Se avete un sito web WordPress, soprattutto se utilizza dei plugin, dovete assicurarvi di essere conformi alle leggi globali sulla privacy dei dati. Le due più importanti sono il Regolamento generale sulla protezione dei dati (GDPR) e il California Consumer Privacy Act (CCPA).
In questa guida esamineremo quali sono le norme sulla privacy dei dati che dovete rispettare se siete proprietari di un sito web WordPress.
Requisiti GDPR di WordPress
Il GDPR prevede una serie di diritti per gli utenti. Questi diritti hanno lo scopo di garantire che tutte le aziende adottino misure per proteggere i dati personali degli utenti. I principali diritti degli utenti previsti dal GDPR sono:
- Giurisdizione: Il GDPR non si applica solo alle aziende che operano all'interno dello Spazio Economico Europeo (Unione Europea, Norvegia, Islanda, Liechtenstein), del Regno Unito e della Svizzera, ma anche a qualsiasi azienda che memorizza ed elabora i dati personali di persone che vivono in questi Paesi. Gli utenti e i visitatori dei siti web (utenti) hanno il diritto di essere coperti, indipendentemente dal luogo in cui si trova un sito web.
- Consenso valido o altro motivo legittimo per il trattamento: Ogni utente i cui dati vengono memorizzati deve dare un consenso chiaro ed esplicito attraverso un'azione positiva. Il consenso di un utente non può essere implicito semplicemente perché naviga continuamente su un sito web: deve poter selezionare una casella o cliccare su un pulsante per dare un consenso esplicito alla memorizzazione dei suoi dati. Le aziende devono trattare i dati degli utenti in modo lecito, basandosi su uno dei motivi legittimi di trattamento previsti dall'articolo 6 del GDPR.
- Diritti di accesso: Gli utenti hanno il diritto di accedere a tutti i loro dati personali memorizzati da un'azienda. Possono inoltre richiedere informazioni sulle modalità di utilizzo di tali dati.
- Diritto alla cancellazione: Gli utenti hanno il diritto di chiedere alle aziende di cancellare i propri dati personali. Possono inoltre limitare l'utilizzo o la vendita di tali dati.
Le linee guida del Comitato europeo per la protezione dei dati per un consenso valido
Il Comitato europeo per la protezione dei dati è un organismo indipendente istituito per garantire l'applicazione coerente del GDPR. Ha adottato linee guida che specificano cosa costituisce un consenso valido per la raccolta dei dati. Esse comprendono:
- Nessuna casella pre-selezionata: Nel banner dei cookie del vostro sito WordPress non devono essere presenti caselle di controllo pre-selezionate. A parte i cookie strettamente necessari, le opzioni di consenso per tutti gli altri tipi di cookie devono essere deselezionate in modo che gli utenti possano fornire un consenso esplicito.
- Libera scelta: Limitare l'accesso a parti del vostro sito web se un utente rifiuta i vostri cookie non costituisce un consenso valido. Gli utenti devono essere liberi di esprimere le proprie preferenze per tutte le categorie di cookie di Internet e di scegliere quali attivare o disattivare.
- Azione positiva: Il consenso deve essere esplicito e positivo. Un consenso implicito, ottenuto navigando continuamente sul sito web, non costituisce un consenso valido. l'utente deve fornire attivamente la propria approvazione attraverso una casella di controllo, un pulsante o un'altra azione positiva.
Conformità GDPR integrata in WordPress
WordPress 4.9.6 - rilasciato dopo l'entrata in vigore del GDPR - ha reso WordPress conforme alla legge. A tal fine il team di WordPress ha aggiunto diversi miglioramenti, tra cui:
- Commenti di tipo "opt-in": In genere, WordPress memorizza le informazioni di un utente per convalidare un commento. Per commentare è solitamente necessario che gli utenti si registrino e forniscano un indirizzo e-mail. La nuova versione ha aggiunto una casella di testo di opt-in per ottenere il consenso dell'utente a memorizzare tali informazioni attraverso l'uso di cookie.
- Pagina di informativa sulla privacy di WordPress: WordPress ora include una pagina di informativa sulla privacy precostituita che è essenzialmente una serie di modelli che forniscono le informazioni essenziali da fornire agli utenti per conformarsi al GDPR. Gli amministratori hanno la possibilità di modificare questi modelli per garantire la piena conformità dei loro siti web.
- Memorizzazione dei dati: WordPress ha aggiunto la funzione "Esportazione dei dati personali", che consente agli utenti di scaricare o eliminare tutti i loro dati memorizzati dal vostro sito web. Questa funzione è accessibile dalla scheda Strumenti della dashboard di amministrazione di WordPress.
