GDPR e WordPress

Pubblicato: 2022-11-10

GDPR sta per Regolamento generale sulla protezione dei dati. Si tratta di un ampio regolamento dell'UE (Unione Europea) che rappresenta i requisiti minimi per chiunque tratti i dati dei cittadini dell'UE. Il regolamento è composto da 99 articoli, suddivisi in 11 capitoli. Anche se questo può sembrare intimidatorio, scomporlo può aiutarci a capire i suoi punti chiave e come influisce sui siti Web di WordPress.

A seguito dell'emanazione del GDPR da parte dell'UE, molti altri paesi e giurisdizioni hanno aggiornato le proprie leggi ispirandosi a questo regolamento, inclusi Regno Unito, Giappone, Brasile, Turchia e altri. La California, in particolare, ha una propria versione denominata CCPA – California Consumer Privacy Act.
In questo articolo, esamineremo i principi fondamentali del GDPR, prestando particolare attenzione al modo in cui si riferiscono alla protezione dei dati personali.

Disclaimer: questo articolo non costituisce una consulenza legale. Dovresti prendere sul serio le leggi sulla privacy. Le sanzioni per la violazione delle regole del GDPR possono essere molto dure, arrivando fino a 20 milioni di euro o al 4% delle entrate totali, a seconda di quale sia la somma più alta. In caso di dubbio, richiedere una consulenza professionale.

Sommario

  • 1. Un'introduzione al GDPR di WordPress
  • 2. Che cosa sono i dati personali
  • 3. Raccolta di dati personali su WordPress
  • 4. GDPR e sicurezza dei dati
  • 5. WordPress è conforme al GDPR?
  • 6. Iniziare con la conformità tecnica al GDPR
  • 7. Plugin WordPress per aiutarti a raggiungere la conformità al GDPR
  • 8. Domande frequenti

Un'introduzione al GDPR di WordPress

WordPress GDPR funziona allo stesso modo di qualsiasi altro sito web GDPR. Poiché il GDPR è molto completo, il modo in cui lo implementi dipenderà in gran parte dal tipo di sito Web WordPress che gestisci. Mentre alcuni aspetti del regolamento sono universali, altri aspetti dipenderanno dalla tua attuazione e attività. Ad esempio, i requisiti di un sito Web di eCommerce varieranno in modo significativo rispetto a quelli di un sito WordPress che gestisce un blog.

I quattro attori del GDPR

Prima di iniziare a esaminare i principi fondamentali del GDPR, vale la pena dedicare qualche minuto per capire chi sono gli attori. Pensa agli attori come ruoli che GDPR identifica come critici per la sua implementazione. Ci sono quattro attori che dobbiamo conoscere. Comprendere questi ruoli ci aiuterà a capire meglio chi è responsabile di cosa e renderà la comprensione del regolamento molto più accessibile.

1. L'interessato

Nel caso dei siti Web WordPress, gli interessati sono i visitatori del nostro sito Web che provengono dall'Unione Europea. Il termine interessato si riferisce direttamente alla persona a cui appartengono i dati che stiamo raccogliendo.

2. Il titolare del trattamento

In qualità di proprietario del sito Web che sta raccogliendo dati, questo sei tu. I titolari del trattamento hanno diverse responsabilità. Li esamineremo quando esamineremo i sette principi del GDPR.

In qualità di titolare del trattamento, devi essere in grado di dimostrare di essere conforme al GDPR. In caso contrario, ti classifica come non conforme a tutti gli effetti. A tal fine, è utile capire di cosa sono ritenuti responsabili i titolari del trattamento agli occhi della legge.

3. Il responsabile del trattamento

Responsabili del trattamento sono quelle persone o società che trattano dati per conto del titolare del trattamento (voi).

Nota a margine: in questa fase, è essenziale capire cosa considera il GDPR come elaborazione dei dati poiché l'entità che elabora i dati ha determinati obblighi. A tal fine, il GDPR considera qualsiasi azione intrapresa sui dati come elaborazione dei dati, dalla semplice raccolta e conservazione all'utilizzo, organizzazione e qualsiasi altra forma di trattamento.

