RGPD e WordPress: Medidas técnicas que deves implementar agora

Torben Simon Meier Última atualização 25.03.2020
7 min.
RGPD & WordPress

Em 25.05.2018, a UERGPD entrou em vigor. Mostramos-lhe as medidas técnicas que deve implementar para operar o seu site WordPress de uma forma juridicamente segura. Sem saltar no trem do pânico, oferecemos uma visão geral das precauções técnicas que consideramos importantes à luz de RGPD .

Update Info: Resumimos nossa experiência coletiva na conversão de RAIDBOXES para os requisitos de RGPD em um grátis WordPress RGPD - Guia resumo. Isto também inclui as medidas técnicas WordPress -medidas deste artigo.

linie infobox blue

Aviso: O nosso blogue não é um conselho legal! No decurso do nosso trabalho como anfitriões WordPress , lidámos de forma muito intensiva com as actuais regulamentações alemãs de protecção de dados e com a próxima UERGPD . No entanto, não somos nem advogados nem especialistas em protecção de dados. Pela integralidade, atualidade e precisão das medidas e conteúdos fornecidos por nós, nenhuma responsabilidade é assumida por nós.

Automático WordPress  Plugins

RGPD-objectionable WordPress -Plugins remover e substituir por RGPD-compliant alternatives

Mesmo todos Plugins, que são fornecidos pela própria empresa comercial WordPress Automattic, requerem uma conexão válida com wordpress.com e, portanto, também uma conexão direta não só dos seus dados, mas também, por exemplo, o IP pessoal dos visitantes do seu site. Eles são o exemplo perfeito do tipo de Plugins que é melhor substituir por uma UERGPD- alternativa compatível desde 25 de maio de 2018 - pelo menos até que os fabricantes publiquem uma versão compatível com a lei do seu Plugins .

Exemplos são os seguintes Automattic WordPress -Plugins para todos os representantes de sua respectiva divisão no diretório WordPress Plugin como exemplo para este artigo:

Para continuar a operar o seu site de acordo com as suas necessidades, você pode recorrer às seguintes alternativas, que não transmitem nenhum dos dados pessoais dos seus visitantes.

Recolher estatísticas de visitantes anónimas

É claro que também gostaríamos de saber o que funciona particularmente bem no nosso site, o que é lido ou partilhado, quanto tempo os visitantes permanecem ou quão elevada é a taxa de salto. Com a UERGPD , a situação legal é um pouco mais apertada. Você deve anonimizar completamente todos os visitantes do seu site, como fazia sob o anterior regulamento alemão de proteção de dados. No entanto, nenhum dado pessoal pode ser transferido para outros serviços.

Por este motivo, recomendamos a Statify para que todos os dados pessoais anónimos permaneçam no seu website e não sejam partilhados com quaisquer outros serviços.

De acordo com os desenvolvedores do Statify, o plugin não processa, envia ou armazena quaisquer dados pessoais, tais como cookies ou endereços IP, fora do teu site.

Use avatares que cumpram com a lei para blogs e comentários

Avatar Privacy by Johannes Freudendahl oferece as seguintes funcionalidades para a implementação de RGPD : Primeiro, ele não publica o hash dos endereços de e-mail se não houver uma conta Gravatar para ele. Por outro lado, oferece um opt-in ou opt-out para a exibição do Gravatar nos comentários e no perfil do usuário. Além disso, o Plugin fornece novos avatares padrão que são carregados a partir do servidor local em vez dos servidores gravatar.com nos EUA.

Uma alternativa é desactivar completamente os gravatares no seu próprio website:

Para desativares o Gravatar completamente no WordPress, deves fazer as seguintes configurações na área de administração do WordPress, no item de menu “configurações”: Percorre o submenu em "discussões" até chegar à área Avatares. Em seguida, desativa o campo de seleção: "Exibição de avatar - Mostrar avatares". Clica em gravar para aplicar as configurações e limpar a cache da tua página. Agora o teu site já não se deve comunicar com o wordpress.com.

