RGPD & WordPress : Misure tecniche da attuare subito

Torben Simon Meier Ultimo aggiornamento 25.03.2020
7 Min.
RGPD & WordPress

Il 25.05.2018 è entrato in vigore il RGPD dell'UE. Vi mostreremo le misure tecniche che dovreste implementare per far funzionare il vostro WordPresssito web in modo conforme alla legge. Senza saltare sul treno del panico, vi offriamo una panoramica delle precauzioni tecniche che consideriamo importanti sullo sfondo del DSGVO.

Update Info: Abbiamo riassunto la nostra esperienza collettiva nella conversione di RAIDBOXES ai requisiti di RGPD in un libero WordPress RGPD -Guida sommario. Questo include anche le misure tecniche WordPress di questo articolo.

linea infobox blu

Disclaimer: il nostro post sul blog non è una consulenza legale! Nel corso del nostro lavoro come hosters WordPress , ci siamo occupati molto intensamente dell'attuale normativa tedesca sulla protezione dei dati e dell'imminente UERGPD . Tuttavia, non siamo né avvocati né esperti di protezione dei dati. Per la completezza, l'attualità e l'accuratezza delle misure e dei contenuti forniti da noi, non ci assumiamo alcuna responsabilità.

Automattic WordPress  Plugins

RGPD-objectable WordPress -Plugins rimuovere e sostituire con RGPD-compliant alternatives

Anche tutti plugins forniti dalla stessa società commerciale WordPress Automattic, richiedono una valida connessione a WordPress.com e quindi un collegamento diretto non solo ai vostri dati, ma anche, ad esempio, all'IP personale dei visitatori del vostro sito web. Sono l'esempio perfetto del tipo di Pluginsche è meglio sostituire con un'alternativa conforme all'UE RGPD a partire dal 25 maggio 2018 - almeno fino a quando i produttori non avranno una versione conforme alla legge della loro Plugins pubblicare.

Esempi sono i seguenti Automattic WordPress -Plugins per tutti i rappresentanti della loro rispettiva divisione nella directory WordPress Plugin come esempio per questo articolo:

Per continuare a far funzionare il vostro sito web secondo le vostre esigenze, potete ricorrere alle seguenti alternative, che non trasmettono alcun dato personale dei vostri visitatori.

Raccogliere statistiche anonime sui visitatori

Naturalmente, vorremmo anche sapere cosa funziona particolarmente bene sul nostro sito web, cosa viene letto o condiviso, quanto tempo i visitatori rimangono o quanto è alta la frequenza di rimbalzo. Con l'UE RGPD, la situazione giuridica si fa un po' più stretta. Dovete rendere ogni visitatore del vostro sito web completamente anonimo, proprio come avete fatto secondo la precedente normativa tedesca sulla protezione dei dati. Tuttavia, nessun dato personale può essere trasferito ad altri servizi oltre a questo.

Per questo motivo, raccomandiamo Statify affinché tutti i dati personali anonimizzati rimangano sul tuo sito web e non vengano condivisi con altri servizi.

Secondo gli sviluppatori di Statify, Plugin non elabora, invia o memorizza nessun dato personale, come cookie o indirizzi IP al di fuori del tuo sito web.

Utilizzare avatar legalmente conformi per il blog e i commenti

Avatar Privacy di Johannes Freudendahl offre le seguenti caratteristiche per l'implementazione di RGPD : In primo luogo, non pubblica l'hash degli indirizzi e-mail se non c'è un account Gravatar per esso. D'altra parte, offre un opt-in o opt-out per la visualizzazione del Gravatar nei commenti e nel profilo dell'utente. Inoltre, Plugin fornisce nuovi avatar di default che sono caricati dal server locale invece che dai server gravatar.com negli Stati Uniti.

Un'alternativa è quella di disabilitare completamente i gravatars sul proprio sito web:

Tuttavia, al fine di disabilitare completamente Gravatar in WordPress , è necessario effettuare le seguenti impostazioni nell'area di amministrazione di WordPress sotto la voce di menu "Impostazioni": Scorrere verso il basso nel sottomenu sotto Discussioni fino a raggiungere la sezione Avatars. Poi disattiva la casella di controllo: "Visualizzazione avatar - Mostra avatar". Clicca su Salva per applicare le impostazioni e cancellare la cache della tua pagina. Ora il tuo sito web non deve più comunicare con wordpress.com .

