WordPress e GDPR

Guida per implementare il Regolamento GDPR in un sito WordPress.

Per essere in regola col nuovo Regolamento Europeo sulla privacy (2016/679), se avete un sito web che gira su piattaforma WordPress (o qualunque altra piattaforma!) dovete implementare una serie di accorgimenti, partendo dalla documentazione da inserire nel sito, eventuali componenti aggiuntivi da installare tramite la console di WordPress, la gestione dei moduli di raccolta dati personali presenti nel sito e infine la gestione di eventuali newsletter.

1. Documentazione

I due principali documenti da inserire nel proprio sito, sono l’Informativa Privacy e l’Informativa sui Cookie.

a) L’Informativa privacy

Rispetto alla precedente legge sulla privacy (Decreto legislativo n. 196 del 30 giugno 2003), il Regolamento Europeo introduce una serie di novità:

* Consenso da parte dell’Interessato

Col nuovo Regolamento il consenso deve essere dato dagli interessati in maniera esplicita (tanto per intenderci, l’utente dovrà selezionare appositamente una casella di controllo per dare il suo consenso al Trattamento dei suoi dati).
Inoltre il consenso dovrà esere richiesto separatamente per ogni singola finalità (newsletter, cookie di profilazione, ecc.).
Infine il Titolare del Trattamento deve poter dimostrare di aver ottenuto il consenso dell’Interessato.

* Conservazione dei dati

Il nuovo Regolamento non prevede dei periodi di conservazione minimi o massimi. In ogni modo, il periodo di conservazione andrà chiaramente specificato nell’Informativa privacy.

* Sicurezza informatica

Il Titolare dei dati, deve implementare nella propria organizzazione tutte le misure di sicurezza che garantiscano la protezione contro accessi non autorizzati, il danneggiamento oppure la perdita dei dati personali.
A questo proposito, sarà importante verificare col proprio provider di hosting (il fornitore del server dov’è ospitato il proprio sito web aziendale) che la sua organizzazione sia conforme ai requisiti del Regolamento (“GDPR compliant”).

* Violazione dei dati personali

Ora, in caso di violazione dei dati (“data breach”) il Titolare è tenuto a notificare entro 72 ore, sia gli Interessati coinvolti, che il Garante per la Privacy.

* Trasferimento dei dati in paesi extra UE

Nel caso i dati personali vengano trasferiti in paesi all’esterno dell’Unione Europea (vedi servizi quale Mailchimp per l’invio di newsletter), andrà verificato se il fornitore del servizio è in possesso degli standard di sicurezza richiesti dal nuovo Regolamento Europeo (“GDPR compliant”).

* Registro del Trattamento

Per le aziende con più di 250 dipendenti, è obbligatorio tenere un registro, dovre andranno salvate tutte le informazioni relative al Trattamento dei dati personali di ogni singolo Interessato.

* Responsabile Protezione Dati (Data Protection Officer – DPO)

Un Responsabile Protezione Dati, sarà nominato obbligatoriamente nel caso il Titolare sia un organismo pubblico, o nel caso ci sia un monitoraggio regolare e sistematico degli Interessati su larga scala, o infine nel caso vengano trattati dati sensibili o giudiziari.

Risorse

CE

Sito informativo Commissione Europea

Testo integrale Regolamento Europeo 2016/679 pdf

Redigere Informativa privacy

* Risorse gratuite

Nel caso si abbia un budget limitato, e non si possa far riferimento ad uno studio legale per la redazione della propria Informativa privacy, c’è il sito Wonder.legal, che mette a disposizione del tutto gratuitamente un modello di un’Informativa privacy da personalizzare per la propria attività (Modello Informativa Privacy – Sito Wonder.legal in italiano).

* Risorse a pagamento

Nel caso si abbia un budget adeguato, oltre alla consulenza fornita da uno studio legale, è anche disponibile un servizio online fornito dalla ditta Iubenda Srl (con sede a Milano) chiamato Pro, che con € 228/anno fornisce un’Informativa privacy e cookie conforme ai requisiti e anche in varie lingue, nel caso di un sito multilingue.
Per informazioni consultare la pagina Generatore privacy e cookie policy

Nel caso si abbia la necessità di una consulenza legale più articolata, possiamo offrirvi tramite una rete di studi legali nazionali ed internazionali, tutta la consulenza legale di cui avete bisogno.

Per contattarci cliccare sul pulsante “Contattateci” nella sezione dedicata a fondo pagina.

b) L’Informativa sui Cookie

Nell’Informativa sui cookies, devono essere definiti tutti i cookies che vengono caricati nel computer dell’Interessato quando naviga all’interno del sito web del Titolare.

