Come rendere il tuo sito WordPress conforme al GDPR

Avatar per Andrei Chira

Andrei Chira

·

plugin di blocco WordPress

Il GDPR è la normativa europea sulla tutela della privacy entrata in vigore il 25 maggio 2018.

Un paio di settimane prima di quella data, molti dei nostri clienti si sono fatti prendere dal panico, chiedendoci aiuto per implementare il GDPR sui loro blog WordPress.

Avevo promesso che avrei scritto un articolo sul GDPR, ma non l'ho scritto fino ad ora, quasi un anno dopo. Questo perché ho aspettato di vedere quali strumenti sarebbero emersi per facilitare l'implementazione. Poi l'ho documentato e implementato sui miei siti web.

Prima di tutto, il GDPR non è nulla di cui preoccuparsi.

È una legge basata sul buon senso che vuole rendere i proprietari dei siti responsabili dei dati personali che raccolgono dai visitatori del sito.

Perché i dati personali appartengono a queste persone e noi, come proprietari del sito, non possiamo fare ciò che vogliamo con questi dati. Abbiamo bisogno della loro accettazione per raccogliere ed elaborare i dati in un certo modo.

Ho un semplice blog, perché dovrei essere conforme al GDPR?

Questa è stata la domanda più frequente da parte dei nostri clienti, che sono per lo più editori indipendenti di piccole e medie dimensioni.

Devi essere conforme perché salvi i dati personali senza saperlo.

Se incorpori un video da Youtube o disponi di pulsanti di condivisione di Facebook sul tuo sito, i cookie vengono salvati nel browser del visitatore.

Questi cookie sono considerati dati personali perché possono identificare una persona. Possono tracciare il visitatore da un sito all'altro o creare profili demografici, ecc.

Il problema è che a volte il tuo sito web salva quei dati personali. Ma è del tutto inutile, non utilizzerai tu stesso i dati.

Ok, cosa devo fare per adeguarmi al GDPR?

Bene, devi dimostrare di comprendere e rispettare i diritti delle persone di cui salvi ed elabori i dati personali.

Allo stesso tempo, dovresti effettivamente rispettare tali diritti, non limitarti a scrivere nella tua politica sulla privacy che li rispetti.

Se una persona richiede la rimozione dei propri dati o cancella l'iscrizione alla tua newsletter, devi rispettare la richiesta della persona.

Come ho detto sopra, queste sono cose di buon senso. Se rispetti i visitatori del sito e i clienti di cui raccogli i dati personali, sei già sulla strada giusta.

Il modo più semplice per implementare il GDPR sul tuo sito WordPress è utilizzare una soluzione esterna, un servizio specializzato come:

Questa semplice opzione non è gratuita. Ma non c’è modo di essere conformi al GDPR senza pagare: o paghi con denaro, oppure paghi con tempo e impegno.

L'implementazione è piuttosto complicata e prevede sia la configurazione o addirittura la programmazione, sia la consulenza legale di un avvocato specializzato.

Come ho reso il mio sito WordPress conforme al GDPR

Di seguito ti racconterò come ho implementato il GDPR sui miei siti WordPress. Devo dire che non sono un consulente legale e questo tutorial non equivale a una consulenza legale.

Per essere conformi al GDPR, abbiamo bisogno di quanto segue:

  • una pagina di politica sulla privacy
  • informativa sui cookie (potrebbe essere inclusa nella privacy policy)
  • consenso esplicito alla raccolta dei dati (informativa banner cookie)
  • la possibilità di revocare il consenso
  • strumenti per l'esercizio dei diritti (esportazione dati, cancellazione dati)

Gli strumenti per esercitare i diritti sono integrati in WordPress dalla versione 4.9.6. Puoi esportare o eliminare i dati personali se ti viene chiesto di farlo. Abbiamo inserito le informazioni di contatto nella nostra politica sulla privacy in modo che chiunque desideri esercitare questi diritti possa contattarci.

L'informativa sulla privacy

L’informativa sulla privacy dovrebbe contenere le seguenti informazioni:

  • le informazioni di contatto del proprietario del sito
  • i dati di contatto dell’autorità nazionale per la protezione dei dati
  • i dati che raccogli
  • come usi i dati
  • chi ha accesso ai dati
  • come proteggi i dati
  • informazioni sui cookie
  • quali sono i diritti delle persone di cui raccogli i dati
  • come possono esercitare i loro diritti

Un modello di politica sulla privacy si trova nell'interfaccia di amministrazione di WordPress. Vai su Impostazioni> Privacy, quindi fai clic sul collegamento "Consulta la nostra guida".

pagina sulla privacy
pagina sulla privacy

Ho utilizzato un modello di privacy policy generato dal plugin GDPR Framework che ho modificato con le informazioni rilevanti per ciascuno dei miei siti.

Una volta creata la pagina della politica, è necessario aggiungerla a un menu di navigazione, solitamente nel piè di pagina del sito.

Quali dati raccogliamo e per cosa li utilizziamo

Nell'ambito della politica sulla privacy, è anche importante indicare quali dati personali raccogli, quindi dobbiamo sapere quali informazioni personali raccogliamo.

Come accennato in precedenza, a volte salviamo i dati senza saperlo.

Per identificare quali dati personali raccogliamo, devi controllare il tuo sito per capire come funziona e come memorizza i dati. Ogni sito web è diverso, utilizza temi e plugin diversi e ha varie implementazioni.

In un blog semplice, raccogli dati attraverso:

  • il modulo di commento di WordPress
  • cookie inseriti dai plugin

I dati raccolti dal modulo di commento sono il commentatore (nome, indirizzo email, sito web), l'indirizzo IP e un agente utente. Questi dati vengono utilizzati per combattere lo spam.

I cookie predefiniti di WordPress sono quelli nei commenti (nome, email, sito web) e devono essere conformi al GDPR. Nella versione 4.9.6 è stato inserito un segno di spunta per consentire al commentatore di accettare se desidera che questi cookie vengano salvati nel proprio browser.

simplenet

Dati per i negozi online

Se hai un negozio online, raccogli dati anche attraverso i moduli d'ordine dei prodotti/servizi presenti sul sito. Potrai utilizzare questi dati solo per l'elaborazione dell'ordine: fatturazione, consegna, ecc.

Altri siti possono raccogliere dati tramite plugin di marketing, moduli di contatto o moduli di iscrizione alla newsletter. Le persone devono sapere cosa fai con i dati che raccogli. Non è possibile inviare una newsletter a coloro che non si sono iscritti esplicitamente a quella newsletter.

Un trucco adottato da alcuni negozi era quello di inserire una casella preselezionata nella pagina di pagamento e il cliente veniva automaticamente iscritto alla newsletter. Questo non è più legale. Puoi avere la scatola se la vuoi. Ma non può essere preselezionato, il visitatore deve verificarlo se vuole iscriversi alla newsletter.

Diversi plugin di WordPress possono raccogliere altri dati (cookie): pulsanti dei social media, codici di tracciamento come Google Analytics o incorporamenti da altri siti (ad esempio video di YouTube).

Tutto questo deve essere identificato e, una volta determinato quali dati raccogliamo e come li raccogliamo, dobbiamo decidere se ne abbiamo effettivamente bisogno o meno.

Identificazione dei cookie

Il modo più semplice per identificare quali cookie salva il tuo sito è utilizzare una prova gratuita di uno dei servizi sopra elencati (OneTrust, ad esempio). Eseguiranno la scansione di tutte le pagine del tuo sito, elencheranno tutti i cookie e li classificheranno.

Il metodo manuale

Il metodo difficile è identificare i cookie manualmente.

Se utilizzi il browser Google Chrome, elimina cookie e cache dal browser, quindi accedi al tuo sito web, fai clic con il pulsante destro del mouse sulla pagina, quindi fai clic su Ispeziona, vai alla sezione Applicazione, quindi fai clic su Archiviazione e quindi su Cookie (in Safari è Ispeziona elemento > Archiviazione > Cookie).

È necessario controllare tutte le pagine del sito per identificare i cookie, cosa difficile da fare manualmente.

Alcune pagine sono simili quindi varrebbe la pena dare un'occhiata:

  • prima pagina
  • archivi (categorie, tag, ricerca, ecc.)
  • pagina di post singolo
  • pagine che contengono incorporamenti da altri siti
  • pagina di iscrizione alla newsletter
  • pagina del modulo di contatto
  • pagine con altri moduli o materiale che salva dati (sondaggi, ecc.)

Come puoi vedere, è difficile controllare manualmente, quindi è meglio utilizzare un servizio specializzato che scansiona automaticamente tutte le pagine del sito.

Il metodo automatico

Una volta identificati, i cookie devono essere suddivisi in categorie:

  • essenziale (il sito web non può funzionare senza)
  • statistiche (Google Analytics, ad esempio)
  • social media (Facebook, Youtube, ecc.)
  • pubblicità (retargeting, remarketing, ecc.)

Secondo il GDPR, quando i visitatori accedono al sito, devono essere informati che stai salvando i cookie, devi far loro sapere quali cookie salvi e devono darti il ​​consenso per salvare questi cookie.

Non è corretto impostare tutti i cookie come essenziali e avere solo un pulsante di accettazione; i cookie devono essere accettati o rifiutati per ciascuna categoria.

Allo stesso tempo, devi anche avere una pagina di impostazione dei cookie da dove il visitatore può ritirare la sua accettazione se te l'ha data in passato o accettare se in passato ha rifiutato e ora ha cambiato idea.

Se un visitatore rifiutasse la categoria dei cookie dei social media, ad esempio, mentre visitava il sito, gli script dei social media dovrebbero essere bloccati.

Complicato, vero?

Sì, non ho trovato un plugin per WordPress che faccia tutto automaticamente.

Plugin che ho testato

I plugin che ho testato sono:

Al momento del mio test, nessuno di essi sembrava completo, necessitavano di implementazioni aggiuntive, alcune piuttosto complesse per un utente medio.

