Checklist GDPR e WordPressChecklist GDPR e WordPress con le risposte alle domande più ricorrenti

Questo è un post tecnico di 7 anni fa. Le istruzioni potrebbero non essere più valide. Publicato: Maggio 2, 2018 Aggiornato: Febbraio 3, 2020

Un memo per tutti i siti web WordPress: ecco la Checklist GDPR e WordPress per rispettare i nuovi obblighi europei.

Dopo aver trattato ampiamente l’argomento GDPR con particolare riguardo ai siti web WordPress, attraverso queste due apposite guide:

1. GDPR e WordPress: il tuo sito è a norma? Regolamento Europeo Privacy: https://www.alfonsostriano.it/gdpr-e-wordpress/
2. E-privacy e GDPR: come passare dalla teoria alla pratica: https://www.alfonsostriano.it/e-privacy-e-gdpr/

Ho deciso di pubblicare questo ulteriore post sul GDPR sotto forma di checklist dedicata al GDPR e WordPress (distinguendo alcune casistiche tipo per siti web WordPress) per fornire un ulteriore supporto pratico e utile all’adeguamento dei siti web in WordPress al GDPR. In questa guida, inoltre, risponderò alle domande di chiarimenti più ricorrenti sul GDPR che mi sono state rivolte dai miei utenti tramite chat e/o via email.

Sei pronto? Iniziamo!

Prima di iniziare con la checklist GDPR e WordPress, devo fare una doverosa premessa: non sono un legale (a cui ovviamente rimando per una consulenza specifica), per cui considera le mie risposte come sintesi di diversi tutorial, corsi e webinar relativi al nuovo regolamento europeo sui dati personali (GDPR).

Checklist GDPR e WordPress

Cosa devi fare per adeguare il tuo sito web al GDPR?

Per controllare la conformità dei nostri siti web WordPress al GDPR indicherò gli step da seguire e contestualmente le diverse soluzioni operative da utilizzare per rendere conformi i nostri siti web WordPress al nuovo regolamento europeo sui dati personali, distinguendo il caso del semplice sito web “vetrina”, dai siti web più complessi con servizi standardizzati e dotati di sistemi di analisi del traffico, tool di sondaggi, chat social, newsletter, etc.

Un’altra piccola premessa: come per tutte le analisi, anche per il GDPR, prima di individuare gli strumenti da utilizzare per rispettare gli obblighi imposti, è fondamentale capire l’ambito di applicazione del regolamento.

Ancor prima di entrare nel discorso delle soluzioni da adottare per essere conformi al GDPR è necessario individuare la “tipologia dei dati” da assoggettare alla nuova normativa europea, ovvero, i DATI PERSONALI e tra questi i “cookie di profilazione” che nel nuovo regolamento europeo sono considerati DATI PERSONALI a tutti gli effetti.

Alcuni Cookie presenti nei nostri siti web vengono definiti di profilazione perché sono in grado di capire i gusti e le preferenze delle persone e considerati dal GDPR come DATI PERSONALI ai sensi del considerando n. 30 del regolamento sui dati personali.

Nel GDPR non tutti i cookie sono considerati DATI PERSONALI; sono tali solo quelli che profilano un individuo.

Possiamo, quindi, affermare che, nell’oggetto del GDPR, rientrano tutti i dati personali in qualsiasi modo raccolti, anche attraverso i cookie.

Fatte queste premesse, entriamo negli aspetti più pratici per individuare tutte le soluzioni operative che su Internet si propongono di rendere conformi i nostri siti web WordPress.

– Siti web WordPress con servizi standardizzati

Quali sono gli step da seguire per adeguarsi al GDPR?

##. Analizzare il sito web

La prima cosa da fare è analizzare il nostro sito web per capire se e come vengono raccolti i dati personali. Questo significa, innanzitutto, capire la tipologia e le modalità di raccolta dei dati personali.

– Tipologia di dati raccolti

I dati personali si distinguono, essenzialmente, in due grandi categorie: normali (dove sono ricompresi anche i cookie) e speciali.

Ai sensi delle nuovo regolamento europeo è fondamentale conoscere tutti i dati personali memorizzati dal nostro sito web in quanto ne siamo i principali responsabili.

Se utilizziamo, ad esempio, servizi di terze parti come i widget social tra cui Facebook, Google+, Twitter, Pinterest, etc, è fondamentale conoscere anche in quale paese del mondo i rispettivi social inviano i dati personali dei nostri utenti.

Il trasferimento di dati personali da paesi appartenenti all’U.E. verso Paesi “terzi” (non appartenenti all’U.E. o allo Spazio Economico Europeo: Norvegia, Islanda, Liechtenstein) è vietato dal GDPR, a meno che il Paese in questione garantisca un livello di protezione “adeguato”.

