Documentazione

WordPress e GDPR: pro e contro dell’aggiornamento 4.9.6

WordPress ha introdotto alcune modifiche importanti con la versione 4.9.6: tali aggiornamenti rientrano nello sforzo dell’azienda di rendere più facile ai propri utenti adeguarsi al GDPR. Come vedremo però, è bene sottolineare che non basta il semplice utilizzo di questi strumenti per garantire la conformità alle normative.

Non basta il semplice utilizzo di questi strumenti per garantire la conformità alle normative

A seguire analizzeremo come questi aggiornamenti possono aiutarti a rispettare il GDPR, che vantaggi portano e di quali limiti soffrono.

Pagina della privacy policy

WordPress ora rende più semplice per i proprietari di siti Web impostare una pagina dedicata alla privacy policy: basta andare in “Settings > Privacy” dalla dashboard. Da lì puoi selezionare una pagina esistente o crearne una nuova:

WordPress Privacy Settings

Se da un lato questa funzionalità semplifica designare una pagina dedicata, dall’altro non fornisce il testo completo e applicabile. Si tratta di una “mancanza” assolutamente comprensibile: per essere conforme, il testo dell’informativa sulla privacy dovrebbe riferirsi al caso specifico dell’utente e includere informazioni pertinenti ai dati trattati.

Quello che WordPress fornisce cliccando sul pulsante “Create New Page” è una sorta di modello di base.

Vantaggi

Limiti e come affrontarli

Limiti

Come accennato, lo strumento in realtà non genera nessuna privacy policy utilizzabile e conforme. Il testo stesso del modello, sebbene sia un punto di partenza per aiutarti a pensare al tipo di informazioni che dovresti includere, è di per sé lontano dall’essere conforme.

Nella guida alla privacy policy, WordPress informa gli utenti di quanto segue:

  • Modifica il contenuto della tua policy, assicurandoti di eliminare i riepiloghi e aggiungendo qualsiasi informazione sul tema e sui plugin… È responsabilità dell’utente scrivere una policy esauriente, assicurarsi che rifletta tutti i requisiti legali nazionali e internazionali sulla privacy, aggiornarla e mantenerla accurata.

    Un’analisi completa del testo introduttivo fornito richiederebbe un articolo separato, ma già ad una prima occhiata è chiaro che alcune sezioni sono errate o incomplete (ad esempio quella dei diritti dell’utente sui propri dati).

  • In base al GDPR e alla maggior parte delle leggi sulla privacy, è necessario che l’informativa sia accessibile da ogni pagina del sito web, cosa che WordPress non fa automaticamente.

Soluzioni

  • Stendi una privacy policy completa e di facile lettura che soddisfi i requisiti legali. Puoi assumere un avvocato che se ne occupi, oppure puoi semplicemente generare una delle privacy policy progettate dal nostro team di avvocati e completamente personalizzabili.

    È facile: inserisci il nome del tuo sito nel nostro generatore di privacy e cookie policy, seleziona la lingua desiderata e clicca su “Inizia la generazione”.

    Genera una privacy policy per il tuo sito in WordPress

    Dopo di che, scegli i servizi che si applicano al tuo caso:
    Aggiunta dei servizi alla privacy/cookie policy generata con iubenda
    Personalizzali in base alle tue necessità, salva e avrai fatto. Per maggiori dettagli ti rimandiamo alla guida Come generare una policy.

  • Puoi rendere la tua policy visibile e facilmente accessibile da tutte le pagine del sito in diversi modi, come mostrato nell’immagine qui sotto:
    Metodi per integrare le privacy policy di iubenda in WordPress
    Il metodo più semplice è quello di posizionare il link alla tua policy nel footer (come voce a menu o come widget di testo). La guida Configurare iubenda su WordPress contiene tutti le informazioni inerenti l’integrazione.

Commenti

Ai visitatori viene ora data la possibilità di attivare o disattivare la memorizzazione dei dati personali (nome, email, sito web) in un cookie sulla propria macchina. Salvando i dati non sarà necessario reinserirli ad ogni nuovo commento:

Commenti di WordPress

Puoi abilitare questa opzione in “Settings > Discussion”:

Impostazioni dei commenti WordPress

Vantaggi

  • Con lo scopo di migliorare l’esperienza utente, questa funzionalità ti dà l’opportunità di raccogliere il consenso granulare specifico attraverso un cookie.

  • Ti dà un’altra opportunità per ottenere il consenso specifico, anche se l’utente ha precedentemente rifiutato di consentire ai cookie tramite il meccanismo di gestione principale (supponendo che l’utente non abbia impostato separatamente il sistema di gestione dei cookie per bloccare questi in particolare).

  • In più aiuta gli utenti a comprendere lo scopo della raccolta.

Limiti e come affrontarli

Limiti

La nuova funzione di commento riguarda un solo tipo di cookie. Ai sensi del GDPR, e, cosa più rilevante, della Cookie Law tuttora in vigore (si può pensare che affianchi il GDPR), i tuoi utenti devono essere informati tramite un banner di tutti gli scopi per cui il tuo sito utilizza i cookie (ad eccezione di quelli esenti), nonché devono poter prestare, rifiutare e revocare il consenso per il loro uso.

Soluzioni

Indipendentemente dal fatto che tu utilizzi o meno questa nuova funzionalità dei commenti, devi assicurarti di avere una soluzione per la gestione dei cookie che soddisfi i requisiti di legge, o non sarai conforme.

La Cookie Solution di iubenda soddisfa tutte le disposizioni di legge, è personalizzabile e ottimizzata per la raccolta del consenso, è comprensiva di metriche e altro ancora. La configurazione della Cookie Solution è resa ancora più semplice dal nostro plugin per WordPress.

Per ulteriori informazioni su come integrare la Cookie Solution con il tuo sito WordPress, consulta la guida all’installazione del plugin.

Trattamento dei dati

Le nuove funzionalità di trattamento dei dati ti permettono di esportare un file ZIP con i dati personali raccolti da WordPress e dai plugin partecipanti. Al tempo stesso puoi cancellare definitivamente questi dati.

Sia per gli utenti registrati che per i commentatori, puoi soddisfare queste due tipologie di richiesta con un metodo basato sulle email.

Vantaggi

  • Questa funzione semplifica il rispetto dei requisiti del Diritto di accesso (Art. 15) del GDPR consentendoti di esportare e fornire i dati degli utenti in un formato conforme.
  • Questa funzione semplifica il rispetto dei requisiti del Diritto di cancellazione (Art. 17) del GDPR.
  • Puoi chiedere la conferma di azioni delicate come le richieste di cancellazione via email.

Limiti e come affrontarli

Limiti

Sebbene gli aggiornamenti sul trattamento dei dati siano tra quelli più graditi (soprattutto per il tempo che fanno risparmiare), presentano alcuni seri limiti di cui dovresti essere a conoscenza.

Il primo è che esporta automaticamente solo i dati raccolti dai plugin partecipanti. Ciò significa che l’operatività di questi dipende interamente dal fatto che i plugin che stai usando siano collegati alla nuova funzione di esportazione/cancellazione. In altre parole, questa funzionalità non opera con plugin che non sono stati adattati per supportarla, o con versioni obsolete che potresti usare sul tuo sito (in questo caso puoi semplicemente aggiornare quei particolari plugin all’ultima versione).

Il vero problema è che (al momento della stesura di questo post) non esiste una repository che elenchi chiaramente quali plugin integrano questa funzionalità. Inoltre, gli sviluppatori non sono stati incentivati a implementarla, col risultato che probabilmente in pochissimi avranno messo mano al loro codice per aggiungerla.

Infine, anche se ogni singolo plugin del sito WordPress supportasse queste caratteristiche, non tutti i dati utente elaborati sono necessariamente gestiti da plugin. Ad esempio, se si utilizza un servizio cloud o un sistema di gestione di mailing list esterne, i dati gestiti da questi non saranno automaticamente inseriti nel nuovo sistema di gestione dati di WordPress.

