Mostra tutti

Come adeguare e mettere a norma il tuo sito WordPress al GDPR

Come adeguare e mettere a norma il tuo sito WordPress al GDPR….Il tuo sito web WordPress è compatibile con il GDPR?

Il 25 maggio 2018 entrerà in vigore il GDPR (General Data Protection Regulation) emanato dall’UE.

Quali sono i passi che dovete compiere per assicurarvi di seguire le linee guida? 
In primo luogo, parleremo in dettaglio delle linee guida GDPR esposte in questo post, le aree specifiche della vostra attività che le linee guida influenzano, e perché si dovrebbe essere preoccupati per la conformità di WordPress al GDPR.
Infine, discuteremo le implicazioni dell’uso di plugin sul tuo sito WordPress e come la conformità GDPR potrebbe essere influenzata.

Cos’è GDPR?

GDPR sta per Regolamento Generale sulla Protezione dei Dati ed è una nuova legge sulla protezione dei dati nell’UE, che entrerà in vigore nel maggio 2018. L’obiettivo della GDPR è quello di dare ai cittadini dell’UE il controllo sui loro dati personali e di cambiare l’approccio delle organizzazioni di tutto il mondo alla privacy dei dati.

GDPR prevede norme molto più severe rispetto alla legislazione esistente ed è molto più restrittiva della “EU cookie law” (legge UE sui cookie).

Ad esempio, gli utenti devono confermare che i loro dati possono essere raccolti, vi deve essere una chiara politica sulla privacy che indichi quali dati verranno memorizzati, come verranno utilizzati e fornire all’utente il diritto di revocare il consenso all’utilizzo dei dati personali (con conseguente cancellazione dei dati), se necessario.

La legge GDPR si applica ai dati raccolti sui cittadini dell’UE da qualsiasi parte del mondo. Di conseguenza, un sito web con visitatori o clienti UE deve rispettare la GDPR, il che significa che praticamente tutti i siti web e le aziende devono rispettare.

Per una migliore comprensione del regolamento, si veda la pubblicazione dei regolamenti nella Gazzetta ufficiale dell’Unione europea, che definisce tutti i termini relativi alla legge. Il RNL presenta due aspetti principali: i “dati personali” e il “trattamento dei dati personali”.

Ecco come GDPR si relaziona con l’esecuzione di un sito WordPress

I dati personali si riferiscono a “qualsiasi informazione relativa a una persona fisica identificata o identificabile” – come nome, indirizzo e-mail, indirizzo o anche un indirizzo IP, considerando che il trattamento di dati personali si riferisce a “qualsiasi operazione o insieme di operazioni compiute su dati personali”. Pertanto, una semplice operazione di memorizzazione di un indirizzo IP sui registri del server Web costituisce l’elaborazione dei dati personali di un utente.

GDPR su un sito Worpress dovrebbe essere presa sul serio?

I webmaster che gestiscono un sito su piattaforma Worpress (circa il 28%, solo negli Stati Uniti, su cento domini registrati, ventidue lavorano con WordPress, mentre si è calcolato che ogni 5,7 secondi, in tutto il mondo, un nuovo blog viene pubblicato su WordPress.com) hanno tempo fino al 25 maggio 2018 per conformarsi alle norme stabilite dal GDPR.

La sanzione per non conformità può essere pari al 4% del fatturato annuo globale, fino ad un massimo di 20 milioni di euro.

A seconda della gravità dell’infrazione sono previste diverse sanzioni, descritte nella sezione FAQ del portale GDPR.

È stato proposto un importo così elevato di sanzioni per migliorare l’osservanza della normativa. Tuttavia, ci si può chiedere quali passi per la supervisione dei siti web sono in atto. Saranno istituite, con il pieno sostegno della legge, autorità di vigilanza di diversi Stati membri. Ogni Stato membro può avere più SCS, a seconda delle strutture costituzionali, amministrative e organizzative.

I revisori legali avranno diversi poteri:

  • effettuare audit sui siti web
  • emettere avvertenze in caso di non conformità
  • adottare misure correttive, corredate di scadenze
  • poteri investigativi e correttivi per verificare la conformità alla legge e suggerire le modifiche da apportare.