Se i dati personali vengono inviati fuori dei paesi U.E.: in questi casi, si è in presenza di un vero e proprio trasferimento di dati all’estero dove ai sensi del GDPR occorre verificare se lo Stato estero ha previsto apposite clausole di adeguatezza sulle quali basa il trattamento dei dati. In pratica dobbiamo verificare se è iscritto alla Privacy Shield (convenzione tra UE e Americani che ha sostituito il precedente accordo Safe Harbour), oppure fonda la sua azione su apposite clausole di adeguatezza sulle quali basa il trattamento dei dati.

Pertanto, prima di acquistare un servizio hosting da una società estera (ad esempio, da una società americana) e quindi di sottoscrivere il relativo contratto, dobbiamo verificare (dalla sua Privacy Policy) il rispetto di tutte le regole del Privacy Shield.

Rispetto alla tipologia di dati personali che ho descritto sopra, quello che sicuramente possiamo fare, in maniera automatica per un sito web WordPress, è un controllo di tutti i dati online raccolti tramite i cookie.

La soluzione, al momento consigliata, per un tracciamento completo dei dati raccolti da un sito web tramite cookie è rappresentata da questi due tool online: Cookiebot e Cookiemetrix.

Con Cookiebot il tuo dominio viene analizzato per determinare se è conforme o meno alle regolamentazioni dell’Unione Europea sul tracciamento online. Se è conforme (e non hai moduli web o altri mezzi per raccoglie dati personali nel tuo sito) puoi saltare gli step successivi e passare direttamente all’adeguamento della sola Privacy Policy. Se non è conforme continua a seguire questi step.

In pratica, Cookiebot verificherà i seguenti obblighi previsti dal Regolamento generale sulla protezione dei dati (RGPD) e dalla direttiva sulla ePrivacy (ePR) :

• Previo consenso su cookie non strettamente necessari (ePR)
• Previo consenso sui dati personali (GDPR)
• Trasmissione dei dati personali solo in ‘paesi adeguati’ (GDPR)

Alla fine dell’analisi, Cookiebot ti invierà via mail una relazione PDF della scansione del tuo dominio dove puoi trovare informazioni dettagliate sui cookie e su altre tecnologie simili di tracciamento impiegati sul tuo sito.

Cookiebot ha anche tante altre funzionalità, tra cui quella del banner per il consenso sui cookie conforme al GDPR. Per un maggiore approfondimento puoi leggere questa guida e quest’altra dove è stato introdotta anche la funzione del blocco automatico dei cookie.

Con Cookiemetrix, invece, otterrai in repot nel quale verificare l’eventuale presenza del banner cookie, dei cookie di terze parti e di quelli permanenti.

Quest’analisi è utile per il controllo della conformità alla Cookie Law italiana ancora in vigore fino all’applicazione della nuova normativa europea.

– Modalità di raccolta dei dati

Dall’analisi delle modalità di raccolta dei dati su un sito web WordPress, nella stragrande maggioranza dei casi, si presenterà la seguente situazione.

In pratica, i dati personali degli utenti possono essere raccolti dal nostro sito web non solo tramite cookie ma anche attraverso un semplice indirizzo email, un modulo web (contatti, newsletter, commenti) installato tramite codice JS o plugin, etc.

Una soluzione per tracciare tutto quello che avviene all’interno del nostro sito web è stato offerta dal plugin WP Security Audit Log (versione free | versione premium): si tratta di un plugin, di solito, utilizzato per scopi di sicurezza, ma che all’occorezza può tornare molto utile per monitorare tutti i dati raccolti dal nostro sito web, come ad esempio i dati delle registrazioni degli utenti, dei commenti, dei moduli di contatto, ecc.

WP Security Audit Log Premium aggiunge al monitoraggio del sito web già offerto con la verisone free, ulteriori funzioni molto utili quali, la ricerca, i report e le notifiche via email:

• Scopri chi è collegato al tuo WordPress e cosa sta facendo in tempo reale: puoi interrompere in remoto sessioni sospette e/o bloccare più sessioni per lo stesso utente.
• Genera report e statistiche, manageriali e di conformità: genera qualsiasi tipo di report sulle attività degli utenti di WordPress. Puoi anche configurare e pianificare report automatici giornalieri, settimanali e mensili che ti sarano inviati direttamente via email.
• Avvisi e-mail istantanei: ricevi immediatamente un avviso via email per qualsiasi modifica avvenuta nel tuo sito WordPress.
• Esportazione dati: puoi esportare una copia dei log di controllo di WordPress sui servizi online come Papertrail o sul file syslog del tuo server.