Procedura di doppio opt-in per i commenti

Qui si dice in anticipo che la notifica di ulteriori commenti sul proprio commento richiede già la trasmissione dei dati. Se vuoi escludere un'interpretazione negativa di questa "zona grigia", usa il sito gratuito Plugin Subscribe to Double-Opt-In Comments. In questo modo, il visitatore deve confermare attivamente in anticipo che vuole davvero ricevere notifiche sui commenti successivi.

Limitare la protezione antispam al proprio sito web

Antispam Bee può essere utilizzato in modo conforme a RGPD se si osserva la seguente impostazione di Plugins : La funzione "Considera il database pubblico dello spam" deve essere disabilitata per evitare che gli indirizzi IP dei tuoi visitatori siano inviati al servizio Stop Forum Spam. Il filtro linguistico, che utilizza l'API di Google, è contrario al presupposto di molti protezione dei dati - tecnicamente non problematico:

Se il filtro vocale è stato attivato, le prime dieci parole di ogni commento sono inviate al servizio di riconoscimento vocale di Google. Tre parole del contenuto del commento. Non l'indirizzo e-mail, non il nome della persona che commenta, non l'indirizzo IP. In conclusione: nessun dato personale e quindi nessun problema. - Simon Kraft, membro del Pluginkollektiv

WordPress -Backup-Plugins sostituire con soluzioni alternative

Al fine di contrastare il trasferimento di dati personali ad esempio sui server statunitensi e come effetto collaterale positivo per liberare ulteriori capacità di performance del vostro sito web, vi raccomandiamo di fare a meno in futuro di speciali WordPress -backup-Plugins .

Un'alternativa migliore è quella di utilizzare i backup automatici di WordPress tramite il vostro hoster WordPress come ad esempio RAIDBOXES.

Usa il caching del server web invece del caching di WordPress Plugin

Molti cachingPlugins, compreso quello di Automattic, fanno un buon lavoro di caching del tuo sito web. Il caching permette al sito web di essere consegnato più velocemente. Tuttavia, il caching comporta anche una perdita di controllo sui dati.

Un'alternativa legalmente sicura, che assicura anche la scomparsa del pesante Plugins , è quella di utilizzare la cache lato server di hoster specializzati WordPress .

Il vantaggio: i dati sono già memorizzati al momento della consegna e si trovano almeno RAIDBOXES solo su server tedeschi con certificazione ISO 27001 garantita.

Social Media WordPress  RGPD  conforme

Prevenire i social Plugins problematici, come il pulsante "Mi piace" di Facebook, il Like Box o i widget di Twitter.

I servizi di condivisione spesso utilizzano già i dati non appena i tuoi visitatori sono sul sito web con un social attivo Plugin . Anche se un utente non ha ancora condiviso nulla, i dati vengono già trasmessi. Questo è ancora in gran parte sconosciuto, ma critico in termini di RGPD . Durante la ricerca di soluzioni conformi alla legge, ci siamo imbattuti solo in un social gratuito Plugin , che impedisce il trasferimento di dati anche prima di cliccare su un pulsante di condivisione.

Pertanto, in questo momento, si consiglia di eliminare i widget integrati di Twitter, i pulsanti Like di Facebook, o il widget Like Box e di affidarsi al Social Plugin di Shariff Wrapper per i pulsanti di condivisione nei post.

Moduli RGPD WordPress

Utilizzare i moduli di contattoPlugins come Contact Form 7 & Gravity Forms anche con l'EU RGPD

Nuovi requisiti per i moduli di contatto

Secondo il regolamento generale sulla protezione dei dati, l'invio di un modulo richiede il consenso del mittente. Non solo l'IP personale, ma anche l'indirizzo e-mail e il contenuto stesso sono considerati dati. Un opt-in per il consenso all'archiviazione dei dati può essere implementato tramite un checkbox di accettazione aggiuntivo su Contact Form 7 e Gravity Forms, per esempio, con il programma gratuito Plugin WP GDPR Compliance implementare.

A medio e lungo termine, siamo convinti che tutti i noti Plugin-sviluppatori implementeranno i regolamenti necessari per conformarsi a RGPD . Fino ad allora, RGPD-Plugins può davvero fare un buon lavoro!

