25 maggio 2018: entrerà in vigore il GDPR

  • -

25 maggio 2018: entrerà in vigore il GDPR

Category:Novità Tags : 

Il 25 maggio 2018 entrerà in vigore il GDPR (Regolamento generale sulla protezione dei dati) emanato dall’UE. Il tuo sito web WordPress è adeguato a GDPR? Quali sono i passi che devi compiere per assicurarti di seguire le linee guida? Cosa succede se trascuri di adeguarti?

GDPR è l’acronimo di General Data Protection Regulation ed è una nuova legge sulla protezione dei dati nell’UE, che entrerà in vigore il 25 maggio 2018.

Lo scopo del GDPR è di dare ai cittadini dell’UE il controllo sui propri dati personali e cambiare l’approccio delle organizzazioni in tutto il mondo verso la riservatezza dei dati.

Il GDPR impone regole molto più severe delle leggi esistenti ed è molto più restrittivo della “legge sui cookie dell’UE”.

Ad esempio, gli utenti devono confermare che i loro dati possono essere raccolti, ci deve essere una chiara politica sulla privacy che mostra quali dati saranno archiviati, come saranno utilizzati e fornire all’utente il diritto di revocare il consenso all’uso di dati personali (cancellando di conseguenza i dati), se necessario.

La legge GDPR si applica ai dati raccolti sui cittadini dell’UE di qualsiasi parte del mondo. Di conseguenza, un sito Web con visitatori o clienti dell’UE deve essere conforme al GDPR, il che significa che praticamente tutti i siti Web e le aziende devono rispettare la nuova normativa.

Per comprendere meglio il regolamento, è bene dare un’occhiata alla pubblicazione dei regolamenti nella Gazzetta ufficiale dell’Unione europea, che definisce tutti i termini relativi alla legge.

Un altro link utile:

 

Ci sono due aspetti principali del GDPR: “dati personali” e “elaborazione di dati personali”. Ecco cosa vuol dire rapportato all’uso di un sito web WordPress:

  • i dati personali riguardano “qualsiasi informazione relativa a una persona fisica identificata o identificabile” – come nome, indirizzo di posta elettronica, indirizzo o persino un indirizzo IP,
  • mentre il trattamento di dati personali si riferisce a “qualsiasi operazione o insieme di operazioni eseguite su dati personali”. Pertanto, la semplice operazione di memorizzazione di un indirizzo IP sui registri del server Web – cosa che si verifica quando visitiamo un sito web – costituisce l’elaborazione dei dati personali di un utente.

Il GDPR dovrebbe essere preso sul serio?

I proprietari dei siti web hanno tempo fino al 25 maggio 2018 per rispettare i regolamenti stabiliti dal GDPR. La sanzione per inadempienza può essere pari al 4% del fatturato globale annuo, fino a un massimo di 20 milioni di euro.

Vi sono varie sezioni di penalità in base alla gravità della violazione, che sono state descritte nella sezione FAQ del portale GDPR .

Una quantità così elevata di sanzioni è stata proposta per aumentare la conformità. Tuttavia, ci si potrebbe chiedere quali siano i passaggi per la supervisione dei siti web. Saranno istituite autorità di controllo (SA) di diversi Stati membri, con il pieno appoggio della legge. Ogni stato membro può avere più SA, a seconda delle strutture costituzionali, amministrative e organizzative. Ci sono vari poteri che le SA avranno:

  • effettuare verifiche sui siti Web,
  • emettere avvisi per non conformità,
  • emettere misure correttive da seguire con scadenze.

Le SA hanno sia poteri investigativi che correttivi per verificare la conformità alla legge e suggerire modifiche per essere conformi.

È troppo presto per speculare su come le SA di vari Stati membri interagirebbero e lavorerebbero insieme, ma un aspetto è chiaro; le SA godrebbero di un notevole potere per far rispettare le linee guida GDPR.

Ovviamente la GDPR, se si legge il testo di legge, non è relativa solo ai dati raccolti da un sito web e conservati su esso. Coinvolge di fatto tutti i sistemi aziendali relativi a dati personali raccolti per qualsiasi fine, anche quelli dei propri dipendenti, ad esempio.

Merita quindi una lettura il testo della Legge (in italiano)

REGOLAMENTO (UE) 2016/679

 

I dettagli della conformità a GPRD per il tuo sito WordPress

Prendiamoci un momento per parlare di come accertarsi, ovvero di come mi sto accertando sito per sito e componente per componente, se ciascuno di essi sia conforme e che non si verifichino problemi con GPRD.

Alcuni modi usuali in cui un sito WordPress standard può raccogliere dati utente è:

  • registrazioni dell’utente,
  • commenti,
  • voci del modulo di contatto,
  • analisi e soluzioni del registro di traffico,
  • qualsiasi altro strumento di registrazione e plugin,
  • strumenti di sicurezza e plugin.

Ecco alcuni aspetti chiave del GDPR che devono essere all’attenzione di chi possiede un sito web:

(a) Notifica di violazione

Ai sensi della conformità GDPR, se il tuo sito web sta subendo una violazione dei dati di qualsiasi tipo, tale violazione deve essere comunicata ai tuoi utenti.

Una violazione dei dati può comportare un rischio per i diritti e le libertà delle persone, a causa della quale è necessario informare tempestivamente gli utenti. Ai sensi del GDPR, una notifica deve essere inviata entro 72 ore dalla prima conoscenza di una violazione. I processori di dati sono inoltre tenuti a informare gli utenti e i responsabili del trattamento dei dati, immediatamente dopo aver preso conoscenza di una violazione dei dati.

In uno scenario WordPress, se si nota una violazione dei dati, è necessario notificare a tutti gli interessati dalla violazione entro questo intervallo di tempo di 72 ore. Tuttavia, la complessità qui è la definizione del termine “utente” che può costituire i normali utenti del sito web, voci del modulo di contatto e potenzialmente anche commentatori e acquirenti del sito se è un e-commerce.

Questa clausola del GDPR crea quindi un requisito legale per valutare e monitorare la sicurezza del tuo sito web. Il modo ideale è monitorare i registri del traffico web e del server web, ma l’opzione pratica è usare il plugin di Wordfence con le notifiche attivate. In generale, questa clausola incoraggia a utilizzare le migliori pratiche di sicurezza disponibili per garantire che non si verifichino violazioni dei dati. Quasi tutti i siti da me sviluppati hanno questo importante plugin nella versione gratuita. Sarà mia cura dove già presente, configurarlo in modo che offra quanto richiesto dalla nuova normativa, anche se ovviamente non basterà a compiere tutto il lavoro.

(b) Raccolta, elaborazione e archiviazione dei dati

Tre elementi:  diritto di accessodiritto di essere dimenticati  e portabilità dei dati.

  • Il diritto di accesso offre una completa trasparenza nell’elaborazione e nell’archiviazione dei dati: quali dati vengono raccolti, dove questi dati sono elaborati e archiviati e il motivo alla base della raccolta, dell’elaborazione e dell’archiviazione dei dati. Gli utenti dovranno inoltre fornire una copia dei propri dati gratuitamente entro 40 giorni.
  • Il diritto all’oblio consente di cancellare i dati personali e interrompere ulteriormente la raccolta e l’elaborazione dei dati. Questo processo prevede che l’utente ritiri il consenso per l’utilizzo dei propri dati personali.
  • La clausola sulla portabilità dei dati del GDPR offre il ​​diritto di scaricare i propri dati personali, per i quali precedentemente è stato dato il consenso, e di trasmetterli ulteriormente a un altro controllore.

Incoraggio i responsabili del trattamento dei dati a rispettare le politiche sui dati che consentono l’elaborazione e l’archiviazione solo dei dati che sono assolutamente necessari. É bene per i proprietari dei siti e i responsabili del trattamento dei dati adottare politiche potenzialmente più sicure per i dati, limitando al massimo i dispositivi atti alla raccolta di tali dati sui propri siti.

Come proprietario di un sito WordPress, devi prima pubblicare una politica dettagliata su quali dati personali dei visitatori stai utilizzando, come vengono elaborati e archiviati.

Successivamente, è necessario disporre di una configurazione per fornire agli utenti una copia dei propri dati. Questa è forse la parte più difficile del processo. Tuttavia, possiamo presumere che quando sarà il momento, la maggior parte degli sviluppatori di plug-in o degli sviluppatori di strumenti – per gli strumenti e i plugin che hai sul tuo sito – avranno già presentato le loro soluzioni, pena il proprio decadimento dal mercato di WordPress.

Inoltre, in alcuni casi potrebbe essere saggio evitare l’archiviazione dei dati. Ad esempio, è possibile configurare i moduli di contatto per inoltrare direttamente tutte le comunicazioni al proprio indirizzo e-mail anziché memorizzarle in qualsiasi punto del server Web. Normalmente questa pratica è già attiva per i siti che curo, salvo qualche “deposito” di tali dati nascosto in qualche piega del database, elemento che mi sto apprestando a verificare.

