La guida pratica per WordPress e la GDPR: come adeguare alla nuova normativa il tuo sito web
La GDPR è la nuova normativa privacy della Unione Europea. Cambia molte cose in come tutti i siti WordPress eseguono il loro lavoro. Anche i siti e le aziende extra-Unione Europea sono interessati. Dal 25 maggio 2018 il tuo sito WordPress deve essere in regola, conforme alle normative del GDPR. Altrimenti affronterai multe importanti – fino a €20 milioni.
E’ entrata in vigore il 25 Maggio 2018, la GDPR (General Data Protection Regulation) promulgata dall’Unione Europea.
La nuova normativa comporta molte modifiche sul metodo operativo con cui tutti i siti web WordPress lavorano. Sono interessati siti e aziende dell’UE ed extra – UE e coloro che non rispetteranno la normativa potrebbero affrontare multe molto salate (fino a 20 milioni di euro).
Questo post vuole essere una guida pratica per non farti cogliere impreparato e per aiutarti a rispondere a queste domande:
Il tuo sito web in WordPress è conforme alla normative GDPR (tecnicamente GDPR compliance)?
Quali passi devi seguire per essere certo di rispettarne le linee guida?
Cosa potrebbe accadere se ignorerai la direttiva?
Prima di tutto parleremo in dettaglio delle linee guida GDPR, le specifiche aree del tuo business colpite da queste linee guida e perché è nel tuo interesse essere conforme alla GDPR.
In secondo luogo parleremo dei punti base per rendere un sito in WordPress conforme con le linee guida.
In ultima parleremo delle ripercussioni dell’uso di plugins sul tuo sito WordPress e il modo in cui la tua conformità GDPR potrebbe essere colpita.
GDPR: lo stato dell’arte
Prima di iniziare la lettura dell’articolo, tieni presente che la GDPR è una regolamentazione molto vasta (composta da 99 articoli, 173 considerando e diverse linee guida), per alcuni aspetti ancora incompleta (arriveranno appositi decreti legislativi nei prossimi mesi) e che coinvolge al tempo stesso aspetti giuridici e competenze prettamente tecniche. In questo senso molti ambiti, soprattutto i più specifici, sono ancora poco chiari, e chi ti dice di avere “la verità in tasca” sulla GDPR mente. Gli autori di questo articolo non sono avvocati, ma si occupano quotidianamente di sicurezza digitale e di adeguamento di applicativi web a privacy policy. Le informazioni contenute quindi rappresentano delle interpretazioni sensate della nuova normativa.
Bisogna prendere sul serio la normativa GDPR?
I Webmasters dal 25 maggio 2018 devono adempiere al nuovo regolamento europeo istituito con il GDPR. In caso di non-osservanza della normativa la pena varia dal 4% del fatturato globale, fino ad un massimo di €20 milioni.
Esistono diversi tipi di multe in base alla gravità della violazione, descritte nella sezione FAQ del portale della GDPR.
Le Autorità di Supervisione di diversi Stati membri sono in formazione, con il massimo sostegno della legge. Ogni Stato membro potrebbe avere più Autorità di Supervisione in base alle proprie strutture costituzionali, amministrative e organizzative.
Sono diversi i poteri di competenza delle Autorità di Supervisione:
eseguire ispezioni su siti web
promulgare avvertimenti riguardo la non-osservanza
promulgare misure correttive da seguire entro le scadenze
Le Autorità di Supervisione hanno poteri investigativi e disciplinari per controllare l’adempimento alla normativa e suggerire modifiche per la conformità.
E’ troppo presto per fare congetture su come le Autorità di Supervisione dei vari Stati membri collaboreranno insieme, ma l’aspetto chiaro è che apprezzerebbero poteri considerevoli pur di far rispettare le linee guida del GDPR.Sei mesi dopo la comunicazione delle linee guida, PwC ha fatto un sondaggio a 200 CXO di grandi aziende negli USA per valutare l’impatto delle linee guida GDPR. I risultati hanno rilevato che la maggioranza delle aziende aveva adottato le linee guida GDPR come massima priorità nella protezione dei dati, con un 76% pronto a spendere più di $1 milione su GDPR.
Come assicurarti che il tuo sito sia conforme alla GDPR?
La prima cosa da fare, è un controllo della sicurezza del tuo sito e capire come e dove vengono richiesti, elaborati e conservati i dati raccolti dagli utenti.
