GDPR sito WordPress: come mettere il tuo sito in regola con Regolamento Europeo Privacy

GDPR e WordPress: il tuo sito è a norma?

Il 25 Maggio 2018 è entrato in vigore il GDPR n. 679/2016, il nuovo Regolamento Europeo in materia di protezione dei dati personali.

Le domande x chi gestisce un’azienda sono fondamentalmente due:
- quali sono le novità?
- E a che cosa devono fare attenzione le aziende e i gestori di siti web?

E' giunto il momento di iniziare ad attuare il regolamento prima possibile.

Il costo GDPR per adeguare il proprio sito al nuovo Regolamento europeo GDPR può variare a seconda di vari fattori che sono individuati in una prima fase di analisi e sono:
- il numero di pagine del nostro sito da analizzare,
- i plugin installati
- gli strumenti aggiuntivi di marketing vari.

Per potervi fornire un preventivo di spesa per adeguamento GDPR potete inviare una richiesta attraverso il form qui di seguito; indicativamente da 180 € per il setup dei Cookies e 120 € per allestire la Privacy Policy.
In base a quanto verrà individuato in una primaria analisi si può arrivare a spendere fino a 600/800 €. L'installazione di script e redazione delle varie Policy saranno da seguire anche in seguito x nuovi aggiornamenti di misure adottate a norma di legge ma anche se ci saranno installazioni di nuovi plugins.

Quanti dati personali risiedono sul tuo sito web?

Image

Nel processo di adeguamento al GDPR dobbiamo tenere in considerazione che il sito web può gestire parecchi dati: le aziende non sono sempre consapevoli della grande quantità di dati personali presenti sul proprio sito web che possano rivelare l'identità di un individuo:

  • Nomi
  • Indirizzi email
  • Indirizzi IP

Assicurati di:

  • Informare i tuoi visitatori con un linguaggio semplice sulla finalità dei tuoi cookie e dei sistemi di tracciamento prima di implementare cookie non essenziali (ePR)
  • Fornire la possibilità ai visitatori di modificare o revocare il consenso (RGPD/ePR)
  • Adottare un sistema per registrare e dimostrare la fornitura del consenso (RGPD)
  • Streaming dei dati delle mappe e dei documenti effettuato da terzi (RGPD)
  • Configurare il tuo sistema di consensi in modo tale che impieghi un consenso esplicito/attivo quando vengono elaborati dati personali sensibili sul sito (RGPD)
  • Fornisci i dati dell'identità e di contatto del responsabile del trattamento dei dati nella tua azienda (GDPR)
  • Indica che il visitatore ha diritto ad accedere, correggere, eliminare e limitare l'elaborazione di dati personali (GDPR)
  • Indica che il visitatore ha diritto a ricevere i dati personali per essere utilizzati da un altro incaricato del trattamento dei dati (GDPR)
  • Indica che il visitatore ha diritto di inviare un reclamo presso l'autorità di vigilanza (GDPR)
  • Informa dell'effettuazione di decisioni automatiche, inclusa la profilazione (GDPR)

Punti principali per i gestori di siti web

Quanto non cambia per ora .. almeno

Partiamo dalle cose più importanti: rispetto alle novità per le aziende, i cambiamenti introdotti dal GDPR per il commercio online sono poca cosa. È presumibile che i temi centrali per i gestori dei siti web – cookies, user tracking, Spam Marketing e marketing diretto – verranno rivisti a partire dal 2019. Tuttavia ciò che è certo per il momento è che a partire dal maggio 2018 il Regolamento avrà la priorità sulle leggi attualmente presenti e che tutte le basi generali in esso contenute sono valide anche per i siti web, i Big Data e i social media. Anche l’utilizzo di cookies, strumenti per il monitoraggio e misure di targhetizzazione dovranno orientarsi sul GDPR in futuro.