4. Il responsabile della protezione dei dati (RPD)

Il responsabile della protezione dei dati, noto in breve come DPO, è una persona che si assume la responsabilità della conformità al GDPR sui dati personali raccolti. Sebbene non tutti i titolari del trattamento e i responsabili del trattamento dei dati richiedano un DPO, puoi sempre nominarne uno all'interno della tua organizzazione per garantire la conformità al GDPR.

I sette principi del GDPR

Come accennato in precedenza, il GDPR ha sette principi che regolano il trattamento dei dati personali. Questi principi si basano sulla protezione dei dati e sulla responsabilità, garantendo così il rispetto della normativa. Insieme, questi principi fungono da quadro che può aiutarti a rispettare il GDPR.

Principio 1: trattamento lecito, equo e trasparente

È necessario trattare i dati secondo le disposizioni previste dalla legge e con correttezza e trasparenza nei confronti dell'interessato. Ciò significa che devi essere chiaro e in anticipo su quali dati stai raccogliendo, perché ne hai bisogno e come li utilizzerai. È altrettanto importante garantire che tutte le informazioni siano fornite in un inglese semplice.

Principio 2: trattamento legittimo

È necessario trattare i dati in linea con il consenso dell'interessato. Come discusso in precedenza, è necessario ottenere il consenso dell'utente/visitatore prima di raccogliere ed elaborare i suoi dati.

Principio 3: raccolta dati minima

Devono essere raccolti solo i dati che sono direttamente necessari per il trattamento e per i quali l'utente ha espresso il proprio consenso. Questa è una buona pratica anche al di fuori del GDPR poiché segue il principio della riduzione delle parti mobili.

Principio 4: Precisione dei dati

È necessario mantenere aggiornati i dati personali raccolti. Qualsiasi interessato può richiedere la cancellazione o l'aggiornamento dei propri dati e dovrai completare questa richiesta entro 30 giorni. In tali casi, è necessario adottare "ogni misura ragionevole" per soddisfare i desideri dell'interessato.

Principio 5: Conservazione dei dati

Dovresti conservare i dati solo per il tempo necessario. Poiché questo può essere molto soggettivo (quando un cliente smette di essere un cliente?), la consulenza legale professionale è altamente incoraggiata per assicurarsi di non violare questo principio.

Principio 6: Sicurezza, riservatezza e integrità dei dati

Questo principio è il più tecnico di tutti e sette. Spetta al titolare del trattamento garantire che siano messe in atto protezioni contro l'accesso non autorizzato, il furto, la perdita, la distruzione o il danneggiamento per garantire l'integrità e la riservatezza dei dati personali.

Principio 7: Responsabilità

La responsabilità è fondamentale per garantire di soddisfare sempre i requisiti del GDPR. Ciò significa disporre della necessaria documentazione, procedure, avvisi, registrazioni e valutazioni del processo conformi al GDPR. Il GDPR prevede che il titolare del trattamento dei dati debba essere in grado di dimostrare di essere conforme al GDPR.

Cosa sono i dati personali?

Il GDPR non è lì per proteggere tutti i tipi di dati. Il suo scopo principale è la salvaguardia dei dati personali. A tal fine, i dati personali comprendono tutti i dati che possono identificare direttamente o indirettamente una persona fisica. Poiché la definizione di dati personali è abbastanza aperta, la strategia consigliata è peccare per eccesso di cautela.

Raccolta dati personali su WordPress

A seconda di come hai configurato il tuo sito Web WordPress, potresti raccogliere vari tipi di dati personali dai tuoi utenti e visitatori web. In qualità di titolare del trattamento dei dati, sei responsabile di identificare quali dati personali vengono raccolti e garantire che tutti i processi correlati siano conformi al GDPR.

Questo può essere abbastanza facile quando sei sia il titolare del trattamento che il responsabile del trattamento dei dati. Un esempio di ciò è la conformità al GDPR di WooCommerce senza l'utilizzo di servizi esterni. Tuttavia, le cose possono diventare un po' più oscure quando si utilizzano servizi di terze parti come analisi e pubblicità.

