GDPR e siti web: la guida definitiva per adeguare il tuo sito wordpress

Un tema molto scottante nell’ultimo periodo è quello del GDPR e siti web. Se ancora non ne hai sentito parlare, sappi che il GDPR è il nuovo regolamento europeo sul trattamento dei dati personali uscito il 25 maggio 2018.

Se vuoi farti un’idea di cosa tratta, ti consiglio di leggerti il mio articolo sui 6 concetti fondamentali del GDPR.

Adeguare il proprio sito WordPress al GDPR non è una cosa facilissima, perché la normativa prevede diversi obblighi e regole da rispettare. Ma per fortuna ci sono qua io!

In quest’articolo ti spiegherò passo passo come adeguare il tuo sito WordPress al GDPR.

AGGIORNAMENTO 2021: Cookie provvedimento Privacy del 10 giugno 2021: la guida su come adeguarsi

Informativa privacy

La prima cosa da fare, e sicuramente anche la più scontata, è dotare il tuo sito di un’informativa privacy.

Esistono vari metodi per creare la propria informativa sulla privacy.

Il primo ovviamente è quello di studiarsi in modo approfondito la normativa 2016/679 GDPR e scriverla a mano. Infatti non è obbligatorio rivolgersi a un avvocato per questo compito, anche perché la responsabilità sarà comunque la tua.

Se quindi deciderai di scrivere l’informativa privacy di tuo pugno potrai sfruttare la nuova funzionalità di WordPress che trovi sotto Impostazioni>Privacy. Qui WordPress ti mette a disposizione delle linee guide e suggerimenti per procedere con la stesura della privacy policy.

Un secondo metodo è quello di affidarti a tool online. come quello di Iubenda.

Se ancora non lo conosci, il servizio di Iubenda, ti permette di generare in modo automatico l’informativa privacy. Nel pannello di controllo del tuo account, dopo aver effettuato la registrazione, potrai selezionare i servizi che usa il tuo sito, come social login, commenti, form di contatto, analytics, ecc… In questo modo verranno aggiunti dei blocchi di testo standard alla tua privacy policy.

Il testo di Iubenda è abbastanza conforme alle norme del GDPR, rappresenta quindi un’ottima soluzione per risolvere il problema. Tuttavia è un testo standard, quindi se hai dei servizi particolari nel tuo sito, dovrai andare a modificare manualmente il contenuto. Inoltre è un servizio a pagamento. Esiste in realtà una componente gratuita, ma questa è davvero molto limitata.

Infine il terzo metodo è quello di incaricare un consulente esterno. Questa terza soluzione è l’ideale se non vuoi perdere tempo a studiarti il regolamento GDPR ed essere sicuro del tuo adeguamento privacy. Tuttavia come ti dicevo sopra, anche se utilizzi servizi esterni, ricorda di controllare sempre ciò che viene scritto nell’informativa e che siano inseriti tutti i punti fondamentali descritti dall’art.13 del GDPR. Se qualcosa non è conforme al regolamento la responsabilità rimane sempre a capo del Titolare!

GDPR e siti web: i cookie

Quando si parla di GDPR e siti web, non si può che finire per menzionare i Cookie.

Questi sono piccoli file temporanei che vengono memorizzati all’interno del pc dell’utente che visita un sito web e possono venire letti e utilizzati da altri sistemi per varie tipologie di servizi.

Esistono varie tipologie di cookie: quelli tecnici che vengono utilizzati per far funzionare il sito (memorizzare il prodotto in un carrello ecc….), quelli statistici come i cookie installati da Google Analytics e quelli di profilazione (es.pixel di Facebook).

Per adeguare il tuo sito web al GDPR, se utilizzi solo cookie tecnici, ti basterà inserire l’informativa privacy. Se invece utilizzi cookie statistici o di profilazione dovrai inserire anche un banner di avvertimento ed eseguire quello che viene chiamato blocco preventivo dei cookie, ossia l’utente prima di continuare la navigazione del sito dovrà prima accettare o meno l’installazione di questi file. Se non accetta questi non possono essere installati, e di conseguenza alcune funzioni come l’Analytics non funzioneranno.