Questo è un punto molto importante da notare in quanto i diritti di accesso e cancellazione si applicano a tutti i dati utente applicabili, non solo alcuni. Affidarsi a un meccanismo incompleto, o fornire solo alcuni dei dati significa semplicemente non essere conformi.

Detto questo, queste nuove funzionalità saranno probabilmente sufficienti se sei l’unico a trattare i dati personali degli utenti attraverso le funzionalità integrate nella piattaforma WordPress stessa. In questo modo la tua conformità non dipenderà dal fatto che i plugin di terze parti si siano integrati o meno con la nuova funzionalità.

Soluzioni

Attualmente, l’opzione migliore per affrontare questi problemi è duplice e coinvolge principalmente misure preliminari e sforzo manuale.

Misure preliminari
  • Scegli partner consapevoli del GDPR: assicurati che i responsabili del trattamento dei dati con cui lavori siano conformi al GDPR e che dispongano dei mezzi per facilitare le richieste degli utenti, come quelle di accesso o cancellazione. Queste informazioni dovrebbero essere indicate nel contratto di nomina a responsabile (DPA) che stipulerai con loro.
  • Sii consapevole dei tuoi processi: valuta i tuoi cicli e i tuoi sistemi di elaborazione dei dati e cerca di configurarli in modo da agevolarti l’evasione di queste richieste. Ecco alcune domande da porsi:
    • Come posso esportare facilmente i dati di un particolare utente dai miei database? Questo problema è in qualche modo trattato dall’aggiornamento di WordPress, in quanto si riferisce ai dati memorizzati nei tuoi database
    • Come posso accedere facilmente ai dati di un particolare utente e cancellarli completamente (anche grazie alla nuova funzione di trattamento dei dati)?
    • Quali dati consegno a terzi per essere trattati? Vanno considerati dati personali?
  • Sii consapevole dei dati che tratti: implementa il principio GDPR di minimizzazione dei dati. Ecco alcune domande da porsi:
    • Che dati sto trattando?
    • Sono considerati dati personali?
    • Sono strettamente necessari per la fornitura del servizio?
Sforzo manuale

Con il sistema attuale, se si utilizzano servizi di terze parti per il trattamento dei dati personali, al di fuori di ciò che è coperto dagli strumenti di gestione dei dati di WordPress, è necessario un certo sforzo manuale per identificare, esportare dai database pertinenti e rendere disponibili (o cancellare) i dati. Salvo alcune eccezioni, in genere hai un mese per soddisfare tali richieste.

Nota: quando soddisfi una richiesta di accesso di un utente, devi fornirgli i dati in un formato comune e di facile accesso (ad esempio un foglio di calcolo).

Inoltre, in caso di richiesta di cancellazione, è utile informare chiaramente e preventivamente l’utente che nel soddisfare la sua richiesta tutti i suoi dati saranno rimossi e che gli sarà impossibile esercitare ulteriori diritti su di essi, non essendo più presenti sui tuoi sistemi (a meno che non li riaggiunga).

Per maggiori informazioni su queste funzionalità di WordPress, leggi la sezione “Privacy” sulla guida ai plugin (in inglese).


Queste nuove aggiunte di WordPress indicano il riconoscimento dell’importanza della conformità e la volontà dell’azienda di assistere i propri utenti nel soddisfare i requisiti di legge. In definitiva, tuttavia, la conformità è una faccenda personale ed è responsabilità tua e dei responsabili del trattamento dei dati valutare le vostre attività e garantirne la conformità.

Procedure come la tenuta di un registro del trattamento e l’esecuzione di una valutazione d’impatto sulla protezione dei dati (DPIA) possono essere molto utili per capire questi aspetti.

Basandoci sul nostro lavoro sul GDPR negli ultimi mesi, abbiamo compilato un elenco di risorse e articoli per aiutarvi nel rispetto della normativa:

Leggi anche