Menu Chiudi

La guida definitiva alla conformità di WordPress e GDPR: tutto ciò che devi sapere

GDPR, abbreviazione di General Protection Protection Regulation, è una legge dell’Unione europea di cui probabilmente avete sentito parlare.

In questo articolo, spiegheremo tutto ciò che è necessario sapere su GDPR e WordPress (senza le complesse questioni legali).

WordPress and GDPR Compliance

Disclaimer: Nulla su questo sito web dovrebbe essere considerato consulenza legale.

 

Tabella dei contenuti

Cos’è GDPR?

Il regolamento generale sulla protezione dei dati (GDPR) è una legge dell’Unione europea (UE) entrata in vigore il 25 maggio 2018. L’obiettivo del GDPR è di fornire ai cittadini dell’UE il controllo sui propri dati personali e modificare l’approccio alla riservatezza dei dati delle organizzazioni di tutto il mondo.

What is GDPR?

Probabilmente hai ricevuto dozzine di email da aziende come Google e altri riguardo al GDPR, la loro nuova politica sulla privacy e molti altri aspetti legali. Questo perché l’UE ha messo in atto pesanti sanzioni per coloro che non sono conformi.

multe

In sostanza, dopo il 25 maggio 2018, le aziende che non sono conformi al requisito di GDPR possono essere soggette a multe elevate fino al 4% del fatturato globale annuale di un’azienda O € 20 milioni (a seconda di quale sia maggiore). Questo è un motivo sufficiente per causare panico diffuso tra le aziende di tutto il mondo.

Questo ci porta alla grande domanda a cui potresti pensare:

 

GDPR si applica al mio sito WordPress?

La risposta è si. Si applica a tutte le imprese, grandi e piccole, in tutto il mondo (non solo nell’Unione europea).

Se il tuo sito web ha visitatori provenienti da paesi dell’Unione Europea, questa legge si applica a te.

 Il GDPR prevede un livello progressivo di sanzioni e di multe, inizierà con un avvertimento, poi un rimprovero, quindi una sospensione dell’elaborazione dei dati, e se continuerai a violare la legge, allora le grandi multe colpiranno.

GDPR Fines and Penalties

L’Unione europea non è un governo malvagio. Il loro obiettivo è proteggere i consumatori, persone comuni come te e me da una gestione sconsiderata di dati / violazioni perché sta andando fuori controllo. Questo incoraggia le aziende a porre maggiormente l’accento sulla protezione dei diritti delle persone.

Una volta compreso ciò che è richiesto dal GDPR e dallo spirito della legge, allora ti renderai conto che nulla di tutto questo è troppo restrittivo. Condivideremo anche strumenti / suggerimenti per rendere il tuo sito WordPress conforme a GDPR.

Cosa è richiesto da GDPR?

L’obiettivo di GDPR è proteggere le informazioni di identificazione personale dell’utente (PII) e mantenere le aziende a uno standard più elevato quando si tratta di come raccolgono, archiviano e utilizzano questi dati.

I dati personali includono: nome, e-mail, indirizzo fisico, indirizzo IP, informazioni sanitarie, entrate, ecc.

GDPR Personal Data

Mentre il regolamento GDPR è lungo 200 pagine, ecco i pilastri più importanti che è necessario conoscere:

Consenso esplicito : se stai raccogliendo dati personali da un residente dell’UE, devi ottenere un consenso esplicito specifico e non ambiguo. In altre parole, non puoi semplicemente inviare e-mail non richieste a persone che ti hanno dato il loro biglietto da visita o compilato il modulo di contatto del tuo sito web perché NON hanno optato conscientemente per ricevere la tua newsletter di marketing (si chiama SPAM a proposito, e non dovresti farlo comunque).

Affinché sia ​​considerato un consenso esplicito, è necessario richiedere un opt-in positivo (ovvero senza una casella di controllo pre-selezionata), contenere una dicitura chiara (non legalizzata) ed essere separato dagli altri termini e condizioni.

Diritto ai dati – è necessario informare le persone dove, perché e come i loro dati vengono elaborati / archiviati. Un individuo ha il diritto di scaricare i propri dati personali ed ha anche il diritto all’oblio, nel senso che può chiedere la cancellazione dei propri dati.

