GDPR e WordPress: tutto quello che c’è da sapere!

Gdpr e Wordpress

Dal 25 maggio 2018 è entrato in vigore il GDPR (General Data Protection Regulation), ovvero il nuovo Regolamento Europeo sulla protezione dei dati personali. In questo articolo cerchiamo di capire di cosa si tratta e come fare per adeguare i siti WordPress alle nuove normative.

GDPR: che cos’è?

Il General Data Protection Regulation è un insieme di norme rigorose che stabiliscono precisi limiti al trattamento automatizzato dei dati personali. I siti online dovranno rispettarli per garantire agli utenti una maggiore tutela e un controllo più ampio della loro privacy. La regolamentazione inoltre rende più uniforme l’aspetto della privacy a livello europeo: si applica infatti a tutti i dati dei cittadini europei raccolti ovunque nel mondo. Ciò significa che qualsiasi sito con visitatori europei sarà tenuto a sottostare a queste regole.

In sostanza il proprietario del sito web deve garantire la possibilità ai propri visitatori di negare o modificare il consenso al trattamento dei dati personali in qualsiasi momento.

Ciò significa che ogni sito web deve mostrare una chiara Privacy Policy indicando quali dati verranno raccolti e archiviati, da quale entità e per quanto tempo sono immagazzinati, in modo che tutti i visitatori del sito web possano confermare di voler prestare il proprio consento al trattamento dei loro dati personali.

Da dove iniziare?
Il primo passaggio consigliato consiste nel richiedere una consulenza legale in modo da assicurarsi quanto prima che il proprio sito rispetti il nuovo regolamento UE 2016/679. Sul sito del Garante della Privacy è possibile trovare una pagina informativa molto chiara e dettagliata che spiega come comportarsi.

Bisogna sottolineare che il GDPR riguarda sia i dati personali che l’elaborazione dei dati. Per “dati personali” si intende qualsiasi informazione riguardante una persona fisica, come ad esempio, il nome, la foto, l’indirizzo e-mail, i dati bancari, l’indirizzo di residenza o l’indirizzo IP.

Per “elaborazione dei dati” si intende, invece, qualsiasi operazione avvenuta sui dati. Quindi anche la memorizzazione dell’IP (es. tramite cookie) costituisce una forma di trattamento dei dati personali degli utenti. Una cosa certa è che il GDPR non va assolutamente sottovalutato. Tanto per intenderci, le multe previste per chi non si adegua sono decisamente elevate, arrivando fino al 4% dei guadagni globali per un massimo di 20 milioni di euro.

GDPR e WordPress: il tuo sito è conforme alla nuova normativa Europea?

Per capire se il proprio sito web in WordPress sia in regola con il nuovo GDPR europeo bisogna analizzare in particolare questi aspetti:

  • Moduli di registrazione utenti;
  • Moduli di contatto;
  • Sezione Commenti;
  • Tools di email marketing.
  • Plugin utilizzati;
  • Analisi dei log del traffico;

Inoltre è consigliato allo stesso tempo rivedere anche:

  • il modo con il quale si gestiscono e memorizzano i dati sensibili;
  • i Cookie e, nello specifico, il banner per il consenso sui cookie. La richiesta di consenso deve essere adeguata ai requisiti previsti dalla nuova regolamentazione sui dati personali;
  • la Privacy Policy, che necessariamente deve essere aggiornata per renderla conforme alla nuova legge europea.

Cambiamenti nell’approccio ai cookies

Le modifiche apportate col nuovo regolamento incidono anche sui cookies. Infatti l’avviso per l’utilizzo dei cookies devono essere mostrati all’avviamento della pagina del sito, per cui l’utente deve essere da subito informato e scegliere se accettare i cookies o meno. Inoltre, se un utente rifiuta l’accettazione dei cookies, il sito web deve comunque permettere la navigazione. Infine, gli utenti devono avere la possibilità di ritirare il consenso in qualsiasi momento ed è necessario mantenere un registro che provi lo stato del consenso per ogni utente.

Cancellazione dei propri dati personali

Grazie alla nuova normativa europea, gli utenti del web avranno il “diritto all’oblio”. Ciò significa che ciascun utente se lo richiede potrà ottenere la cancellazione dei propri dati personali online. Tale diritto è soggetto a limitazioni solo in casi particolari, come per esempio il diritto alla difesa in sede giudiziaria etc. Inoltre i responsabili dei dati saranno anche tenuti a comunicare richiesta di cancellazione a chiunque li stia trattando (terze parti).

Violazione dei dati personali

Una eventuale violazione dei dati deve essere comunicata entro 72 ore dal responsabile per i dati personali. Questo significa che se il proprio sito web è stato vittima di un attacco informatico che ha dato origine ad una violazione dei dati degli utenti, bisogna comunicarlo alle autorità competenti e nel caso costituisca un rischio notevole per i diritti e le libertà (esempio: perdita dati di accesso, dati di pagamento etc.) è necessario informare anche gli utenti interessati.

Riassumendo…

In sintesi possiamo riepilogare cosi: il nuovo regolamento europeo GDPR sulla protezione dei dati personali stabilisce che se un sito raccoglie, archivia e utilizza qualsiasi dato di un cittadino europeo è doveroso rispettare i seguenti punti:

  • Informare gli utenti: chi sei, come raccogli i dati, per quanto tempo e dove finiscono i dati.
  • Ottenere consenso: ricevere il consenso degli utenti al trattamento dei dati.
  • Permettere l’accesso ai dati: gli utenti devono poter accedere ai propri dati, controllarli e se vogliono cancellarli (diritto all’oblio).
  • In caso di violazione dei dati: informare gli utenti se avvengono violazioni ai loro dati (data breach).

Chiaramente i cambiamenti introdotti attraverso tale normativa comportano un bel grattacapo nonché una mole di lavoro notevole per i webmaster. Tuttavia, bisogna comprendere allo stesso tempo la necessità di tutelare con estrema attenzione la vastissima quantità di dati che vengono costantemente raccolti e trasmessi sul web, considerando che ormai una sfera sempre maggiore della propria vita personale finisce online.

Basta ripensare infatti a quante volte si sono verificati casi di attacchi informatici che hanno causato una serie di danni agli utenti, peraltro informati anche con notevole ritardo…o ancora alle volte in cui i dati sono stati utilizzati in modo illegale per clonare identità, fare spam, truffe o attività illecite online!

Qual è dunque il vostro pensiero a riguardo? Siete favorevoli all’attuazione di queste nuove misure più rigorose o siete piuttosto dell’idea che ciò non fermerà la possibilità di violare la privacy dei propri dati personali in altri modi?

Facci sapere la tua opinione nei commenti oppure contattaci per richiedere ulteriori informazioni.

Lascia una risposta