Dopo aver assistito – e vissuto – momenti di puro panico per il nuovo regolamento europeo relativo alla protezione dei dati (GDPR) dei nostri utenti, oggi voglio aiutarvi a capire qualcosa in più sulla nuova normativa, sugli obblighi previsti e, se avete un blog, a metterlo a norma per evitare possibili sanzioni.
Come avrete già letto, il 25 maggio scadrà il termine ultimo per avere un sito web a norma e a livello europeo, e sono soprattutto le grosse aziende a dover prevenire i danni derivanti dalla nuova normativa. E i blogger che scrivono per passione? Be’, anche loro. Non si scappa.
Qual è l’obiettivo di questa normativa che sta facendo diventare bianchi i capelli a tutti? Trasparenza, chiarezza, semplicità, ma anche reversibilità. L’informativa sui dati personali, sulla loro raccolta e sul loro utilizzo diventerà uno strumento fondamentale di comunicazione e di informazione e dovrà essere resa trasparente e chiara a tutti gli utenti/visitatori del nostro sito web.
In sintesi. Chi possiede un sito web – o un blog – deve dichiararsi responsabile (o chi per lui) del trattamento dei dati dei propri utenti. Alla base deve esserci un consenso “esplicito” da parte degli utenti, al trattamento dei dati per le finalità previste. Nulla può essere lasciato al caso, ma deve essere messo nero su bianco. I dati forniti dagli utenti, previo loro consenso, devono essere modificabili o cancellabili dagli stessi. In qualsiasi momento.
Quali sono i dati degli utenti memorizzati sul nostro sito web?
Non tutti i siti web sono uguali. Inoltre, c’è chi nel proprio blog non ha neppure un form di contatto e pertanto non ha richiesto neppure l’email all’utente navigatore. Ma anche in questo caso ci sono fattori di cui tener conto, relativi soprattutto alla cookie policy, e che vedremo insieme dopo.
I dati che comunemente vengono memorizzati sul nostro sito/blog, attraverso compilazione di form di contatto, iscrizione alla newsletter, servizi di chat, commenti lasciati agli articoli o attraverso strumenti di profilazione, sono questi:
- Nome e cognome
- Indirizzo e-mail
- Numero di telefono
- Indirizzo IP
- Indirizzo postale o città di provenienza
- Foto personali o dell’azienda
- Qualsiasi altra informazione personale (gusti, interessi, famiglia, occupazione)
Chi utilizza WordPress o altri CMS lo sa bene. Vengono memorizzati i dati dei nostri utenti anche in modo automatico. WordPress, infatti, memorizza dati sensibili degli utenti connessi e non connessi, che semplicemente navigano all’interno del sito. Durante le sessioni vengono memorizzati indirizzo IP e dati tecnici localizzati per esempio. E anche se tali dati non vengono divulgati ma utilizzati ai fini stessi dell’informazione o della comunicazione all’interno del sito stesso, l’utente/ visitatore deve sapere che sta lasciando tracce di sé (anche se probabilmente lo sa già).
I dettagli di questa memorizzazione, anche non voluta, devono tutti essere espressi e definiti all’interno della Privacy Policy del proprio sito web.
Privacy e Cookie Policy: obbligatorie, senza se e senza ma
Mostrare la privacy policy o informativa sulla privacy sarà obbligatorio. Deve essere inserita una pagina con tutti i dettagli sul trattamento dei dati e sulla privacy degli utenti e questa pagina deve essere ben visibile e fruibile da chiunque acceda al sito.
All’interno della privacy policy dovranno essere inserite tutte le procedure e le disposizioni relative all’utilizzo e al trattamento dei dati degli utenti. Ecco le domande a cui dare risposta all’interno della propria informativa sulla privacy:
- Chi è il proprietario del sito e chi sono i soggetti del trattamento?
- Come e perché vengono raccolti i dati privati di tutti o di parte degli utenti/visitatori?
- Come vengono utilizzati i dati raccolti?
- Quali dati vengono memorizzati e/o trattati?