Questo assicurerà che quando premi ‘Annulla iscrizione’ o chiedi alle aziende di eliminare il tuo profilo.

Notifica di violazione : le organizzazioni devono segnalare alcuni tipi di violazioni dei dati alle autorità competenti entro 72 ore, a meno che la violazione non sia considerata innocua e non costituisca un rischio per i dati individuali. Tuttavia, se una violazione è ad alto rischio, l’azienda DEVE anche informare subito le persone che subiscono la violazione.

Responsabili della protezione dei dati : se sei un’azienda pubblica o elabori grandi quantità di informazioni personali, devi nominare un responsabile della protezione dei dati. Questo non è richiesto per le piccole imprese. Consultare un avvocato se si è in dubbio.

GDPR Data Protection Officer

Il GDPR fa in modo che le aziende non possano aggirare lo spamming inviando email che non sono state richiesto. Le aziende non possono vendere i dati delle persone senza il loro esplicito consenso.  Le aziende devono cancellare l’account dell’utente e cancellarlo dalle liste email se l’utente ti chiede di farlo. Le aziende devono segnalare violazioni dei dati e in generale migliorare la protezione dei dati.

 

WordPress è compatibile con GDPR?

A partire da WordPress 4.9.6, il software di base di WordPress è conforme a GDPR. Il core team di WordPress ha aggiunto diversi miglioramenti di GDPR per assicurarsi che WordPress sia compatibile con la normativa. È importante notare che quando parliamo di WordPress, stiamo parlando di WordPress.org self-hosted (vedi la differenza: WordPress.com vs WordPress.org ).

Detto questo, a causa della natura dinamica dei siti Web, nessuna singola piattaforma, plugin o soluzione può offrire una conformità GDPR del 100%. Il processo di conformità di GDPR varierà in base al tipo di sito Web in tuo possesso, ai dati che archivierai e al modo in cui elabori i dati sul tuo sito.

Con  l’impostazione predefinita, WordPress 4.9.6 ora viene fornito con i seguenti strumenti di miglioramento del GDPR:

Consenso nei commenti

WordPress Comments Opt-in for GDPR

Per impostazione predefinita, WordPress memorizza il nome dei commentatori, la e-mail e il sito Web con il cookie sul browser dell’utente. Ciò ha reso più facile per gli utenti lasciare commenti sui loro blog preferiti perché quei campi erano pre-compilati.

A causa del requisito del consenso di GDPR, WordPress ha aggiunto la casella di controllo del consenso al commento. L’utente può lasciare un commento senza selezionare questa casella, ciò vuol dire è che dovrà inserire manualmente il suo nome, email e sito web ogni volta che lascia un nuovo commento.

Esportazione dati e funzione di cancellazione

WordPress Data Handling - GDPR

WordPress offre ai proprietari del sito la possibilità di rispettare i requisiti di gestione dei dati di GDPR e di onorare la richiesta dell’utente per l’esportazione e la rimozione dei dati personali dell’utente.

Le funzioni di gestione dei dati sono disponibili nel menu Strumenti all’interno dell’amministratore di WordPress.

Generatore di norme sulla privacy

WordPress Privacy Policy Generator for GDPR

WordPress ora viene fornito con un generatore di norme sulla privacy incorporato. Offre un modello di politica sulla privacy pre-creato e offre una guida in termini di cos’altro aggiungere, in modo da poter essere più trasparenti con gli utenti in termini di quali dati si archiviano e come si gestiscono i loro dati.

Queste tre cose sono sufficienti per rendere compatibile un blog WordPress predefinito GDPR. Tuttavia è molto probabile che il tuo sito web abbia funzionalità aggiuntive che dovranno essere anche conformi.

Aree del tuo sito web che sono interessate da GDPR

Come proprietario di un sito web, potresti utilizzare vari plug-in di WordPress che memorizzano o elaborano dati come moduli di contatto , analisi , email marketing , negozi online , siti di adesione , ecc.