Per procedere ad inserire questo banner puoi utilizzare varie soluzioni.

Iubenda, sottoscrivendo ad un abbonamento annuale, mette a disposizione proprio questa funzione. L’unica cosa che dovrai fare è inserire un codice in tutti gli script che installano o potrebbero installare cookie (come Google Analytics). Ti lascio il link alla guida per il blocco preventivo manuale di cookie.

Per farlo in maniera automatica ti basterà invece installare il plugin proprietario di Iubenda.

Se proprio non sopporti Iubenda puoi scegliere altre mille opzioni.

Un plugin che sta diventando molto diffuso è Cookiebot.

Questo plugin prevede una versione gratuita e una a pagamento con abbonamento mensile.

Una funzione molto interessante di Cookiebot è quella di effettuare una scansione del proprio sito per avere un report di tutti i cookie che installa. In realtà il GDPR per i siti web (e in generale la Cookie Law) non prevede di menzionare uno per uno i cookie utilizzati, quindi questa funzionalità ha più un valore statistico e di interesse generale.

Dal punto di vista pratico, invece, Cookiebot consente all’utente di poter scegliere quali cookie attivare e quali disattivare. In questo modo ha il completo controllo sui quali cookie vengono installati. Inoltre il consenso dato viene tracciato dal plugin ed è visibile all’interno dell’area personale del sito proprietario.

Una terza soluzione molto interessante e soprattutto gratuita è Smart Cookie Kit dell’italiano Nicola Modugno.

Questa è la soluzione che sto utilizzando al momento per il mio sito e devo dire che funziona perfettamente. Il plugin si installa semplicemente su WordPress e si personalizza all’interno dell’area dedicata del backend.
Qui potrai scrivere il testo del banner, linkare la tua pagina dell’informativa privacy e cambiare lo stile per riadattarlo alle tue esigenze grafiche.

Ma la cosa più bella è che Smart Cookie Kit blocca la maggior parte dei cookie (come Analytics, Adsense, vimeo, ecc…) finchè non viene premuto il tasto Accetto sul banner, quindi 100% compliance al GDPR.

I form di contatto

Lo scopo principale di ogni sito web è ricevere contatti e per questo motivo è sempre presente almeno un form in cui l’utente può inserire i propri dati e inviarci un messaggio.

Ma ovviamente quando si parla di ricevere dati personali da altri bisogna tenere in considerazione il regolamento 2016/679 GDPR.

Fortunatamente per adeguare questo aspetto del tuo sito non dovrai fare molto. Basterà inserire un checkbox per l’accettazione della privacy nel form. Questo non dovrà essere già spuntato, ma dovrà essere obbligatorio per poter inviare l’email.

Se invece stai cercando di ottenere nuovi leads sui cui fare marketing dovrai inserire un altro checkbox, questa volta per l’accettazione della newsletter, in cui dovrai chiaramente spiegare che l’utente accettando riceverà dei messaggi a scopo pubblicitario. Anche questo non dovrà essere già spuntato ma non sarà obbligatorio per poter inviare l’email.

Ora arriva il bello! Secondo le norme del GDPR, poichè devi sempre poter dimostrare quando l’utente ti ha fornito il consenso alla privacy, devi poterlo registrare ogni volta che viene inviata un’email dal sito.

Esistono moltissimi plugin per fare ciò. Se stai utilizzando Contact Form 7, ti consiglio Contact Form CFDB7, che andrà a creare una sezione nel tuo backend dove verranno salvate tutte l’email inviate con la relativa accettazione della privacy.

Occhio alla sicurezza

Un aspetto molto importante per il GDPR e siti web e per il regolamento in generale è la sicurezza dei dati. Come Titolare del trattamento, dovrai sempre tutelare i dati che riceverai dai tuoi utenti.

