Vuoi imparare la SEO?
Prova per 7 giorni

Come adeguare un sito WordPress al GDPR

Ben ritrovati sul blog di SeoRoma!

Il 25 maggio 2018, il nuovo regolamento europeo 2016/679 o GDPR (General Data Protection Regulation), entrato in vigore il 24 maggio 2016, verrà recepito anche nel nostro Paese.

Questa direttiva europea è la più grande novità in fatto di privacy e trattamento dati personali: essa mira da un lato a rendere più uniformi gli aspetti inerenti la tutela della privacy dei cittadini, dall’altro a proteggere maggiormente i titolari dei diritti e offrire loro chiare modalità di gestione dei propri diritti.

Coloro che si trovano ad avere a che fare con dati relativi a cittadini europei (anche se si tratta di imprese collocate fuori dall’Unione Europea) dovranno perfezionare i documenti in cui spiegano come si occupano di conservare, utilizzare e tutelare le informazioni, e offrire ulteriori garanzie sulla possibilità dei legittimi proprietari di chiedere la loro cancellazione in ogni momento.

Gli obblighi in materia di trattamento dei dati personali

Il nuovo GDPR comporterà un ampliamento dei diritti in mano degli interessati in merito all’accesso e alla cancellazione delle informazioni. Ogni sito web deve quindi possedere al proprio interno una cookie policy e una privacy policy completa, che rendiconti tutti i servizi che memorizzano dati personali.

Ma che cosa sono nello specifico i dati personali?

Con tale dicitura si intendono tutte quelle informazioni che si riferiscono a una persona vivente identificata oppure identificabile. Per esempio, dati generici come indirizzi IP anonimizzati, email generiche e codici non associabili a una singola entità/persona definita non destano preoccupazioni.

Se il tuo sito raccoglie delle informazioni per conto della tua impresa, innanzitutto devi verificare:

  • la provenienza di queste informazioni
  • il mezzo attraverso il quale sono state acquisite (moduli di contatto? mail spontanee? software di analytics con IP non anonimizzato?)
  • l’impiego di cui questi dati verranno fatti (marketing diretto? tracciamento utenti?)

per aggiornare la tua policy di trattamento dati in modo da renderla più chiara ed esaustiva possibile.

I diritti che spettano ai legittimi proprietari dei dati consistono in:

  • accedere ai dati memorizzati
  • chiederne la cancellazione e la rettifica dei dati forniti
  • chiedere l’accesso a certe attività concernenti i propri dati

Sostanzialmente, chi gestisce un sito web deve “portare al massimo” le proprie policy di trattamento dati, tenere traccia dei processi che portano a una loro elaborazione e informare le autorità entro 72 ore dalla scoperta di eventuali brecce nella sicurezza.

Per essere certo di adattarti a questo regolamento, devi mettere a punto delle procedure che ti permettano in ogni momento di risalire allo stato delle informazioni (dove vengono memorizzate, a chi vengono trasferite, chi vi ha accesso) e aggiornare la tua informativa privacy di riferimento.

Mappare i dati personali ti consente di verificare quando il loro stato cambia (ad esempio, quando essi vengono aggiornati o modificati) e della eventuale necessità di informare qualcuno a riguardo.

Secondo quanto previsto dal GDPR, il consenso al trattamento dei dati deve essere fornito in maniera esplicita, specifica e inequivocabile, e non può provenire dalla tacita approvazione oppure dalle caselle preselezionate. Allo stesso modo, deve essere presentata una chiara privacy policy che evidenzi il genere di dati memorizzati, il fine per cui vengono detenuti, le modalità per richiedere la loro modifica o cancellazione.

All’interno del tuo sito, devi predisporre una cookie policy dettagliata alla quale rimandare i tuoi utenti per conoscere il contenuto delle informazioni memorizzate, a sua volta collegata alla privacy policy estesa dettagliante le modalità di trattamento di tutti i dati salvati.