Il plugin WP Security Audit Log può aiutarti a svolgere un controllo della sicurezza sul tuo sito.
Ecco alcuni dei modi più usuali per un sito WordPress standard di immagazzinare i dati raccolti dall’utente:
registrazione utenti
commenti
dati provenienti dai moduli di contatto
soluzioni analitiche e di registro traffico
qualsiasi altro plugin o caselle di accesso
Come proprietario di un sito WordPress, dovrai valutare alcuni aspetti per essere con conforme alla GDPR:
1. Notifica di violazione
Secondo la GDPR, se il tuo sito ha subìto una violazione di dati raccolti, deve essere comunicata all’autorità e agli utenti (qui puoi leggere un approfondimento). Una notifica va inoltrata entro 72 ore dalla scoperta della violazione.
Per quanto riguarda WordPress, se vieni a conoscenza di una violazione dei dati, devi assolutamente avvisare tutti coloro che possono esserne colpiti entro il tempo prestabilito. In ogni caso, la complessità deriva dalla definizione del termine “utente” – potrebbe includere utenti regolari, moduli di contatto ed anche coloro che lasciano commenti.
2. Raccolta dati, elaborazione e archiviazione
Tre elementi: Diritto all’Accesso, Diritto all’Oblio e Portabilità dei Dati.
Il Diritto all’accesso fornisce gli utenti con la completa trasparenza nell’elaborazione e archiviazione dei dati – quali punti di dati vengono archiviati, dove vengono elaborati e archiviati questi punti di dati e il motivo dietro la raccolta, elaborazione e archiviazione di questi dati. Agli utenti dovrà inoltre essere messa a disposizione una copia dei propri dati, gratuitamente, entro 40 giorni.
Il Diritto all’oblio consente agli utenti l’opzione di cancellare i dati personali e di fermare un’ulteriore raccolta e elaborazione dei suddetti dati. Questo processo implica che l’utente può ritirare il consenso di utilizzare i propri dati personali.
La clausola della Portabilità dei datidella GDPR fornisce gli utenti con il diritto di scaricare i propri dati personali, per il quale, precedentemente, avevano acconsentito al trattamento, trasmettendo ulteriormente quei dati ad un responsabile diverso.
La privacy by design incoraggia i responsabili a far rispettare le norme sui dati che abilitano all’elaborazione e archiviazione solamente dei dati necessari. Ciò incoraggia i proprietari dei siti e i responsabili ad adottare norme potenzialmente più sicure per i dati, limitando l’accesso ai punti di dati.
Da proprietario di sito WordPress, devi prima di tutto pubblicare un’informativa ben dettagliata sul tipo dei dati personali che stai utilizzando e su come vengono elaborati ed archiviati, e su come eventualmente li fornisci a terze parti.
Dei plug-in che possiamo consigliarti sono:
Vi permette di gestire da un unico posto l’autorizzazione al trattamento dei dati, inseriti da alcuni dei principali plugin utilizzati su WordPress per la raccolta di dati personali tramite form:
Contact Form 7 (>= 4.6)
Gravity Forms (>= 1.9)
WooCommerce (>= 2.5.0)
WordPress Comments.
3. La cookie policy
Dopo la cookie law anche la GDPR prende in mano i cookie.
Se il tuo sito web installa nei browser dei visitatori qualsiasi cookie in grado di identificarli, hai solo due scelte: eliminare questi cookie o adeguarli al GDPR.
Controlla il banner per il consenso che attualmente stai utilizzando alla luce del nuovo regolamento europeo. La più grande differenza per i cookie in relazione al GDPR è costituita dal fatto che il consenso deve tradursi in una chiara azione affermativa degli utenti sia nel caso in cui il consenso venga fornito sia nel caso di rifiuto dello stesso consentendo però, allo stesso tempo, la continuazione della navigazione del sito.
Nella pratica, i banner che richiedono il consenso sui cookie possono considerarsi conformi al GDPR europeo solo se garantiscono che il consenso sia:
informato e preventivo: l’utente deve essere informato in anticipo delle finalità dei cookie (cookie policy), e deve essere possibile selezionare e deselezionare i vari tipi di cookie;
esplicito: il comportamento dell’utente deve essere inteso come un’azione affermativa e positiva;
registrato: devi avere la prova del consenso;
reversibile: gli utenti, in qualsiasi momento, devono poter ritirare il loro consenso. Gli utenti del tuo sito web devono avere la possibilità di rifiutare i cookie e di continuare normalmente la navigazione sul tuo sito web.
