Con questo articolo riprendiamo un argomento molto sentito all’interno della comunità WordPress, che ha trovato chiarimenti solo parziali e che suscita ancora oggi molti dubbi. In effetti c’è poca informazione corretta su come e cosa sia necessario impostare su un sito WordPress per essere in regola con il GDPR; questo dopo quasi un anno in cui è diventata legge la normativa, e non è più opzionale. La confusione in molti casi regna sovrana, ed è assurdo – a nostro avviso – che per affrettarsi a soddisfare i requisiti del GDPR (per quello che si è riusciti a capire) si rendano molti siti non usabili (a forza di banner di avviso sovrapposti ed invadenti) o ancora peggiori tecnicamente di quanto non sarebbero.

Di fatto, purtroppo, molti non capiscono neanche bene cosa voglia che si faccia su un sito in termini di GDPR: il punto chiave da comprendere è che dipende sempre da quello che fa il sito con i dati degli utenti. Il soddisfacimento del GDPR infatti non è regolabile in modo assoluto, ma ogni sito deve farsi un “esame di coscienza” e ragione su come vengano trattati i dati degli utenti, ammesso che ciò avvenga. Ci sono molti siti che non fanno uso dei dati personali degli utenti, ad esempio, se non nella misura in cui trattano dati statistici sugli accessi o utilizzano dati anonimizzati per funzionalità prettamente tecniche e non di profilazione. La parola profilazione, che significa memorizzare dati personali per trarne deduzioni o vantaggi in termini di marketing, è alla base di tutto il ragionamento che cercheremo di fare in questa sede.

Principi generali del GDPR

Dal punto di vista di WordPress, il GDPR non fa che includere una serie di linee guida molto generali per quello che riguarda la raccolta dati personali di cittadini dell’UE:

  • fai capire all’utente finale chi sei, come persona o come azienda (questo dovrebbe sulla carta mettere fine ai siti web scritti da “Pinco Pallino“, senza recapiti e senza moduli di contatto per reclami o comunicazioni)
  • fai capire all’utente se raccogli dati, come lo fai, per quanto tempo lo fai e chi sarà in grado di vedere quei dati;
  • ottieni sempre un consenso esplicito prima di raccogliere qualsiasi dato, ad esempio con un click ben chiaro;
  • permetti agli utenti di vedere (ad es. mediante una pagina privata del proprio profilo) i dati che sono stati raccolti;
  • permetti agli utenti, allo stesso modo, di cancellare in autonomia i propri dati
  • se il tuo sito subisce un attacco informatico oppure gli rubano dei dati, come avvenuto nel caso del database MongoDB con i dati personali di molti utenti, comunica pubblicamente il problema agli utenti suggerendo delle misure per proteggersi al meglio.

Ovviamente sono soltanto principi generali, e non esistono specifiche tecniche da dover seguire nello specifico (a differenza di quanto avvenne, anni fa, con la legge dei cookie ad esempio). Ogni sito dovrà regolarsi in piena autonomia anche in onore al principio di responsabilità personale (ogni azienda che gestisce direttamente dati personali è responsabile degli stessi, o deve nominare un responsabile) ma anche a quello di delega della responsabilità (se Facebook tratta i dati dei miei clienti non possono risponderne io: deve risponderne lui, ed è anche giusto e fondamentale averlo chiaro in mente).

Come regolarsi in generale

Come prima cosa, quindi, prendi il tuo sito e fai un po’ di analisi specifiche: una buona idea potrebbe essere quella di elencare le funzionalità del sito che richiedano i dati degli utenti, quindi tutte quelle che impongono l’accesso ad utenti registrati. Come funziona la procedura di registrazione, ad esempio? Se richiedi dati, cerca sempre di richiedere quelli davvero necessari per te, e se possibile limitati a nome ed indirizzo email per non avere troppe complicazioni. Se usi servizi esterni per registrare i tuoi utenti o farli iscrivere, la responsabilità è soltanto la loro – diversamente, è la tua se sono salvati nel database del tuo sito.

Come fare la pagina della privacy policy

In generale bisogna:

  • avere una privacy policy chiara e reperibile nel sito;
  • linkare la pagina suddetta da almeno una sezione del sito;
  • rendere i cookie selezionabili in caso di cookie che memorizzano dati dell’utente (gli analytics sono esclusi da questo conteggio, per quello che ne sappiamo9 o, in alternativa, avvisare chiaramente del loro uso e della loro presenza.

Le ultime versioni di WP creano in automatico questa pagina, che poi andrà solo adattata.

Bottoni social

Una delle prime cose da capire è che se, ad esempio, nel nostro sito ci sono degli embed di bottoni Facebook o Twitter, l’uso di quei bottoni è consentito a patto di linkare la regolamentazione sul trattamento dei dati di quei siti (Facebook.com e Twitter.com, nello specifico). Questo principio di responsabilizzazione da parte di chi effettivamente tratta quei dati è alla base di tutto il GDPR, ed è in qualche molto non prescindibile da qualsiasi altro discorso.

Comportamento dei plugin

Vediamo adesso alcuni plugin specifici per capire se siano GDPR compliant o meno.

  1. Contact Form – Non lascia nessuna traccia nel database del sito (salvo plugin aggiuntivi) e in pratica funziona come una email. All’interno del tuo sito potrebbe rimanere traccia del fatto che l’utente ha visitato il sito con il suo IP, che non è per forza identificativo dell’utente (serve una denuncia per associare l’IP all’utente in quel momento) e che andrebbe salvato in forma criptata o parziale (ad esempio 123.456.xxx.yyy) ad esempio per soli scopi statistici.
  2. WooCommerce – In genere è considerato in regola, visto che i dati vengono raccolti per scopi sostanzialmente fiscali; questi dati per legge vanno conservati per 5 anni.
  3. MailPoet (Newsletter) Bisogna conservare le email con cui gli utenti si sono iscritti, ma nelle pagine di gestione del plugin si trova tutto.

Form

Se i dati vengono salvati esternamente e non sul server, devi scrivere ACCONSENTO L’INVIO DEI DATI e dovresti essere a posto. Diversamente devi seguire la normativo per filo e per segno, e memorizzare i dati nel modo più opportuno.

Attenzione: questo articolo è puramente divulgativo e non è da intendersi come una consulenza specialistica nel settore. I contenuti sono stati scritti su una serie di corsi formativi avvenuti presso l’università Roma Tre (2018) e presso l’Ordine degli Ingegneri di Castrovillari (CS) da parte dell’autore.

Lascia un commento

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

clear formSubmit