Le persone devono essere infatti informate in modo evidente sul proprio diritto a richiedere la revoca del consenso al trattamento dei dati. In particolare, dovrai informare:

  • come stai raccogliendo i dati
  • perché tratti i dati
  • quanto a lungo rimarranno in tuo possesso
  • i diritti dei titolari
  • le possibilità di richiedere correzioni e integrazioni
  • l’eventualità di trasmettere i dati a terzi

attraverso una privacy policy estesa completa di riferimenti del responsabile del trattamento dati da contattare per eventuali richieste. Non sarà possibile abbinare più consensi ma essi dovranno essere memorizzati separatamente.

I dati personali in questione sono quelle informazioni che riguardano l’identificazione delle persone (nome, indirizzo email, numero di telefono, indirizzo fisico, indirizzo IP, codice IBAN ecc.). Se l’indirizzo IP non viene memorizzato, anch’esso rientra tra i dati sensibili del soggetto.

Più in generale, tutte quelle informazioni che permettono di identificare gli utenti rientrano in questa normativa (quindi, può accadere anche per i cookie, se essi vengono combinati per ottenere dati sensibili). Ciò contempla ad esempio anche il comune servizio di Google Analytics se si avvale dell’indirizzo IP non anonimizzato (si tratta infatti di informazioni di terzi che tu gestisci per loro conto).

Se il tuo sito non memorizza dati personali (ovvero non impiega cookie e altre tecnologie in grado di ricostruire le preferenze delle persone), allora sei soggetto solamente alle consuete normative sulla gestione dei cookie (la cookie law di cui abbiamo sentito tanto parlare).

Per tutte le informazioni personali invece, occorre richiedere un consenso informato prima della memorizzazione dei dati in questione. La privacy policy del tuo sito sito web dovrà essere pertanto aggiornata secondo i dettami della nuova normativa.

WordPress e i plugin per adeguarsi al GDPR

Nel caso di un sito in WordPress, alcuni dei principali elementi che solitamente raccolgono informazioni sono:

  • i form dei commenti
  • plugin di email marketing
  • i moduli di contatto e di iscrizione alla newsletter
  • le funzioni di login
  • i servizi di analisi navigazione
  • pertanto questi strumenti dovranno essere dettagliati nella policy estesa.

Sarà necessario inoltre:

  • fornire una possibilità di de-registrarsi completamente, ovvero di revocare il consenso precedentemente fornito
    verificare che il proprio sito web sia in grado di memorizzare il consenso
  • raccogliere solamente i dati strettamente necessari allo scopo per il quale vengono memorizzati
    creare un archivio delle informazioni memorizzate
  • creare un piano di comunicazione verso gli utenti e le autorità competenti per informare di eventuali violazioni della sicurezza dei dati
  • decidere se sia necessario incaricare un garante della tutela dei dati forniti
  • recepire il consenso al trattamento dati in maniera specifica non complessiva
    verificare periodicamente le variazioni normative per assicurarsi di essere in regola con le evoluzioni della materia

La sicurezza dei server in cui sono memorizzate le informazioni sarà un requisito sostanziale per assicurare la tutela dei dati storati: ogni violazione riscontrata in ogni caso dovrà essere notificata entro 72 ore dalla scoperta all’autorità competente.

Ciò contempla anche i canali attraverso cui intrattieni rapporti con i tuoi clienti come le mail promozionali e di stampo commerciale (quelle non commerciali dovranno prevedere solamente un’opzione di disiscrizione).

Per quanto riguarda Google Analytics, ti consiglio di rivedere i tempi di mantenimento delle informazioni memorizzate come suggerisce Google nelle sue FAQ per decidere per quanto tempo devono essere conservate.