Sebbene il GDPR non vieti la raccolta di dati personali, stabilisce regolamenti specifici su come i dati possono essere raccolti, elaborati e archiviati. Sebbene sia raccomandata una piena comprensione delle normative, l'UE offre sette principi guida per aiutarti a modellare la tua strategia sui dati per conformarsi ai requisiti del GDPR.

GDPR e sicurezza dei dati

La sicurezza dei dati è un aspetto importante del GDPR, incoraggiando misure tecniche e organizzative per garantire la protezione e la sicurezza dei dati. Per conformarsi al GDPR, la protezione dei dati deve essere "by design e per impostazione predefinita". Ciò significa che dovresti incorporare considerazioni sulla protezione dei dati in tutto ciò che fai piuttosto che un ripensamento.

Misure tecniche

GDPR.EU fornisce due esempi di misure tecniche che puoi adottare per proteggere i dati dei tuoi utenti. Il primo è l'autenticazione a due fattori, che, fortunatamente per gli amministratori di WordPress, è facile da implementare grazie a WP 2FA. Questo plugin WordPress 2FA supporta più canali di autenticazione. Viene fornito in bundle con molte funzioni utili per aiutarti a garantire che il tuo lancio 2FA sia un successo continuo.

Il secondo esempio si riferisce alla crittografia end-to-end. È importante notare che il GDPR non impone la crittografia a titolo definitivo. Al contrario, sottolinea le misure appropriate per proteggere i dati personali, con la crittografia che è un esempio di tale misura. Queste misure, qualunque esse siano, dovrebbero coprire due stati dei dati: dati in transito e dati inattivi.

Comprensione dei dati in transito e dei dati inattivi

I dati in transito sono dati inviati su una rete. D'altra parte, i dati inattivi si riferiscono a dati che sono in cancelleria, come i dati in un database. L'utilizzo di un certificato SSL/TLS sul tuo WordPress ti aiuterà a garantire che i dati in transito siano crittografati. La crittografia della posta elettronica e di altri canali di comunicazione è altrettanto importante.

I dati personali inattivi sono leggermente più complicati. In primo luogo, devi identificare il tipo di dati personali che stai archiviando nel database di WordPress. Ne abbiamo parlato in una sezione precedente. Sebbene WordPress non raccolga dati personali per impostazione predefinita, moduli personalizzati e plug-in di terze parti possono raccogliere tali dati.

WordPress non offre la crittografia dei dati al momento. Pertanto, è necessario adottare altre misure per garantire che i dati siano il più sicuri possibile. Una forte politica delle password di WordPress è uno dei passaggi che puoi intraprendere per garantire che l'accesso sia il più sicuro possibile. Naturalmente, ciò dovrebbe accompagnare una politica di accesso conforme al principio del privilegio minimo.

Raccolta dati e consenso

Dovresti ridurre al minimo[a] la raccolta dei dati all'assoluta necessità per lo scopo per cui sono raccolti e, ove possibile, renderli anonimi[b]. Tuttavia, è essenziale ottenere sempre il consenso dall'interessato, spiegando perché stai raccogliendo i dati e come li utilizzerai.

Il consenso è una parte significativa del GDPR. Il consenso deve essere inequivocabile, il che significa che non puoi nasconderlo in caratteri piccoli. È necessario assicurarsi di scrivere tutte le politiche in un linguaggio chiaro e semplice. Inoltre, devi ottenere il consenso separatamente, in quanto non puoi includerlo con altre dichiarazioni.

Gli interessati hanno inoltre il diritto di revocare il consenso in qualsiasi momento. La revoca del consenso deve essere facile come dare il consenso. Inoltre, gli interessati conservano il diritto alla cancellazione, laddove possono richiedere la cancellazione di tutti i dati personali che li riguardano.