A seconda di quali plug-in di WordPress utilizzi sul tuo sito web, dovrai agire di conseguenza per assicurarti che il tuo sito web sia conforme a GDPR.

Molti dei migliori plugin per WordPress sono già andati avanti e sono state aggiunte le funzionalità di miglioramento di GDPR. Diamo un’occhiata ad alcune delle aree comuni che dovresti affrontare:

 

Statistiche di Google

Come la maggior parte dei proprietari di siti web, probabilmente utilizzi Google Analytics per ottenere le statistiche del sito web. Ciò significa che è possibile che tu stia raccogliendo o monitorando dati personali come indirizzi IP, ID utente, cookie e altri dati per il profiling comportamentale. Per essere conforme a GDPR, è necessario eseguire una delle seguenti operazioni:

  1. Anonimizza i dati prima che inizi la memorizzazione e l’elaborazione
  2. Aggiungi un overlay (una finestra che si apre sopra la home page) al sito che fornisce la notifica dei cookie e chiedi agli utenti il ​​consenso prima del tracciamento

Entrambi questi sono abbastanza difficili da fare se stai incollando manualmente il codice di Google Analytics sul tuo sito. Tuttavia, se utilizzi MonsterInsights , il più popolare plug-in di Google Analytics per WordPress, sei fortunato.

Hanno rilasciato un componente di conformità UE che consente di automatizzare il processo sopra descritto. MonsterInsights ha anche un ottimo post sul blog su tutto ciò che devi sapere su GDPR e Google Analytics (questo è assolutamente da leggere, se stai utilizzando Google Analytics sul tuo sito).

MonsterInsights EU Compliance Addon

Moduli di contatto

Se si utilizza un modulo di contatto in WordPress , potrebbe essere necessario aggiungere misure di trasparenza aggiuntive specialmente se si memorizzano le voci del modulo o si utilizzano i dati per scopi di marketing.

Di seguito sono elencate le cose che potresti voler prendere in considerazione per rendere i tuoi moduli WordPress conformi a GDPR:

  • Ottieni il consenso esplicito degli utenti per memorizzare le loro informazioni.
  • Ottieni il consenso esplicito dagli utenti se stai pianificando di utilizzare i loro dati per scopi di marketing (ad esempio aggiungendoli alla tua mailing list).
  • Disabilita i cookie, l’user-agent e il tracciamento IP per i moduli.
  • Assicurati di avere un accordo di elaborazione dei dati con i fornitori di moduli se stai utilizzando una soluzione di modulo SaaS.
  • Rispettare le richieste di cancellazione dei dati.
  • Disattiva la memorizzazione di tutte le voci del modulo (un po ‘estremo e non richiesto da GDPR). Probabilmente non dovresti farlo se non sai esattamente cosa stai facendo.

La cosa buona è che se stai usando plugin WordPress come WPForms , Gravity Forms , Ninja Forms , Contact Form 7, ecc., allora non hai bisogno di un accordo di elaborazione dei dati perché questi plugin NON memorizzano le voci del modulo sul loro sito. Le voci del tuo modulo sono memorizzate nel tuo database WordPress.

Semplicemente aggiungendo una casella di controllo del consenso richiesto con una spiegazione chiara dovrebbe essere sufficiente per rendere i vostri moduli WordPress conformi a GDPR.

WPForms , il plugin del modulo di contatto che utilizziamo su WPBeginner, ha aggiunto diversi miglioramenti di GDPR per semplificare l’aggiunta di un campo di consenso GDPR, disabilitare i cookie utente, disabilitare la raccolta di IP utente e disabilitare le voci con un solo clic.

GDPR Form Fields in WPForms

 

Moduli di attivazione del email marketing

Analogamente ai moduli di contatto, se disponi di moduli di attivazione dell’email marketing come i popup, le barre mobili, i moduli in linea e altri, devi assicurarti di raccogliere il consenso esplicito degli utenti prima di aggiungerli al tuo elenco.

