Guida al GDPR per blogger e influencer su WordPress

Il 25 maggio 2018 entrerà in vigore il GDPR acronimo di General Data Protection Regulation, una nuova Normativa in materia di Privacy approvata il 14 aprile 2016 dalla Commissione europea per proteggere i diritti di tutti i cittadini dei 28 Stati membri dell’UE e i loro dati personali. Sostituirà la Direttiva CE sulla protezione dei dati (EC / 95/46) del 24 ottobre 1995 e la Cookie Law del 2011 (che a sua volta verrà sostituita dal nuovo Regolamento UE ePrivacy di pari passo con il Regolamento UE 2016/67 GDPR).

Linee guida per l’applicazione del Regolamento UE 2016/67

Il Regolamento europeo in materia di protezione dei dati personali prevede che Titolari, Responsabili del Trattamento e Responsabili della Protezione dei Dati (Data Protection Officer – DPO) devono disporre di risorse necessarie per progettare, verificare e mantenere un sistema organizzato di gestione dei dati personali raccolti (dati di geolocalizzazione, indirizzo IP, indirizzo e-mail o fattori specifici per l’identità fisica)

Il registro dei trattamenti è uno strumento imprescindibile e volto a tenere traccia dei dati personali raccolti, i destinatari interessati, gli eventuali trasferimenti verso Paesi terzi, la durata del trattamento, l’indicazione delle modalità di raccolta dei dati e l’eventuale descrizione dell’attività di profilazione dei dati. Fondamentale non soltanto ai fini dell’eventuale supervisione da parte del Garante che su sua esplicita richiesta deve essere esibito, ma anche allo scopo di valutazione e Accountability analisi del rischio per evitare un Data Breach ovvero una “violazione della sicurezza” in cui dati sensibili, protetti o riservati vengono consultati, copiati, trasmessi, rubati o utilizzati da un soggetto non autorizzato. In caso di accessi non autorizzati, perdita o furto di dati vi è l’obbligo di comunicare tempestivamente e, ove possibile, entro 72 ore sia agli interessati che alla competente autorità le suddette violazioni.

GDPR Compliance: gli strumenti fondamentali per adeguare un blog WordPress

Per adeguare il proprio blog, bisogna attuare tutte le misure tecniche e organizzative per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al GDPR. Qui di seguito tutte le azioni necessarie per l’adeguamento del proprio blog:

✔ Revisionare la propria Privacy Policy

Indicare in modo chiaro e semplice quali dati vengono raccolti, perchè vengono salvati i dati dell’utente, come verranno usati e conservati ed infine chi ne ha accesso. La Privacy Policy deve essere concisa, trasparente, intelligibile per l’utente e facilmente accessibile, utilizzando un linguaggio chiaro e semplice.

L’utente ha diritto di ottenere dal titolare l’accesso ai dati che lo riguardano (Diritto alla Portabilità dei dati). Il titolare può rendere disponibile la consultazione di dati in modo sicuro da remoto tramite form predisposto allo scopo o tramite contatto via e-mail. L’interessato ha il diritto di conoscere le finalità perseguite con il trattamento avente ad oggetto i propri dati, i destinatari a cui verranno comunicati i suoi dati personali, ove possibile, la durata del trattamento ed infine, le eventuali conseguenze di un trattamento basato sulla profilazione.

L’utente ha altresì diritto alla cancellazione dei propri dati personali (Diritto all’Oblio) se non pertinenti o non più pertinenti, se inadeguati rispetto alle finalità del trattamento, se l’interessato abbia revocato il proprio consenso o qualora i dati siano trattati in modo illecito.


✔ Revisionare la Cookie Policy

Elencare tutti i cookie in uso sul proprio blog come previsto dal nuovo Regolamento UE ePrivacy. Per conoscere esattamente quali cookie sono installati sul proprio blog, è possibile fare una scansione gratuita utilizzando il servizio offerto da CookiebootCookiemetrix e Yudoit.


✔ Inserire un nuovo Banner Informativo in ogni pagina del blog con previo consenso

Quasi tutti i siti web installano cookie. O si eliminano i superflui o vanno adeguati al GDPR.

Il nuovo banner correttamente conforme deve comparire in ogni pagina del proprio blog. All’interno della finestra di dialogo bisognerà chiedere il consenso per ognuno dei diversi trattamenti.

➜ informato e preventivo: l’utente deve essere informato in anticipo delle finalità dei cookie, e deve poter selezionare e deselezionare i vari tipi di cookie

➜ esplicito: il comportamento dell’utente deve essere inteso come un’azione affermativa e positiva

➜ registrato: bisognerà archiviare a norma di legge i consensi raccolti

➜ reversibile: gli utenti, in qualsiasi momento, devono poter rifiutare i cookie o revocare il loro consenso continuando normalmente la navigazione sul sito web


✔ Ottenere il consenso esplicito aggiungendo un checkbox in ogni modulo presente sul proprio blog

Form di contatto, sezione Commenti agli articoli, tools Newsletter ed altri strumenti che raccolgono dati personali devono essere adeguati e conformi al GDPR. Per ogni finalità bisognerà indicare una giustificazione legale prevista dal GDPR all’art. 6.
Per i siti web WordPress che utilizzano i moduli web, la giustificazione può essere quella del “consenso non ambiguo” (inequivocabile) al trattamento dei dati.
Per raccogliere i dati personali degli utenti, bisognerà quindi utilizzare nei rispettivi moduli web un checkbox ☐ senza spunta prefissata ☑ il cui testo, per fare un esempio, potrebbe essere il seguente:“Ho letto l’Informativa Privacy (linkare la propria Privacy Policy) e acconsento al trattamento dei miei dati personali”
Il consenso o il rifiuto devono successivamente essere archiviati sul proprio Database/Hosting.

➜ E’ fortemente consigliato l’utilizzo del modulo di gestione commenti integrato al proprio template, evitando l’uso di moduli esterni tra cui quelli forniti da Facebook, Disqus, Google+ e servizi similari che generano Cookie di Terze Parti sui quali non è possibile avere il pieno controllo.

➜ Anche chi utilizza l’Email Marketing deve essere in grado di dimostrare che l’utente ha prestato il consenso a uno specifico trattamento. E’ necessario archiviare a norma di legge i dati personali raccolti e, su richiesta dell’utente modificati e cancellati.


✔ Google Analytics o altri strumenti di statistica di Terze Parti

Analytics e Google Tag Manager con IP anonimizzato
Se il blog fa uso dei cookie di Google Analytics (come ad esempio _GA) è necessario anonimizzare l’IP
Utile la seguente Guida semplificata

Bloccare i cookie di Analytics
E’ necessario bloccare preventivamente Google Analytics, Google Tag Manager e qualsiasi altro strumento di profilazione che traccia accessi, visite, pagine viste ecc.

Google Inc. ha lanciato Data Retention una nuova Impostazione di conservazione dei dati per Google Analytics. Questi controlli forniscono la possibilità di impostare la quantità di tempo prima che i dati a livello di utente e di eventi archiviati da Google Analytics vengano automaticamente eliminati dai server. È possibile accedere a queste impostazioni dal proprio pannello di controllo Admin → Proprietà → Informazioni di tracciamento → Conservazione dei dati.

La nuova versione WordPress 4.9.6 conforme al GDPR che verrà rilasciata a breve

Il 15 maggio, WordPress rilascerà alcuni importanti aggiornamenti ed includerà 4 nuovi strumenti per la conformità GDPR che però non saranno sufficienti a soddisfare la piena conformità al Regolamento UE 2016/67 per questo motivo è necessario integrare a tali funzioni, alcuni supporti aggiuntivi.

Nel video di seguito la preview della nuova versione in Beta Testing:

Soluzioni per adeguare il proprio blog su WordPress al GDPR

Chiedere il supporto di un consulente legale è forse la migliore alternativa sopratutto se si ha una specifica casistica da regolamentare.
Nel caso in cui il proprio blog, invece, raccolga dati piuttosto standard, è possibile installare Plugin conformi al GDPR. Sicuramente meno oneroso dell’alternativa precedente è il tool Ultimate GDPR Compliance Toolkit for WordPress, una soluzione All-in-One ideata dall’azienda CreateIT che integra tutti gli strumenti necessari per gestire le attività amministrative ed adempiere al Regolamento Privacy GDPR rendendo a norma il proprio blog WordPress.
Può essere acquistato su Codecanyon al costo di $39. Insieme al Plugin si riceveranno le istruzioni di installazione e configurazione, tutti i futuri aggiornamenti più 6 mesi di assistenza gratuita.

Come funziona e quali compiti svolge il Plugin Ultimate GDPR Compliance Toolkit for WordPress

A differenza di altre soluzioni rilasciate di recente che prevedono l’installazione di 3-4 plugin, Ultimate GDPR Compliance Toolkit integra tutte le funzioni necessarie in un unico tool che soddisfano i requisiti richiesti dal GDPR.

➜ Right to be forgotten
Modulo dedicato agli utenti attraverso il quale possono facilmente accedere ai propri dati, visionarli e richiederne la cancellazione.

➜ Personal Data Access
Modulo dedicato agli utenti che gli consente di accedere ai propri dati personali memorizzati.

➜ Pseudonymisation
Pseudonimizza i dati dell’utente nel database e rende sicure tutte le informazioni anche in caso di Data Breach.

➜ Privacy by design
Gestisce, cripta e cancella facilmente tutti i dati dell’utente tramite il pannello di amministrazione di WordPress

➜ Services Consent
Integrazione predefinita per i più diffusi plugin WordPress come WooCommerce, Contact Form 7, Gravity Forms, Mailchimp, Events Manager.

➜ Cookies consent
Crea una casella completamente personalizzabile per il consenso dei cookie e blocca tutti i cookie fino a quando non viene fornito il consenso esplicito.

➜ Terms & Conditions pages
Imposta i reindirizzamenti verso i propri Termini e condizioni e le Norme sulla privacy fino a quando non viene dato il consenso.

➜ Breach notification
Invia notifiche email globali a tutti gli utenti in caso di violazione dei dati.

➜ Data Portability
Tutti i dati dell’utente possono essere facilmente esportati in formato json o file di testo con un’opzione per l’invio automatico via email.

E’ possibile visionare la documentazione relativa a Ultimate GDPR Compliance Toolkit plugin qui, insieme ai diversi settaggi possibili.

Seguiranno ulteriori aggiornamenti con istruzioni semplificate per l’installazione del plugin nei prossimi giorni.