Elaborazione dati

Il tipico sito Web WordPress raccoglie ed elabora i dati in vari modi. Sebbene sia praticamente impossibile coprire tutti i modi in cui i dati vengono raccolti ed elaborati su tutti i siti Web, possiamo guardare alcuni esempi tipici per capire in che modo il GDPR influisca su questi.

Analitica

Gli strumenti di analisi, come Google Analytics e Hotjar, solo per citarne alcuni, elaborano i dati dei clienti per tuo conto. Agli occhi del GDPR, questo li rende un elaboratore di dati di terze parti. Anche così, sei comunque responsabile di ciò che accade a quei dati, il che significa che devi prendere alcune precauzioni per garantire la conformità.

Una cosa che è molto importante avere è il cosiddetto Accordo sul trattamento dei dati. Questo accordo scritto, che entrambe le parti devono firmare, specifica esplicitamente le responsabilità di ciascuna parte. Questo documento è legalmente vincolante e firmarlo può farti risparmiare un sacco di problemi.

Ciò è particolarmente importante se hai integrazioni con terze parti, sia tramite un plug-in di analisi che direttamente. In ogni caso, è essenziale capire quali dati vengono raccolti, se le sue informazioni di geolocalizzazione,

Biscotti

Gli strumenti di analisi, WordPress, alcuni plug-in e i temi utilizzano i cookie per archiviare e tenere traccia delle informazioni su utenti e visitatori. In qualità di titolare del trattamento, devi sapere cosa fa ciascun cookie e ottenere il consenso esplicito per la raccolta dei dati di ciascun cookie.

Inoltre, l'utente deve poter scegliere a cosa prestare il consenso e allo stesso modo poter revocare il proprio consenso in qualsiasi momento. I consensi devono essere rinnovati ogni anno e devono essere conservati come documentazione legale.

Consenso ai cookie GDPR

I cookie sono soggetti alla propria regolamentazione dell'UE dal 2002, quando è entrata in vigore la Direttiva ePrivacy, nota anche come legge sui cookie. L'UE ha ulteriormente modificato questa legge nel 2009. Agisce come supplemento al GDPR dell'Unione Europea e, in alcuni casi, lo annulla.

La Direttiva ePrivacy, in breve EPD, sta per uscire e sarà sostituita dall'EPR – Regolamento ePrivacy.

Gestisci il consenso ai cookie

La differenza tra una direttiva e un regolamento è di natura tecnica. Le direttive devono essere recepite nella legge dal governo di ogni paese all'interno dell'UE, mentre i regolamenti sono leggi a livello dell'UE.

In ogni caso, per ottemperare, devi:

  • Chiedere agli utenti il ​​loro esplicito consenso prima di utilizzare qualsiasi cookie
  • Fornisci agli utenti informazioni in un linguaggio semplice su ciascun dato monitorato quando accettano
  • Consenti agli utenti l'accesso completo al servizio anche se rifiutano determinati cookie
  • Documentare il consenso dell'utente
  • Consenti agli utenti di revocare il consenso

WordPress è conforme al GDPR?

WordPress ha introdotto diverse funzionalità nella versione 4.9.6 che rendono molto più semplice il rispetto del GDPR. Sebbene queste funzionalità non ti rendano necessariamente conforme al GDPR (ne parleremo più avanti), ti aiuteranno a garantire che le basi siano coperte.

Esportazione dati personali

Puoi esportare facilmente tutti i dati di un utente nel caso in cui presenti una richiesta di dati. Per esportare i dati personali di un utente, vai su Strumenti > Esporta dati personali e inserisci il nome utente o l'indirizzo e-mail dell'utente nella casella di testo fornita.

Puoi anche inviare un'e-mail di conferma selezionando la casella di controllo E-mail di conferma.

Esporta dati personali

Cancellazione dei dati personali

Per rispettare il diritto all'oblio, WordPress offre anche una funzione di cancellazione dei dati personali. Puoi accedere a questa funzione andando su Strumenti > Cancella dati personali. Come la funzione di esportazione dei dati personali, c'è anche un'opzione per inviare un'e-mail di conferma.