Nell’informativa per la privacy del tuo sito web deve essere indicato il titolare legale del trattamento dei dati e il responsabile del trattamento che si occupa della loro gestione per sua vece, i termini e condizioni per il trattamento dati

Sarebbe cosa buona formare il personale coinvolto nella gestione del sito web su come venire in contatto con i dati e registrarli correttamente, in modo da essere al corrente del loro stato per poterli rendicontare senza problemi.

Nella versione 4.96 di WordPress verranno introdotte alcune novità che dovrebbero agevolare la predisposizione di una privacy policy e la gestione delle informazioni in maniera più coerente al GDPR.

Nel momento in cui scrivo è una situazione ancora in divenire pertanto, probabilmente, nelle prossime settimane vedremo nuove definizioni o funzionalità rilasciate dagli sviluppatori – della piattaforma oppure esterni – per agevolare il gravoso compito di controllo e rendicontazione.

Se vuoi utilizzare un plugin per la gestione dei cookie del tuo sito WordPress, ricordati che deve avere le seguenti caratteristiche:

  • deve rimandare i visitatori alle informazioni dettagliate sui cookie memorizzati
  • deve informare dell’utilizzo di cookie di profilazione di terze parti
  • deve memorizzare i consensi ricevuti e offrire la possibilità di revocarli
  • deve permettere di navigare pur nell’eventualità che non venga fornita l’autorizzazione allo scaricamento dei cookie non necessari

I plugin dovrebbero quindi da un lato svolgere una funzione informativa, dall’altra impedire lo scaricamento dei cookie non essenziali alla navigazione in assenza di autorizzazione esplicita da parte dei navigatori.

La pagina della privacy policy dovranno essere elencati quindi nel dettaglio i servizi di terze parti utilizzati nel sito, i riferimenti e i contatti della persona che si può contattare per richiedere la cancellazione dei propri dati.

Per quanto riguarda l’accettazione dei cookie, tieni a mente che a questo punto l’approvazione dovrà essere esplicita e volontaria, e dovrà essere possibile bloccare le funzionalità non espressamente approvate.

Tra i plugin presentati come maggiormente in linea con le esigenze del GDPR ci sono quello di

  • Iubenda: uno degli strumenti più famosi di creazione delle privacy policy. Una volta selezionati i servizi impiegati nel proprio sito web, consente di creare in maniera automatica una cookie policy dettagliata. Il plugin di Iubenda permette di bloccare in maniera automatica i servizi più noti e manualmente quelli restanti
  • GDPR: gratuito nella versione base con implementazioni a pagamento per gestire funzioni avanzate quali Hubspot e altre. Purtroppo non è in grado di individuare autonomamente quali cookie vengono impiegati, perciò devi essere tu a rintracciarli e a inserirli nella policy.
  • Cookiebot: gratuito per i siti fino a 100 pagine, dopodiché occorre passare alla versione a pagamento (il cui costo si incrementa al crescere delle pagine). Si occupa di scansionare i cookie utilizzati dalla piattaforma per inserirli all’interno della policy.
  • WeePie Cookie Allow: si dichiara un plugin in compliance con il GDPR, che consente di declinare l’installazione dei cookie e di comporre il banner di avvertimento secondo i dettami della normativa del proprio Paese

E tu, che cosa ne pensi? Hai in mente altre modalità per adattare il tuo sito al GDPR? Una opinione in più fa sempre comodo, raccontala qui sotto! ^_^

Simone Durante
Simone Durante
Ciao mi chiamo Simone e sono un Consulente di Web Marketing e mi occupo principalmente di SEO e strategie per ottenere un ROI ad alto livello.
Ti potrebbe interessare:
Hai un progetto da far crescere?

Raccontaci di cosa si tratta!

Conosciamoci
Servizi SEO
Consulente SEO
Primi su Google
Reputazione Online
Preventivo SEO
Corso SEO
Chi siamo
Contatti
Fissa una videochiamata
Dal 2007 Agenzia SEO – Consulente SEO – CF e PI 14470991002 – Cookie PolicyInformativa sulla privacy