Newsletter & Email Marketing RGPD WordPress

Newsletter & Email Marketing

Nei tuoi moduli di newsletter, solo l'indirizzo e-mail dovrebbe essere un campo obbligatorio, tutti gli altri dati come il nome e il cognome dovrebbero essere richiesti solo facoltativamente. Come per tutti i moduli, la procedura di double opt-in si applica anche al modulo di newsletter, così come la massima trasparenza possibile nelle informazioni su ciò che esattamente si intende fare o offrire con la newsletter.

La procedura di doppio opt-in rimane standard

Se non l'hai ancora fatto, usa sempre la procedura del doppio opt-in d'ora in poi! Con il double opt-in, il destinatario dell'email deve esplicitamente cliccare sul link in una email di conferma una seconda volta dopo la prima registrazione per essere incluso nella lista di distribuzione. Questo assicura che nessuno si registri ad una newsletter a tuo nome e che l'effettiva registrazione sia desiderata anche da te.

Misure tecniche UE RGPD

Misure tecniche al di fuori del vostro WordPress -Plugins

Crittografia SSL

La crittografia SSL non è obbligatoria in RGPD, ma senza una connessione SSL una trasmissione di dati sicura intorno al tuo sito web non è possibile. Puoi anche imparare di più su SSL nel nostro ampio Compendio SSL di Let's Encrypt.

Non vuoi impostare il certificato SSL da solo? Allora usa, per esempio, i certificati SSL di Let's Encrypt, che puoi attivare rapidamente e facilmente per il tuo sito WordPress gratuitamente con un'installazione in un solo clic.

Creare Google Analytics Opt-Out

In questo contesto, va sottolineato ancora una volta che già prima del RGPD dell'UE, il precedente RGPD, ancora valido italiani, prescriveva da anni l'anonimizzazione completa dei visitatori. Per garantire questo, il molto spesso utilizzato Google Analytics deve essere esteso con la seguente riga di codice:

ga('set', 'anonymizeIp', true);

Se il tuo snippet javascript avesse avuto questo aspetto prima:

<script>
(function(i,s,o,g,r,a,m){i['GoogleAnalyticsObject']=r;i[r]=i[r]||function(){
(i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o),
m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m)
})(window,document,'script','https://www.google-analytics.com/analytics.js','ga');
ga('create', 'UA-XXXXXXXX-X', 'auto');
ga('require', 'displayfeatures');
ga('require', 'linkid', 'linkid.js');
ga('send', 'pageview');
</script>

il codice appare così dopo averlo aggiunto:

Inoltre, dovete creare una possibilità nella vostra politica di privacy che i visitatori del vostro sito web possono essere completamente esclusi dall'analisi di Google. Potete trovare un opt-out gratuito Plugin per Google Analytics chiamato Google Analytics Opt-Out nella directory WordPress -Plugin. Questo installa un Cookie, che impedisce ad analytics.js di raccogliere i dati.

Indirizzi IP anonimizzati nei commenti dei blog

WordPress salva gli indirizzi IP degli autori dei commenti per impostazione predefinita. Tuttavia, secondo l'UE RGPD, la registrazione dell'indirizzo IP non è conforme alle norme sulla protezione dei dati. Potete utilizzare un piccolo codice PHP nelle vostre functions.php per evitare il futuro salvataggio di indirizzi IP. Si consiglia di utilizzare un bambinoTheme per questo scopo, in modo che il codice sia ancora integrato dopo il prossimo aggiornamento delle vostre Themes functions.php. Il codice da inserire è:

function  wpb_remove_commentsip( $comment_author_ip ) {
	return '';
	}
add_filter( 'pre_comment_user_ip', 'wpb_remove_commentsip' );

Infine, dovete cancellare manualmente gli indirizzi IP esistenti nel database del vostro sito web una volta in modo retroattivo. Un buon tutorial su come farlo può essere trovato qui.

L'EU RGPDO ha molti più (nuovi) requisiti per voi, in qualità di gestori di siti web, rispetto alle misure tecniche illustrate sopra sul vostro WordPresssito web.

Un buon investimento è, per esempio, l'e-book a pagamento sull'UERGPD di t3n per implementare i requisiti del Regolamento generale europeo sulla protezione dei dati in tutte le questioni che ti riguardano come imprenditore.

Apprezziamo qualsiasi feedback e commento sotto l'articolo.

Articoli correlati

Commenti su questo articolo

Scrivi un commento

Il tuo indirizzo e-mail non sarà pubblicato. I campi obbligatori sono contrassegnati con *.