GDPR E WORDPRESS: COME METTERSI IN REGOLA

NB: si premette che questo articolo non costituisce parere legale, per quello ti consiglio di rivolgerti a un avvocato.

Ci siamo! Il 25 maggio 2018 entrerà in vigore il GDPR (Regolamento generale sulla protezione dei dati) emanato dall’UE. Domande: Siete sicuri che il vostro sito sia conforme al GDPR? Quali sono i passi che dovete compiere per assicurarvi di seguire le linee guida? Cosa succede se non vi conformate alla nuova normativa?

COS’E’ IL GDPR?

GDPR è l’acronimo di General Data Protection Regulation ed è una nuova legge sulla protezione dei dati emanata da UE, che entrerà in vigore tra pochissimi giorni ormai. Scopo di questa legge è quella di dare pieno controllo ai cittadini EU sui propri dati personali e modificare l’approccio delle organizzazioni in tutto il mondo in materia di riservatezza dei dati.

Il GDPR introduce regole molto più severe delle leggi in vigore attualmente ed è molto più restrittivo della “legge sui cookie dell’UE” a cui ci siamo attenuti finora.

Ad esempio: obbliga gli utenti a confermare esplicitamente che sono d’accordo su fatto che i loro dati possono essere raccolti, obbliga a fornire una Policy sulla Privacy chiara in cui siano ben specificati quali sono i dati che saranno archiviati e come saranno utilizzati e a dare all’utente il diritto di revocare il consenso all’uso degli stessi, chiedendone la loro cancellazione in qualsiasi momento.

Il GDPR viene applicato ai dati dei cittadini della UE raccolti in qualsiasi parte del mondo. Di conseguenza, qualsiasi sito Web con visitatori o clienti UE deve rispettarlo.

Per saperne di più su questa normativa rimando alla pubblicazione dei regolamenti nella Gazzetta ufficiale dell’Unione europea che definisce chiaramente tutti i termini relativi alla legge.

Quello che interessa a me puntualizzare e che sono due gli aspetti principali importanti ai fini del GDPR: “dati personali” e “elaborazione di dati personali“.

Ecco come essi vanno considerati riguardo a un sito WordPress

– i dati personali riguardano “qualsiasi informazione relativa a una persona fisica identificata o identificabile” – come nome, indirizzo di posta elettronica, indirizzo o persino indirizzo IP (anzi, considerare qualsiasi dato come dato personale è forse ancora più co

– mentre il “trattamento di dati personali” si riferisce a “qualsiasi operazione o insieme di operazioni eseguite su dati personali”. Pertanto, una semplice operazione di archiviazione di un indirizzo IP sui registri del server Web costituisce l’elaborazione dei dati personali di un utente.

Ma davvero il GDPR dovrebbe essere preso sul serio?

E’ importante chiarire che i webmaster hanno tempo fino al 28 maggio 2018 per rispettare i regolamenti stabiliti dal GDPR. La sanzione per inadempienza può arrivare fino a 20 milioni di euro o, nel caso di un’impresa, fino al 4% del fatturato totale mondiale dell’esercizio precedente, a seconda di quale dei due dati sia il più elevato.

Vi sono varie tipi di sanzione in base alla gravità della violazione, che sono state descritte nella sezione FAQ del portale GDPR.

Una quantità così elevata di sanzioni è stata proposta per assicurare che tutti si conformino alla normativa.

Tuttavia, ci si potrebbe chiedere quali siano i passaggi per la supervisione dei siti web.

Intanto saranno incaricati dei Garanti della Privacy (SA) di diversi Stati membri, che agiranno in piena legalità. Ogni stato membro può avere più Garanti, a seconda delle strutture costituzionali, amministrative e organizzative.

Questi Garanti avranno vari poteri:

  • Effettuare controlli sui siti Web;
  • Emettere avvisi di non conformità,
  • Emettere misure correttive da effettuare entro determinate scadenze..

Per avere una idea in generale sui poteri dei Garanti della Privacy in materia di GDPR vi rimando a questo articolo.

E’ interessante sapere che 6 mesi dopo la pubblicazione delle linee guida del GDPR, PwC ha intervistato 200 CEO di grandi aziende statunitensi per valutare l’impatto di queste linee guida. I risultati hanno rivelato che la maggior parte delle aziende le ha adottate come priorità assoluta nella protezione dei dati, con un 76% disposto a spendere oltre 1 milione di dollari per conformarsi ad esse. Ciò dimostra che a causa di una grande presenza nei mercati europei, le grandi aziende a livello mondiale stanno prendendo molto sul serio la conformità al GDPR.

Come conformare il vostro sito WordPress al  GPRD

Con tutte le informazioni ufficiali alla mano, passiamo ora vedere come possiamo accertarci che il nostro sito web sia conforme e che non si verifichino problemi con il GPRD.

Per prima cosa un controllo di sicurezza sul vostro sito WordPress dovrebbe, in generale, rivelare come i dati vengono elaborati e archiviati sui vostri server e suggerire i passaggi necessari per conformarsi alla nuova normativa.  Il plug-in Security Audit Log  può aiutarvi a eseguire detto controllo

Alcuni modi in cui un sito WordPress standard potrebbe raccogliere dati utente (che sono poi quelli  chiave da mettere in regola) sono :

  • registrazioni dell’utente
  • commenti
  • voci del modulo di contatto
  • altri strumenti e plugin di registrazione
  • strumenti o plugin di sicurezza.

