La guida definitiva a WordPress e alla conformità al GDPR

Siete confusi dal GDPR e dal suo impatto sul vostro sito WordPress?

Il GDPR, acronimo di General Data Protection Regulation (Regolamento generale sulla protezione dei dati), è una legge dell’Unione Europea di cui probabilmente avrete sentito parlare. Abbiamo ricevuto decine di e-mail da parte di utenti che ci chiedevano di spiegare il GDPR in un inglese semplice e di condividere consigli su come rendere il vostro sito WordPress conforme al GDPR.

In questo articolo vi spiegheremo tutto quello che c’è da sapere sul GDPR e WordPress (senza le complesse questioni legali).

Per aiutarvi a navigare facilmente nella nostra guida definitiva a WordPress e alla conformità al GDPR, abbiamo creato un indice di seguito:

Che cos’è il GDPR?

Il Regolamento generale sulla protezione dei dati (GDPR) è una legge dell’Unione Europea (UE) entrata in vigore il 25 maggio 2018. L’obiettivo del GDPR è dare ai cittadini dell’UE il controllo sui loro dati personali e cambiare l’approccio alla privacy delle organizzazioni di tutto il mondo.

Nel corso degli anni, è probabile che abbiate ricevuto decine di e-mail da aziende come Google in merito al GDPR, alle loro nuove politiche sulla privacy e a tutta una serie di altre questioni legali. Questo perché l’UE ha previsto forti sanzioni per chi non rispetta le norme.

Le aziende che non sono conformi ai requisiti del GDPR possono incorrere in multe salate che possono arrivare fino al 4% del fatturato globale annuo di un’azienda o a 20 milioni di euro (il maggiore dei due). Questo è un motivo sufficiente per scatenare il panico tra le aziende di tutto il mondo.

Che cos’è il CCPA?

Lo stato della California ha introdotto una legislazione simile in materia di privacy il 1° gennaio 2020, anche se le potenziali multe sono molto più basse.

Il California Consumer Privacy Act (CCPA) è stato progettato per proteggere le informazioni personali dei residenti in California. Esso dà loro il diritto di sapere quali informazioni personali vengono raccolte su di loro, di richiederne la cancellazione e di rinunciare alla vendita dei loro dati.

In questo articolo ci concentreremo sul GDPR, ma molti dei passi che elenchiamo in questo articolo vi aiuteranno anche a diventare conformi al CCPA.

Questo ci porta alla grande domanda a cui potreste pensare:

Il GDPR si applica al mio sito web WordPress?

La risposta è SÌ. Si applica a tutte le aziende, grandi e piccole, in tutto il mondo (non solo nell’Unione Europea).

Se il vostro sito web WordPress ha visitatori provenienti da paesi dell’Unione Europea, questa legge si applica a voi.

Ma niente panico. Non è la fine del mondo.

Sebbene il GDPR possa portare a questi livelli elevati di ammende, si inizierà con un avvertimento, poi un rimprovero e infine una sospensione del trattamento dei dati.

E solo se si continua a violare la legge, le multe saranno salate.

L’Unione Europea non è un governo malvagio che vuole prendervi. Il loro obiettivo è proteggere i consumatori innocenti da una gestione sconsiderata dei dati che potrebbe portare a una violazione della loro privacy.

La parte massima della multa, a nostro avviso, serve soprattutto ad attirare l’attenzione di grandi aziende come Facebook e Google, in modo che questo regolamento non venga ignorato. Inoltre, questo incoraggia le aziende a porre maggiore attenzione alla tutela dei diritti delle persone.

Una volta compreso ciò che è richiesto dal GDPR e lo spirito della legge, ci si renderà conto che tutto ciò non è troppo assurdo.

Condivideremo anche strumenti e suggerimenti per rendere il vostro sito WordPress conforme al GDPR.

Cosa è richiesto ai proprietari di siti web ai sensi del GDPR?

L’obiettivo del GDPR è quello di proteggere le informazioni di identificazione personale (PII) degli utenti e di imporre alle aziende standard più elevati per quanto riguarda le modalità di raccolta, archiviazione e utilizzo di questi dati.

Questi dati personali comprendono nomi, indirizzi e-mail, indirizzi fisici, indirizzi IP, informazioni sulla salute, reddito e altro ancora.