Politica sulla riservatezza

Avere una pagina sulla politica sulla privacy non è che un piccolo passo verso la conformità al GDPR, ma molto importante. Sebbene avere una politica sulla privacy personalizzata sia l'ideale poiché ciò ti consente di tenere conto di tutto, avere un modello può aiutarti a iniziare più rapidamente, che è esattamente ciò che offre WordPress.

Puoi accedere a questa funzione navigando in Impostazioni > Privacy e seguendo le istruzioni fornite.

Casella di controllo del consenso

Per aiutare con la conformità ai cookie GDPR, WordPress viene fornito con una casella di controllo per il consenso ai cookie integrata, abilitata per impostazione predefinita. Tieni presente che questo è valido solo per gli utenti che commentano: devi occuparti del resto se dovessi configurare qualcos'altro che rilascia un cookie.

Puoi abilitare questa impostazione andando su Impostazioni > Discussioni.

Conforme al GDPR

Rispettare il GDPR non è un processo una tantum che puoi completare una volta e gettare in fondo alla pila. Sebbene l'esercizio di conformità iniziale sarà il più laborioso di tutti, investire un po' di tempo in più qui produrrà dividendi in futuro.

Non solo manterrà il tuo sito web conforme, ma assicurerà anche che la manutenzione e gli aggiornamenti richiedano il minor tempo possibile. A tal fine, dovrai:

Fai un bilancio : il primo passo che devi compiere è valutare quali dati personali stai raccogliendo e dove vengono archiviati. Gli elenchi di email marketing, i profili utente e i dati utente memorizzati nei cookie sono alcune cose che devi considerare. Assicurati di annotare le informazioni identificabili, inclusi pseudonimi, indirizzi IP, ecc. L'elenco effettivo dipenderà dai dati che raccogli e da come li elabori.

Installa un plug-in per il consenso e assicurati che sia presente una casella di controllo per il consenso per ogni processo di dati. Anche se parleremo di più di tali plugin tra poco,

Pagine legali facili da usare : assicurati che tutte le pagine delle politiche, come la pagina della tua politica sulla privacy, siano scritte in un inglese semplice che chiunque possa capire.

Banner di consenso ai cookie : aggiunge un banner di avviso sui cookie che informa l'utente o il visitatore quali dati stai raccogliendo e perché fornendo la possibilità di opt-in o opt-out.

Iniziare con la conformità tecnica al GDPR

La conformità al GDPR richiede sforzi sia tecnici che operativi. Mentre i tuoi obblighi dipenderanno dalla tua configurazione e dalle circostanze specifiche, le basi tendono ad essere le stesse. Questi includono:

  • Rafforza il server Web di WordPress
  • Rafforza PHP per la sicurezza di WordPress
  • Rafforza il sito Web WordPress

Una solida politica delle password di WordPress è un altro aspetto cruciale della conformità al GDPR poiché garantisce una migliore sicurezza generale dell'account. Puoi implementarlo facilmente con WPassword, che include molte opzioni di sicurezza della password di WordPress per mantenere sicuro il tuo WordPress. Allo stesso modo, abilitare la 2FA su WordPress può avvicinarti alla conformità al GDPR, con molti studi che dimostrano quanto possa essere efficace la 2FA nel fermare la maggior parte degli attacchi.

Una cosa da tenere a mente è che la sicurezza di WordPress è un processo iterativo: non è qualcosa che si imposta una volta e si dimentica, ma ha bisogno di un monitoraggio e un ritocco costanti per garantire che rimanga forte con l'evoluzione della tecnologia.

Plugin WordPress per aiutarti a raggiungere la conformità al GDPR

L'ottimizzazione del GDPR non deve essere ingombrante. Grazie ai plugin di WordPress, puoi facilmente assicurarti di adempiere a tutti i tuoi obblighi. Tieni presente che nessun singolo plug-in può garantire la completa conformità. Poiché i requisiti possono variare da un sito Web all'altro, spetta a te assicurarti di soddisfare tutti i requisiti legali. In caso di dubbio, consultare un avvocato/avvocato.