Questo può essere fatto con:

  1. Aggiunta di una casella di controllo che l’utente deve fare clic prima di opt-in
  2. Semplicemente richiedendo il doppio accesso alla tua lista email

Le migliori soluzioni di lead generation come OptinMonster hanno aggiunto le caselle di controllo del consenso GDPR e altre funzionalità necessarie per aiutarti a rendere i moduli di attivazione dell’email conformi. Puoi leggere ulteriori informazioni sulle strategie GDPR per i marketer sul blog OptinMonster.

WooCommerce / Ecommerce

Se utilizzi WooCommerce , il più popolare plugin di eCommerce per WordPress , devi assicurarti che il tuo sito web sia conforme a GDPR.

Il team di WooCommerce ha preparato una guida completa per i proprietari dei negozi per aiutarli a essere conformi a GDPR.

Retargeting annunci

Se il tuo sito web sta eseguendo retargeting di pixel o retargeting di annunci, dovrai ottenere il consenso dell’utente. Puoi farlo usando un plugin come Cookie Notice .

I migliori plugin WordPress per la conformità GDPR

Esistono diversi plugin di WordPress che possono aiutare ad automatizzare alcuni aspetti della conformità GDPR per te. Tuttavia, nessun plug-in può offrire il 100% di conformità a causa della natura dinamica dei siti web.

Fai attenzione ai plug-in di WordPress che affermano di offrire la conformità GDPR al 100%. Probabilmente non sanno di cosa stanno parlando, ed è meglio per te evitarli completamente.

Di seguito è riportato il nostro elenco di plugin consigliati per facilitare la conformità GDPR:

  • MonsterInsights : se utilizzi Google Analytics, dovresti utilizzare il loro componente aggiuntivo di conformità UE.
  • WPForms : il plugin per moduli di contatto WordPress di gran lunga più user-friendly. Offrono campi GDPR e altre funzionalità.
  • Avviso sui cookie – popolare plugin gratuito per aggiungere un avviso sui cookie UE. Si integra bene con plug-in top come MonsterInsights e altri.
  • Elimina Me – plugin gratuito che consente agli utenti di eliminare automaticamente il loro profilo sul tuo sito.
  • OptinMonster – software avanzato di generazione di lead che offre funzionalità di targeting intelligenti per aumentare le conversioni pur essendo conforme a GDPR.
  • Conteggi condivisi : anziché caricare i pulsanti di condivisione predefiniti che aggiungono cookie di tracciamento, questo plug-in carica i pulsanti di condivisione statici durante la visualizzazione dei conteggi delle condivisioni.

Continueremo a monitorare l’ecosistema dei plugin per vedere se qualsiasi altro plug-in di WordPress si distingue e offre funzionalità di conformità GDPR sostanziali.

Pensieri finali

Se sei pronto o no, GDPR entrerà in vigore il 25 maggio 2018. Se il tuo sito web non è conforme prima, non fatevi prendere dal panico. Basta continuare a lavorare per la conformità e farlo funzionare al più presto.

La probabilità di ricevere una sanzione il giorno successivo a questa regola è praticamente nulla perché il sito web dell’Unione europea afferma che prima riceverai un avvertimento, poi un rimprovero e le multe sono l’ultimo passo se non ti rispetti e ignorare consapevolmente la legge.

L’UE non è pronta a prenderti. Lo fanno per proteggere i dati degli utenti e ripristinare la fiducia delle persone nelle attività online. Mentre il mondo diventa digitale, abbiamo bisogno di questi standard. Con le recenti violazioni dei dati delle grandi aziende, è importante che questi standard siano adattati a livello globale.

Andrà bene per tutti i soggetti coinvolti. Queste nuove regole aiuteranno a rafforzare la fiducia dei consumatori e, a loro volta, aiuteranno a far crescere la tua attività.

Risorse addizionali

Disclaimer / divulgazione legale

Non siamo avvocati. Nulla su questo sito web dovrebbe essere considerato consulenza legale. A causa della natura dinamica dei siti Web, nessun singolo plug-in o piattaforma può offrire il 100% di conformità legale. In caso di dubbi, è meglio consultare un avvocato specializzato in diritto Internet per determinare se si è in conformità con tutte le leggi applicabili per le proprie giurisdizioni e i casi di utilizzo.