GDPR e blog: indicazioni base per l’adeguamento. Come si è adeguato WordPress

GDPR e blog: indicazioni base per l’adeguamento. Come si è adeguato WordPress

Approvata già nel 2016, la regolamentazione ufficiale nota come General Data Protection Regulation (GDPR)  si integra con la precedente Directive 95/46/EC europea introdotta nel lontano 1995, e tende a sostituirne ed aggiornare, almeno in parte, lo spirito. Lo scopo del GDPR è quello di potenziare sicurezza e privacy degli utenti finali dei nostri servizi online, prevedendo e pianificando per ogni stato europeo la possibilità di introdurre nuove ed ulteriori (più precise) regolamentazione in fatto di privacy.

Come si pone un sito in WordPress nei confronti della normativa? Non è facile rispondere in modo netto alla domanda, ma gli strumenti stanno approdando progressivamente su questa piattaforma in modo open source e gratuito, come al solito. WP ricorda che:

È tua responsabilità scrivere una privacy policy comprensiva, per assicurarsi che rifletta tutti i requisiti legali nazionali e internazionali sulla privacy, e per mantenere la vostra policy attuale e accurata.

Del resto ogni  valutazione in merito al GDPR andrebbe – non mi stancherò mai di ripeterlo – effettuata caso per caso, ma come ho già scritto in altre occasioni già è moltissimo riuscire ad evitare tante bad practices diffuse che rendono, di fatto, non coerente con il GDPR troppi siti web (ad esempio quelli che in modo scellerato salvano in chiaro le password degli utenti, e ce ne sono ancora troppi che lo fanno, inclusi siti istituzionali).

Nota: si specifica che quella che segue, ancora una volta, non è un parere legale e non è la soluzione definitiva a tutti i problemi: la questione, peraltro, sembra essere molto soggettiva e variabile a seconda dei contesti. In pratica, ogni sito finisce per fare storia a sè. Per cui, attenendomi a quelli che sono i regolamenti del GDPR per come sono riuscito ad intenderli, cercherò di estrarne i punti salienti nella speranza che possa essere utile ai tanti che ancora non sanno bene cosa fare.

WordPress ed il GDPR

Che WordPress dovesse, a livello di CMS open source tra i più utilizzati al mondo, adeguarsi rapidamente alla normativa per il GDPR era praticamente scontato: già era trapelata qualche notizia a riguarda, ma si trattava più che altro di indicazioni del tutto generiche e di richieste da parte degli utenti e dei webmaster di WordPress sul fatidico “come regolarsi”. Dopo qualche tempo, WP ha risposto in modo abbastanza costruttivo alla richiesta, fornendo sia gli strumenti per un adeguamento tecnico che per uno (altrettanto importante) informativo e formale.

Il senso del GDPR, del resto, sembra essere proprio quello di obbligare i siti web a dare strumenti adeguati agli utenti finali per gestirsi nella massima autonomia la privacy del propri dati personali, e per fare questo è necessario informarli adeguatamente su tutto quello che il sito “fa” con i dati degli utenti.

Nota: l’adeguamento al GDPR non è automatico (apparentemente in nessun caso), quindi non basta aggiornare WP per adeguarsi; questo proprio per la natura della normativa, che è del tutto generica.

Nuova sezione per esportare i dati personali

Una delle sezioni più importanti per il nuovo WordPress adeguato al GDPR è la possibilità di esportare i dati degli utenti, come è possibile vedere dalla screenshot successiva.

Tra le opzioni troviamo infatti una nuova colonna, l’ultima, nella sezione Strumenti, le sezioni:

  • Esporta dati personali;
  • Cancella dati personali;

che offrono funzionalità di esportazione dei dati per il richiedente, ed eventualmente di totale cancellazione dei dati stessi dal database.

WordPress dalla versione 4.9.6 fornisce la sezione Privacy

Per rendere il proprio sito adeguabile al GDPR bisogna installare una versione di WordPress che sia superiore o uguale alla 4.9.6, la quale ha introdotto una sezione Privacy all’interno del proprio sito web, che potete trovare dentro Impostazioni nel backend del vostro sito (sotto Permalink, di norma).

La pagina del trattamento dei dati (pagina Privacy)

Il requisito fondamentale per avere il proprio blog in WordPress adeguato al GDPR è quello di inserire, come prima cosa, una pagina di privacy policy, che ad esempio potete ricavare dalla pagina sul trattamento dei cookie e crearne una, in tal senso, unica. I cookie sono parte integrante del trattamento dei dati per qualsiasi sito web, e già da tempo è nota la distinzione tra cookie di profilazione (che servono ad esempio ad inviare pubblicità contestuali con gusti e preferenze dell’utente) e cookie tecnici (che invece servono a far funzionare il sito, il carrello dell’e-commerce e così via).