È troppo presto per capire come i revisori legali di vari Stati membri si collegherebbero e collaborerebbero, ma un aspetto è chiaro: i revisori legali godrebbero di un notevole potere per applicare gli orientamenti GDPR.

Sei mesi dopo la pubblicazione delle linee guida, PwC ha condotto un’indagine su 200 CXO di grandi aziende statunitensi per valutare l’impatto delle linee guida GDPR. I risultati hanno rivelato che la maggior parte delle imprese ha fatto degli orientamenti GDPR la propria priorità principale in materia di protezione dei dati e che il 76% di esse è disposto a spendere più di 1 milione di USD per GDPR. Ciò dimostra che le grandi imprese, che detengono una presenza sostanziale nell’UE, stanno prendendo sul serio la conformità con la GDPR.

I dettagli della conformità con WordPress GDPR

Analizziamo come assicurarsi che il tuo sito web è conforme e che non si verificano problemi di WordPress GDPR.

Prima di passare a ciascuno degli aspetti e come rispettarli, un audit di sicurezza sul vostro sito WordPress dovrebbe, in generale, rivelare come i dati vengono elaborati e memorizzati sui vostri server, e le fasi che sono tenuti a rispettare la GDPR. Il plugin Security Audit Log può aiutarti a eseguire un audit di sicurezza sul tuo sito web.

Alcuni modi usuali in cui un sito WordPress standard potrebbe raccogliere i dati degli utenti:

  • le registrazioni degli utenti,
  • commenti,
  • le voci del modulo di contatto,
  • analisi e soluzioni per il registro del traffico,
  • qualsiasi altro strumento di registrazione e plugin,
  • strumenti di sicurezza e plugin.

Ecco alcuni aspetti chiave del WordPress GDPR di cui gli utenti devono prendersi cura:

  1. Notifica di violazione
    In conformità con la GDPR, se il vostro sito web sta subendo una violazione dei dati di qualsiasi tipo, tale violazione deve essere comunicata ai vostri utenti.
    Una violazione dei dati può comportare un rischio per i diritti e le libertà delle persone, che rende necessaria una tempestiva notifica agli utenti. Ai sensi del GDPR, una notifica deve essere inviata entro 72 ore dal momento in cui si è venuti a conoscenza di una violazione. Gli incaricati del trattamento sono inoltre tenuti a informare gli utenti e i responsabili del trattamento immediatamente dopo aver appreso di una violazione dei dati.
    In uno scenario WordPress, se si nota una violazione dei dati, è necessario notificare tutte le persone colpite dalla violazione entro questo lasso di tempo designato. Tuttavia, la complessità qui è la definizione del termine “utente” – può costituire utenti regolari del sito web, le voci del modulo di contatto, e potenzialmente anche commentatori.
    Questa clausola della GDPR crea quindi l’obbligo legale di valutare e monitorare la sicurezza del vostro sito web. Il modo ideale è quello di monitorare il traffico web e i log dei server web, ma un’opzione pratica è quella di utilizzare il plugin Wordfence con le notifiche attivate. In generale, questa clausola incoraggia a utilizzare le migliori pratiche di sicurezza disponibili per garantire che non si verifichino violazioni dei dati.
  2. Raccolta, trattamento e conservazione dei dati
    Tre elementi: il diritto di accesso, il diritto di non essere divulgati e la portabilità dei dati.
    Il diritto di accesso garantisce agli utenti una totale trasparenza nel trattamento e nella memorizzazione dei dati: quali sono i punti di dati raccolti, dove vengono trattati e memorizzati e il motivo della raccolta, dell’elaborazione e della memorizzazione dei dati. Gli utenti dovranno inoltre ricevere gratuitamente una copia dei loro dati entro 40 giorni.
    Il diritto all’oblio dà agli utenti la possibilità di cancellare i loro dati personali e di interromperne la raccolta e l’elaborazione. Questo processo comporta la revoca del consenso all’utilizzo dei propri dati personali da parte dell’utente.
    La clausola di portabilità dei dati della GDPR conferisce agli utenti il diritto di scaricare i loro dati personali, per i quali hanno precedentemente dato il loro consenso, e di trasmetterli a un altro responsabile del trattamento.
    La tutela della vita privata fin dalla progettazione incoraggia i responsabili del trattamento ad applicare politiche sui dati che consentano il trattamento e l’archiviazione dei soli dati assolutamente necessari. Ciò incoraggia i proprietari e i responsabili del trattamento ad adottare politiche potenzialmente più sicure per i dati, limitando l’accesso al numero di punti dati.
    Come proprietario di un sito WordPress, è necessario prima pubblicare una politica dettagliata su quali punti dei dati personali si sta utilizzando, come vengono elaborati e memorizzati.
    Successivamente, è necessario disporre di una configurazione per fornire agli utenti una copia dei loro dati. Questa è forse la parte più difficile del processo. Tuttavia, possiamo supporre che quando arriverà il momento, la maggior parte degli sviluppatori di plugin o di strumenti – per gli strumenti e plugin che avete sul vostro sito – avrà già presentato le proprie soluzioni a questo proposito.
    Inoltre, in alcuni casi può essere opportuno evitare del tutto la memorizzazione dei dati. Ad esempio, i moduli di contatto possono essere impostati per inoltrare direttamente tutte le comunicazioni al proprio indirizzo e-mail invece di memorizzarle in qualsiasi punto del server Web.