Bisogna inoltre avere prova del consenso e dopo 12 mesi questo deve essere “rinnovato”.
Un buon servizio che può essere utilizzato per il tuo sito è CookieBot, che permette di integrare nel tuo sito un banner per l’accettazione dei plug-in simile a questo:
Come si può notare, il consenso deve essere dato per ogni tipologia di cookie.
4. Utilizzo di plugin – implicazioni della GDPR
Qualsiasi plugin che raccoglie dati personali dovrà essere conforme alla GDPR. Da proprietario del sito è tua responsabilità assicurarti che ogni plugin possa esportare/fornire/eliminare i dati dell’utente.
Questo potrebbe anche significare tempi duri per alcuni dei plugin più popolari. Ad esempio, soluzioni come Gravity Forms o Jetpack hanno tanti moduli che raccolgono per natura i dati dell’utente. Per ogni plugin che andiamo ad utilizzare dobbiamo capire che azioni compiere per renderlo GDPR compliant.
Per esempio Gravity Forms fornisce questa guida: https://docs.gravityforms.com/wordpress-gravity-forms-and-gdpr-compliance/
Anche per i plugin valgono le stesse regole, anche se bisogna affrontarli dal punto di vista del proprietario del sito WordPress. Ogni plugin deve stabilire un flusso di dati e informare per quanto riguarda l’elaborazione dei dati personali.
È importante avere un’installazione che permette agli utenti di scaricare una copia dei loro dati. Questa è sicuramente la parte più difficile del processo. Devi stare attento ad ogni plugin che utilizzi e capire come gestisce i dati. Gli sviluppatori di plugin stanno man mano aggiornando i loro sistemi e fornendo le informazioni necessarie.
Consigliamo, in ogni modo, di avere un sistema in uso in modo da ricavare i dati necessari dal tuo database.
Inoltre, potrebbe essere un’ottima scelta, in alcuni casi, evitare di archiviare insieme alcuni dati. Ad esempio, i moduli di contatto potrebbero essere impostati ad inoltrare tutti i tipi di comunicazione direttamente all’indirizzo email, piuttosto che archiviarli sul server web.
Inoltre, anche i tools esterni che si integrano con il tuo sito WordPress sono coinvolti: ad esempio la piattaforma di email address marketing è spesso collegata ad un form di iscrizione presente nel sito web.
In base a come gestisci il tuo servizio di newsletter, molti indirizzi vengono ottenuti senza l’esplicito consenso degli utenti: una casella di spunta selezionata per default per esempio è considerata come una violazione.
In generale devi utilizzare piattaforme per email marketing professionali, che diano la possibilità all’utente di rimuovere l’email address con un click. La piattaforma inoltre dovrebbe registrare l’indirizzo IP di chi si iscrive, così da poter fornire dati all’autorità in caso di accertamenti.
Ad ogni modo, la cosa fondamentale da portarti a casa è che tramite la GDPR devi sempre ottenere consensi espliciti da parte degli utenti.
Ci sono inoltre altre ripercussioni – se intendi acquistare una mailing list, le mail che invii sono illegali in quanto nessuno ha esplicitamente richiesto di ricevere mail da te.
5. Altre best practice di sicurezza
La GDPR è una nuova normativa la cui attuazione pratica è ancora tutta da capire. Quello che è certo è che tu, come proprietario del sito, dovrai dimostrare di essere stato “un buon padre di famiglia” nel proteggere i dati dei tuoi utenti.
Dal punto di vista pratico, questo significa:
Verificare periodicamente (al massimo una volta al mese) se ci sono aggiornamenti di sicurezza relativi a WordPress o ai plugin
Utilizzare password e server sicuri
Utilizzare un certificato SSL per criptare i dati dei tuoi utenti
Sapere con certezza chi nella tua organizzazione ha accesso ai dati e può esportarli
WordPress cosa sta facendo?
Sebbene la responsabilità finale appartiene al proprietario del sito, anche WordPress deve riguardare i suoi processi in modo da essere conforme. Da poco è infatti iniziato lo sviluppo di un framework per assicurarsi che i plugin sviluppati siano “GDPR compliance”
