Ultimo aggiornamento: Ottobre 2024
A seguire una guida pratica per adeguare il tuo sito WordPress, inclusi WooCommerce e strumenti di terze parti, al Regolamento Europeo GDPR (EU 2016/679), essenziale per chiunque tratti dati personali online.
Prima Parte: Cos’è il GDPR e chi deve adeguarsi
Il GDPR 679/2016 è il regolamento dell’UE entrato in vigore il 25 maggio 2018, pensato per tutelare i dati personali. Si applica a chiunque raccolga, memorizzi o gestisca dati personali – anche solo con strumenti come un modulo di contatto o un cookie di tracciamento.
Chi è soggetto al GDPR?
Se il tuo sito utilizza strumenti come:
- WooCommerce (o piattaforme e-commerce simili)
- Registrazione utenti
- Servizi Google (come Analytics, Maps, Fonts, AdSense, AdWords, ReCaptcha) e similari
- Form di contatto
- Altri strumenti che usano cookie per tracciamento, statistiche, preferenze o marketing
…allora il GDPR si applica. Anche avere uno solo di questi elementi rende obbligatorio l’adeguamento alla normativa. Al contrario, se il sito è privo di qualunque sistema di raccolta dati, puoi ritenerti esente. Sono abbastanza sicuro che se fai una verifica sul tuo sito, troverai almeno uno strumento tra questi. Se non ne hai nessuno, buon per te!
Tuttavia molti pensano che basti togliere il form contatti dal sito e mettere a disposizione l’indirizzo email nella pagina contatti per essere esenti dal GDPR. Non è così! Anche fornire un semplice indirizzo email sul tuo sito ti rende soggetto al GDPR, ma con un impatto diverso rispetto all’utilizzo di un form di contatto.
Ecco cosa implica:
- Se i visitatori ti inviano un’email, diventano titolari dei loro dati personali che scelgono di condividere (nome, email, contenuto del messaggio, ecc.).
- Una volta ricevuti questi dati, hai la responsabilità di trattarli in modo conforme al GDPR, assicurandoti che siano protetti, conservati solo per il tempo necessario e non condivisi senza consenso.
Cosa fare per la conformità GDPR in questi casi:
- Privacy Policy: Nella tua Privacy Policy, indica chiaramente che fornisci un indirizzo email per comunicare con te e specifica come gestirai i dati eventualmente ricevuti via email (ad esempio, risponderai, conserverai i messaggi solo per scopi amministrativi, ecc.).
- Misure di sicurezza: Assicurati che la tua casella email sia protetta con misure di sicurezza adeguate (ad esempio, autenticazione a due fattori e password robuste).
Conclusione: Non è necessario un consenso preventivo come nel caso dei form o dei cookie, ma sei comunque responsabile della gestione e protezione di qualsiasi dato personale ricevuto tramite email.
L’importanza dei Cookie e il loro ruolo nel GDPR
I cookie sono spesso percepiti come innocui, ma possono coinvolgere (e veicolare) dati personali: anche se i dati finiscono sui server di terze parti (ad esempio Google), rimane responsabilità tua gestire e informare l’utente sul loro utilizzo.
Un esempio pratico è l’integrazione di Google Maps: quando un visitatore accede alla mappa, il codice può riconoscere se l’utente è loggato e raccogliere dati dal suo account. Questo trattamento è regolamentato dal GDPR.
Conclusione: se il tuo sito usa cookie di tracciamento o marketing, devi informare e raccogliere il consenso dell’utente tramite strumenti specifici.
Privacy Policy: cosa cambia con il GDPR
Il GDPR responsabilizza chi raccoglie dati e richiede una Privacy Policy chiara, che informi l’utente su:
- Quali dati vengono raccolti e perché.
- Durata del trattamento dei dati.
- Diritti dell’utente in merito ai dati personali, inclusi:
- Diritto all’oblio (cancellazione dei dati su richiesta).
- Diritto all’esportazione dei dati in formati accessibili (es. XML, PDF).
Esempio di applicazione: WooCommerce ha introdotto una sezione per le tempistiche di conservazione dei dati (la trovi su “WooCommerce -> Impostazioni -> Account e Privacy”) utile per redigere la Privacy Policy.
Nota: non è sufficiente copiare una Privacy Policy generica, ogni sito ha esigenze specifiche in base ai dati trattati e ai servizi usati.
Informativa sui Cookie e Banner dei Cookie
La Cookie Policy deve dettagliare:
- Quali cookie vengono usati, per quanto tempo e con quale finalità.
- Come l’utente può gestire o eliminare i cookie.
- Link alla documentazione di privacy dei fornitori di terze parti.