 

 (a) Notifica di violazione

Ai sensi della conformità al GDPR, se il vostro sito web sta subendo una violazione dei dati di qualsiasi tipo, tale violazione deve essere comunicata ai vostri utenti. Una violazione dei dati può mettere a rischio i diritti e la libertà delle persone, per cui, in tale caso, informare tempestivamente gli utenti è fondamentale e necessario.

Ai sensi del GDPR, una notifica deve essere inviata entro 72 ore dalla prima avvisaglia di una violazione. I Data Processor sono invece tenuti a informare gli utenti e i responsabili del trattamento dei dati, immediatamente dopo essere venuti a conoscenza di una violazione dei dati.

In un sito WordPress il termine “utente” può indicare i normali utenti del sito web, oppure le voci del modulo di contatto e potenzialmente anche commentatori.

Il modo ideale per adeguarsi al GDPR è monitorare i registri del traffico web e del server web, e a questo scopo l’uso del plugin Wordfence  con le notifiche attivate costituisce un grande aiuto.

 (b) Raccolta, elaborazione e archiviazione dei dati

I tre elementi chiave sono: diritto di accesso, diritto di oblio e portabilità dei dati.

–       Il diritto di accesso offre agli utenti una completa trasparenza nell’elaborazione e nell’archiviazione dei dati: quali sono quelli che vengono raccolti, dove questi vengono elaborati e archiviati e il motivo alla base della raccolta, dell’elaborazione e dell’archiviazione degli stessi. Agli utenti dovrà inoltre essere fornita una copia dei propri dati.

–       Il diritto all’oblio consente agli utenti di cancellare i dati personali e interrompere  l’ulteriore raccolta ed elaborazione degli stessi. Questo processo prevede che l’utente ritiri il consenso all’utilizzo dei propri dati. Una valida soluzione per dare ai vostri utenti la possibilità di rimuovere il proprio account e il plug-in DELETE ME

–       La clausola sulla portabilità dei dati del GDPR offre agli utenti il ​​diritto di scaricare i dati personali, per i quali hanno precedentemente dato il consenso, e di trasmetterli ad altro controllore.

Di default la Privacy  incoraggia i responsabili del trattamento  dei dati a far rispettare regole sugli stessi che consentano l’elaborazione e l’archiviazione solo di quelli che sono strettamente necessari. Ciò incoraggia i proprietari di siti e i responsabili del trattamento ad adottare politiche potenzialmente più sicure per i dati, limitando l’accesso ad un numero ristretto di essi.

Come proprietario di un sito WordPress, prima di tutto, comunque, è necessario pubblicare una Policy sulla Privacy dettagliata su quali sono i dati personali  che utilizzerete e come verranno elaborati e archiviati.

Inoltre sarà anche necessario pianificare una procedura per fornire agli utenti che ne facciano richiesta tutti i loro dati in vostro possesso.

 

(c) Uso di plug-in – implicazioni nella conformità a GPRD di WordPress

Tutti i plugin che utilizzate dovranno essere conformi al GDPR. Come proprietari del sito, è comunque sempre vostra responsabilità, assicurarvi che ogni plugin che decidete di installare nel vostro sito possa esportare / fornire / cancellare i dati dell’utente raccolti in conformità con la normativa GDPR.

Inoltre, anche alcuni strumenti che apparentemente “sono” al di fuori del vostro sito WordPress subiranno l’impatto del GDPR. Prendete, ad esempio, gli strumenti di email marketing: è prassi comune incorporarli con il proprio sito WordPress e inviare e-mail promozionali basate su un elenco di indirizzi di posta elettronica. A seconda di come si gestiscono le newsletter / elenchi, tali indirizzi potrebbero non essere stati ottenuti con il consenso esplicito degli utenti destinatari.

Quindi, ad esempio, una check-box flaggata di default verrà, con l’entrata in vigore della nuova normativa, considerata una violazione.

Per il GDPR tutto ciò che è parte della vostra presenza in rete come azienda, dovrà raccogliere il consenso esplicito dell’utente ed avere una Policy di Privacy in atto.

Un’altra azione che sarà considerata illegale ai fini GDPR sarà quella di inviare email a una mailing list acquistata da terzi, poiché i diretti destinatari di queste email non hanno chiesto esplicitamente di ricevere posta da voi.

 

Considerazioni Finali

Per riassumere:-

  • la legge entrerà in vigore il 25 maggio 2018,
  • si applica a qualsiasi sito web che maneggia informazioni personali di utenti UE,
  • dà all’utente il diritto di controllare il flusso delle proprie informazioni personali,
  • ci sono processi stabiliti per monitorare la conformità e sono in vigore multe salate in caso di non conformità.

In poche parole, per rendere conforme il vostro sito WordPress al GDPR, dovete:

  1. esaminare tutti i diversi modi in cui state raccogliendo i dati dei visitatori
  2. mettere in atto meccanismi per assicurarvi che gli utenti possano controllare i propri dati
  3. cercare di non raccogliere dati dell’utente se non strettamente necessario
  4. se utilizzate strumenti e soluzioni di terze parti, assicurarvi comunque che anch’essi siano conformi alla nuova normativa.

Ormai manca meno di una settimana per conformarsi al GDPR. Se non volete correre il rischio di incorrere in sanzioni salate, quindi,..vi consiglio se ancora non lo avete fatto, di attivarvi in fretta 😊

 

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *