Il Regolamento UE sulla protezione dei dati è entrato in vigore il 25 maggio 2018. Ti offriamo una panoramica delle precauzioni tecniche che riteniamo importanti alla luce del GDPR per gestire il tuo sito web WordPress in modo conforme alla legge.

Rimuovi i plugin di WordPress che violano il GDPR e sostituiscili con alternative conformi al GDPR.

Se i plugin devono stabilire una connessione valida a un altro sito web e trasmettere dati come l'indirizzo IP durante il processo, diventa problematico. Tali plugin dovrebbero essere sostituiti con un'alternativa conforme all'EU-DSGVO, almeno fino a quando i produttori non pubblicheranno una versione dei loro plugin conforme alla legge.

Raccogliere statistiche anonime sui visitatori

Naturalmente, vorremmo anche sapere cosa funziona particolarmente bene sul nostro sito web, cosa le persone amano leggere o condividere, quanto tempo i visitatori rimangono su una pagina o quanto è alto il tasso di rimbalzo. Con l'EU-DSGVO, la situazione legale è diventata un po' più severa. Come già accadeva nel precedente regolamento tedesco sulla protezione dei dati, devi anonimizzare completamente ogni visitatore del tuo sito web. Tuttavia, nessun dato personale può essere trasferito ad altri servizi.

Per questo motivo, ti consigliamo di utilizzare Statify in modo che tutti i dati personali anonimizzati rimangano sul tuo sito web e non vengano trasmessi ad altri servizi.

Secondo le informazioni riportate sul plugin, quest'ultimo non elabora, invia o memorizza alcun dato personale, come i cookie o gli indirizzi IP, al di fuori del tuo sito web.

Usa avatar conformi alla legge per il blog e i commenti

• Avatar Privacy consente l'utilizzo conforme a DSGVO della funzione Gravatar di WordPress.

Avatar Privacy di Peter Putzer offre le seguenti funzionalità per l'implementazione del GDPR: Da un lato, l'hash degli indirizzi e-mail non viene pubblicato se non esiste un account Gravatar. In secondo luogo, offre un opt-in o un opt-out per la visualizzazione del Gravatar nei commenti e nel profilo dell'utente. Inoltre, il plugin fornisce nuovi avatar predefiniti che vengono caricati dal server locale invece che dai server di gravatar.com negli Stati Uniti.

Un'alternativa è quella di disattivare completamente i gravatar sul tuo sito web:

• Avatar utente WP invece di Gravatar

Tuttavia, per disattivare completamente Gravatar in WordPress, devi effettuare le seguenti impostazioni nell'area di amministrazione di WordPress alla voce di menu "Impostazioni": scorri in basso nel sottomenu sotto Discussioni fino a raggiungere la sezione Avatar. Disattiva quindi la casella di controllo: "Visualizzazione avatar - Mostra avatar". Clicca su Salva per applicare le impostazioni e cancellare la cache del tuo sito web. Ora il tuo sito non dovrebbe più comunicare con wordpress.com .

Procedura di double opt-in per i commenti

Va detto in anticipo che la notifica di ulteriori commenti al proprio commento presuppone già la trasmissione dei dati. Se vuoi escludere un'interpretazione negativa di questa "zona grigia", utilizza il plugin gratuito Subscribe to Double-Opt-In Comments. In questo modo, il visitatore dovrà confermare attivamente e in anticipo di voler ricevere le notifiche dei commenti successivi.

Limita la protezione antispam al tuo sito web

Ad esempio, è possibile utilizzare Antispam Bee o Akismet. Antispam Bee può essere utilizzato in conformità con il GDPR se si rispettano le seguenti impostazioni del plugin: La funzione "Considera il database pubblico dello spam" deve essere disattivata per evitare che gli indirizzi IP dei tuoi visitatori vengano trasmessi al servizio Stop Forum Spam. Il filtro linguistico, che utilizza l'API di Google, non presenta problemi dal punto di vista della protezione dei dati, contrariamente a quanto molti pensano:

Se il filtro vocale è stato attivato, le prime dieci parole di ogni commento vengono inviate al servizio Google per il riconoscimento vocale. Tre parole del contenuto del commento. Non l'indirizzo e-mail, non il nome della persona che commenta, non l'indirizzo IP. In conclusione: nessun dato personale e quindi nessun problema. - Simon Kraft, membro del Pluginkollektiv

Sostituisci i plugin di backup di WordPress con soluzioni alternative, se necessario.

Per contrastare il trasferimento di dati personali su server statunitensi, ad esempio, e come effetto collaterale positivo per liberare ulteriori capacità di performance del tuo sito web, dovresti prendere in considerazione la possibilità di non utilizzare speciali plugin di backup per WordPress. Esistono anche delle alternative al plugin di backup di WordPress che puoi prendere in considerazione.

Usa il caching del server web invece del plugin di caching di WordPress

Molti plugin di caching fanno un buon lavoro di caching del tuo sito web. La cache permette di fornire il sito web più velocemente. Tuttavia, il caching comporta anche una perdita di controllo sui dati.

Un'alternativa conforme alla legge, che garantisce anche la scomparsa dei plug-in più pesanti dal punto di vista delle prestazioni, è quella di utilizzare la cache lato server.