Dopo aver analizzato tutti gli aspetti del nostro sito web (pluigin, codici JS utilizzati, moduli contatti, newsletter, commenti in relazione ai dati raccolti), per avere un sito web conforme al GDPR bisogna fare essenzialmente due cose:

1. Indicare nei rispettivi moduli web le finalità di raccolta dei dati + un link alla tua privacy policy aggiornata al nuovo GDPR.
2. Ottenere il previo consenso (non ambiguo) per il trattamento dei dati personali.

Come si riceve un consenso conforme al GDPR da parte dei propri utenti?

Per ricevere questo consenso, innanzitutto, devi indicare nella tua privacy policy, le giustificazioni legali che sono alla base della tua richiesta dati. Devi, cioè, specificare quali sono le finalità per le quali stai chiedendo ai tuoi utenti i loro dati personali.

Ti faccio un esempio pratico, a seconda del modulo web utilizzato.

Per il modulo contatti, la finalità di raccolta può essere quella di rispondere ad una richiesta di supporto per l’acquisto di un tuo prodotto o servizio.

Per il modulo newsletter, la finalità di raccolta può essere quella di inviare email commerciali ai tuoi potenziali clienti.

In entrambi i casi, nella tua Privacy Policy, per ogni finalità devi indicare una delle sei giustificazioni legali previste dal GDPR all’art. 6. Per i siti web WordPress che utilizzano i moduli web, la giustificazione da utilizzare può essere quella prevista dall’art. 6, comma 1, “lettera a” del GDPR, ovvero, quella del “consenso non ambiguo” (inequivocabile) al trattamento dei dati.

Gli utenti del tuo sito web devono prestare il proprio consenso in modo inequivocabile e devono essere informati in maniera semplice e chiara sulle finalità del trattamento dei propri dati personali.

Per raccogliere i dati personali degli utenti del tuo sito web in base al “consenso non ambiguo”, semplicemente, devi utilizzare nei rispettivi moduli web un campo obbligatorio (checkbox) senza spunta, il cui testo, per fare un esempio nel caso del modulo newsletter, potrebbe essere il seguente: “Ho letto l’informativa Privacy e acconsento al trattamento dei miei dati personali per l’invio di newsletter mensili via mail.“

Quello che assolutamente non puoi fare è creare un modulo web con una doppia finalità senza averle chiaramente specificate.

Se lo scopo del modulo contatti è duplice: ovvero rispondere ad una richiesta di supporto e far iscrivere gli utenti nelle tue liste di email marketing, devi chiedere due consensi separati perché due sono le finalità del modulo e quindi del trattamento dei dati (rispondere ad una richiesta – iscrizione alle newsletter per l’invio di email commerciali).

In generale, poi, ricordati che quando usi questi moduli (commenti, newsletter, contattati, etc.) devi sempre richiedere solo i dati effettivamente necessari allo scopo della richiesta.

– Quali sono i tool che ti consentono di richiedere il previo consenso tramite il checkbox?

Per inserire i vari checkbox nei diversi moduli web, per chi non è in grado di aggiungerli manualmente, ci vengono in aiuto diverse soluzioni:

• NS GDPR Helper: utile per inserire il checkbox nel modulo contatti, commenti e per Woo-Commerce;
• WP GDPR Compliance: utile per inserire il checkbox nel modulo contatti, commenti, Gravity Forms e per Woo-Commerce.

##. Cookie e GDPR

Nel caso dei cookie occorre rivedere il banner per il consenso precedentemente installato per la Cookie Law (dove principalmente gli utenti venivano informati della presenza dei cookie) per adeguarlo al nuovo regolamento europeo sui dati personali (dove è necessario il previo consenso per i dati).

Come ho detto nelle premesse di questo post, nel GDPR i cookie di profilazione sono considerati DATI PERSONALI e pertanto soggetti anche al consenso (considerando 32 del GDPR). Inoltre, se questi cookie perseguono diverse finalità occorre un consenso per ognuna di esse.

Ai sensi del GDPR, se i trattamenti sono diversi, differenti devono essere i consensi richiesti, e pertanto anche il banner per il consenso deve offrire la possibilità di raccolta del consenso granulare.

Così come avviene nei moduli web per cui si richiedono tanti consensi quante sono le finalità, anche nel caso dei cookie di profilazione in quanto dati personali ai sensi del GDPR, il consenso deve essere richiesto per ognuno dei diversi trattamenti.

Infine, segnalo che l’articolo 7 GDPR prevede che l’interessato ha il diritto di revocare il proprio consenso in qualsiasi momento, “con la stessa facilità con cui è accordato”.

Quindi il nuovo banner per il consenso, deve essere in grado:

• ottenere il previo consenso (non ambiguo) ai dati personali;
• documentare il consenso ricevuto;
• permettere ai visitatori di cambiare idea in qualsiasi momento.

