Guide

La guida sulla nuova legge GDPR per siti web in WordPress

Il 25 maggio 2018 entrerà in vigore la nuova legge sulla privacy a livello europeo, il Regolamento UE 2016/679 RGDP “Regolamento generale sulla protezione dei dati” o come è chiamato in inglese GDPR (General Data Protection Regulation). Vediamo come funziona.

Si tratta di un regolamento direttamente applicabile in tutti i Paesi membri dell’Unione Europea e che, per quanto riguarda l’Italia, sostituirà il Codice della Privacy (Dlgs 196/2003). Questo nuovo regolamento è il frutto di un percorso iniziato anni fa e con la presentazione, nel gennaio del 2012, da parte della Commissione europea del “pacchetto protezione dati”.

Nuova legge privacy: GDPR

Il Regolamento generale sulla protezione dei dati introduce regole più precise per quanto riguarda l’informazione dovuta agli utenti e la richiesta di consenso prima di procedere al trattamento dei dati personali. Con questa normativa si stabiliscono limiti al trattamento automatizzato dei dati personali, si delineano nuovi diritti e vengono stabiliti criteri molto rigorosi per il trasferimento dei dati al di fuori dell’UE.

Con il RGDP si stabilisce anche l’obbligo di comunicazione per i casi di violazione dei dati personali (data breach) e si introduce il “diritto all’oblio”. Imprese ed enti saranno esposti a maggiori responsabilità e in caso d’inosservanza delle regole sono previste sanzioni molto salate.

Se ti stai chiedendo se questa normativa riguarda anche i siti WordPress e blogger, la risposa è sì. Questo regolamento introduce cambi al trattamento dei dati su internet probabilmente epocali e devi chiederti, se non l’hai già fatto, se il tuo sito rispetta questa nuova normativa.

In questa guida parleremo dei cambiamenti introdotti dal Regolamento UE 2016/679 RGDP “Regolamento generale sulla protezione dei dati” e ti daremo un punto di partenza per verificare se il tuo sito rispetta la nuova normativa europea.

Nuova legge privacy: i cambiamenti introdotti dal Regolamento UE 2016/679 RGDP “Regolamento generale sulla protezione dei dati”

legge-privacy-GDPR

Prima di tutto ti consigliamo di richiedere una consulenza legale e di consultare un esperto per assicurarti al più presto che il tuo sito rispetti il nuovo regolamento UE 2016/679. Sul sito del Garante della Privacy puoi trovare una pagina informativa molto chiara e dettagliata e anche un calendario di incontri volti alla formazione degli addetti ai lavori.

Uno dei cambiamenti più evidenti e che probabilmente sarà maggiormente notato, è che tutti i visitatori del tuo sito ora dovranno confermare il consenso al trattamento dei dati personali. L’informativa sulla privacy deve essere chiara e indicare che tipo di dati sono raccolti, archiviati, chi sono gli attori di questi processi e per quanto tempo i dati sono immagazzinati.

Questo nuovo approccio al trattamento dei dati personali si estende a tutti i siti che operano sul territorio dell’Unione Europea o che interagiscono con i cittadini dell’Unione Europea.

Cambiamenti nell’approccio ai cookies

Con il nuovo regolamento cambia anche l’approccio ai cookies, gli avvisi per l’utilizzo dei cookies vanno mostrati come si carica il sito, quindi preventivi, e l’utente deve essere messo nella condizione di poter scegliere se accettare i cookies o meno. Se un utente rifiuta l’accettazione dei cookies, il sito web deve comunque permettere la navigazione. Infine, gli utenti devono essere in grado di poter ritirare il consenso in qualsiasi momento e devi mantenere un registro che provi lo stato del consenso per ogni utente.

Un aspetto importante è che con il regolamento RGDP (o GDPR in inglese), si vanno a regolamentare anche quei dati che non sono direttamente personali ma che possono comunque identificare o aiutare a identificare un individuo. Ovviamente questo approccio fa subito pensare a strumenti molto usati come Google Analytics che utilizzano dati come l’indirizzo IP.

