Siti web e Wordpress: come costruire un sito web in conformità al GDPR, dal punto di vista tecnico e della documentazione.

Wordpress e GDPR: quali requisiti GDPR? 

Una volta entrato in vigore il GDPR, Wordpress ha adeguato la piattaforma agli obblighi normativi conseguenti. Si può dire quindi che Wordpress, di per sé, è conforme al GDPR. Tuttavia la conformità al GDPR deriva da quanti e quali dati sono trattati, per quanto tempo e a che finalità. Quindi, per prima cosa, è utile capire 

• quali requisiti prevede il GDPR;
• come Wordpress può raccogliere i dati. 

La lista dei requisiti previsti dal GDPR è molto lunga e non abbiamo qui alcuna pretesa di completezza. I punti importanti da sottolineare, tra i tanti, sono: 

• consenso dell'utente:
  il GDPR richiede un consenso esplicito, libero e informato da parte dell'utente prima di elaborare qualsiasi dati. Gli utenti devono poter rifiutare il trattamento dati. Trattare dati in caso di rifiuto del consenso da parte dell'utente è una violazione del GDPR.
• finalità del trattamento:
  per poter raccogliere un consenso informato, occorre che le finalità del trattamento dati siano esplicitate e indicate in dettaglio. Occorre un consenso informato ed esplicito per ogni finalità del trattamento dati. Gli utenti hanno il diritto di sapere come sono raccolti i dati, quali sono, dove vengono archiviati ed elaborati.
• accesso, portabilità, diritto all'oblio:
  questi sono tre diritti esplicitamente riconosciuti all'interessato dal GDPR. Gli utenti devono poter accedere e ottenere una copia dei propri dati in qualsiasi momento. Non solo: gli interessati hanno il diritto di trasmettere i propri dati personali ad altri titolari del trattamento senza impedimenti da parte del titolare del trattamento che li ha forniti. Il diritto all'oblio comporta invece il dovere, da parte del responsabile del trattamento, di cancellare i dati personali qualora richiesto dall'interessato.
• obbligo di notifica di data breach entro 72h
  Il GDPR prevede l'obbligo di notificare l'eventuale data breach entro 72h ore dalla sua scoperta. Ne consegue che tutti i webmaster debbano implementare meccanismi di monitoraggio dei dati.

Wordpress: come raccoglie i dati degli utenti

 Andando più nel dettaglio, nella stragrande maggioranza dei casi Wordpress raccoglie i dati attraverso:

• cookie e il loro utilizzo:
  i cookie infatti raccolgono dati, anche personali. Se per i cookie tecnici non occorre la raccolta del consenso, dato che non c'è raccolta di dati personali, lo stesso non si può dire dei cookie di profilazione. Per i cookie di profilazione, che raccolgono dati personali e "tipizzano" l'utente, occorre esplicito consenso. Maggior dettagli qui

• moduli di contatto:
  praticamente tutti i siti web hanno un form (o più form) di contatto che consente all'utente di contattare il webmaster. Solitamente questi moduli richiedono dati personali come nome e cognome, indirizzo email, numero di telefono ecc…
  
  
• commenti:
  Wordpress consente di raccogliere una serie di dati anche dai commenti degli utenti. Wordpress memorizza nome, email, URL del sito web, indirizzo IP e cookie del browser dell'utente commentatore.
  
  
• plugin:
  qui si apre un grande (e potenzialmente infinito) capitolo. Wordpress vive e si alimenta di plugin. I plugin, tutti i plugin, raccolgono ed elaborano dati dal sito web prodotto con Wordpress. Alcuni plugin non si limitano ad archiviare dati relativi al sito web, ma raccolgono anche dati personali.

Wordpress e GDPR: guida alla conformità

Terminata l'analisi generale di quali dati occorrerà elaborare tramite il sito web e attraverso quali mezzi, la conformità va realizzata passando all'azione. Ecco i consigli di Wordpress: 

1. Implementa il protocollo HTTPS
   che garantisce la sicurezza della connessione criptata. Se non lo fai, non solo la maggior parte dei browser segnalerà il tuo sito come pericoloso, ma esporrai i a rischi i dati degli utenti.
   
   
2. Pubblica una policy privacy
   la policy privacy deve informare gli utenti DETTAGLIATAMENTE sulle modalità di trattamento dei dati. Deve contenere almeno:
   • quali dati sono trattati e come
   • quale base giuridica legittima il trattamento (ad esempio il legittimo interesse, il consenso dell'interessato ecc…)
   • quali finalità giustificano il trattamento dati (analytics? Profilazione?)
   • quali terze parti accedono ai dati raccolti, ad esempio tramite plugin, widget, pulsanti social o altre integrazioni;
   • i diritti degli interessati: accesso, cancellazione, rettifica, portabilità ecc…
   • l'identità e i contatti del titolare del trattamento e/o del responsabile del trattamento. 

3. Consenti agli utenti un modo per accedere ed eliminare i propri dati
   Il GDPR è chiaro: se un interessato richiede l'eliminazione dei propri dati personali il responsabile / titolare del trattamento devono agire tempestivamente e senza ingiustificato ritardo. Non solo: l'esercizio dei diritti degli interessati va assecondato e facilitato, pena la violazione del GDPR e delle linee guida dell'EDPB. Su Wordpress, il modo più semplice per garantire l'esercizio dei diritti dell'interessato è prevedere un apposito modulo di contatto o un apposito indirizzo email al quale rivolgersi. 

4. attiva un cookie banner
   Il cookie banner deve sicuramente contenere l’informativa breve e un collegamento cliccando sul quale si può accedere all’informativa estesa. Deve indicare chiaramente quali azioni saranno valevoli come consenso (ricordiamo sul punto che lo scrolling non può più essere considerato un valido consenso). Deve prevedere un’area dove l’utente possa prestare un consenso granulare, ovvero scegliere in dettaglio quali cookie consentire e quali no. In ultimo va ovviamente previsto un pulsante che consenta all’utente di esprimere o negare il consenso.
   
   Scopri di più > Cookie policy: che cosa è? 

5. installa widget di terze pari conformi al GDPR
   Il popolo di Wordpress ricorre diffusamente a widget di terze parti. Inutile dire che questi widget trattano dati, ma il responsabile del trattamento dati sei sempre tu che gestisci il sito web. Installare un widget non conforme è una violazione al GDPR. Prima di utilizzare qualsiasi widget verifica la conformità al GDPR o contatta i suoi sviluppatori per avere informazioni.

Widget conformi: quali servizi sono verificati?

Questi sono solo alcuni consigli. I widget per Wordpress sono infiniti e quelli che indichiamo qui non sono gli unici conformi al GDPR, ma sono sicuramente tra i più popolari e affidabili: 

• WooCommerce per i siti ecommerce;
• MailerLite o MailChimp per l'email marketing;
• NinjaForm, WPForm per i moduli di contatto;
• Disqus per i commenti;
• Acconsento.click per il cookie banner e come generatore italiano di privacy policy e cookie policy.

Nota bene: questo articolo non sostituisce le consulenze di legali ed esperti. Serve ad introdurre ad un tema molto complesso per sapersi orientare, ma con i dati degli utenti e dei tuoi clienti non si scherza! Consulta un esperto e non fare copia e incolla di policy scopiazzate qua e là. Ogni sito web ha le sue peculiarità e le policy devono essere "cucite su misura".