La soluzione per avere un banner per il consenso dei cookie conforme al GDPR viene sempre offerta da Cookiebot che, oltre a tracciare i dati del tuo sito web, consente di avere un registro dei consensi esportabile anche in excel. I visitatori, inoltre, in qualsiasi momento, possono revocare il consenso prestato direttamente dalla pagina dei cookie o tramite un apposito codice inserito in una voce del menu del footer del tuo sito web.

Cookiebot è uno dei pochi tool in rete, che offre un banner per il consenso dei cookie perfettamente conforme al GDPR.

Ecco come funziona Cookiebot dal vivo!

La prima volta che un utente visita il tuo sito web, Cookiebot mostra una finestra di dialogo semplice da usare e diretta – a prescindere dalla prima pagina alla quale l’utente acceda. La finestra di dialogo configurabile informa l’utente dell’utilizzo dei cookie e gli chiede il consenso per impostarli sul browser web; il tutto con il minimo impatto sull’esperienza generale di utilizzo. Consente, inoltre, di revocare il consenso nel caso l’utente, per qualsiasi motivo, abbia cambiato idea!

Funzionalità di base:

• Informativa sui cookie e scansione automatica
• Blocco automatico e/o manuale dei cookie
• Banner di consenso per l’uso dei cookie
• Cookie Control API
• Repository dei cookie
• Consenso di massa per più domini
• Supporta e rileva automaticamente ogni lingua
• Geo targeting in tempo reale
• Reporting
• Veloce e affidabile
• Sicurezza crittografata

Se usi WordPress, puoi installare l’apposito plugin gratuito di Cookiebot, direttamente da qui: https://wordpress.org/plugins/cookiebot/

Qui, invece, trovi la guida per installare e configurare il plugin di Cookiebot: https://www.alfonsostriano.it/gdpr-e-wordpress/

Per i più esperti consiglio la lettura delle guide avanzate per un utilizzo ottimizzato di Cookiebot:

• la guida ufficiale per configurare Cookiebot con Google Tag Manager.
• una guida avanzata e ottimizzata per configurare Cookiebot con Google Tag Manager – Powered by Matteo Zambon, Amministratore di In Risalto e fondatore di Tag Manager Italia.

Tra le alternative presenti in rete, pensando di fare cosa gradita, ti segnalo altri banner cookie conformi al GDPR:

• Cookie Control (per tutti i siti web)
• Cookie Script (per tutti i siti web)
• Iubenda Cookie Solution (per tutti i siti web: entro il 25 Maggio 2018 Iubenda rilascierà gli aggiornamenti per la conformità al GDPR)
• WeePie Cookie Allow (Uno dei pochi plugin premium WordPress, se non l’unico, in grado di bloccare automaticamente i cookie gdpr-compliant)
• Cookie Manager tarteaucitron.js (per tutti i siti web, WordPress e Drupal). Puoi scaricare la versione gratuita da qui, con le relative istruzioni per l’installazione: https://opt-out.ferank.eu/en/install. La versione premium prevista solo per i rispettivi plugin, puoi scaricarla da qui: WordPress e Drupal previa registrazione.

##. Aggiornare la Privacy Policy e la Cookie Policy

Il terzo punto della checklist GDPR e WordPress ci ricorda di aggiornare la nostra informativa privacy per renderla conforme al GDPR.

In pratica, le principali novità da considerare riguardano i seguenti punti:

• indicare il soggetto titolare del trattamento, le finalità, il tempo di conservazione dei dati personali (specificando anche quelli contenuti nei registri dei log del server);
• indicare l’hosting web e/o le terze parti che tramite il nostro sito web raccolgono dati personali, come responsabili esterni del trattamento (sulla base di un apposito contratto);
• indicare le basi giuridiche per legittimare il trattamento dei dati personali che il titolare vuole effettuare tramite i moduli web (consenso tramite checkbox obbligatoria o altra base giuridica, es. l’interesse legittimo); Specificare che per i dati personali contenuti nei registri dei log del server, la base legale che legittima la registrazione e l’archiviazione di queste informazioni è: l’interesse del proprietario alla sicurezza dei dati (art. 6, paragrafo 1, punto F del GDPR);
• indicare le misure di sicurezza che abbiamo adottato per proteggere i dati contenuti nel nostro sito web e quelle adottate dall’hosting web per limitare i rischi in caso di violazioni del server.

La soluzione per aggiornare la Privacy e la Cookie Policy al GDPR è sicuramente la consulenza legale, sopratutto, se hai una specifica casistica da regolamentare.

In alternativa al supporto legale (sempre consigliato per grandi realtà), la soluzione più semplice, economica e completa per generare un’informativa policy completa, adeguata e aggiornata alle nuove normative europee (GDPR) è rappresentata dal sito Iubenda.