- Questi dati vengono condivisi con altri soggetti?
- Per quanto tempo questi dati vengono conservati all’interno del server del sito?
- Quali sono i diritti, da parte dell’utente/visitatore, su questi dati?
- Questi dati vengono inviati o divulgati?
- L’utente visitatore sa come richiedere la cancellazione o la modifica di questi dati?
- Le informazioni di contatto del titolare o del responsabile sono ben visibili?
Tutte queste informazioni devono essere rese chiare e trasparenti.
Cookie Policy: anche l’informativa sui cookie è obbligatoria
“Il Garante per la Protezione dei Dati Personali ha emanato il regolamento per l’individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie“.
I cookie sono dei file di testo salvati dal proprio browser e inviati al server che memorizzano informazioni e dati relativi agli utenti. Ci sono tre tipi di cookie che possono essere utilizzati all’interno del proprio sito web secondo il Garante della Privacy e previsti dalla Cookie Law che vanno specificati all’interno dell’informativa. I cookie tecnici, i cookie di terze parti e i cookie di profilazione.
“I cookie tecnici sono quelli utilizzati per “effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dall’abbonato o dall’utente a erogare tale servizio” (cfr. art. 122, comma 1, del Codice). Questi cookie sono installati direttamente dal proprio sito e non hanno alcuno scopo o fine promozionale.
Tra i cookie tecnici troviamo i cookie di sotto-categoria, come i seguenti:
Cookie di navigazione o di sessione, che garantiscono la normale navigazione e fruizione del sito web (permettendo, ad esempio, di realizzare un acquisto o autenticarsi per accedere ad aree riservate);
Cookie analytics, assimilati ai cookie tecnici laddove utilizzati direttamente dal gestore del sito per raccogliere informazioni, in forma aggregata, sul numero degli utenti e su come questi visitano il sito stesso;
Cookie di funzionalità, che permettono all’utente la navigazione in funzione di una serie di criteri selezionati (ad esempio, la lingua, i prodotti selezionati per l’acquisto) al fine di migliorare il servizio reso allo stesso (Garante Privacy).
“I cookie di profilazione sono volti a creare profili relativi all’utente e vengono utilizzati al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dallo stesso nell’ambito della navigazione in rete” (Garante Privacy). Questi cookie vengono utilizzati soprattutto per le newsletter e per le promozioni e vanno assolutamente specificati. Ne fanno parte i dati relativi all’età, al sesso, agli interessi personali o all’occupazione dei soggetti.
Un cookie di profilazione può interessare anche strumenti appartenenti a siti terzi, come ad esempio Google Adsense o Analytics che utilizzano un cookie attraverso le parole chiave inserite dagli utenti (questi sono anche cookie di terze parti).
In questo caso, si può optare per rendere Analytics anonimo ed evitare così che i dati sensibili dei nostri utenti vengano memorizzati o utilizzati. Sarà necessario aggiungere una stringa di codice che imposti la funzione: IP Anonymization. Basta recarsi sul sito di Analytics e entrare su Amministrazione > Proprietà > Informazioni sul monitoraggio > Codice di monitoraggio.
Vedrete uno script di codice all’interno del riquadro: dovrà cambiare l’ID di monitoraggio. Questo codice acquisisce cookie di profilazione, ma aggiungendo questa stringa di codice renderete tutto anonimo: ga(‘set’, ‘anonymizeIp’, true);
In caso contrario, dovrà essere specificato l’utilizzo non anonimo di Analytics (e di Adsense se collegato) e spiegato il motivo e il fine di questo utilizzo di dati.
Cookie di terze parti. “Un ulteriore elemento da considerare, ai fini della corretta definizione della materia in esame, è quello soggettivo. Occorre, cioè, tenere conto del differente soggetto che installa i cookie sul terminale dell’utente, a seconda che si tratti dello stesso gestore del sito che l’utente sta visitando (che può essere sinteticamente indicato come “editore”) o di un sito diverso che installa cookie per il tramite del primo (c.d. “terze parti”)”.
Questi cookie vengono installati da siti terzi attraverso l’utilizzo del tuo sito web. In questo tipo di cookie rientrano plugin di condivisione di Facebook, di Google+ o di Pinterest, ma anche servizi di hosting, Google Adsense o Adwords.
Se si utilizzano “cookie di profilazione” o “di terze parti” bisogna rispettare i seguenti obblighi:
- Obbligo di informativa breve (Cookie box);
- Obbligo di informativa estesa (Cookie policy);
- Rispetto del principio dell’opt-in e opt-out.
Ma vediamo meglio ulteriori consigli per aiutarti a mettere il sito a norma prima del 25 maggio.
Aggiornare WordPress alla versione 4.9.6
Anche WordPress si è messo all’opera per adeguarsi al GDPR. In questi giorni è stata rilasciata la nuova versione aggiornata che, oltre a rendere il design dei siti più responsive e a correggere bug ed errori del codice, fornisce una migliore compatibilità con la nuova normativa europea.
Dal flusso di lavoro di Personalizza, che consente di programmare anche le pubblicazioni sul design degli articoli, ai miglioramenti del codice e all’evidenziatore di sintassi per avere sottocchio tutti gli errori presenti nel codice del sito. Ma anche aggiornamenti sui widget, maggiore sicurezza sul cambio di tema e salvataggi ulteriori per proteggere i lavori non ancora salvati. Ma non è tutto!
Con la nuova versione ci saranno tre tool indispensabili, mai visti all’interno del backend di WP che sicuramente noterete.
Andando su “Impostazioni” vedrete la nuova voce “Privacy”: cliccandoci e entrando nella schermata potrete inserire la vostra pagina relativa alla Privacy Policy o crearne una nuova. Creandone una nuova si aprirà automaticamente una nuova pagina con tutte le sezioni e i suggerimenti per crearne una ad hoc. È disponibile anche una guida per aiutarti a inserire le sezioni giuste all’interno della tua informativa sulla privacy.
Con il nuovo aggiornamento di WordPress vedrete due nuovi strumenti nel vostro backend di WP: l’Export Personal Data e il Remove Personal Data. Andando su “Strumenti” vedrete questi due nuovi tool che vi permetteranno di gestire al meglio i dati dei vostri utenti.
L’utente, infatti, avrà il diritto di richiedere il recupero, la cancellazione o di consultare semplicemente i dati forniti e memorizzati all’interno del sito.
Grazie a questi strumenti è possibile avere sempre a portata di mano tutti i dati e i file dei propri utenti, consentendo di poterli inviare agli utenti o di eliminarli su richiesta. Vi basterà cercare l’utente in questione inserendo il nome o l’indirizzo email e potrete scaricare una cartella contenente tutti i suoi dati per inviarglielo. Per rimuovere tutti i suoi dati basterà utilizzare il tool Remove Personal Data.
Ogni sezione relativa al trattamento dei dati deve ricevere il consenso
Per navigare al’interno del sito web, per inviare informazioni attraverso form di contatto o per pubblicare commenti all’interno del blog, l’utente deve accettare in modo esplicito e prestare il suo consenso volontario al trattamento dei dati o all’utilizzo dei cookie.
In che modo rendere possibile tutto questo?
3 plugin WordPress che ti aiutano nell’impresa
GDPR
Questo plugin consente, nella sezione “Impostazioni” di inserire il testo da mostrare nel banner quando l’utente si collega al sito web. Vi consiglio di non indicare la pagina della Privacy Policy all’interno di “Settings” > “General”. Infatti, indicandola, verrà visualizzato un popup che coprirà tutta la pagina. Non indicandola, invece, spunterà il riquadro per il consenso in basso.
La particolarità di questo plugin è che potrete inserire tutte le tab dei cookies che vengono utilizzati all’interno del sito web, nell’apposita sezione di “Settings”, e fare in modo che gli utenti possano indicare il proprio consenso o meno per ognuno di loro.