In sostanza il titolare del sito web sarà tenuto a proteggere i dati raccolti da terze parti e a fornire chiare informazioni ai visitatori del sito.

La nuova legge sulla privacy focalizza molto l’attenzione sul tipo di dati e contenuto memorizzato dai siti e su come questi elementi sono trattati, da chi, a che scopo, dove sono immagazzinati e per quanto tempo.

Il diritto all’oblio

Con il nuovo regolamento UE, gli utenti del web avranno il “diritto all’oblio”. Con questo diritto si potrà ottenere la cancellazione dei propri dati personali anche online. I responsabili dei dati saranno anche tenuti a comunicare richiesta di cancellazione a chiunque li stia trattando (terze parti). Questo diritto può essere limitato solo in casi ben specifici, per esempio il diritto alla difesa in sede giudiziaria etc.

Violazione dei dati personali (data breach)

Il responsabile per i dati personali è tenuto a comunicare una violazione dei dati entro 72 ore. Questo significa che se il tuo sito è stato vittima di un attacco informatico che è risultato in una violazione dei dati degli utenti, dovrai comunicarlo alle autorità competenti e quando costituisce un rischio elevato per i diritti e le libertà (esempio: perdita dati di accesso, dati di pagamento etc.) vanno informati anche gli utenti interessati. Maggiori informazioni consultando gli articoli 32-34 del RGDP.

Non ti sei adeguato alla GDPR? Sanzioni molto salate

Nel caso in cui le varie attività non si adeguano alla nuova normativa, si rischiano sanzioni molto salate: fino a venti milioni di euro o a 4% del fatturato globale annuale. Se vuoi avere maggiori informazioni e chiarimenti sulle sanzioni basta leggere l’articolo 83 EU RGPD “Condizioni generali per infliggere sanzioni amministrative pecuniarie

Cosa controllare per capire se il tuo sito rispetta il Regolamento UE 2016/679 RGDP “Regolamento generale sulla protezione dei dati”?

Checklist cose da controllare per il GDPR

Questo è un argomento molto delicato e i controlli da fare possono variare a seconda dei siti e del tipo di utenti. Ripetiamo di nuovo l’invito a consultare un esperto in materia legale e di protezione dei dati, soprattutto se gestisci un sito che ha una mole consistente di traffico. Un’ottima fonte di informazione è rappresentata dalla Guida all’applicazione del Regolamento Europeo in materia di protezione dei dati personali rilasciata dal Garante della Privacy.

Un modo per approcciare questi controlli è quello di creare un documento, una lista che definisce il tipo di utenti che visitano il tuo sito e che tipo di dati raccogli direttamente o indirettamente (terze parti, Google Analytics, plugin etc.) da questi gruppi. Una volta che hai i gruppi di utenti ben delineati passa a controlli organizzati in maniera gerarchica:

  1. Servizio di Hosting e gestori:
    Controlla con il tuo servizio di hosting e con i tuoi amministratori come gestiscono i dati.
  1. Backup:
    Dove e come sono salvati i backup del tuo sito?
  1. Plugin:
    Questo passaggio può richiedere un po’ di tempo. Dovrai capire quali dati raccolgono i plugin da te utilizzati. I servizi che raccolgono o che possono raccogliere dati sono davvero tanti, per esempio: moduli di contatto, profili utenti, e-commerce, e-mail marketing, servizi di link, filtri spam, sicurezza, strumenti per backup automatizzati, statistiche varie e monitoraggio login etc.
  1. Servizi esterni all’Unione Europea:
    Se usi servizi esterni all’Unione Europea, dovrai controllare che rispettino il nuovo regolamento.
  1. Durata conservazione dati:
    Per quanto tempo conservi i dati degli utenti? La durata è giustificabile?
  1. Sicurezza:
    Offri protezione sufficiente per i dati dei tuoi utenti? Che tipo di utenti visitano il tuo sito?
  1. Marketing:
    Usi strumenti automatizzati per il marketing? Fai A/B testing?