Il banner dei cookie deve apparire a ogni nuovo utente e permettere di scegliere quali cookie accettare o rifiutare. Di seguito, le casistiche principali:
- Solo cookie tecnici: la Cookie Policy è comunque necessaria, ma il banner non è obbligatorio.
- Cookie di altre tipologie: serve sia il banner che la Cookie Policy.
- Cookie su larga scala (siti con più di 25.000 visitatori unici al mese): è richiesto il banner, il blocco preventivo e la registrazione dei consensi.
Cookie Banner, blocco preventivo e memorizzazione dei consensi
Il GDPR richiede di bloccare i cookie finché l’utente non ha espresso un consenso informato. Questo implica:
- Blocco preventivo dei cookie prima dell’accettazione esplicita, se il sito utilizza cookie diversi dai tecnici.
- Memorizzazione delle preferenze dell’utente, che consente di rispettare le scelte indicate tramite il banner dei cookie.
Rischi e sanzioni per chi non si adegua al GDPR
In Italia, il Garante della Privacy può multare i siti che non rispettano il GDPR. Ecco i tre principali scenari di rischio:
- Richiamo con richiesta di adeguamento
- Sanzione diretta
- Segnalazione da parte di clienti o concorrenti
Le sanzioni possono raggiungere 20 milioni di euro o il 4% del fatturato globale annuo (si considera l’anno precedente), con importi variabili in base al tipo di violazione. Per ulteriori dettagli sulle sanzioni, consulta la sezione “domande frequenti” sul sito GDPR: FAQ GDPR.
Responsabilità e violazioni di dati
Il GDPR introduce anche l’obbligo di informare gli utenti entro 72 ore da una violazione dei dati (come un attacco hacker). Siti di e-commerce o con registrazioni utenti devono quindi monitorare attivamente la sicurezza del sito.
Il DPO (Data Protection Officer) deve avvisare gli utenti e il responsabile del trattamento dei dati, rendendo obbligatorio un costante monitoraggio del sito per tutelare i dati degli utenti.
Stato dell’Arte
Il GDPR da istruzioni generiche poiché la natura dell’informatica è proprio quella di evolversi e di aggiornarsi costantemente.
Sarebbe impossibile quindi formulare una legge che specifichi quali strumenti e tecnologie adottare, poiché andrebbe aggiornata ogni due mesi almeno. Il GDPR specifica quindi che è necessario adottare misure di sicurezza allo stato dell’arte, che tradotto significa aggiornare costantemente le misure di sicurezza adottate con le più recenti messe a disposizione dalla tecnologia.
In altre parole NON puoi lasciare un sito web o qualsiasi altro strumento idoneo alla gestione dei dati, fermo per mesi o anni, poiché la natura di questi strumenti è quella di adeguarsi e aggiornarsi nel tempo con codice più efficace, sicuro e robusto. Diventa pertanto fondamentale apportare aggiornamenti costanti ai propri strumenti poiché in caso di violazioni gravi dovrai essere in grado di dimostrare che i tuoi strumenti (sito web, plugin, software vari) erano stati correttamente aggiornati di recente sul piano tecnico.
Seconda Parte: Istruzioni tecniche per adeguare WordPress e WooCommerce
Analizza i cookie del tuo sito
WordPress può generare cookie anche solo utilizzando un tema che carica Google Fonts. Il cookie generato traccia statistiche e altre informazioni sugli utenti, rendendoti responsabile della conformità.
Due opzioni:
- Escludere servizi che generano cookie non necessari
- Creare un elenco completo di tutti i cookie per la tua Cookie Policy.
Strumenti per la gestione del consenso e dei cookie
Strumenti come Iubenda, LegalBlink, CookieYes sono molto utili perché permettono di gestire consenso, blocco e registrazione dei cookie, semplificando l’adeguamento al GDPR.
Riepilogo finale per i diversi tipi di sito
1. Sito informativo
Se non vendi né registri utenti, ma utilizzi cookie per contatti o tracciamento:
- Aggiorna la Privacy e Cookie Policy, elencando tutti i servizi, i dati raccolti, le motivazioni e la durata del trattamento.
- Integra Iubenda o CookieYes per ottenere il consenso informato e registrare le preferenze.
2. Sito e-commerce o con registrazione utenti
Se gestisci un e-commerce o raccogli dati personali:
- Effettua tutti i passaggi previsti per il sito informativo.
- Fornisci agli utenti un metodo per cancellare i propri dati e/o esportarli in un formato accessibile.
Per un adeguamento efficace, considera una consulenza professionale. Contattaci per un preventivo o per un’analisi gratuita del tuo sito.