Per fare in modo che gli utenti possano esprimerlo oppure no, non dovrete attivare automaticamente il consenso. Disattivate quindi la casella di “Always active”.
WP GDPR Compliance
Questo plugin, che trovate negli “Strumenti” una volta installato, è compatibile con il GDPR europeo e consente di attivare una serie di funzionalità utili per rispettare la corretta procedura prevista dalla normativa europea.
Questo plugin permette di inserire l’opzione per il consenso che deve essere spuntata dall’utente per il trattamento dei dati ed è compatibile con Contact Form 7.
Permette, inoltre, di gestire le richieste e di indicare la pagina a cui fare riferimento per la privacy policy.
Cookiebot | GDPR Compliant Cookie Consent and Notice
Cookiebot è compatibile con il GDPR europeo e con la Direttiva europea sulla Privacy e consente di monitorare e documentare qualsiasi attività di tracciamento sul sito. Inoltre, è possibile visualizzare le informazioni richieste dal GDPR europeo per i visitatori del sito e documentare automaticamente tutti i consensi prestati dagli utenti.
Questo plugin esamina il sito web e identifica i tracciamenti, fornendo un resoconto dei servizi di terzi che monitorano gli utenti, oltre a rivelare dove le loro informazioni vengono inviate. Il report sui cookie viene generato ogni mese ed è possibile controllare queste informazioni ogni volta che si desidera.
Grazie a una semplice funzione si possono scaricare tutti i consensi in un foglio elettronico dalla pagina dei consensi del plugin. L’utente presta il suo consenso ai cookie attraverso un banner e potrà attivare e disattivare i vari tipi di cookie.
Il consenso dell’utente verrà richiesto mediante un banner comprensibile, in cui gli utenti potranno facilmente attivare e disattivare i vari tipi di cookie. Il consenso viene poi rinnovato ogni dodici mesi, alla prima visita dell’utente sul sito web. Tutti i consensi vengono raccolti attraverso una connessione protetta e memorizzati con chiavi crittografate.
Per generare la Privacy e la Cookie Policy c’è anche il servizio fornito da Iubenda. Iubenda consente di generare le informative, ma la versione gratuita è limitata a pochi servizi. Se il tuo è un semplice blog e non utilizzi numerosi servizi da siti esterni, puoi utilizzare Iubenda in modo semplice e integrare, attraverso uno script all’interno del widget HTML, la tua informativa.
Esiste anche un modello compilabile, aggiornato con il nuovo Regolamento UE (GDPR), messo a disposizione da Wonderlegal per regolamentare il trattamento dei dati all’interno del proprio sito web. Purtroppo tale modello deve essere acquistato al costo di € 29,99.
Ecco qualche altro consiglio.
Un consiglio è quello di utilizzare i modelli standard come linee guida, ma ogni sito è diverso e va compilato in modo personale. Attenti quindi a ciò che indicate nelle vostre informative e fate un resoconto dettagliato dei servizi offerti e per quali scopi utilizzate i dati.
Un altro consiglio è di ridurre al minimo la quantità dei dati richiesti all’interno del sito web. Per qualsiasi dato, dovrete comunque indicare il fine e lo scopo del trattamento. Siate chiari e trasparenti, meglio abbondare nelle informazioni che esserne carenti.
Ricordate che l’utente deve prestare il consenso per il trattamento dei dati e sapere esattamente a cosa andrà incontro. E non basta che presti il consenso per tutte le finalità con un’unica spunta: in questo caso vi saranno davvero utili i plugin visti all’interno di questo articolo. I dati poi dovranno essere fruibili, scaricabili, modificabili e eliminabili.
E gli utenti già iscritti? Anche gli utenti già iscritti devono essere pienamente consapevoli del trattamento dei dati previsto dal vostro sito. Dovrete informarli dell’aggiornamento e chiedere il consenso al trattamento secondo le nuove disposizioni dell’informativa sulla privacy.
Per ulteriori informazioni potete consultare il Regolamento generale sulla protezione dei dati.
Buon lavoro!
0 commenti