Cosa devo fare per conformarmi al GDPR?
Per garantire che il vostro sito WordPress sia conforme al GDPR, dovrete fare le seguenti cose:
- Informare gli utenti sui cookie: Agli utenti deve essere fornito un messaggio di notifica dei cookie che includa un link a un'informativa sui cookie completa che indichi informazioni chiare sui vari cookie utilizzati dal vostro sito WordPress. Ciò include il tipo di dati che memorizzano ed elaborano, lo scopo della memorizzazione e la destinazione di tali dati. Inoltre, le informazioni sulla privacy devono essere facilmente accessibili.
- Predisporre un piano per l'utilizzo e il consenso dei cookie: Prima di attivare o abilitare qualsiasi cookie non essenziale, è necessario implementare un modo per il vostro sito WordPress per ottenere consenso ai cookie.
- Tenere un registro dei dati: I siti devono tenere un registro di tutti i consensi ottenuti dagli utenti. È prassi comune cancellare tutti i backup dopo tre mesi e tutti i dati finanziari dopo un determinato numero di anni.
- Fornire una scelta effettiva: Gli utenti devono poter vedere un elenco di tutti i cookie in uso sul vostro sito WordPress e scegliere quali accettare o rifiutare. Naturalmente, il sito deve continuare a funzionare anche se l'utente rifiuta i cookie.
- Consentire agli utenti di modificare le preferenze: Gli utenti devono essere in grado di modificare le proprie impostazioni e preferenze sui cookie in qualsiasi momento.
- Proteggere i dati: Tutti i dati personali memorizzati dall'azienda devono essere protetti.
- Fornire avvisi di violazione: Le aziende devono notificare alle autorità qualsiasi violazione dei dati, a meno che non sia considerata un rischio per i dati personali. Le violazioni di dati più comuni includono attacchi informatici, furto di dati da parte dei dipendenti, errori umani e perdita di risorse. Per garantire la conformità è essenziale disporre di un piano di protezione dalle violazioni. Il piano deve includere un elenco regolarmente aggiornato delle e-mail degli utenti e un piano per informare le autorità e gli utenti interessati entro 72 ore dalla violazione.
La mancata conformità al GDPR comporta il rischio di una pesante multa che può arrivare fino a 20 milioni di euro o al 4% del fatturato annuo dell'azienda, a seconda di quale sia l'importo più alto.
Requisiti di WordPress CCPA
Il CCPA è la legge californiana sulla privacy che regola le aziende che memorizzano ed elaborano dati personali. È stata promulgata per proteggere la privacy dei cittadini californiani e garantisce loro i seguenti diritti:
- Il diritto di sapere quali dati personali vengono memorizzati
- Il diritto di sapere se le informazioni personali vengono vendute o inviate a terzi e, in tal caso, a chi.
- Il diritto di rifiutare la vendita dei dati personali
- Diritto di richiedere la cancellazione dei dati personali
- Il diritto di accedere ai dati personali memorizzati dal sito web
In base al CCPA, le organizzazioni non hanno bisogno di ottenere il consenso per l'utilizzo dei cookie. Tuttavia, è necessario fornire un avviso sui cookie che informi gli utenti dei dati raccolti da qualsiasi cookie utilizzato sul vostro sito web e di come tali dati possano essere ulteriormente distribuiti. Le aziende sono inoltre tenute a fornire agli utenti un modo semplice per rinunciare all'uso di cookie non essenziali e alla vendita dei loro dati.
Conformità al CCPA
Per garantire la conformità con il CCPA quando si utilizza WordPress, è necessario procedere come segue:
- Consentire l'opt-out: dovreste fornire ai vostri utenti una funzione di opt-out attraverso l'opzione "Non vendere i miei dati personali" sul vostro sito web. In base al California Privacy Rights Act (CPRA), che modifica il CCPA, gli utenti hanno ora il diritto di rinunciare non solo alla vendita ma anche alla condivisione dei loro dati personali per scopi quali la pubblicità comportamentale cross-context.
- Informare gli utenti sui dati personali raccolti e venduti: Durante o prima del punto di raccolta, dovete fornire un avviso all'utente per fargli sapere quali tipi di dati personali la vostra azienda conserva e perché li conserva.
- Interrompere la vendita a terzi quando richiesto: se un utente chiede di rinunciare alla vendita dei propri dati personali, è necessario procedere entro 15 giorni. Dovete inoltre informare tutte le terze parti a cui avete venduto i dati negli ultimi 90 giorni che devono essere cancellati.
- Consentire il consenso ai minori: Per gli utenti di età inferiore ai 16 anni, le aziende devono ottenere il consenso alla vendita dei loro dati personali. Inoltre, per gli utenti di età inferiore ai 13 anni è necessario il consenso di un genitore o di un tutore legale.