Dopo aver fatto questi controlli, dovrai chiederti se puoi facilmente giustificare le ragioni per cui raccogli e gestisci i vari dati in ciascuno degli step. Dovrai avere il consenso degli utenti per trattare i dati, dovrai registrarlo e deve essere ottenuto per ogni elemento (eventi, newsletter etc.). Come accennato prima, dovrai anche permettere agli utenti di ritirare il consenso.

Se identifichi dati personali a cui non dovresti avere accesso, rimuovili. Disabilita i plugin e i servizi che non rispettano il nuovo regolamento; cerca alternative se possibile.

Crea della documentazione e procedure da adoperare per l’archiviazione dei dati e per quando gli utenti ti chiederanno di modificare o cancellare i propri dati.

Informa i tuoi utenti in maniera chiara su come tratti i loro dati personali e ottieni il loro consenso.

Troppe informazioni? Ecco una sintesi

Riassumendo, il nuovo regolamento GDPR dice che se un sito raccoglie, memorizza o usa qualsiasi dato di un cittadino EU dovrai rispettare i seguenti punti:

  • Informa gli utenti: chi sei, come raccogli i dati, per quanto tempo e dove finiscono i dati.
  • Ottieni consenso: ricevi il consenso degli utenti al trattamento dei dati.
  • Permetti l’accesso ai dati: gli utenti devono poter accedere ai propri dati, controllarli e se vogliono cancellarli (diritto all’oblio).
  • Violazione dei dati: informa gli utenti se avvengono violazioni ai loro dati (data breach).

Per chiarirti ancor meglio le idee il Garante della Privacy ha anche rilasciato una guida sintetica, ti sarà di grande aiuto.

Ti consigliamo anche di guardare questa infografica creata dalla Commissione Europea, se avevi ancora dei dubbi sul da farsi, li spazzerà via.

La sicurezza dei dati degli utenti è sempre più importante. Impara come rimuovere i malware dai siti WordPress.

Conclusione

In questa guida abbiamo parlato della nuova legge sulla privacy: il Regolamento UE 2016/679 RGDP “Regolamento generale sulla protezione dei dati” o come è chiamato in inglese GDPR (General Data Protection Regulation). Ti abbiamo anche evidenziato i cambiamenti principali, fornito tanto materiale per ulteriore analisi e fornito un punto di partenza per assicurarti che il tuo sito rispetti questa nuova normativa.

Molti webmaster storceranno il naso e saranno probabilmente infastiditi dai cambiamenti introdotti dal GDPR, allo stesso tempo dobbiamo considerare la mole incessante di dati che vengono raccolti e trasmessi sul web.

Se rifletti un attimo su quanto della tua vita personale ormai finisce sul web, consapevolmente e non, ti renderai conto che simili normative sono inevitabili. Quanti casi di attacchi informatici sono stati comunicati con troppo ritardo, causando danni enormi a ignari cittadini? Quante volte i dati personali sono stati usati in maniera illegale per clonare identità, fare truffe o marketing invasivo? Basta ricercare questi argomenti su Google per farsi velocemente un’idea.

Tu cosa ne pensi? Sei a favore di questo regolamento? Non sai cosa fare? Parliamone nei commenti.

Altre guide della stessa
categoria

34 COMMENTI
Commenta
  1. Ale

    Ciao, vorrei sapere se avreste da consigliare qualche plugin gratuito e funzionante per soddisfare la GDPR.
    Ho un piccolo sito personale e ho provato con Cookiebot ma comunque richiede pagamento.
    Anche altri plugin presi dal repository di WP, dopo averli installati, si scopre che funzionano solo nella versione PRO oppure nella free non ci sono istruzioni e diventa impossibile maneggiarli.
    Avreste qualche dritta?
    Grazie in anticipo