Sebbene il regolamento GDPR sia lungo 200 pagine, ecco i pilastri più importanti da conoscere:

È necessario ottenere un consenso esplicito per la raccolta di informazioni personali

Se state raccogliendo dati personali da un residente dell’UE, dovete ottenere un consenso esplicito o un’autorizzazione specifica e inequivocabile.

In altre parole, non potete inviare e-mail non richieste a chi vi ha dato il suo biglietto da visita o ha compilato il modulo di contatto del vostro sito web. Questo è spam. Dovete invece permettere loro di scegliere di partecipare alla vostra newsletter di marketing.

Per essere considerato un consenso esplicito, è necessario richiedere un opt-in positivo. La casella di controllo non deve essere selezionata per impostazione predefinita, deve contenere una formulazione chiara (senza legalese) e deve essere separata da altri termini e condizioni.

I vostri utenti hanno diritto ai loro dati personali

Dovete informare le persone su dove, perché e come i loro dati vengono elaborati e conservati.

Un individuo ha il diritto di scaricare i propri dati personali e il diritto all’oblio.

Ciò significa che hanno il diritto di chiedere la cancellazione dei loro dati personali. Quando un utente clicca su un link di cancellazione o vi chiede di cancellare il suo profilo, dovete effettivamente farlo.

Dovete fornire tempestivamente notifiche di violazione dei dati

Le organizzazioni devono segnalare alcuni tipi di violazione dei dati alle autorità competenti entro 72 ore, a meno che la violazione non sia considerata innocua e non rappresenti un rischio per i dati individuali.

Tuttavia, se una violazione è ad alto rischio, l’azienda deve informare subito le persone interessate.

In questo modo si spera di evitare insabbiamenti come quelli di Yahoo, che non sono stati rivelati fino all’acquisizione.

Potrebbe essere necessario nominare un responsabile della protezione dei dati

Se siete un’azienda pubblica o trattate grandi quantità di informazioni personali, dovete nominare un responsabile della protezione dei dati.

Questo non è richiesto per le piccole imprese. In caso di dubbi, consultate un avvocato.

Sintesi in parole povere di ciò che è richiesto

Per dirla in parole povere, il GDPR impedisce alle aziende di spammare le persone inviando loro e-mail che non hanno richiesto. Inoltre, le aziende non possono vendere i dati delle persone senza il loro esplicito consenso.

Le aziende devono cancellare gli account degli utenti e cancellarli dalle liste di posta elettronica quando richiesto. Le aziende devono inoltre segnalare le violazioni dei dati e, in generale, migliorare la protezione dei dati.

Sembra piuttosto buono, almeno in teoria.

Ma probabilmente vi starete chiedendo cosa dovete fare per assicurarvi che il vostro sito WordPress sia conforme al GDPR.

Dipende dal vostro sito web specifico (per saperne di più, più avanti).

Iniziamo rispondendo alla domanda più importante che ci è stata posta dagli utenti:

WordPress è conforme al GDPR?

Sì, il software principale di WordPress è conforme al GDPR da WordPress 4.9.6, rilasciato il 17 maggio 2018. A tal fine sono stati aggiunti diversi miglioramenti GDPR.

È importante notare che quando si parla di WordPress, si parla di WordPress.org self-hosted. Si tratta di una differenza rispetto a WordPress.com, che potete approfondire nella nostra guida su WordPress.com vs. WordPress.org.

Detto questo, a causa della natura dinamica dei siti web, nessuna piattaforma, plugin o soluzione può offrire il 100% di conformità al GDPR. Il processo di conformità al GDPR varia in base al tipo di sito web, ai dati memorizzati e alle modalità di elaborazione dei dati sul sito.

Ok, forse starete pensando: cosa significa in parole povere?

Per impostazione predefinita, WordPress è dotato dei seguenti strumenti di miglioramento del GDPR:

Commenti Casella di controllo del consenso

Prima di maggio 2018, WordPress memorizzava per impostazione predefinita il nome, l’e-mail e il sito web del commentatore come cookie nel browser dell’utente. Questo rendeva più facile per gli utenti lasciare commenti sui loro blog preferiti perché questi campi erano precompilati.

