Il GDPR dal punto di vista di WordPress

In questo articolo vedremo come Il GDPR dal punto di vista di WordPress ( GDPR Privacy 2018 ), quali sono i metodi e gli strumenti tecnici a disposizione per essere in regola con Il GDPR dal punto di vista di WordPress, e qualche piccolo trick per migliorare la fruibilità di alcuni plugin.

Cos'è il GDPR

GDPR è l’acronimo di General Data Protection Regulation
Regolamento generale sulla protezione dei dati

Si tratta di un regolamento attraverso il quale la Commissione Europea intende rafforzare la protezione dei dati personali di cittadini dell’Unione Europea.

Il testo, adottato il 27 aprile 2016, è efficace a partire dal 25 maggio 2018. (Art. 99 p. 2)

Il regolamento affronta anche il tema dell’esportazione di dati personali al di fuori dell’UE e obbliga tutti i titolari del trattamento dei dati (anche con sede legale fuori dall’Unione europea ma che trattano dati di residenti nell’Unione europea) ad adempiere agli obblighi previsti dal regolamento.

Con il GDPR la Commissione Europea intende restituire ai cittadini il controllo dei propri dati personali e rendere omogenea la normativa privacy dentro l’UE.

Il GDPR in Italia sostituisce e abroga le norme del codice per la protezione dei dati personali (DLgs. 196/2003) con esso incompatibili.

E’ possibile prendere visione del testo integrale comparso sulla Gazzetta Ufficiale dell’unione Europea cliccando qui.

Come adeguare il sito al GDPR?

(Quindi cosa devo fare?)

Innanzi tutto la prima cosa da fare (se non si parla il legalese) è rivolgersi ad un consulente legale che vi aiuti a stilare la vostra privacy policy e vi aiuti a capire in che modo (se ne avete bisogno) modificare la gestione dei dati personali delle persone con le quali lavorate (inteso come dipendenti, clienti, fornitori ecc..) nei cicli produttivi aziendali.

Ciò che io vi posso dire è come questi dati a livello informatico devono essere trattati, e cosa bisogna fare per non violare la legge sotto il punto di vista tecnico/informatico:

  1. E’ necessario scrivere (o farsi scrivere) una privacy policy e pubblicarla sul sito, preferibilmente in maniera evidente (principio di trasparenza: motivo 58)
  2. E’ necessario richiede agli utenti l’accettazione della privacy in qualsiasi form sia presente sul sito (compresi form di commenti, di acquisto, di richiesta preventivo ecc..).
    Dando la possibilità agli utenti di decidere se i loro dati possono venir eventualmente utilizzati, oltre che per lo scopo evidente (esempio richiesta preventivo) anche per l’invio di newsletter, materiale pubblicitario, o altro.
  3. Inoltre il GDPR impone l’informazione chiara per l’utente riguardante:
    • Il tipo di utilizzo dei suoi dati
    • I metodi di rimozione / modifica / portabilità dei dati presenti negli archivi
    • Il tempo di permanenza di questi dati nei nostri archivi
    • Il metodo adottato per mantenere i loro dati al sicuro

    Su quest’ultimo punto, considerando il fatto che noi (in quanto titolari del trattamento dei dati) siamo i responsabili della sicurezza delle informazioni personali presenti all’interno dei nostri archivi, sarà necessario verificare se i form presenti nel nostro sito salvano i dati sul database, ed in questo caso, garantire e dimostrare che abbiamo eseguito le corrette procedure per la messa in sicurezza.

    Un esempio può essere il Plugin Gravity Form, questo di default salva i dati all’interno del database permettendo così l’amministratore di avere un archivio delle richieste ricevute, molto comodo non c’è che dire..

    Ma come fare ad assicurare sicurezza ai dati e per verificare il tempo di permanenza?

    A tale scopo ci vengono in aiuto due addons free per gravity form:

    Gravitate Encryption: Attraverso questo plugin avrete la possibilità di criptare i dati dei vostri utenti presenti nel database attraverso una Chiave crittografica, oltre che delocalizzare queste informazioni su un database separato dal db di wordpress, il tutto in pochissimo tempo… Molto molto comodo.

    Entry Expiration for Gravity Forms: Questo Addon vi darà la possibilità di definire il tempo di permanenza delle registrazioni nei vostri moduli singolarmente.
    E’ molto semplice da utilizzare, troverete le opzioni disponibili nella voce impostazioni di ogni singolo modulo.

    Sempre riguardo al discorso della sicurezza dei dati inoltre, vi consiglieri di impostare sul vostro sito un certificato SSL, questo farà in modo che le comunicazioni inviate dal browser dell’utente al vostro server siano criptate, facendo questo inoltre noterete anche dei notevoli miglioramenti sotto il punto di vista SEO.

WordPress 4.9.6

La Relase 4.9.6 di WordPress ha aggiunto alcune funzionalità che sono in grado di aiutarci nella gestione dei processi informativi, di gestione e log dei dati presenti sui nostri siti.

In particolare la nuova relase (per quanto riguarda il GDPR):

  • aggiunge la voce privacy nel menu impostazioni di WP, tramite questa voce è possibile far generare a WordPress una privacy policy in linea con le caratteristiche della propria installazione.
    (Sinceramente io sconsiglio l’utilizzo di questo metodo per redigere la propria privacy policy, se non volete spendere soldi da un legale piuttosto utilizzate il servizio iubenda, o comunque dopo aver redatto la propria privacy policy con questo strumento fatevela validare da un professionista)
  • Aggiunge una casella di spunta nel modulo di inserimento di un nuovo consenso
    Do il mio consenso affinché un cookie salvi i miei dati (nome, email, sito web) per il prossimo commento.
  • Viene data la possibilità di gestire i dati personali degli utenti iscritti al sito web
    (Strumenti -> Esporta dati personali e Strumenti -> Cancella dati personali)

a parer mio ancora molto bisogna fare per poter dire che WordPress nativamente è GDPR Compliance, ma è significativo il fatto che siano cominciati sviluppi in merito a questo aspetto, al quale fino ad oggi, bisogna riconoscerlo, non era stata data grande importanza.

Sicuramente queste nuove features potranno aiutare tutti coloro che prevedono una iscrizione al sito da parte degli utenti.

E i cookie?

In realtà il GDPR non modifica la vecchia normativa della Cookie law.

In estrema sintesi la Cookie law è quella normativa per merito della quale tutti i siti hanno cominciato a mostrare dei banner che ci informano sull’utilizzo dei cookie da parte loro ecc.. ecc..

Il problema è che fino ad oggi, tali banner (erroneamente perchè ciò che sto per dire era già previsto) non effettuavano realmente un blocco dei cookie preventivo ed il consenso non era esplicito ed informato.

Qualcuno addirittura (in molti a dir la verità) si era inventato la frase: “se prosegui con la navigazione (o scrolli) darai il tuo tacito assenso”… in realtà questo era sbagliato anche prima.

Il problema per i WordPressiani (mi piace questo termine, proverò a chiedere all’accademia della crusca cosa ne pensa) è che al tempo della “bufera” cookie law sono usciti molti plugin che non facevano altro che far spuntare un bel bannerino informativo (senza alcun blocco preventivo).

Con l’avvento del GDPR diciamo che qualcuno si è posto la domanda, e quindi il consenso informato dei cookie sta “finalmente” emergendo in maniera corretta nel panorama dei siti web.

Quali caratteristiche deve avere quindi il banner della cookie law?

  1. deve informare l’utente sulla tipologia di cookie utilizzati (eventualmente linkando alla cookie policy)
  2. deve bloccare i cookie (non tecnici) fino a quando l’utente non da il consenso
  3. deve prevedere un’azione di scelta Accettazione da parte dell’utente

Inoltre, deve essere possibile, in maniera semplice gestire la scelta effettuata ed eventualmente cambiarla (in realtà questo non era previsto dalla cookie law, ma nel rispetto del principio di trasparenza mi sembra d’uopo tenerla in considerazione).

Nella mia esperienza sino ad oggi ho potuto provare, testare ed in alcuni casi customizzare due metodi per fare ciò.

Il primo è stato l’utilizzo del servizio Cookiebot:

si tratta di un servizio gratuito per siti che non superano le 100 pagine, il servizio effettua una scansione automatica del progetto web e fornisce un banner già formattato a seconda le esigenze riscontrate.

Il banner è molto carino, e dalle impostazioni, è possibile decidere se far scegliere all’utente quali cookie attivare e quali invece bloccare, oppure se dare semplicemente la scelta accetta/non accetta o ancora, la sola scelta di accettazione (quest’ultima è quella effettivamente richiesta dalla cookie law, la scelta granulare sulla tipologia dei cookie è una finezza non richiesta, a voi la scelta).

Accedendo alle impostazioni del servizio potrete accedere ad un guida che vi spiegherà come poter effettuare il blocco dei cookie in maniera preventiva. a tal proposito consiglio di seguire l’ottimo tutorial di Matteo Zambon che  vi spiegherà come poter integrare TagManager a cookiebot.

Ecco alcuni più problemi più comuni (con relative soluzioni) riscontrati durante l’utilizzo di cookiebot:

  • Effettuando la scansione del sito, il sistema informava che il sito ha più pagine di 100 pagine, quando effettivamente il sito se arriva a 50 pagine è tanto… (questo naturalmente è un problema perchè fa passare dal piano free a quello a pagamento).
    Dovete sapere che WordPress crea pagine per qualsiasi cosa, pagine per le categorie, pagine per i tag e soprattutto pagine per i media.
    Se per le pagine dei tag e delle categorie spesso non ci si può far nulla (in quanto utilizzate effettivamente nel sito)
    non è necessario avere delle pagine per ogni singola immagine caricata sul sito.
    L’eliminazione di queste pagine inutili è possibile effettuarla installando il plugin smart Attachment Page Remove, questo plugin una volta installato ed attivato non ha bisogno di alcuna configurazione.Vi consiglio di fare prima di tutto un backup del sito, successivamente installate ed attivate il plugin per eliminare le pagine media di WordPress.
    A questo punto Verificate che il sito non dia problemi, e rifate la scansione del vostro WordPress, con cookiebot dovreste notare una evidente diminuzione delle pagine scansionate.

Purtroppo non tutti i siti hanno il limite delle 100 pagine, e purtroppo non tutti coloro che hanno un sito di più di 100 pagine hanno la possibilità di sborsare dalle 9 alle 37 euro al mese per avere a disposizione il servizio cookiebot, per questo motivo sono andato alla ricerca di altro, e sono incappato in Ginger Plugin.

Questo plugin a differenza di cookiebot non ha bisogno di interventi esterni per poter bloccare preventivamente i cookies, inoltre supporta i siti multi lingua ed è piuttosto semplice da configurare. Vi rimando ad una delle molteplici guide trovate in rete per la configurazione del Plugin Ginger. Una di queste molto semplice da seguire è quella trovata su gestionewp

Purtroppo però Ginger ha un difetto a parer mio, cioè non gestisce in alcun modo il diritto di Revoca del consenso, ho quindi studiato una soluzione per poter rendere Ginger conforme:

Innanzi tutto vediamo cosa vogliamo fare:
Il nostro scopo sarà quello di far comparire un link che permetta agli utenti di revocare i permessi alla gestione dei cookie, questo link dovrà comparire solo se i cookie sono stati precedentemente accettati dall’utente altrimenti deve essere non visibile.

Per fare ciò purtroppo dovremo agire sul codice, ma niente paura, l’unico file che dovremo andare a toccare sarà il file function.php del vostro tema child ( perchè stato usando un tema child vero? ).

Una volta aperto il file function.php, posizionatevi in fondo ed incollate quanto segue:

add_action('wp_footer', 'controllo_consenso');
function controllo_consenso(){
if($_COOKIE['ginger-cookie']){
echo '<a href="?delcookie" id="delcookie" style="color:white;">Per resettare le tue preferenze sui cookie clicca qui</a>';
}
};

Questa funzione verifica la presenza del cookie ginger-cookie e nel caso di esito positivo visualizza il codice contenente il link per la rimozione dei cookie.

Come potete notate la funzione nell’esempio è agganciata all’hook (per vedere una lista completa dei WordPress Hook preimpostati potete dare un occhiata al Codex ufficiale) wp_footer, questo inserirà il codice nel footer del nostro tema, naturalmente voi potrete utilizzare l’hook più adatto alle vostre esigenze (ed a quelle del tema in uso).

subito dopo la funzione bisognerà dire a wordpress come si deve comportare nel caso in cui venga ricevuta in get la variabile delcookie (cioè dovrà cancellare il cookie del consenso).

Inserite quindi il codice il seguente codice subito dopo la funzione appena messa nel file function.php


if(isset($_GET['delcookie'])){
unset($_COOKIE['ginger-cookie']);
setcookie('ginger-cookie',null,-1,'/');
wp_redirect( home_url() ); exit;
}

Salvate il tutto, caricate sul server e provate accedendo alla home del vostro sito. (ps. a seconda delle impostazioni date a Ginger potreste dover essere sloggati per poter visualizzare il banner)

Mi auguro che questo articolo vi sia piaciuto e vi abbia aiutato, nel caso di dubbi scrivetemi pure rimango a vostra disposizione.

Antonio

Il GDPR dal punto di vista di WordPress ( GDPR Privacy 2018 ) ultima modifica: 2018-05-26T20:11:58+00:00 da Antonio Scherillo

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

cinque × 4 =