    Rispondi
  2. Chiara

    Ciao a tutti. Ho delle domande perchè questo GDPR mi sta facendo esaurire. Ho un mini blog su wordpress.com, con un abbonamento personale che non mi permette di installare nessun tipo di plugin. Visto che si parla di plugin ovunque, vorrei sapere cosa deve fare chi come me non può installarli. Ho generato una cookie policy e una privacy policy con Iubenda. Ma ora cosa devo fare? Non ne ho la più pallida idea.
    Aspetto una vostra risposta miracolosa, grazie mille

    Rispondi
  3. cinzia

    io ho provato la form di cookiebot per il test di conformità per il sito questa mattina ….ma non ho ancora una risposta ;). qualcun altro ci ha provato?
    grazie

    Rispondi
  4. cinzia

    ciao
    interessante il tuo articolo. Mi rimane cmq un dubbio, un sito vetrina che non raccoglie dati, che non usa google analytics deve comunque utilizzare un plug in come cookiebot? Non capisco il motivo per quale motvo devo cmq utilizzare questo tipo di servizio?

    Invece se utilizzo il servizio di mailchip per le newsletter ho visto che si sono aggiornati inserendo un elemento nuovo nella form. Mi confermi?

    ti ringrazio anticipatamente

    cinzia

    Rispondi
  5. Diana

    Ciao ragazzi e grazie per le vostre preziose informazioni. Io ho un blog di viaggi per il momento amatoriale e mi chiedevo qual è la soluzione migliore da adottare, sono appena rientrata da un lungo viaggio e mi ero dimenticata di tutta questa storia. Comunque, in un caso come il mio in cui al momento non dispongo ancora la newsletter (ma vorrei farla) cosa mi conviene fare? Rivolgermi a Iubenda o è sufficiente qualche plugin?
    Grazie in anticipo e buona giornata

    Rispondi
  6. Erica

    Ciao, avrei bisogno di supporto per installare Cookiebot, al momento ho un banner fatto con plugin Cookie Notice con Accetta, Rifiuta e Leggi di più, oltre che una policy fatta con Iubenda Pro. Cookiebot continua a trovare inadeguato il consenso prioritario e non riesco a metterlo e adeguare in nessun modo. Grazie!

    Rispondi
  7. Cristiana

    Ciao Andrea, sto realizzando un e-commerce che deve ancora essere messo online, quindi parto con la nuova legge, fare da sola visto l’ammontare delle sanzioni mi sembra poco fattibile, hai qualche suggerimento? Non credo sia sufficiente aggiungere qualche plugin. Mille grazie

    Rispondi
  8. Enrico

    Buongiorno, sto realizzando personalmente il sito web della mia azienda (sas) e non ho nessuna intenzione (nè capacità) di raccogliere i dati o i cookie dei futuri visitatori. E’ un sempolice sito web illustrativo, non c’è commercio elettronico, n’è moduli da riempire, nè modo di interagire direttamente col visitatore dal sito.
    Il dominio è di mia proprietà, acquistato su Aruba.
    Posso evitare di inserire la conferma dei vari consensi?

    Rispondi
  9. Ste

    Che grandissima rottura di scatole. Ora anche piccoli proprietari di siti minuscoli dovranno pagare per avere tutto adeguato alle nuive norme… sempre per errori di grandi colossi.
    Ma alla fine aiuterà davvero ? Scoraggera chi RUBa i dati personali…. o serve solo a rompere le scatole a chi li tratta per lavoro? ho molti dubbi…

    Rispondi
    • Team

      Ciao, perché parli di pagare? Per la stragrande maggioranza dei siti, non si dovrà effettuare pagamenti di specifici tool. Quale è la tua esperienza in merito?

      Rispondi
  10. Andrea

    Buongiorno , ma non ho capito tanto come funziona questa legge sulla protezione per i dati.
    Per chi è un utente privato che ha il suo sito wordpress e gestisce un blog con commenti come deve adeguarsi a questa legge se è un privato e usa il suo sito per dimostrare i suoi lavori od hobby?
    Grazie per l’articolo ancora

    Rispondi
Mostra più commenti

Lascia qui il tuo commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *