Como tornar seu site WordPress compatível com GDPR

O GDPR é a legislação de proteção à privacidade da UE que entrou em vigor em 25 de maio de 2018.

Algumas semanas antes dessa data, muitos de nossos clientes entraram em pânico, pedindo-nos ajuda para implementar o GDPR em seus blogs WordPress.

Prometi que escreveria um artigo sobre o GDPR, mas não o escrevi até agora, quase um ano depois. Isso porque esperei para ver quais ferramentas surgiriam para facilitar a implementação. Depois documentei e implementei em meus sites.

Em primeiro lugar, o GDPR não é motivo de pânico.

É uma lei de bom senso que quer responsabilizar os proprietários de sites pelos dados pessoais que coletam dos visitantes do site.

Porque os dados pessoais pertencem a essas pessoas e nós, como proprietários do site, não podemos fazer o que quisermos com esses dados. Necessitamos da sua aceitação para recolher e processar os dados de uma determinada forma.

Tenho um blog simples, por que devo estar em conformidade com o GDPR?

Essa foi a pergunta mais feita pelos nossos clientes, que em sua maioria são pequenos e médios editores independentes.

Você tem que estar em conformidade porque salva dados pessoais sem saber.

Se você incorporar um vídeo do Youtube ou tiver botões de compartilhamento do Facebook em seu site, os cookies serão salvos no navegador do visitante.

Estes cookies são considerados dados pessoais porque podem identificar uma pessoa. Eles podem rastrear o visitante de um site para outro ou criar perfis demográficos, etc.

O problema é que às vezes o seu site salva esses dados pessoais. Mas é totalmente desnecessário, você não usa os dados sozinho.

Ok, o que devo fazer para estar em conformidade com o GDPR?

Bem, você deve demonstrar que compreende e respeita os direitos dos indivíduos cujos dados pessoais você salva e processa.

Ao mesmo tempo, você deve realmente respeitar esses direitos, e não apenas escrever em sua política de privacidade que os respeita.

Caso uma pessoa solicite a remoção de seus dados ou cancele a assinatura de sua newsletter, você deverá respeitar a solicitação da pessoa.

Como eu disse acima, essas são coisas de bom senso. Se você respeita os visitantes do site e os clientes cujos dados pessoais você coleta, você já está no caminho certo.

A maneira mais fácil de implementar o GDPR em seu site WordPress é usar uma solução externa, um serviço especializado como:

• Iubenda
• Cookiebot
• Onetrust
• Quantcast
• TrustArc
• Evidon
• Télio
• Clym

Esta opção fácil não é gratuita. Mas não há como estar em conformidade com o GDPR sem pagar – ou você paga com dinheiro ou com tempo e esforço.

A implementação é bastante complicada e envolve tanto configurações ou mesmo programação como também aconselhamento jurídico de um advogado especializado.

Como tornei meu site WordPress compatível com GDPR

Abaixo contarei como implementei o GDPR em meus sites WordPress. Devo mencionar que não sou consultor jurídico e este tutorial não equivale a aconselhamento jurídico.

Para estar em conformidade com o GDPR, precisamos do seguinte:

• uma página de política de privacidade
• informações de cookies (podem estar incluídas na política de privacidade)
• consentimento explícito para coleta de dados (aviso de banner de cookie)
• a possibilidade de retirar o consentimento
• ferramentas para exercício de direitos (exportação de dados, exclusão de dados)

As ferramentas para exercício de direitos estão integradas no WordPress desde a versão 4.9.6. Você pode exportar ou excluir dados pessoais se for solicitado. Colocamos informações de contato em nossa política de privacidade para que qualquer pessoa que queira exercer esses direitos possa entrar em contato conosco.

A política de privacidade

A política de privacidade deve conter as seguintes informações:

• as informações de contato do proprietário do site
• as informações de contato da autoridade nacional de proteção de dados
• os dados que você coleta
• como você usa os dados
• quem tem acesso aos dados
• como você protege os dados
• informações sobre cookies
• quais são os direitos das pessoas cujos dados você coleta
• como eles podem exercer seus direitos

Um modelo de política de privacidade é encontrado na interface de administração do WordPress. Vá para Configurações> Privacidade e clique no link “Confira nosso guia”.

Usei um modelo de política de privacidade gerado pelo plugin GDPR Framework que modifiquei com as informações relevantes para cada um dos meus sites.

Depois de criar a página de política, você precisa adicioná-la a um menu de navegação, geralmente no rodapé do site.

Quais dados coletamos e para que os usamos

Como parte da política de privacidade, também é importante indicar quais dados pessoais você coleta, por isso precisamos saber quais informações pessoais coletamos.

Conforme mencionado acima, às vezes salvamos dados sem saber.

Para identificar quais dados pessoais coletamos, você precisa auditar seu site para entender como ele funciona e como armazena dados. Cada site é diferente, utiliza diferentes temas e plugins e possui diversas implementações.

Em um blog simples, você coleta dados por meio de:

• o formulário de comentários do WordPress
• cookies colocados por plug-ins

Os dados recolhidos pelo formulário de comentários são o comentador (nome, endereço de email, site), bem como o endereço IP e um agente do utilizador. Esses dados são usados ​​para combater spam.

Os cookies padrão do WordPress são aqueles nos comentários (nome, email, site) e devem estar em conformidade com o GDPR. Uma marca de seleção foi inserida na versão 4.9.6 para permitir que o comentarista aceite se desejar que esses cookies sejam salvos em seu navegador.

Dados para lojas online

Caso tenha uma loja online, também recolhe dados através do formulário de encomenda dos produtos/serviços presentes no site. Poderá utilizar estes dados apenas para processar a encomenda: faturação, entrega, etc.

Outros sites podem coletar dados por meio de plug-ins de marketing, formulários de contato ou formulários de assinatura de boletins informativos. As pessoas precisam saber o que você faz com os dados coletados. Você não pode enviar uma newsletter para aqueles que não assinaram explicitamente essa newsletter.

Um truque que algumas lojas estavam fazendo era colocar uma caixa pré-marcada na página de checkout, e o cliente era automaticamente inscrito na newsletter. Isso não é mais legal. Você pode ficar com a caixa se quiser. Mas não pode ser pré-verificado, o visitante deverá verificar caso queira assinar a newsletter.

Vários plug-ins do WordPress podem coletar outros dados (cookies): botões de mídia social, códigos de rastreamento como o Google Analytics ou incorporações de outros sites (vídeos do YouTube, por exemplo).

Tudo isto precisa de ser identificado e, uma vez determinados quais os dados que recolhemos e como os recolhemos, precisamos de decidir se realmente precisamos deles ou não.

Identificando cookies

A maneira fácil de identificar quais cookies seu site salva é usar uma avaliação gratuita de um dos serviços listados acima (OneTrust, por exemplo). Eles irão verificar todas as páginas do seu site, listar todos os cookies e categorizá-los.

O método manual

O método difícil é identificar os cookies manualmente.

Se você usa o navegador Google Chrome, exclua os cookies e o cache do navegador, navegue até o seu site, clique com o botão direito na página e clique em Inspecionar, vá para a seção Aplicativo, clique em Armazenamento e depois em Cookies (no Safari é Inspecionar elemento > Armazenamento > Cookies).

É necessário verificar todas as páginas do site para identificar os cookies, o que é difícil de fazer manualmente.

Algumas páginas são semelhantes, então vale a pena conferir:

• primeira página
• arquivos (categorias, tags, pesquisa, etc.)
• página de postagem única
• páginas que possuem incorporações de outros sites
• página de assinatura do boletim informativo
• página do formulário de contato
• páginas com outros formulários ou coisas que salvam dados (pesquisa etc.)

Como você pode ver, é difícil verificar manualmente, por isso é melhor utilizar um serviço especializado que verifica automaticamente todas as páginas do site.

O método automático

Uma vez identificados, os cookies devem ser divididos em categorias:

• essencial (o site não funciona sem)
• estatísticas (Google Analytics, por exemplo)
• redes sociais (Facebook, Youtube, etc.)
• publicidade (retargeting, remarketing, etc.)

De acordo com o GDPR, quando os visitantes entram no site, eles devem ser informados de que você está salvando cookies, você deve informá-los sobre quais cookies você salva e eles devem dar seu consentimento para salvar esses cookies.

Não é correto definir todos os cookies como essenciais e ter apenas um botão de aceitação; os cookies devem ser aceitos ou recusados ​​para cada categoria.

Ao mesmo tempo, você também deve ter uma página de configurações de cookies onde o visitante pode retirar sua aceitação se ele a tiver dado no passado ou aceitar se ele recusou no passado e agora mudou de ideia.

Se um visitante recusou a categoria de cookies de redes sociais, por exemplo, ao visitar o site, os scripts de redes sociais deverão ser bloqueados.

Complicado, certo?

Sim, não encontrei um plugin para WordPress que faça tudo automaticamente.

Plugins que testei

Os plug-ins que testei são:

• Estrutura do GDPR
• GDPR
• Aviso de cookies

No momento dos meus testes, nenhum deles parecia completo, eles precisavam de implementações adicionais, algumas bastante complexas para um usuário médio.