La mancata osservanza dei requisiti del CCPA può comportare una multa di 2500 dollari per ogni violazione o di 7500 dollari per ogni violazione intenzionale.
Altri requisiti di conformità di WordPress
Altre leggi sulla privacy, come la PECR, influenzano anche il modo in cui dovete progettare e gestire il vostro sito WordPress e il modo in cui dovete mantenere i cookie sul vostro sito WordPress.
Inoltre, anche se non è strettamente obbligatorio, eseguire un controllo regolare della raccolta dei dati e delle prestazioni dei cookie di WordPress è utile per mantenere la conformità legale.
PECR (Privacy and Electronic Communications Regulations)
Il Regolamento sulla privacy e le comunicazioni elettroniche(PECR) lavora insieme al GDPR. Attuano la direttiva europea 2002/58/CE, che mira a fornire norme specifiche in materia di comunicazione e privacy.
Mentre il GDPR regola il trattamento dei dati personali raccolti dal vostro sito web, il PECR regola quando potete attivare determinati cookie.
Se avete sede nel Regno Unito, le norme PECR hanno la precedenza sul GDPR. Tutto ciò significa che per garantire la conformità dei cookie di WordPress, è necessario confermare la conformità sia al PECR che al GDPR.
Fortunatamente, il PECR deriva la maggior parte delle sue norme critiche dal GDPR.
Ad esempio, lo standard per il consenso ai sensi del PECR è identico a quello del GDPR : azione positiva tramite una casella o un pulsante. Come nel GDPR, l'uso di caselle pre-selezionate per il consenso non è considerato valido.
Il PECR richiede anche l'approvazione per i cookie non essenziali, compresi quelli di terze parti utilizzati per la pubblicità mirata o l'analisi.
Audit
Uno dei modi per assicurarsi di essere conformi al GDPR e ad altre leggi è quello di condurre verifiche regolari su come il vostro sito WordPress - e i suoi cookie - raccolgono ed elaborano i dati personali.
I vostri audit dovrebbero aiutare a determinare:
- Lo scopo del trattamento dei dati personali da parte del vostro sito
- Il tipo di dati memorizzati ed elaborati
- Le misure di salvaguardia messe in atto per garantire la protezione dei dati
- Per quanto tempo vengono conservati i dati personali di un utente e quando vengono cancellati.
- Il processo attraverso il quale gli utenti vengono informati e aggiornati sull'archiviazione e l'utilizzo dei dati.
- Quali terze parti hanno accesso ai dati personali raccolti
Garantire la conformità non è una cosa da fare una volta sola. Richiede una valutazione, una revisione, una pianificazione e un'implementazione continue. Chiunque sia coinvolto nella vostra azienda deve essere a conoscenza delle leggi in materia e di come queste influiscono sulla vostra attività, in modo da non modificare nulla del vostro sito che possa renderlo non conforme.
Considerazioni durante la pianificazione del sito web
La creazione e la progettazione di un sito web WordPress conforme al GDPR, al CCPA e al PECR richiede di lavorare sui seguenti aspetti durante la fase di pianificazione del sito web:
- Interfaccia facile da usare: Il vostro sito WordPress deve avere un'interfaccia facile, accessibile e semplice, in modo che gli utenti possano navigare facilmente tra le opzioni e le informazioni sulla privacy.
- Politiche sulla privacy: È necessario ricercare e generare una politica sulla privacy da integrare nel proprio sito web.
- Conformità dei plugin di terze parti: Ogni aspetto del vostro sito web deve essere conforme alle leggi sulla privacy, compresi i plugin di terze parti che utilizzate.
- Revisione regolare: Il vostro sito WordPress deve essere rivisto e aggiornato regolarmente per garantire la conformità a tutte le leggi sulla privacy.
- Utilizzo dei cookie: Se utilizzate dei plugin per migliorare il design o le funzioni del vostro sito WordPress, utilizzerete altri cookie oltre a quelli predefiniti di WordPress. Ciò significa che probabilmente dovrete adottare misure tecniche adeguate per garantire che i cookie sul vostro sito WordPress memorizzino solo i dati che intendete raccogliere.
Il mio sito WordPress è conforme al GDPR?
Per capire se il vostro sito WordPress è conforme o meno alle leggi sulla protezione dei dati, dovete sapere quali parti del vostro sito web possono essere interessate.