In particolare, Iubenda offre una:

–      Privacy Policy gratuita fino a 5 servizi per poi passare agli abbonamenti premium che partono da 19 euro l’anno.
–      Un banner per i cookie + una Cookie Policy conforme al GDPR (attivabile solo con abbonamento PRO).
–      Entro il 25 Maggio 2018 presenterà tutti i servizi gdpr-compliant.

Chi ha già scelto Cookiebot, può evitare l’abbonamento pro di Iubenda per i cookie optando solo per la Privacy Policy gratuita se nel proprio sito web non ha più di cinque servizi (es. Social Media, Moduli web, etc.) o per quella professionale al costo base di 19 euro anno.

Riguardo alle soluzioni alternative a Iubenda, per chi vuole organizzarsi autonomamente, è possibile utilizzare:

• Tool in inglese: per generare una policy conforme al GDPR che però richiede la traduzione in italiano. In questi casi, per ogni difficoltà, puoi sempre utilizzare il traduttore di Google.
• Servizio Wonder: per utilizzare appositi templare gratuiti su cui personalizzare la tua privacy policy.

##. Diritto accedere/modificare/cancellare/richiedere i dati personali

Per consentire ai visitatori del nostro sito web l’esercizio dei diritti tutelati dal GDPR, se non l’hai ancora fatto, aggiorna subito la tua versione di WordPress a quella più recente. In tutte le nuove versioni di WP sono stati integrati nuovi strumenti per rispondere alle esigenze di adeguamento imposte dalla nuova normativa europea GDPR.

Qui di seguito pui vedere un’anteprima dei nuovi menu WordPress a partire dalla versione 4.9.6:

In aggiunta alle nuove funzioni integrate con WordPress, è possibile testare altre soluzioni messe a disposizione dalla rete che si propongono di garantire il rispetto del GDPR per quanto riguarda i diritti degli interessati.

Tra queste soluzioni, in aggiunta a quelle già indicate nelle altre due guide che ho predisposto sul GDPR, ti segnalo questi ulteriori tool online:

• Delete Me: già ampiamente descritto in questa guida.
• GDPR Swascan (Trial 3 mesi): si propone di aiutare il Data Controller, il Data Processor e il Data Protection Officer (DPO) a soddisfare gli obblighi e i diritti imposti dal GDPR.

Ti suggerisco, inoltre, di tenere in considerazione il plugin Codelight, perché è stato progettato come un vero e proprio framework (open source) per rendere i siti web WordPress conformi al GDPR.

Queste sono solo alcune delle caratteristiche principali di questo framework:

• Consentire ai visitatori che non si sono registrati al nostro sito di visualizzare, esportare ed eliminare i propri dati personali;
• Configurare il plugin per eliminare o rendere anonimi i dati personali automaticamente o inviare una notifica agli amministratori per farlo manualmente;
• Tracciare, gestire e revocare il consenso;
• Generare un modello di Privacy Policy conforme al GDPR;
• Il framework si avvia con una semplice procedura guida;
• Completo con guide e tutorial.

##. Elaborazione dati di terze parti

L’ultimo punto della Checklist GDPR e WordPress relativo ai siti web WordPress con servizi più o meno standardizzati si concentra sui plugin e le terze parti presenti nel nostro sito web.

Tutti i plugin, i software esterni che usi sul tuo sito web, e sopratutto, l’hosting web devono essere conformi al GDPR.

Controlla le politiche sulla privacy e/o gli accordi con i fornitori di terze parti che utilizzi nel tuo sito web. Scopri quali sono i loro piani per conformarsi al GDPR. Se non ottieni risposte soddisfacenti, cerca fornitori alternativi.

Personalmente, per la sicurezza 🔐 del mio blog ho scelto l’hosting web Siteground, già GDPR-compliant.

Un sito web sicuro è ospitato su un server altrettanto sicuro!

In aggiunta ad un hosting web sicuro, per la sicurezza del tuo blog e dei dati personali in esso contenuti, puoi installare alcuni plugin per monitorare costantemente il traffico del tuo sito web. Tra i migliori, oggi, compatibili con il nuovo GDPR, ti presento:

• Wp-Simple-Firewall
• Malcare

– Siti web WordPress “vetrina”

• Hai un modulo contatti, commenti o newsletter che raccoglie informazioni personali come nome, indirizzo e-mail, o telefono?
• I visitatori possono acquistare un prodotto o un servizio?
• Hai installato Analytics o qualsiasi altro servizio di analisi del traffico?
• I visitatori possono chattare direttamente con te?

Se hai risposto ‘No‘ a TUTTE le domande, significa che molto probabilmente non stai raccogliendo dati personali e il tuo sito non è soggetto al GDPR.

No Dati Personali No GDPR!

Quali sono gli step da seguire per i siti web “vetrina”?