Tuttavia il Regolamento europeo è una soluzione provvisoria, infatti assieme a esso e alle leggi nazionali dovrebbe entrare in vigore anche un’ulteriore riforma relativa alla protezione dati: il Regolamento sulla vita privata e le comunicazioni elettroniche dell’Unione Europea (ePrivacy Regulation), approvato in data 23 ottobre 2017 dal Parlamento Europeo.

Non c’è alcun buon motivo per aspettarsi che il Consiglio Europeo faccia passare con facilità il regolamento. La bozza è infatti molto stringente per quel che riguarda l’autorizzazione all’utilizzo dei cookies. Nel caso in cui essa dovesse diventare legge, questo avrebbe delle gravi ripercussioni sul tracking, sul targeting e sulla pubblicità personalizzata. Al momento è difficile prevedere quali saranno i cambiamenti effettivi derivanti dal processo legislativo. Perciò è ancora presto per preoccuparsi concretamente del Regolamento sulla vita privata e le comunicazioni elettroniche dell’Unione Europea, dato che non ci sono possibilità che entri in vigore prima del 2019.

Tuttavia è altamente consigliabile che tutti coloro impegnati nella gestione di un sito web o di un negozio online tengano regolarmente sott’occhio il regolamento dell’e-privacy. Contrariamente al GDPR, che si occupa di regolare giuridicamente i principi in materia di protezione dei dati, il regolamento dell’e-privacy tratterà un settore specifico: la protezione della sfera privata nella vita digitale di tutti i giorni. Quindi i gestori di siti web farebbero meglio ad aspettarsi ulteriori riforme.

Ciò che cambia
Dunque cos’è che cambia a partire dal 25 maggio 2018 con l’entrata in vigore del Regolamento generale sulla protezione dei dati dell’Unione Europea? Le novità più importanti per i gestori di siti web sono le seguenti:

  • L’obbligo di documentazione del Regolamento generale;
  • La maggior complessità relativa all’autorizzazione;
  • I principi del Privacy by Design e Privacy by Default;
  • L’ampliamento del diritto di accesso all’informazione e del diritto di cancellazione;
  • Il diritto alla trasmissione dei dati;
  • Chiari e maggiori obblighi di informazione (ad esempio per quel che riguarda l’informativa sulla privacy);
  • Il divieto di abbinare più consensi;Qui di seguito sono due i temi che approfondiremo: l’informativa sulla privacy e il divieto di abbinare più consensi, dato che sono proprio questi due a interessare principalmente i gestori di siti web.

Fatto
Va fatta una rigorosa distinzione tra consenso sulla protezione dei dati e l’informativa sulla privacy. Il consenso degli utenti, imprescindibile per ogni elaborazione dati non esplicitamente permessa da una norma di legge, corrisponde alla conferma da parte di un utente di essere d’accordo con l’informativa sulla privacy di un’azienda. L’informativa sulla privacy corrisponde a un testo in cui un’azienda illustra le proprie misure in materia di protezione dati ai propri clienti. È obbligatoria su qualsiasi sito web.

La novità più importante del GDPR per i gestori di siti web è rappresentata dalle direttive riguardo l’informativa sulla privacy. L’articolo 13 par. 2 contiene un catalogo di informazioni che devono essere incluse in un’informativa sulla privacy. All’interno del Regolamento generale viene regolato in maniera più chiara la forma che deve avere un’informativa sulla privacy: scritta in un linguaggio semplice e comprensibile da un punto di vista del contenuto. Nel GDPR viene data grande importanza alla trasparenza.

Citazione
“Il titolare del trattamento adotta misure appropriate per fornire all'interessato tutte le informazioni […] relative al trattamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro”

Art. 12 par. 1 del RGDP: "Informazioni, comunicazioni e modalità trasparenti per l'esercizio dei diritti dell'interessato" (fonte: www.privacy-regulation.eu/it/12.htm)

Nel divieto di abbinare più consensi gli esperti vedono la restrizione maggiore presente in tutto il Regolamento generale sulla privacy dei dati. Con tale divieto un gestore di siti web non può costringere i propri potenziali clienti a fornirgli successivamente dati che non siano strettamente necessari per l’effettiva prestazione. Un esempio: richiedendo la registrazione a una newsletter online al momento del perfezionamento di un contratto si infrangerà il diritto europeo. Il principio massimo del consenso è la volontarietà. Nel caso di più consensi abbinati assieme potrebbe tuttavia venire a mancare la volontarietà, rendendoli perciò inefficaci.

Citazione
“Nel valutare se il consenso sia stato liberamente prestato, si tiene nella massima considerazione l'eventualità, tra le altre, che l'esecuzione di un contratto, compresa la prestazione di un servizio, sia condizionata alla prestazione del consenso al trattamento di dati personali non necessario all'esecuzione di tale contratto”

- Art. 7 par. 4 del RGPD: “Condizioni per il consenso” (fonte: http://www.privacy-regulation.eu/it/7.htm)

Ancora una volta vale la pena ricordare di fare assolutamente attenzione ai cambiamenti relativi agli obblighi di documentazione, ai principi dell’autorizzazione, all’archiviazione, ai diritti di accesso alle informazioni e alla cancellazione. Singolarmente inoltre è possibile che imprese e gestori di siti web siano interessati anche da altre riforme.

Lista delle cose da fare per aziende e gestori di siti web
Se a questo punto siete convinti di iniziare a darvi da fare per quel che riguarda il Regolamento generale sulla privacy dei dati, la prima cosa da tenere in conto è che le misure necessarie variano da azienda ad azienda. Tuttavia ci sono delle precauzioni che ogni azienda dovrebbe prendere, e sono proprio queste a comporre la checklist del RGPD qui di seguito.

✔ Stabilire i procedimenti per una corretta documentazione per le operazioni che coinvolgono i dati personali;

✔ configurare un archivio delle varie elaborazioni di dati;

✔ mettere a disposizione dei propri clienti delle possibilità di contatto per richieste di informazioni relative alla protezione dei dati;

✔ verificare se sia necessario incaricare un garante della privacy;

✔ aggiornare la propria informativa sulla privacy sul proprio sito conformemente alle nuove leggi;

✔ consultarsi con il proprio responsabile del reparto tecnico (e con il garante della privacy) se le misure tecniche adottate per la protezione dati siano sufficienti o meno. In determinate circostanze devono essere introdotte ulteriori misure o integrate meglio quelle presenti nella propria infrastruttura informatica;

✔ tutti i dati raccolti che non rispettano il divieto di abbinare più consensi dovranno essere reperiti diversamente d’ora in poi ed essere registrati come dati forniti volontariamente;

✔ se sono stati incaricati prestatori di servizi esterni per l’amministrazione dei dati personali della vostra azienda, dovrebbe essere accertato che le convenzioni del Regolamento generale sulla privacy dei dati siano rispettate;

✔ verificare il processo di ricezione dei consensi sul proprio negozio online e adattare i procedimenti alle normative del RGPD;

✔ tenervi aggiornati per le novità relative al Regolamento sulla vita privata e le comunicazioni elettroniche, il quale si occuperà di regolare il lavoro dei commercianti online con i tool di analisi e di monitoraggio;

✔ se dopo avere adempiuto a questi passaggi non si è ancora convinti di aver fatto tutto quello che c’era da fare, è consigliabile richiedere consulenza professionale.

Vi preghiamo di osservare la nota legale relativa a questo articolo.
Nota legale: le informazioni contenute in questo articolo sono da considerarsi a titolo indicativo. Geipeg non si assume alcuna responsabilità per la correttezza dei contenuti qui presenti.

Contattaci per mettere il tuo sito in regola col GDPR
Siamo partner certificati Iubenda iubenda Certified
Bronze Partner
Abbiamo predisposto un e-book che illustra i principali requisiti imposti dal GDPR. Scarica gratis qui