Gli elementi del vostro sito WordPress che sono influenzati dal GDPR
Per quanto riguarda il GDPR, in quanto proprietari di un sito web WordPress, dovrete essere consapevoli di quanto segue:
- Come raccogliete e gestite i dati degli utenti
- I vari modi in cui i cookie vengono utilizzati sul vostro sito web
Oltre a tenere a mente questi aspetti, anche le seguenti aree del vostro sito web sono interessate dal GDPR:
Analisi
Se utilizzate uno strumento analitico come Google Analytics, il vostro sito web può memorizzare dati come gli indirizzi IP degli utenti, i cookie, gli ID e altro ancora. Se utilizzate plugin di terze parti per l'analisi, dovete informare i vostri utenti. Come buona prassi, evitate di utilizzare le analisi per tracciare gli indirizzi IP degli utenti.
Moduli di contatto
Quasi tutti i siti web utilizzano moduli di contatto. Di conseguenza, se il vostro sito web utilizza alcuni dei dati personali memorizzati per la pubblicità mirata, i vostri utenti devono essere informati. Una casella di controllo del consenso con una semplice spiegazione è spesso sufficiente ai sensi del GDPR. La spiegazione deve indicare il motivo per cui vengono richiesti i dati e il modo in cui verranno utilizzati.
Moduli di marketing Opt-in
Analogamente ai moduli di contatto, i moduli opt-in per l'email marketing richiedono il consenso degli utenti prima di utilizzare i dati personali per scopi di marketing. È possibile ottenere questo consenso richiedendo un doppio opt-in - inviando un'e-mail di convalida con un link su cui l'utente deve cliccare per autorizzare l'utilizzo dei suoi dati personali dopo aver ricevuto il suo indirizzo e-mail - o aggiungendo una casella di controllo.
Iscrizione e commercio elettronico
Se il vostro sito web è un sito di commercio elettronico o un sito di iscrizione, dovrete tenere presente alcune cose. Se il vostro sito web utilizza i dati personali ottenuti durante le vendite per il marketing via e-mail o per la pubblicità, dovete informare i vostri utenti e dare loro la possibilità di rinunciare. Se state raccogliendo dati finanziari, è bene che li otteniate attraverso servizi di terze parti come PayPal. Se il vostro sito web viene violato e i dati personali vengono persi o rubati, è più grave quando si tratta di dati finanziari.
Media
l'inserimento di contenuti come le immagini può consentire a terzi di raccogliere i dati personali degli utenti del vostro sito web, compresi gli indirizzi IP, e di recuperare i cookie che memorizzano i loro dati. Inoltre, ciò potrebbe anche consentire a terzi di incorporare ulteriori cookie di tracciamento o software nei browser degli utenti. Ciò significa che, se si incorporano contenuti di terze parti, tali informazioni devono essere incluse nell'informativa sulla privacy.
Pubblicità
Se il vostro sito web utilizza pubblicità mirata che si basa sulla raccolta di dati personali degli utenti, questi ultimi devono essere informati.
Gli elementi del vostro sito WordPress interessati dalla CCPA
Il CCPA ha un impatto soprattutto sull'informativa sulla privacy del vostro sito WordPress.
La normativa richiede che le informazioni su cosa, perché e come vengono raccolte ed elaborate le informazioni personali siano delineate nella vostra politica sulla privacy. Questa politica dovrebbe anche contenere informazioni su come gli utenti possono modificare, cancellare o richiedere l'accesso ai dati raccolti dal vostro sito web.
Dovrete inoltre disporre di un metodo per verificare l'identità della persona che effettua le richieste.
Altri aspetti da considerare
I cookie, i temi e i plugin che utilizzate sul vostro sito WordPress potrebbero dover essere conformi al GDPR, al CCPA o ad altre leggi sulla protezione dei dati. Pertanto, è necessario sapere come questi aspetti influiscono sull'utilizzo dei cookie da parte del vostro sito WordPress.
Dato che ci sono molte considerazioni e complicazioni nel garantire che l'uso dei cookie di WordPress sia conforme alle leggi, è possibile utilizzare plugin che automatizzano alcuni aspetti della conformità al GDPR e al CCPA.
Alcuni plugin WordPress consigliati per la conformità al GDPR e al CCPA sono i seguenti:
- Il plugin WordPress consenso ai cookie diTermly garantisce la conformità alle leggi e ai regolamenti sulla privacy dei dati come il GDPR, il CCPA, il PECR e la direttiva ePrivacy (nota anche come legge UE sui cookie).
- Conti condivisi è un pulsante di condivisione dei social media che non utilizza cookie e non memorizza i dati personali degli utenti.
- Cancellami consente agli utenti di cancellare tutti i dati memorizzati da un sito web senza doverli prima richiedere. Gli sviluppatori hanno la possibilità di visualizzarli ovunque vogliano.
- WPForms è un plugin per moduli di contatto GDPR per WordPress.
