono i passi che devi compiere per assicurarti di seguire le linee guida? Cosa succede se trascuri tutto questo?

Ecco alcuni consigli:

  • In primo luogo, parleremo dettagliatamente delle linee guida GDPR, delle aree specifiche della tua attività che influiscono sulle linee guida e perché dovresti preoccuparti della conformità al GPRD di WordPress.
  • Successivamente, tratteremo le basi per un reclamo del sito in WordPress con le linee guida.
  • Infine, discuteremo le implicazioni dell’uso dei plugin sul tuo sito WordPress e come la tua conformità GDPR potrebbe essere influenzata.

Cos’è il GDPR?

GDPR è l’acronimo di General Data Protection Regulation ed è una nuova legge sulla protezione dei dati nell’UE dal maggio 2018.

Lo scopo del GDPR è di fornire ai cittadini dell’UE il controllo sui propri dati personali e modificare l’approccio delle organizzazioni in tutto il mondo alla privacy dei dati.

Il GDPR fornisce regole molto più severe delle leggi esistenti ed è molto più restrittivo della semplice “legge sui cookie dell’UE”.

Ad esempio, gli utenti devono confermare che i loro dati possono essere raccolti, ci deve essere una chiara politica sulla privacy che mostra quali dati saranno archiviati, come saranno utilizzati e fornire all’utente il diritto di revocare il consenso all’uso di dati personali (cancellandoli di conseguenza), se necessario.

Il GDPR si applica ai dati raccolti sui cittadini dell’UE da qualsiasi parte del mondo. Di conseguenza, un sito Web con visitatori o clienti dell’UE deve rispettare il GDPR, il che significa praticamente tutte le aziende che desiderano vendere prodotti o servizi al mercato europeo.

Ci sono due aspetti principali del GDPR: “dati personali” e il “trattamento dei dati personali”. Ecco come questo si applica all’esecuzione di un sito WordPress:

  • i dati personaliriguardano “qualsiasi informazione relativa a una persona fisica identificata o identificabile” – come nome, email, indirizzo o persino un indirizzo IP; qualsiasi dato può essere considerato un dato personale.
  • il trattamento di dati personali siriferisce a “qualsiasi operazione o insieme di operazioni eseguite su dati personali”. Pertanto, una semplice operazione di memorizzazione di un indirizzo IP sui registri del server Web costituisce l’elaborazione dei dati personali di un utente.

Vai in alto

La sanzione per inadempienza può arrivare fino a 20 milioni di euro o, nel caso di un’impresa, fino al 4% del fatturato totale.

Una quantità così elevata di sanzioni è stata proposta per aumentarne la conformità. Tuttavia, ci si può chiedere quali siano i passaggi per la supervisione dei siti web. Saranno istituite autorità di controllo di diversi Stati membri, con il pieno appoggio della legge. Ogni stato membro può averne a seconda delle strutture costituzionali, amministrative e organizzative. Ci sono vari poteri che avranno:

  • effettuare verifiche sui siti Web,
  • emettere avvisi per non conformità,
  • emettere misure correttive da rispettare con scadenze.

Le SA hanno sia poteri investigativi che correttivi per verificare la conformità alla legge e suggerire modifiche per essere conformi.

 

GPRD e WordPress: ecco i dettagli

Ok, quindi, con tutte le informazioni ufficiali fuori mano, prendiamoci un momento per parlare di come accertarci che il tuo sito web sia conforme e che non si verifichino problemi di GDPR WordPress.

Prima di passare a ciascuno degli aspetti e al come rispettarli, un controllo di sicurezza sul tuo sito WordPress dovrebbe, in generale, rivelare il modo in cui i dati vengono elaborati e archiviati sui tuoi server e i passaggi necessari per conformarsi al GDPR. Il plug-in Registro di controllo sicurezza può aiutarti a eseguire un controllo sul tuo sito web.

Ecco alcuni modi usuali in cui un sito WordPress standard potrebbe raccogliere dati utente:

  • registrazioni dell’utente,
  • Commenti,
  • voci del modulo di contatto,
  • analisi e soluzioni del registro di traffico,
  • qualsiasi altro strumento di registrazione e plugin,
  • strumenti di sicurezza e plugin.

Ecco alcuni aspetti chiave del GDPR WordPress di cui gli utenti devono occuparsi:

Notifica di violazione

Ai sensi della conformità GDPR, se il tuo sito web sta subendo una violazione dei dati di qualsiasi tipo, tale violazione deve essere comunicata ai tuoi utenti.

Una violazione dei dati può comportare un rischio per i diritti e le libertà delle persone, a causa della quale è necessario informare gli utenti in modo tempestivo. Ai sensi del GDPR, una notifica deve essere inviata entro 72 ore dalla prima conoscenza di una violazione. I processori di dati sono inoltre tenuti a informare gli utenti e i responsabili del trattamento dei dati, immediatamente dopo essersi resi conto di una violazione dei dati.

In uno scenario WordPress, se si nota una violazione dei dati, è necessario notificarlo a tutti gli interessati dalla violazione entro un intervallo di tempo designato. Tuttavia, la complessità qui è la definizione del termine “utente” – con questo, ci si può riferire a normali utenti del sito web, voci del modulo di contatto e potenzialmente anche commentatori.

Questa clausola del GDPR crea quindi un requisito legale per valutare e monitorare la sicurezza del tuo sito web. Il modo ideale è monitorare i registri del traffico web e del server web, ma l’opzione più pratica è quella di utilizzare il plugin di Wordfence con le notifiche attivate. In generale, questa clausola incoraggia a utilizzare le migliori pratiche di sicurezza disponibili per garantire che non si verifichino violazioni dei dati.

wordpress

Raccolta, elaborazione e archiviazione dei dati

Bisogna tenere a mente tre elementi: diritto di accesso , diritto di essere dimenticati  e portabilità dei dati .