Risorse

* Risorse a pagamento

La ditta Iubenda Srl fornisce nel pacchetto Pro (vedi sopra), anche l’Informativa cookie da implementare nel proprio sito web aziendale.
Per informazioni consultare la pagina Generatore privacy e cookie policy

2. Componenti aggiuntivi

 

Banner per consenso uso dei Cookie

Il banner che dovrà essere visualizzato dagli Interessati al momento della prima visita al sito web, dovrà essere conforme ai requisiti richiesti dal GDPR, in particolare:

  • l’Interessato dovrà essere informato sull’utilizzo dei cookie e la loro finalità e soprattutto poter selezionare o rifiutare i diversi tipi di cookie utilizzati dal sito
  • il Titolare dovrà poter salvare l’effettivo consenso su un supporto elettronico (file di testo o database) per poter dimostrare successivamente di aver effettivamente ricevuto il consenso dell’Interessato
  • l’Interessato deve poter ritirare il suo consenso in qualsiasi momento.

Ecco un esempio di banner conforme ai requisiti del GDPR:

Risorse

* Risorse gratuite e a pagamento

Cookiebot

L’unico plugin WordPress che ci risulta ad oggi completamente conforme ai requisiti del GDPR è Cookiebot
Il plugin può essere usato gratuitamente se il proprio sito ha meno di 100 pagine, oppure pagando una quota annuale se il sito supera le 100 pagine.
Per verificare il numero di pagine effettive presenti nel proprio sito web, potete chiedere un’offerta inserendo il vs. indirizzo email e l’indirizzo del vs. sito nella pagina offerta Cookiebot
Per informazioni riguardo i diversi piani tariffari consultare la pagina Piani e prezzi

3. Moduli raccolta dati personali

a) Moduli personalizzati

In tutti i moduli di raccolta dati personali, andrà inserita una casella di controllo, che l’Interessato potrà selezionare nel caso dia il suo consenso al trattamento dei suoi dati personali.
Nei moduli andrà anche inserito un link alla pagina dell’Informativa privacy.

b) Moduli commenti

Dalla versione 4.9.6 di WordPress in poi, nel modulo commenti dei posts, è stata inserita di default una casella di controllo col testo “Do il mio consenso affinché un cookie salvi i miei dati (nome, email, sito web) per il prossimo commento.”

4. Newsletter

Col nuovo Regolamento Europeo, anche la gestione dei nominativi raccolti per l’invio di materiale promozionale (newsletter o altro) è stato modificato.

Innanzitutto per quanto riguarda i nominativi raccolti prima dell’entrata in vigore del nuovo Regolamento, si dovrà cancellare l’intero archivio oppure sarà necessario informare gli iscritti che per continuare a ricevere la newsletter, dovranno fornire il loro consenso al trattamento dei loro dati.

Per i nuovi iscritti, sarà necessario aggiungere una casella di controllo per il consenso, nel modulo di iscrizione alla newsletter. Inoltre sarà necessario dare la possibilità all’Interessato, di cancellarsi in qualsiasi momento dalla mailing list e di poter modificare il loro profilo attraverso un’interfaccia web.

5. Messa in sicurezza piattaforma WordPress

Infine, un aspetto spesso sottovalutato nell’adeguamento al GDPR, è la messa in sicurezza dell’installazione WordPress.

La messa in sicurezza riguarda aspetti prettamente sistemistici (configurazione del sistema) che richiedono competenza ed esperienza, e vanno dalla blindatura del sistema all’utilizzo di servizi di hosting ad elevata sicurezza.

Per fare una prima valutazione dello stato di sicurezza del vs. sito, in modo del tutto autonomo e veloce, potete usare la pagina dedicata nel mio sito:

Valutate autonomamente lo stato di sicurezza del vs. sitoValutazione
 

Conclusioni

Il lavoro dietro l’adeguamento al nuovo Regolamento Europeo è piuttosto impegnativo. Vi consigliamo pertanto di rivolgervi a consulenti o strutture competenti e adeguatamente per affrontare le varie problematiche.

Avete qualche domanda?

Sarò lieto di rispondervi!

Volete consultare le tariffe?

Visitate la pagina dei servizi offerti!

Share on facebook
Share on twitter
Share on linkedin
Share on google
Roberto Jobet

Roberto Jobet

Sono un tecnico informatico e mi occupo di sicurezza di siti WordPress da diversi anni. Offro servizi professionali di analisi e di messa in sicurezza per tutelare la riservatezza, l'integrità e la disponibilità di sistemi WordPress.

Tutti gli articoli

Altri articoli che potrebbero interessarti

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Torna su