É por isso que recomendo soluções externas especializadas, principalmente para sites que precisam salvar cookies. Estou falando de sites que realizam retargeting, remarketing, otimização de taxa de conversão, etc.

Mas a maioria dos sites não precisa salvar todos esses cookies e pode funcionar perfeitamente.

De acordo com a lei GDPR, se não recolhermos cookies que sejam considerados dados pessoais, então não é obrigatório pedir o consentimento do visitante para guardar cookies.

Portanto, se salvarmos apenas cookies essenciais, não seremos obrigados a exibir esse aviso de banner de cookie e também nos livraremos das implementações complexas de scripts de bloqueio e configurações de cookies.

Vamos nos livrar do aviso de banner de cookies

Acho um absurdo arruinar o design do seu site e a experiência do usuário exibindo um pop-up pedindo aos visitantes permissão para salvar cookies que você nem precisa ou usa.

Portanto, vamos remover os cookies não essenciais, isto está precisamente no espírito da lei, ou seja, não guardar dados pessoais a menos que tenhamos uma razão legítima para o fazer.

Já identifiquei os cookies no meu site, e os problemáticos (dados pessoais) são:

• Cookies do Google Analytics
• cookies do botão de compartilhamento (Facebook)
• Biscoitos do Youtube

Como se livrar dos cookies do Google Analytics

Não uso dados demográficos ou remarketing no Google Analytics/Adsense/Adwords, então não preciso deles.

Basicamente, você precisa fazer quatro coisas em sua conta do Google Analytics:

• aceitar a alteração ao processamento de dados
• desativar o compartilhamento de dados
• desativar a coleta de dados para recursos de publicidade
• desativar ID do usuário

Este é o tutorial que segui para configurar todos os itens acima. Foi escrito pelo desenvolvedor do plugin CAOS.

Depois disso, a etapa final é anonimizar os IPs dos visitantes.

Abandonei o plug-in do Google Analytics que usei e copiei manualmente o código de rastreamento ao qual adicionei o código a seguir.

ga('set', 'anonymizeIp', true);

Se você não se sentir confortável trabalhando com código, outra opção é usar o plugin do Google Analytics chamado CAOS – ele tem uma marca de seleção Anonimizar IP nas configurações.

Ok, nos livramos dos cookies do Google Analytics que são dados pessoais; O Google Analytics funcionará perfeitamente sem ele.

Como se livrar dos cookies do Facebook

Bill Erickson e Jared Atchinson criaram um plugin de botão de compartilhamento compatível com GDPR, o que significa que não salva cookies, scripts de rastreamento, absolutamente nada que seja dado pessoal.

O plugin é chamado de contagens compartilhadas .

Substituí o plug-in do botão de compartilhamento por este plug-in compatível com GDPR e removi os cookies do Facebook.

Como se livrar dos cookies do Youtube

Incorporei vídeos em algumas páginas do site e, felizmente, não são muitos, então posso alterá-los manualmente. Se tiver mais, você pode pesquisar e substituir por um plugin do WordPress ou diretamente no banco de dados.

Substituí o URL youtube.com no código incorporado pelo URL youtube-nocookie.com.

É isso.

Identifiquei quais são os cookies guardados e eliminei os que não necessitava, deixando apenas os estritamente necessários, para os quais não necessito do consentimento do visitante porque não são considerados dados pessoais.

Isso eliminou a necessidade de ter um cookie de aviso de banner no meu site.

Tenha em mente que o que fiz acima foi especificamente para meus sites; você pode ter outros cookies em seu site, cada site é diferente.

Outras considerações

Tentei tornar este tutorial do GDPR o mais fácil possível, mas é um assunto muito complicado.

O que descrevi neste artigo geralmente se aplica à maioria dos sites simples, como meu blog ou minha empresa, mas para lojas ou outros negócios online, não basta apenas implementar algumas coisas no site, você também precisa de algumas implementações administrativas.

Por exemplo, fizemos o seguinte:

• nomeamos um DPO (responsável pela proteção de dados)
• solicitamos um DPA (contrato de processamento de dados) de todos os parceiros onde armazenamos dados
• estamos elaborando um DPA que podemos oferecer aos nossos clientes
• fizemos treinamento para nossos funcionários sobre proteção de dados

Espero que isso tenha ajudado você a tornar seu site WordPress compatível com GDPR. Se eu perdi alguma coisa, fique à vontade para deixar um comentário, tentarei responder a perguntas ou direcioná-lo para os recursos relevantes.