(c) Uso di plug-in e implicazioni della conformità di WordPress a GDPR

Tutti i plugin attivi sul tuo sito dovranno anche rispettare le regole GDPR. Come proprietario del sito, è comunque tua responsabilità, tuttavia, assicurarti che ogni plugin possa esportare/fornire/cancellare i dati dell’utente raccolti in conformità con le regole GDPR.

Inoltre, alcuni strumenti che risiedono apparentemente al di fuori del tuo sito Web WordPress subiranno anch’essi l’impatto con la nuova normativa. Prendete, ad esempio, gli strumenti di email marketing. È prassi comune incorporarli con il proprio sito WordPress e inviare e-mail promozionali basate su un elenco di indirizzi e-mail. A seconda di come si gestisce la propria mailinglist, ovvero l’inserimento di nuovi utenti in essa, tali indirizzi potrebbero non essere stati ottenuti ottenendo il consenso esplicito degli utenti iscritti. Quante volte hai deciso di inserire nella tua mailing list un conoscente? Senza il consenso esplicito del proprietario dell’email, è una violazione.

Ad esempio, una casella di controllo selezionata per impostazione predefinita verrà considerata una violazione. Sotto GDPR, tutto ciò che fa parte della tua presenza online come ente, o anche come privato, dovrà raccogliere il consenso esplicito e avere una politica sulla privacy in atto. Ci sono anche altre implicazioni: se desideri acquistare una mailing list, invierai email illegalmente ai destinatari, poiché nessuno di loro ha chiesto esplicitamente di ricevere email da te.

Anche se la responsabilità finale spetta al proprietario del sito, lo stesso WordPress potrebbe dover esaminare i suoi processi per rendersi conforme.  Vedremo nei prossimi aggiornamenti…

Conclusioni

Per riassumere cosa significa rendere compatibile WordPress con GDPR:

  • la legge entrerà in vigore il prossimo 25 maggio 2018,
  • si applica a qualsiasi sito web che si occupa di informazioni personali degli utenti nell’UE ,
  • dà all’utente il diritto di controllare il flusso delle proprie informazioni personali,
  • ci sono processi definiti per monitorare la conformità e sono in vigore ammende enormi per non conformità.

Nondimeno, il regolamento GDPR è il passo giusto per garantire la trasparenza nella gestione dei dati. Ricorda, non adeguarsi può generare sanzioni fino a € 20 milioni o il 4% delle tue entrate globali.

Per tutti i siti WordPress di cui gestisco la manutenzione sarà mia cura verificare il comportamento di ciascun plugin installato in merito alla possibile raccolta e gestione dati dei visitatori e oltre a trovare la corretta soluzione a livello tecnico darne informazione dettagliata a ogni mio Cliente.

Chi non avesse sottoscritto un contratto per la manutenzione del proprio sito WordPress è ovviamente libero fare le scelte che preferisce, e comunque potrà contattarmi per questa questione e potremo insieme trovare la soluzione più adeguata.

A tutti consiglio comunque di consultare un legale per analizzare e vedere nello specifico come adeguarsi in base alle proprie peculiarità di gestione di tali dati, proprio perché la normativa riguarda a 360° l’attività di un ente, di cui il sito web può essere semplicemente una componente, sebbene la più visibile e pubblica.

Per ulteriori informazioni, il web fornisce non poche pagine:

 


CERCA NEL SITO

CATEGORIE ARTICOLI

DAL DIZIONARIO…

  • Sidebar

    É la “barra laterale” o sidebar: è una colonna verticale, di dimensioni più o meno ridotte rispetto al contenuto principale della pagina, presente in molti siti web e che racchiude contenuti di vario tipo, come news, link, pulsanti, banner, etc. É possibile posizionare una sidebar sulla destra oppure a sinistra rispetto al corpo (body) del

WHOIS

Verifica la disponibilità di un nome a dominio:

IL TUO DATA STORAGE

TEAMVIEWER

Hai bisogno di un aiuto sul tuo computer?

Installa TeamViewer e fatti aiutare da remoto:

QUICK SUPPORT X WINDOWS

QUICK SUPPORT X MAC

L’HOST PER IL TUO SITO

Cerchi un servizio di host altamente personalizzabile, affidabile, pronto nell'assistenza e insieme conveniente? Non è impossibile e non è fumo negli occhi: VHosting Solution è la nostra soluzione!