Uso dei plugin – implicazioni della conformità a WordPress GDPR

Tutti i plugin utilizzati dovranno essere conformi alle norme GDPR. In qualità di proprietario del sito, tuttavia, è comunque responsabilità dell’utente assicurarsi che ogni plugin possa esportare/fornire/erificare i dati utente raccolti in conformità alle norme GDPR.

Questo può ancora significare alcuni momenti difficili per alcuni dei plugin più popolari là fuori. Per esempio, soluzioni come Gravity Forms o Jetpack hanno un sacco di moduli che raccolgono i dati degli utenti. In che modo tali strumenti saranno esattamente conformi alla GDPR?

Anche per i plugin valgono le stesse regole, anche se devono essere ben gestiti dal proprietario del sito WordPress. Ogni plugin deve stabilire un flusso di dati e informare sul trattamento dei dati personali. Se sei lo sviluppatore di un plugin, considera la possibilità di fornire agli utenti del tuo plugin un addendum che possono aggiungere ai termini del loro sito web, al fine di renderli compatibili con GDPR.

AGGIORNAMENTO GDPR COMPLIANCE WORDPRESS

WordPress 4.9.6 Privacy and Maintenance Release

Con la versione 4.9.6 WordPress ha inserito all’interno del menu “Impostazione” —> Privacy  una “Guida privacy policy”, un testo di esempio che potrebbe aiutarti a creare la tua privacy policy. Ti verranno suggerite le sezioni di cui avrai bisogno. Sotto ogni intestazione della sezione troverai un breve riassunto di quali informazioni dovresti fornire, che ti aiuterà a iniziare. Alcune sezioni includono i contenuti delle politiche suggeriti, altri dovranno essere completati con informazioni dal tuo tema e plugins.

Modifica il contenuto della tua privacy policy, assicurandoti di eliminare i riepiloghi e aggiungere qualsiasi informazione dal tema e dai plugin. Una volta pubblicata la pagina della policy, ricordati di aggiungerla al tuo menu di navigazione.

È tua responsabilità scrivere una privacy policy comprensiva, per assicurarsi che rifletta tutti i requisiti legali nazionali e internazionali sulla privacy, e per mantenere la vostra policy attuale e accurata.

Data Handling

Altra novità la possibilità di esportare e cancellare i dati personali degli utenti accedendo al Menu – Strumenti – Esporta/Cancella i dati personali

Per qualsiasi informazione o consulenza in merito all’adeguamento del tuo sito Worpress al GDPR non esitare a contattarmi.

    Il tuo nome (richiesto)

    La tua email (richiesto)

    Telefono

    Oggetto

    Il tuo messaggio

    Termini di ricerca correlati: wordpress gdpr pluginwp gdpr compliance, gdpr woocommerce, gdpr form, small business gdpr, gdpr 2018, GDPR Compliance for WordPress and WooCommerce in 2018

    libro vita da hacker