Il vantaggio: i dati sono già archiviati al momento della consegna e, almeno su Raidboxes , si trovano solo su server tedeschi con certificazione ISO 27001 garantita.

Prevenire i social plugin problematici

I servizi di condivisione spesso utilizzano già i dati non appena i tuoi visitatori si trovano sul sito web con un plugin sociale attivo. Anche se non è stato ancora condiviso nulla, i dati vengono già trasmessi. Questo aspetto è fondamentale ai fini del GDPR.

Plugin per i moduli di contatto

Secondo il Regolamento Generale sulla Protezione dei Dati, l'invio di un modulo richiede il consenso del mittente. I dati comprendono non solo l'IP personale, ma anche l'indirizzo e-mail e il contenuto stesso. L'opt-in per il consenso all'archiviazione dei dati può essere implementato tramite un checkbox di accettazione aggiuntivo in Contact Form 7 e in Gravity Forms, ad esempio con il plugin gratuito WP GDPR Compliance. Al giorno d'oggi, comunque, tutti i plugin di questo tipo dovrebbero aver implementato i requisiti relativi al GDPR.

Newsletter & Email Marketing

Nei tuoi moduli per la newsletter, solo l'indirizzo e-mail dovrebbe essere un campo obbligatorio, mentre tutti gli altri dati, come il nome e il cognome, dovrebbero essere richiesti solo come opzione. Come per tutti i moduli, anche per il modulo per la newsletter vale la procedura del double opt-in, oltre alla massima trasparenza nelle informazioni su cosa intendi fare o offrire esattamente con la newsletter.

Se non l'hai ancora fatto, utilizza sempre la procedura del doppio opt-in! Con il double opt-in, il destinatario dell'email deve cliccare esplicitamente sul link di un'email di conferma una seconda volta dopo la prima registrazione per essere incluso nella lista di distribuzione. In questo modo si garantisce che nessuno si registri alla newsletter a tuo nome e che la registrazione effettiva sia voluta anche da te.

Misure tecniche esterne ai tuoi plugin WordPress

Crittografia SSL

La crittografia SSL non è obbligatoria ai sensi del GDPR, ma senza una connessione SSL non è possibile una trasmissione sicura dei dati sul tuo sito web. Per saperne di più sull'SSL, puoi consultare il nostro ampio Compendio SSL di Let's Encrypt.

Non vuoi configurare da solo il certificato SSL? Allora utilizza i certificati SSL di Let's Encrypt, ad esempio, che puoi attivare gratuitamente per il tuo sito WordPress in modo semplice e veloce con un solo clic.

Crea l'Opt-Out di Google Analytics

In questo contesto, è bene sottolineare ancora una volta che la completa anonimizzazione dei visitatori è obbligatoria. Per garantire ciò, il frequente Google Analytics deve essere ampliato con la seguente linea di codice:

ga('set', 'anonymizeIp', true);

Se il tuo snippet javascript avesse avuto questo aspetto prima:

<script>
(function(i,s,o,g,r,a,m){i['GoogleAnalyticsObject']=r;i[r]=i[r]||function(){
(i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o),
m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m)
})(window,document,'script','https://www.google-analytics.com/analytics.js','ga');
ga('create', 'UA-XXXXXXXX-X', 'auto');
ga('require', 'displayfeatures');
ga('require', 'linkid', 'linkid.js');
ga('send', 'pageview');
</script>

il codice appare così dopo averlo aggiunto:

<script>
(function(i,s,o,g,r,a,m){i['GoogleAnalyticsObject']=r;i[r]=i[r]||function(){
(i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o),
m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m)
})(window,document,'script','https://www.google-analytics.com/analytics.js','ga');
ga('create', 'UA-XXXXXXXX-X', 'auto');
ga('require', 'displayfeatures');
ga('require', 'linkid', 'linkid.js');
ga('set', 'anonymizeIp', true);
ga('send', 'pageview');
</script>

Inoltre, devi creare un'opzione nella tua informativa sulla privacy che permetta ai visitatori del tuo sito web di rinunciare completamente a Google Analytics. Puoi trovare un plugin gratuito di opt-out per Google Analytics chiamato Google Analytics Opt-Out nella directory dei plugin di WordPress. Questo plugin installa un cookie che impedisce ad analytics.js di raccogliere i dati.

Indirizzi IP anonimizzati nei commenti dei blog

WordPress memorizza gli indirizzi IP di chi scrive i commenti per impostazione predefinita. Tuttavia, la raccolta dell'indirizzo IP non è conforme alla protezione dei dati secondo l'EU-DSGVO. Puoi impedire la memorizzazione degli indirizzi IP con l'aiuto di un piccolo codice PHP nel tuo functions.php. Ti consigliamo di utilizzare un tema figlio in modo che il codice sia integrato anche dopo il prossimo aggiornamento del tema. Il codice da inserire è:

function  wpb_remove_commentsip( $comment_author_ip ) {
	return '';
	}
add_filter( 'pre_comment_user_ip', 'wpb_remove_commentsip' );

Infine, devi eliminare manualmente gli indirizzi IP esistenti nel database del tuo sito web. Puoi trovare buone istruzioni su come farlo qui.