Tutto ciò si traduce in varie azioni da eseguire per completare correttamente l’adeguamento del proprio sito web:

• password di accesso al backend di wordpress forte. Quindi che abbia almeno 8 caratteri, comprendendo minuscole, maiuscole, lettere e caratteri speciali;
• stesso discorso per la password di accesso al database, dove tra l’altro sono contenute anche tutte l’email che partono dal tuo sito;
• è una buona idea anche cambiare il prefisso delle tabelle di wordpress. Questo si fa in fase d’installazione del CMS;
• installare un certificato SSL. Ormai molti hosting (io per esempio utilizzo vHosting) hanno un certificato Let’s Encrypt già installato nel dominio, perciò basta attivarlo dalle impostazioni di WordPress. Questo permette di crittografare il traffico che riceve il sito e salvaguardare i dati che passano attraverso;
• backup periodici dei file di WordPress, ma soprattutto del database;
• protezione anti-virus per il tuo sito WordPress. Per questo ti consiglio il plugin Wordfence.

Privacy e Google Analytics

Ogni volta che si parla di GDPR e siti web viene sempre un grosso dubbio su come regolamentare l’uso di Google Analytics.

Secondo il Garante della Privacy, questo script rientra tra i servizi analitici di terze parti, per cui è necessario:

• l’inserimento dell’informativa sulla privacy;
• l’inserimento del banner per il consenso;
• blocco preventivo dei cookie installati;
• notifica al Garante.

In realtà c’è un modo per evitare di procedere con gli ultimi 3 punti: ossia quello di anonimizzare l’IP, che in questo caso non potrà essere tracciato da Google. Ciò vuol dire che i dati che riceveremo tramite Analytics saranno molto meno precisi, ma non dovremmo procedere con la notifica al Garante e il cookie installato viene considerato tecnico.

Per rendere l’IP anonimo basterà andare ad aggiungere una stringa al codice di monitoraggio di Google.

Se non sai dove trovare il tuo codice di monitoraggio accedi a https://www.google.it/analytics/, vai sotto Amministrazione e seleziona la proprietà che corrisponde al tuo sito. Clicca ora sulla voce “Informazioni sul Monitoraggio” e troverai il tuo codice, che sarà pio o meno così:

(function(i,s,o,g,r,a,m){i['GoogleAnalyticsObject']=r;i[r]=i[r]||function(){
(i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o),
m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m)
})(window,document,'script','https://www.google-analytics.com/analytics.js','ga');
ga('create', 'UA-XXXXXXXX-X', 'auto');
ga('send', 'pageview');

Copia il codice, incollalo nell’head del tuo sito e aggiungi ora questa stringa dopo il tuo ID identificativo.

Ora il tuo codice somiglierà a questo:

(function(i,s,o,g,r,a,m){i['GoogleAnalyticsObject']=r;i[r]=i[r]||function(){
(i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o),
m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m)
})(window,document,'script','https://www.google-analytics.com/analytics.js','ga');
ga('create', 'UA-XXXXXXXX-X', 'auto');
ga('set', 'anonymizeIp', true);
ga('send', 'pageview');

Se stai utilizzando invece Google Tag Manager ti basta sostituire l’ultima riga del codice con questa stringa, cambiando con il tuo ID identificativo:

gtag('config', 'UA-xxxxxxxxx', { 'anonymize_ip': true });

C’è da dire comunque, che, in realtà, esiste sempre la possibilità che Google, anche con IP anonimo, possa incrociare i dati in suo possesso per risalire a queste informazioni. Questo comporterebbe a considerare il cookie installato come uno di profilazione e si dovrebbe procedere a tutte quelle azioni previste dal Garante.

Conclusioni

Se hai seguito passo passo questa guida avrai:

• inserito correttamente l’informativa sulla privacy;
• gestito correttamente i cookie del tuo sito;
• adeguato i form di contatto;
• impostato la sicurezza di WordPress per tutelare i dati degli utenti;
• inserito correttamente il codice di Google Analytics.

A questo punto hai effettuato il 100% dell’adeguamento al regolamento 2016/679 GDPR. Ora puoi dedicarti ai contenuti!

Fammi sapere se questa guida ti è stata utile con un commento qui sotto. Alla prossima!