A causa del requisito del consenso previsto dal GDPR, WordPress ha aggiunto una casella di controllo del consenso al modulo dei commenti.

L’utente può lasciare un commento senza selezionare questa casella. Ciò significa che dovrà inserire manualmente il proprio nome, l’e-mail e il sito web ogni volta che lascerà un commento.

Se la casella di controllo non viene ancora visualizzata, è probabile che il vostro tema stia sovrascrivendo il modulo di commento predefinito di WordPress. Ecco una guida passo passo su come aggiungere una casella di controllo della privacy dei commenti GDPR nel vostro tema WordPress.

Funzioni di esportazione e cancellazione dei dati personali

WordPress offre ai proprietari dei siti gli strumenti necessari per conformarsi ai requisiti del GDPR in materia di trattamento dei dati e per soddisfare le richieste degli utenti di esportazione dei dati personali e di rimozione dei dati personali degli utenti.

Le funzioni di gestione dei dati si trovano nel menu Strumenti dell’amministrazione di WordPress. Da qui si può accedere a Esportazione di dati personali o Cancellazione di dati personali.

Generatore di informativa sulla privacy

WordPress è dotato di un generatore di norme sulla privacy integrato. Il modello di informativa sulla privacy è già pronto e offre indicazioni su cosa aggiungere. Questo vi aiuta a essere più trasparenti con gli utenti in termini di quali dati memorizzate e come gestite i loro dati.

Per saperne di più, consultate la nostra guida su come creare un’informativa sulla privacy in WordPress.

Queste tre caratteristiche sono sufficienti per rendere un blog WordPress predefinito conforme al GDPR. Tuttavia, il vostro sito web avrà probabilmente altre aree che dovranno essere conformi.

Ulteriori aree del vostro sito web da controllare per verificare la conformità al GDPR

In qualità di proprietari di un sito web, potreste utilizzare vari plugin di WordPress che memorizzano o elaborano dati e che possono influire sulla vostra conformità al GDPR. Esempi comuni sono:

• Moduli di contatto
• Analisi
• Marketing via e-mail
• Negozi online
• Siti associativi
• E altro ancora

A seconda dei plugin WordPress che utilizzate sul vostro sito web, dovrete agire di conseguenza per assicurarvi che il vostro sito sia conforme al GDPR.

Molti dei migliori plugin per WordPress hanno aggiunto funzioni di miglioramento del GDPR. Diamo un’occhiata ad alcune delle aree comuni che dovrete affrontare.

Google Analytics

Come la maggior parte dei proprietari di siti web, è probabile che utilizziate Google Analytics per ottenere le statistiche del sito. Ciò significa che potreste raccogliere o tracciare dati personali come indirizzi IP, ID utente, cookie e altri dati per la profilazione del comportamento.

Per essere conformi al GDPR, è necessario effettuare una delle seguenti operazioni:

1. Anonimizzare i dati prima di iniziare l’archiviazione e l’elaborazione.
2. Aggiungere un overlay che avvisi dei cookie e chieda agli utenti il consenso prima del tracciamento.

Entrambe le cose sono piuttosto difficili da fare se si incolla manualmente il codice di Google Analytics sul proprio sito. Tuttavia, se utilizzate MonsterInsights, il più popolare plugin di Google Analytics per WordPress, siete fortunati.

Hanno rilasciato un addon per la conformità all’UE che aiuta ad automatizzare il processo di cui sopra.

MonsterInsights ha anche un ottimo post sul blog che parla del GDPR e di Google Analytics. È una lettura obbligata se utilizzate Google Analytics sul vostro sito.

Moduli di contatto

Se si utilizza un modulo di contatto in WordPress, potrebbe essere necessario aggiungere ulteriori misure di trasparenza. Ciò è particolarmente vero se memorizzate le voci del modulo o utilizzate i dati per scopi di marketing.

Ecco alcuni elementi da considerare per rendere i vostri moduli WordPress conformi al GDPR:

• Ottenere il consenso esplicito degli utenti per memorizzare le loro informazioni.
• Ottenere il consenso esplicito degli utenti se si intende utilizzare i loro dati per scopi di marketing, ad esempio per aggiungerli alla propria lista di e-mail.
• Disattivare i cookie, gli user-agent e il tracciamento IP per i moduli.
• Rispettare le richieste di cancellazione dei dati.
• Assicuratevi di aver stipulato un accordo per l’elaborazione dei dati con i fornitori di moduli se utilizzate una soluzione di moduli SaaS.

La buona notizia è che non è necessario organizzare un accordo sul trattamento dei dati se si utilizza un plugin di WordPress come WPForms, Gravity Forms o Ninja Forms.

Questi plugin memorizzano le voci dei moduli nel database di WordPress, quindi è sufficiente aggiungere una casella di controllo del consenso con una spiegazione chiara per rimanere conformi al GDPR.

WPForms, il plugin per i moduli di contatto che utilizziamo su WPBeginner, ha apportato diversi miglioramenti al GDPR per semplificare l’aggiunta di un campo di consenso GDPR, la disabilitazione dei cookie utente, la disabilitazione della raccolta degli IP utente e la disabilitazione delle iscrizioni con un solo clic.

Potete consultare la nostra guida passo passo su come creare moduli conformi al GDPR in WordPress.

Moduli Opt-in per l’email marketing

Come per i moduli di contatto, se avete moduli di opt-in per l’email marketing come popup, barre fluttuanti, moduli in linea e altri, dovete assicurarvi di ottenere il consenso esplicito degli utenti prima di aggiungerli alla vostra lista.

Questo può essere fatto da entrambi:

1. Aggiunta di una casella di controllo che l’utente deve cliccare prima di effettuare l’opt-in.
2. Richiedendo semplicemente una doppia iscrizione alla vostra lista di e-mail.

Le migliori soluzioni di lead-generation come OptinMonster hanno aggiunto caselle di controllo per il consenso GDPR e altre funzioni necessarie per aiutarvi a rendere i vostri moduli opt-in conformi.

Potete leggere ulteriori informazioni sulle strategie GDPR per i marketer sul blog di OptinMonster.

Negozi eCommerce e WooCommerce

Se utilizzate WooCommerce, il più popolare plugin di eCommerce per WordPress, dovete assicurarvi che il vostro sito web sia conforme al GDPR.

Fortunatamente, il team di WooCommerce ha preparato una guida completa per i proprietari di negozi per aiutarli a essere conformi al GDPR.

Annunci di retargeting

Se il vostro sito web utilizza pixel di retargeting o annunci di retargeting, dovrete ottenere il consenso dell’utente.

È possibile farlo utilizzando un plugin come Cookie Notice. Potete trovare istruzioni dettagliate nella nostra guida su come aggiungere un popup sui cookie in WordPress per il GDPR/CCPA.

Caratteri di Google

I font di Google sono un ottimo modo per personalizzare la tipografia del vostro sito WordPress.

Tuttavia, Google Fonts è stato trovato in violazione delle norme GDPR. Questo perché Google registra l’indirizzo IP del visitatore ogni volta che viene caricato un font.

Fortunatamente, ci sono alcuni modi per gestire questa situazione in modo che il vostro sito web sia conforme al GDPR. Ad esempio, è possibile caricare i font in locale, sostituire Google Fonts con un’altra opzione o disabilitarli.

Per sapere come fare, consultate la nostra guida su come rendere Google Fonts compatibile con la privacy.

I migliori plugin WordPress per la conformità al GDPR

Esistono diversi plugin per WordPress che possono aiutarvi ad automatizzare alcune parti della conformità al GDPR.

Tuttavia, nessun plugin può offrire una conformità al 100% a causa della natura dinamica dei siti web.

Diffidate di qualsiasi plugin per WordPress che affermi di offrire il 100% di conformità al GDPR. Probabilmente non sanno di cosa stanno parlando ed è meglio evitarli completamente.

Di seguito è riportato il nostro elenco di plugin consigliati per la conformità al GDPR:

• Se utilizzate Google Analytics, vi consigliamo di utilizzare MonsterInsights e di attivare il suo addon per la conformità all’UE.
• WPForms è il plugin per moduli di contatto WordPress più semplice da usare e offre campi GDPR e altre funzionalità.
• Cookie Notice è un popolare plugin gratuito per aggiungere un avviso sui cookie dell’UE e si integra bene con i migliori plugin come MonsterInsights e altri.
• GDPR Cookie Consent vi permette di creare una barra di avviso sul vostro sito in modo che l’utente possa decidere se accettare o rifiutare i cookie e copre sia il CCPA che il GDPR.
• WP Frontend Delete Account è un plugin gratuito che consente agli utenti di eliminare automaticamente il proprio profilo sul vostro sito.
• OptinMonster è un software avanzato per la generazione di lead che offre funzioni di targeting intelligenti per aumentare le conversioni ed è conforme al GDPR.
• PushEngage consente di inviare messaggi push mirati ai visitatori dopo che hanno lasciato il sito ed è pienamente conforme al GDPR.
• Smash Balloon vi offre un modo conforme al GDPR per incorporare feed live e mostrare post da Facebook, Twitter, Instagram, YouTube, TripAdvisor e altro ancora.
• Invece di caricare i pulsanti di condivisione predefiniti con i cookie di tracciamento, il plugin Shared Counts carica pulsanti di condivisione statici e visualizza il conteggio delle condivisioni.

Troverete altre opzioni nella nostra selezione dei migliori plugin WordPress GDPR per migliorare la conformità.

Continueremo a monitorare l’ecosistema dei plugin per vedere se qualche altro plugin per WordPress si distingue e offre caratteristiche sostanziali di conformità al GDPR.

Pensieri finali

Il GDPR è in vigore da maggio 2018.

Forse avete il vostro sito web WordPress da un po’ di tempo e state lavorando per la conformità al GDPR. Oppure avete appena iniziato a creare un nuovo sito web.

In ogni caso, non c’è bisogno di farsi prendere dal panico. Continuate a lavorare per la conformità e fatelo il prima possibile.

Potreste essere preoccupati per le multe elevate. Ricordate che il rischio di essere multati è minimo. Sul sito web dell’Unione Europea si legge che prima si riceve un avvertimento, poi un richiamo e le multe sono l’ultimo passo se non si rispetta e si ignora consapevolmente la legge.

Ricordate che l’UE non vi sta cercando. Lo sta facendo per proteggere i dati degli utenti e ripristinare la fiducia dei cittadini nelle aziende online.

Poiché il mondo diventa digitale, abbiamo bisogno di questi standard. Con le recenti violazioni dei dati di grandi aziende, è importante che questi standard vengano adattati a livello globale.

Sarà un bene per tutte le parti coinvolte. Queste nuove regole contribuiranno a rafforzare la fiducia dei consumatori e, di conseguenza, a far crescere la vostra attività.

Speriamo che questo tutorial vi abbia aiutato a capire come diventare conformi al GDPR sul vostro blog WordPress. Vi consigliamo di consultare anche le nostre guide di esperti su come rendere il vostro sito web conforme al GDPR.

Guide di esperti per rendere il vostro sito WordPress conforme al GDPR

• Come aggiungere una casella di controllo per la privacy dei commenti GDPR in WordPress
• Come aggiungere un popup sui cookie in WordPress per il GDPR/CCPA
• Come sapere se il vostro sito Web WordPress utilizza i cookie
• Come creare moduli conformi al GDPR in WordPress
• Come rendere i font di Google compatibili con la privacy
• Come disattivare i font di Google sul vostro sito web WordPress
• Come aggiungere un’informativa sulla privacy in WordPress

Se questo articolo vi è piaciuto, iscrivetevi al nostro canale YouTube per le esercitazioni video su WordPress. Potete trovarci anche su Twitter e Facebook.

Risorse aggiuntive

• Isteria da GDPR Parte I e Parte II di Jacques Mattheij
• Infografica sulla protezione dei dati della Commissione europea
• Principi del GDPR della Commissione europea
• GDPR e MonsterInsights: tutto quello che c’è da sapere sulla conformità GDPR di Google Analytics
• Funzionalità di miglioramento GDPR per WPForms – tutto ciò che dovete sapere sulla conformità GDPR per i vostri moduli WordPress
• WooCommerce e il GDPR: tutto quello che c’è da sapere sulla conformità al GDPR per il vostro negozio online
• OptinMonster e il GDPR – tutto quello che c’è da sapere sulla conformità al GDPR e sui moduli opt-in per l’email marketing