## Aggiornare la Privacy Policy

In pratica, nella pagina privacy policy, se il tuo sito web non raccoglie direttamente dati personali, è opportuno:

–    indicare che il sito web non raccoglie dati personali direttamente ma solo tramite i registri dei log del traffico sul sever;
–    nominare come responsabile esterno del trattamento dei dati il tuo hosting web relativamente ai dati memorizzati nei registri dei log del traffico sul server.
–    specificare, per i dati personali contenuti nei registri dei log del server, la base legale che legittima la registrazione e l’archiviazione di queste informazioni, ovvero, l’interesse del proprietario alla sicurezza dei dati (art. 6, paragrafo 1, punto F del GDPR).
–    indicare le misure di sicurezza adottate dall’hosting web per limitare i rischi in caso di violazioni del server.

Risposte alle domande più ricorrenti sul GDPR

In questa parte della guida, ho raggruppato tutte le domande sul GDPR che mi sono state rivolte dai miei utenti, distinguendole per aree omogenee:

## Rischi del webmaster nel GDPR

Quali sono i rischi del webmaster rispetto a quelli del proprietario/titolare del sito web?

Partendo dal presupposto che gli obiettivi del proprietario di un sito web e dello sviluppatore (webmaster) sono pressoché identici, ovvero, ottenere un sito web perfettamente funzionante, in questa ottica, posso dire che gli eventuali rischi possono ricadere su entrambi.

In generale, l’adeguamento al GDPR compete al titolare/proprietario del sito web.
Per gli aspetti tecnici, invece, il webmaster è, a tutti gli effetti, il responsabile dell’infrastruttura web e per questo motivo può essere individuato in modo formale come responsabile/incaricato dei dati da parte del titolare.

E’ sempre preferibile, in questi casi, per evitare eventuali e inutili rischi, scrivere un accordo (contratto) chiaro individuando i diritti e gli obblighi a cui le due parti in causa devono fare riferimento. Pertanto, il webmaster che nella maggior parte dei casi ha sempre una visione parziale limitata all’online del business del proprio cliente (sito web) può tutelarsi descrivendo dettagliatamente nel contratto tutte le attività di sua esclusiva competenza (es. predisposizione apposite checkbox nei moduli contatti, newsletter e commenti, gestione backup periodici, installazione e attivazione dei plugin per la sicurezza etc.), senza con ciò escludere la possibilità di interagire con un altro responsabile del trattamento dati che invece abbia la visione d’insieme dell’azienda ma sempre che questa possibilità sia stata prevista e disciplinata dal suddetto contratto.

## Analisi e gestione dei log del traffico sui server web

Ai fini sempre della conformità del proprio sito web al GDPR, mi è stato chiesto cosa deve fare il titolare di un sito web che già mantiene aggiornata la propria versione di WordPress, ha installato un apposito plugin per la sicurezza, fa backup regolari e costanti del proprio sito web, rispetto alle attività che sono di esclusiva competenza del fornitore di hosting web (il costante aggiornamento del sistema operativo del server sul quale è memorizzato il nostro dominio/sito, il firewall perimetrale etc.)?

L’analisi dei log è, innanzitutto, utile per scopi di sicurezza e quindi per prevenire eventuali attacchi da parte di malintenzionati e questa funzione si sposa bene con il GDPR perché ci consente, in caso di violazioni, di essere subito pronti alla comunicazione da effettuare agli interessati nelle 72 ore successive.

Detto ciò possiamo fare alcune considerazioni:

• non credo sia possibile disabilitare completamente i log di accesso al server ma quello che si sicuramente si può fare è impostarli per eliminare automaticamente le informazioni raccolte, ad esempio, dopo un certo numero di ore;
• solo in presenza di un collegamento tra IP (record del cliente, ecc.) e una persona identificabile si è soggetti alle regole più severe del GDPR;
• non è possibile raccoglie dati personali senza aver ottenuto il consenso degli interessati e/o senza essere in grado di poterlo documentare;
• tuttavia, è possibile (ai sensi articolo 6, paragrafo 1, punto F del GDPR) raccogliere e archiviare i dati personali contenuti nei registri log dei server Web allo scopo di rilevare e prevenire le frodi, l’accesso non autorizzato e per aumentare la sicurezza dei propri sistemi.

A questo punto, il proprietario/titolare del sito web deve indicare nella sua Privacy Policy, tra la tipologia dei dati raccolti, anche quelli contenuti nei registri dei log del server giustificandoli con finalità di prevenire le frodi,  ai fini del trattamento dei dati. In aggiunta, il titolare del trattamento deve:

• indicare il tempo di conservazione dei dati contenuti nei registri dei log del server.
• documentare quali misure di sicurezza sono state adottate dal server web per proteggere i dati e per limitare così i rischi nel caso di violazioni del server.

## Qual è il ruolo del provider (hosting web) nel GDPR

L’hosting web è chi elabora i dati per conto del titolare/proprietario sito web, quindi deve essere nominato come responsabile del trattamento tramite un apposito contratto. In caso contrario si configurerebbe una cessione impropria di dati a terzi soggetta a possibili sanzioni.

Nella realtà gli hosting forniscono già questo contratto in fase di acquisto del servizio hosting. Ovvio, che per la scadenza del 25 Maggio 2018, gli stessi dovranno adeguarsi al GDPR e conseguentemente modificare e/o aggiornare i vecchi contratti. Nella pratica, il titolare/proprietario del sito web non deve fare altro che firmare il contratto, ovvero acquistare il servizio hosting, indicando quest’ultimo come responsabile del trattamento dei dati nell’informativa privacy del proprio blog o sito web.

Personalmente, per la sicurezza 🔐 del mio blog ho scelto l’hosting web Siteground, già GDPR-compliant.

## Google Analytics nel GDPR

Google Analytics è un servizio di norma utilizzato dalla maggior parte dei marketer per attività di tracciamento delle visite, per la profilazione e per fare A/B test.

Analytics, anche se anonimizzato, può in un momento successivo essere combinato con altre informazioni (come avviene nel Social Engineering), ed in questo caso, identificare una persona. 

In tali ipotesi, viene considerato un dato personale e pertanto richiede il consenso esplicito, ovvero, non possiamo monitorare i nostri visitatori senza il loro consenso che nella nuova legge si concretizza in una azione positiva da parte dei visitatori (non è più previsto il tacito consenso).

Per risolvere il problema, è stato ideato un apposito plugin Analytics per WordPress: Surbma – GDPR Proof Google Analytics

Grazie a questo plugin è possibile, attraverso un semplice pop-up, bloccare il tracciamento di Analytics fino a quando i nostri utenti non hanno prestato il loro consenso esplicito al monitoraggio. Se l’utente rifiuta il monitoraggio, il codice JS di Analytics non compare nell’HTML della nostra pagina web e nessuno dato viene inviato ad Analytics. Se, invece, l’utente accetta, automaticamente parte il monitoraggio della visita.

Nel banner pop-up è anche possibile aggiungere il proprio link alla pagina Privacy Policy. Negli aggiornamenti futuri del plugin, sarà possibile bloccare anche il Pixel di Facebook, il tracking di HotJar ed altri servizi simili.

Infine, per essere gdpr-compliant, ricorda di indicare Analytics – nella tua Privacy Policy – come responsabile del trattamento basando questa nomina sul contratto che Google già in questi giorni sta chiedendo di sottoscrivere agli utilizzatori dei propri prodotti.

Google scrive agli amministratori analytics, quello che riporto di seguito: “Prima del 25 maggio, introdurremo anche un nuovo strumento per eliminare gli utenti, che consente di gestire l’eliminazione di tutti i dati associati a un singolo utente, ad esempio il visitatore di un sito, dalle proprietà di Google Analytics e/o Analytics 360. Questo nuovo strumento automatico funziona in base a tutti gli identificatori comuni inviati all’ID cliente (ovvero al cookie originale di Google Analytics standard), allo User ID (se attivato) o all’ID istanza dell’app (se utilizzi Google Analytics per Firebase) di Analytics. I dettagli saranno disponibili a breve sul nostro sito per gli sviluppatori.”

Per Analytics, è già possibile accettare i termini di elaborazione dei dati (pagine Amministratore → Impostazioni account).

Di recente, Google ha implementato anche la possibilità di cancellare i di dati personali raccolti tramite Analytisc impostando un determinato periodo di conservazione decorso il quale i dati verrano automaticamente cancellati dai server di Analytics (diritto all’oblio).

Queste impostazioni avranno effetto a partire dal 25 maggio 2018.

Per impostare queste opzioni devi avere l’autorizzazione di modifica per la proprietà.

1. Accedi a Google Analytics..
2. Fai clic su Amministratore e vai alla proprietà da modificare.
3. Nella colonna PROPRIETÀ, fai clic su Informazioni di monitoraggio > Conservazione dei dati.
4. Conservazione dei dati utente: seleziona il periodo di conservazione desiderato.
5. Reimposta in caso di nuova attività: attiva o disattiva l’opzione.

Fatto ciò, ricorda di indicare nella tua privacy policy il numero di mesi (14, 26, 38, 50 mesi ecc.) decorsi i quali vengono eliminati i dati Analytics.

## I checkbox pre-selezionati di Cookiebot sono conformi?

Innanzitutto, volevo precisare che, al momento, Cookiebot è uno dei pochi tool che offre una soluzione per il consenso dei cookie totalmente conforme alle nuove leggi europee (GDPR e direttiva E-privacy).

Il banner di Coobiebot rispetta il principio della Privacy by Design perchè i checkbox anche se pre-selezionati non sono però assolutamente abilitati. I checkbox si attivano solo se gli utenti prestano il consenso al trattamento dei dati per una o più categorie di cookie.

Ora, per rispondere alla domanda dei miei lettori, è necessario far riferimento a quanto stabilito dal GDPR e in particolare dal considerando n. 32: Il consenso dovrebbe essere espresso mediante un atto positivo inequivocabile con il quale l’interessato manifesta l’intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo riguardano, ad esempio mediante dichiarazione scritta, anche attraverso mezzi elettronici, o orale. Ciò potrebbe comprendere la selezione di un’apposita casella in un sito web, la scelta di impostazioni tecniche per servizi della società dell’informazione o qualsiasi altra dichiarazione o qualsiasi altro comportamento che indichi chiaramente in tale contesto che l’interessato accetta il trattamento proposto. Non dovrebbe pertanto configurare consenso il silenzio, l’inattività o la preselezione di caselle. Il consenso dovrebbe applicarsi a tutte le attività di trattamento svolte per la stessa o le stesse finalità. Qualora il trattamento abbia più finalità, il consenso dovrebbe essere prestato per tutte queste. Se il consenso dell’interessato è richiesto attraverso mezzi elettronici, la richiesta deve essere chiara, concisa e non interferire immotivatamente con il servizio per il quale il consenso è espresso.

Dalle lettura del considerando, sono sorte in “Rete” due teorie ed interpretazioni differenti:

• teoria restrittiva: quelli che sono a favore di un’interpretazione letterale del considerando nel punto in cui cita i checkbox per cui, secondo questa tesi, il banner dei cookie non deve essere presentato all’utente con le caselle già pre-selezionate.
• teoria meno restrittiva: quelli che fanno riferimento alla “ratio” della nuova normativa europea, a cosa dice la legge e alla sua finalità. Secondo questa tesi, il banner con le caselle già pre-selezionate è conforme perché i checkbox non sono abilitati ma richiedono sempre un’azione positiva dell’utente.

Personalmente, sono a favore della seconda teoria anche perché non sempre per ogni tipologia di cookie è richiesto un consenso esplicito. Con il banner di Cookiebot, l’utente può disattivare tutti i cookie e utilizzare comunque il sito. L’utente può scorrere i cookie, vederne la provenienza, leggere una descrizione della loro funzione e verificarne la durata. L’utente può quindi accettare e/o rifiutare facilmente i diversi tipi di cookie.

Se non si utilizzano pixel o altri codici di tracciamento delle persone, né il GDPR né la direttiva e-privacy richiedono il previo consenso. Se, ad esempio, rendi i dati statistici anonimi, i checkbox non sono proprio necessari e possono essere anche già pre-selezionati.

In ogni caso, senza voler preferire una tesi piuttosto che un’altra, grazie a Cookiebot è possibile configurare il banner con i checkbox non pre-selezionati.

Questa è la procedura da seguire:

• Accedi al tuo account Cookiebot da qui: https://manage.cookiebot.com/goto/login
• Da ‘Impostazioni’ > vai sulla scheda ‘Finestra di dialogo’
• Scegli un tipo di banner dal menu a discesa “Tipo”
• Se scegli “Multilivello” o “Multilivello allineato”, puoi scegliere la modalità predefinita dei checkbox, ovvero il modo con cui deve presentarsi il banner dei cookie: con le caselle pre-selezionate o senza nessuna spunta. (i cookie necessari sono invece pre-selezionati di default in quanto necessari al corretto funzionamento del tuo sito web)

Un regalo per TE! 🎁

Questa guida completa sul GDPR e WordPress è giunta al termine e tu ora hai tutti gli strumenti che ti servono per aver un sito web WordPress gdpr-compliant.

Spero che sia stata di piacevole lettura almeno quanto lo è stata per me scrivendola. Sarei felicissimo di ricevere un tuo feedback, un tuo commento al riguardo.

Se hai letto tutta la guida, significa che hai apprezzato il mio stile e per questo vorrei chiederti di considerare la possibilità di contribuire a sostenere il mil blog attraverso una donazione ❤️ PayPal che mi consentirà di pubblicare costantemente informazioni GRATIS e di grande valore per Te e il tuo business online.

Fai ora una donazione con PayPal ❤️ WIN-WIN 🙂

Spero con questa Checklist GDPR e WordPress di aver dato un utile contributo a tutti i siti web WordPress che già dal 25 Maggio 2018 devono essere in regola con il nuovo regolamento europeo in materia di protezione dei dati personali (GDPR).

In ogni caso, per qualsiasi altra domanda, dubbio o informazione resto a tua completa disposizione.