Ecco perché consiglio soluzioni esterne specializzate, soprattutto per i siti che necessitano di salvare i cookie. Sto parlando di siti che effettuano retargeting, remarketing, ottimizzazione del tasso di conversione, ecc.

Ma la maggior parte dei siti Web non ha bisogno di salvare tutti quei cookie e potrebbe funzionare perfettamente.

Secondo la legge GDPR, se non raccogliamo cookie considerati dati personali, non è obbligatorio chiedere il consenso del visitatore per salvare i cookie.

Pertanto, se salviamo solo i cookie essenziali, non siamo tenuti a visualizzare l'avviso del banner sui cookie e elimineremo anche le complesse implementazioni di blocco degli script e delle impostazioni dei cookie.

Eliminiamo l'avviso del banner sui cookie

Trovo assurdo rovinare il design del tuo sito e l'esperienza utente visualizzando un pop-up che chiede ai visitatori di darti il ​​permesso di salvare cookie di cui non hai nemmeno bisogno o che non usi.

Eliminiamo quindi i cookie non essenziali, questo è proprio nello spirito della legge, cioè non salvare dati personali a meno che non abbiamo un motivo legittimo per farlo.

Ho già identificato i cookie sul mio sito web e quelli problematici (dati personali) sono:

  • Cookie di Google Analytics
  • cookie del pulsante di condivisione (Facebook)
  • Cookie di Youtube
Come eliminare i cookie di Google Analytics

Non utilizzo i dati demografici o il remarketing in Google Analytics/Adsense/Adwords, quindi non mi servono.

Fondamentalmente, devi fare 4 cose nel tuo account Google Analytics:

  • accettare l'emendamento sul trattamento dei dati
  • disabilitare la condivisione dei dati
  • disabilitare la raccolta dati per funzionalità pubblicitarie
  • disabilitare l'ID utente

Questo è il tutorial che ho seguito per impostare tutto quanto sopra. È scritto dallo sviluppatore del plugin CAOS.

Successivamente, il passaggio finale consiste nell'anonimizzare gli IP dei visitatori.

Ho abbandonato il plug-in di Google Analytics che utilizzavo e ho copiato manualmente il codice di monitoraggio a cui ho aggiunto il seguente codice.

ga('set', 'anonymizeIp', true);

Se non ti senti a tuo agio nel lavorare con il codice, un'altra opzione è utilizzare il plug-in di Google Analytics chiamato CAOS : ha un segno di spunta Anonimizza IP nelle impostazioni.

Ok, ci siamo sbarazzati dei cookie di Google Analytics che sono dati personali; Google Analytics funzionerà perfettamente senza di esso.

Come eliminare i cookie di Facebook

Bill Erickson e Jared Atchinson hanno realizzato un plug-in per il pulsante di condivisione conforme al GDPR, il che significa che non salva cookie, script di tracciamento e assolutamente nulla che sia dati personali.

Il plugin si chiama Conteggi condivisi .

Ho sostituito il plug-in del pulsante di condivisione con questo plug-in conforme al GDPR e quindi ho rimosso i cookie di Facebook.

Come eliminare i cookie di Youtube

Ho incorporato dei video in alcune pagine del sito e, fortunatamente, non ce ne sono molti, quindi posso modificarli manualmente. Se ne hai di più, puoi cercare e sostituire con un plugin WordPress o direttamente nel database.

Ho sostituito l'URL di youtube.com nel codice di incorporamento con l'URL di youtube-nocookie.com.

Questo è tutto.

Ho individuato quali cookie vengono salvati ed eliminato quelli che non mi servivano, lasciando solo quelli strettamente necessari, per i quali non ho bisogno del consenso dei visitatori perché non sono considerati dati personali.

quali cookies vengono salvati ed eliminato quelli che non mi servivano, lasciando solo quelli strettamente necessari

Ciò ha eliminato la necessità di avere un cookie di avviso banner sul mio sito web.

Tieni presente che ciò che ho fatto sopra era specifico per i miei siti Web; potresti avere altri cookie sul tuo sito web, ogni sito è diverso.

Altre considerazioni

Ho cercato di rendere questo tutorial sul GDPR il più semplice possibile, ma è una questione molto complicata.

Ciò che ho descritto in questo articolo generalmente si adatta alla maggior parte dei siti Web semplici come il mio blog o la mia attività, ma per i negozi o altre attività online non è sufficiente implementare solo alcune cose sul sito, sono necessarie anche alcune implementazioni amministrative.

Ad esempio, abbiamo fatto quanto segue:

  • abbiamo nominato un DPO (responsabile della protezione dei dati)
  • abbiamo richiesto un DPA (accordo sul trattamento dei dati) a tutti i partner in cui memorizziamo i dati
  • stiamo redigendo un DPA da proporre ai nostri clienti
  • abbiamo organizzato corsi di formazione per i nostri dipendenti sulla protezione dei dati

Spero che questo ti abbia aiutato a rendere il tuo sito WordPress conforme al GDPR, se mi sono perso qualcosa, sentiti libero di lasciare un commento, proverò a rispondere alle domande o ad indirizzarti alle risorse pertinenti.

Commenti

Lascia un commento

Il tuo indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *

Inglese