La cosa che potrete fare all’interno di questa sezione è quella di specificare quale pagina del vostro sito riporti le condizioni per il trattamento dei dati personali degli utenti. Basta selezionarla dalla lista e poi cliccare su Usa questa pagina (se sperabilmente ne avete già una fatta in passato), se invece non ne avete ancora una potrete ovviamente crearla sul momento e poi linkarla.

Ecco un esempio concreto di questa semplice sezione.

Modello base di pagina per la privacy

Ma cosa bisognerebbe mettere nella pagina specifica per la privacy del GDPR? WordPress fornisce un template o modello base da adattare per il vostro sito web, che potrete adattare caso per caso. Il link per raggiungere questa pagina si trova all’interno della pagina della Privacy di cui si parlava poco fa, ma per raggiungerla facilmente basta scrivere subito dopo il nome del vostro sito, nella barra degli indirizzi:

/wp-admin/tools.php?wp-privacy-policy-guide

Il testo di esempio riportato all’interno del sito, una volta  potrebbe aiutarti a creare la tua privacy policy personalizzata, fermo restando che dipende essenzialmente dai servizi che offrite con il vostro sito, soprattutto se date la possibilità al pubblico di interagire con il sito, ad esempio mediante commenti e recensioni.

Le sezioni da inserire sono le seguenti, almeno al momento della scrittura dell’articolo.

  • Chi siamo: per cominciare, qui suggeriscono di inserire ad es. L’indirizzo del nostro sito web è: https://nomedelsito.it.
  • Sezione Quali dati personali raccogliamo e perché li raccogliamo, ovvero Commenti, Media, Contatti, Cookie e Contenuti embeddati da altri siti. Senza entrare troppo nel dettaglio, è importante specificare come trattiate i commenti (ad esempio scrivendo che i commenti diventano parte integrante del sito web, e dovrebbero sempre potersi cancellare su richiesta dell’interessato, via procedura automatica), cosa comporti la sezione upload Media, se disponibile (WP suggerisce ad esempio di avvisare l’utente finale che le fotografie geolocalizzate è meglio non caricarle), la sezione Contatti e quella Cookie (valgono la maggioranza degli avvisi sulla normativa per i cookie e le varie distinzioni proposte dal Garante Italiano per la privacy, in teoria), e sui contenuti incorporati da altri siti WP suggerisce di chiarire che “Questi siti web possono raccogliere dati su di te, usare cookie, integrare ulteriori tracciamenti di terze parti e monitorare l’interazione con quel contenuto incorporato, incluso il tracciamento della tua interazione con il contenuto incorporato se hai un account e hai effettuato l’accesso a quel sito web.“. Avrei messo “potrebbero” invece di “possono“, perchè mi pare più coerente quantomeno col mio spirito e modo di vedere le cose, ma la sostanza mi pare valida.
  • Analytics: parte delicata, ma qui se usate un servizio esterno dovrà essere lui ad adeguarsi ed informare gli utenti, mettendo eventualmente a disposizione ulteriori strumenti per la gestione della privacy. Si suggeriscono almeno le seguenti sezioni, da riempire ed adattare caso per caso: Con chi condividiamo i tuoi dati, Per quanto tempo conserviamo i tuoi dati, Quali diritti hai sui tuoi dati, Dove spediamo i tuoi dati. Dovrebbe bastare rispondere in modo chiaro alle domande proposte, di fatto, e riuscirete a compilare e creare in autonomia la sezione richiesta; ricordatevi che siete obbligati a farlo su qualsiasi sito, ormai, e che non si tratta di burocratese, non deve essere burocratese perchè la chiarezza con l’utente finale è uno dei punti cardine. Spiegate tutto nella massima trasparenza, è il mio suggerimento.
  • Informazioni di contatto: qui bisognerà spiegare, con il medesimo spirito del punto precedente, che misure protettive adattiate nel vostro sito (se non ne usate o non sapete cosa siano, è il caso di iniziare a farlo: firewall, antispam, protezione del login, aggiornamenti costanti sul sito degli update di sicurezza ecc.), stessa cosa per Quali procedure abbiamo predisposto per prevenire la violazione dei dati, Da quali terze parti riceviamo dati, Quale processo decisionale automatizzato e/o profilazione facciamo con i dati dell’utente (se ne fate, ovviamente), ed eventualmente Requisiti di informativa normativa del settore.

Conclusioni

Mi auguro di non aver creato ulteriore confusione sull’argomento e, anzi, di aver dipanato almeno qualche dubbio in merito a questo complicato adeguamento. Potete vedere uno specifico esempio – da me scritto e adattato – per questo sito dell’adeguamento alla normativa a questo indirizzo.

Ti piace questo articolo?

0 voti

Su Trovalost.it puntiamo sulla qualità dei contenuti da quando siamo nati: la tua sincera valutazione può aiutarci a migliorare ogni giorno.