  • Il diritto di accessooffre agli utenti una completa trasparenza nell’elaborazione e nell’archiviazione dei dati: tali dati vengono raccolti, elaborati e archiviati. Agli utenti dovrà inoltre essere fornita una copia dei propri dati.
  • Il diritto all’oblioconsente agli utenti di cancellare i dati personali e interrompere ulteriormente la raccolta e l’elaborazione dei dati. Questo processo prevede che l’utente ritiri il consenso per l’utilizzo dei propri dati personali.
  • La clausola sulla portabilità dei datidel GDPR fornisce agli utenti il ​​diritto di scaricare i loro dati personali, per i quali hanno precedentemente dato il consenso, e di trasmetterli ulteriormente a un altro controllore.

La privacy by design incoraggia i responsabili del trattamento a far rispettare le politiche sui dati che consentono l’elaborazione e l’archiviazione solo dei dati che sono assolutamente necessari. Ciò incoraggia i proprietari dei siti e i responsabili del trattamento ad adottare politiche potenzialmente più sicure per i dati, limitando l’accesso a un numero di punti dati.

Come proprietario di un sito WordPress, devi prima pubblicare una politica dettagliata su quali punti di dati personali stai utilizzando, come vengono elaborati e archiviati.

Successivamente, è necessario disporre di una configurazione per fornire agli utenti una copia dei propri dati. Questa è forse la parte più difficile del processo. Tuttavia, possiamo presumere che quando sarà il momento, la maggior parte degli sviluppatori di plug-in o degli sviluppatori di strumenti – strumenti e plugin che hai sul tuo sito – avranno già presentato le loro soluzioni.

Si consiglia comunque di disporre di un sistema per ricavare i dati richiesti dal proprio database.

Inoltre, in alcuni casi potrebbe essere saggio evitare l’archiviazione dei dati. Ad esempio, è possibile configurare i moduli di contatto per inoltrare direttamente tutte le comunicazioni al proprio indirizzo e-mail anziché memorizzarle in qualsiasi punto del server Web.

 

Tutti i plug-in che utilizzi dovranno anche rispettare le regole GDPR. Come proprietario del sito, è tua responsabilità, tuttavia, assicurarti che ogni plug-in possa esportare / fornire / cancellare i dati dell’utente raccolti in conformità con le regole GDPR.

Anche per i plug-in si applicano le stesse regole, anche se devono essere affrontati dal punto di vista del proprietario del sito WordPress. Ogni plug-in deve stabilire un flusso di dati e informare sul trattamento dei dati personali. Se sei lo sviluppatore di un plug-in, considera la possibilità di fornire agli utenti del tuo plug-in un addendum da aggiungere ai termini del loro sito Web per renderlo conforme al GDPR.

Inoltre, alcuni strumenti che sembrano essere al di fuori del tuo sito Web WordPress, ne subiranno comunque l’impatto. Prendete, ad esempio, gli strumenti di email marketing. È prassi comune incorporarli con il proprio sito Web WordPress e inviare e-mail promozionali basate su un elenco di indirizzi e-mail. A seconda di come gestisci le tue newsletter / elenchi, tali indirizzi potrebbero non essere stati ottenuti con il consenso esplicito degli utenti.

Ad esempio, una casella di controllo selezionata per impostazione predefinita verrà considerata una violazione. In base al GDPR, tutto ciò che fa parte della tua presenza online come azienda dovrà raccogliere il consenso esplicito e avere una politica sulla privacy in atto. Ci sono anche altre implicazioni: se desideri acquistare una mailing list, invierai email illegalmente ai destinatari, poiché nessuno ha chiesto esplicitamente di ricevere email da te.

Anche se la responsabilità finale spetta al proprietario del sito, lo stesso WordPress potrebbe dover esaminare i suoi processi per renderlo conforme.

Essere conformi è molto più che aggiornare il tuo sito. È necessario implementare politiche di protezione dei dati per l’intera organizzazione. Questo regolamento non intende essere esclusivo online.

Conclusione

Per riassumere, ecco cosa significa rendere compatibile WordPress con il GDPR:

  • applicare a qualsiasi sito web che si occupa di informazioni personali degli utenti dell’UE,
  • dà all’utente il diritto di controllare il flusso delle proprie informazioni personali,
  • ci sono processi definiti per monitorare la conformità e sono in vigore ammende enormi per non conformità.

In poche parole, per rendere compatibile il tuo WordPress GDPR, dovresti:

  • esaminare tutti i diversi modi in cui stai raccogliendo i dati dei visitatori.
  • Mettere in atto meccanismi per assicurarsi che gli utenti possano controllare i loro dati.
  • È probabilmente una buona idea evitare di raccogliere dati utente dove non è necessario (come l’esempio del modulo di contatto dall’alto).
  • Anche se utilizzi strumenti e soluzioni di terze parti, devi comunque assicurarti che anche quelli siano compatibili con GDPR.

 

Vuoi approfondire le tematiche di digital marketing?

Scopri il corso di Digital Marketing for Growth Hacker targato Musa Formazione.

 

Musa Formazione

Ti Aiutiamo Noi!

Compila il form e scopri tutti i vantaggi riservati a TE!
Copyright 2021 © IN-Formazione s.r.l.. Tutti i diritti riservati. P. IVA 07252070722