Cookieyes si concentra sull'aiutare i proprietari dei siti a raggiungere la conformità ai cookie in linea con i requisiti del GDPR. Inoltre, supporta anche la conformità con aCCPA, CNIL e LGDP.

Complianz si definisce la suite per la privacy per WordPress, offrendo un set completo di strumenti che include avvisi sui cookie, pagine legali, registrazioni del consenso e molte altre funzionalità. MonsterInsights è un plug-in pronto per il GDPR che ti consente di ottenere Google Analytics conforme al GDPR. Offre molte altre funzionalità non correlate al GDPR, tra cui analisi e monitoraggio.

WPassword ti consente di implementare criteri di password per i tuoi utenti, assicurando che vengano utilizzate password complesse. Avere password WordPress complesse riduce al minimo il rischio di violazioni, garantendo che i dati degli utenti siano sempre al sicuro.

WP Activity Log mantiene un registro delle attività dell'utente e del sistema sui tuoi siti Web WordPress, registrando chi ha fatto cosa e quando. Include anche un modulo sessione utente per aiutarti a gestire meglio le sessioni utente.

WP 2FA ti consente di implementare facilmente 2FA sul tuo sito Web WordPress, un requisito del GDPR e di altri standard e regolamenti, incluso PCI DSS. Offre più canali di autenticazione per aiutarti a coinvolgere tutti gli utenti.

Come scegliere i plugin GDPR

Funzionalità : i plug-in sono disponibili in diverse forme e dimensioni con diversi set di funzionalità e a prezzi diversi. Mentre i plug-in gratuiti sono sempre utili, i plug-in premium tendono ad avere più funzionalità aziendali, che il tuo sito Web potrebbe trovare fondamentali per il suo successo.

Integrazione : devi assicurarti che qualsiasi plug-in scelto possa funzionare con il tuo tema WordPress e qualsiasi plug-in di terze parti in esecuzione, come i plug-in dei moduli di contatto. I migliori plugin di WordPress sono sempre testati con i principali plugin di terze parti, garantendo un'implementazione più fluida nella maggior parte dei casi.

Prezzi – La maggior parte dei plugin è disponibile in una versione premium e una versione gratuita. Nella maggior parte dei casi, la versione gratuita offrirà funzionalità di base, mentre la versione premium includerà componenti aggiuntivi che potrebbero essere importanti o meno per il tuo sito Web e la tua attività. Le versioni gratuite possono essere scaricate dal repository ufficiale di WordPress su WordPress.org e i plug-in premium vengono generalmente scaricati dal sito Web del produttore.

Supporto : a volte, le cose si rompono e quando lo fanno, avere un buon supporto è fondamentale per ridurre al minimo i tempi di inattività. Questo può essere sotto forma di supporto e-mail, documentazione e domande frequenti sul GDPR per aiutarti a ottenere risposte rapide a domande importanti. Può anche aiutarti a garantire che l'aiuto sia a portata di mano se ne hai bisogno in qualsiasi momento.

Domande frequenti

Cosa significa WP GDPR?

WP GDPR è un acronimo che sta per WordPress General Data Protection Regulation. Si riferisce alla conformità al GDPR sui siti Web WordPress, che richiede una buona comprensione sia del GDPR che dei dati utente raccolti dai visitatori e dagli utenti del sito Web.

WordPress è conforme al GDPR?

WordPress offre funzionalità conformi al GDPR; tuttavia, questo non rende necessariamente tutti i siti Web WordPress conformi al GDPR. A seconda di come configuri il tuo sito Web WordPress, per cosa lo usi e dai dati che raccogli, potrebbe essere necessario intraprendere ulteriori passaggi per ottenere la conformità al GDPR.

Come faccio a rendere WordPress conforme al GDPR?

Devi fare diverse cose per rendere il tuo WordPress conforme al GDPR. Sfortunatamente, non esiste una formula valida per tutti, poiché i siti Web WordPress possono essere drasticamente diversi l'uno dall'altro. Fai riferimento al nostro articolo per capire quali sono le tue responsabilità e quali passaggi devi intraprendere per ottenere la conformità al GDPR.