Duplo procedimento de opt-in para comentários

Aqui é dito antecipadamente que a notificação de comentários adicionais sobre o seu próprio comentário já exige que os dados sejam passados adiante. Se você quiser excluir uma interpretação negativa desta "área cinza", use o site gratuito Plugin Assine o Double-Opt-In Comments. Desta forma, o visitante tem de confirmar activamente com antecedência que quer realmente receber notificações sobre comentários de seguimento.

Restrinja a proteção antispam ao seu próprio site

O Antispam Bee pode ser usado de forma compatível com RGPD- se você observar a seguinte configuração de Plugins : A funcionalidade "Considerar base de dados de spam pública" deve ser desactivada para evitar que os endereços IP dos seus visitantes sejam submetidos ao serviço Stop Forum Spam. O filtro de linguagem, que utiliza a API do Google, é contrário à suposição de muitas proteções de dados - tecnicamente não problemáticas:

Se o filtro de fala tiver sido ativado, as primeiras dez palavras de cada comentário são enviadas para o serviço de reconhecimento de fala do Google. Três palavras do conteúdo dos comentários. Não o endereço de e-mail, não o nome da pessoa que comenta, não o endereço IP. Resumindo: sem dados pessoais e, portanto, sem problemas. - Simon Kraft, membro do Pluginkollektiv

WordPress -Backup-Plugins substituir por soluções alternativas

A fim de contrariar a transferência de dados pessoais para, por exemplo, servidores americanos e como um efeito colateral positivo para liberar mais capacidades de desempenho do seu site, recomendamos fazer sem especial WordPress -backup-Plugins no futuro.

Uma alternativa melhor é usar backups automáticos do site WordPress através do seu WordPress hoster, tal como em RAIDBOXES.

Use o cache de servidor web em vez de WordPress cachingPlugin

Muitos cachingPlugins, incluindo Automattic's, fazem um bom trabalho de caching do seu site. O cache permite que o site seja entregue mais rapidamente. No entanto, o cache também vem com a perda de controle sobre os dados.

Uma alternativa legalmente segura, que também garante o desaparecimento do servidor Plugins , é usar o cache do lado do servidor de hosts especializados WordPress .

A vantagem: os dados já estão armazenados quando são entregues e estão localizados pelo menos RAIDBOXES apenas em servidores alemães com certificação ISO 27001 garantida.

Mídias Sociais WordPress  RGPD  em conformidade

Prevenir problemas sociais Plugins, tais como o Facebook Like Button, Like Box ou Twitter Widgets.

Os serviços de partilha de dados já utilizam frequentemente os dados assim que os seus visitantes estão no site com um social activo Plugin . Mesmo que um usuário ainda não tenha compartilhado nada, os dados já são transmitidos. Isto ainda é largamente desconhecido, mas crítico em termos de RGPD . Ao pesquisarmos por soluções legalmente conformes, nos deparamos apenas com um social gratuito Plugin , o que impede a transferência de dados mesmo antes de você clicar em um botão compartilhar.

Portanto, neste momento, recomendamos eliminar os widgets integrados do Twitter, os botões Like do Facebook ou o widget Like Box e confiar no Shariff Wrapper 's Social Plugin para partilhar os botões nos posts.

Formulários RGPD WordPress

Formulário de contacto -Plugins como, por exemplo, Contact Form 7 & Formulários de Gravidade também usam com a UERGPD

Novos requisitos para os formulários de contacto

De acordo com o Regulamento Geral de Protecção de Dados, o envio de um formulário requer o consentimento do remetente. Não só o IP pessoal, mas também o endereço de e-mail e o próprio conteúdo são considerados dados. Uma opção para o consentimento do armazenamento de dados pode ser implementada através de uma caixa de seleção adicional de aceitação em Contact Form 7 e Formulários de Gravidade, por exemplo, com o Plugin WP GDPR Compliance implemento.

A médio e longo prazo, estamos convencidos de que todos os desenvolvedores conhecidos Plugin-developers implementarão a regulamentação necessária para cumprir com RGPD . Até lá, RGPD-Plugins pode realmente fazer um bom trabalho!

Newsletter & Email Marketing RGPD WordPress

Newsletter & Email Marketing

Em seus formulários de newsletter, apenas o endereço de e-mail deve ser um campo obrigatório, todos os outros dados, como nome e sobrenome, só devem ser solicitados opcionalmente. Como em todos os formulários, o procedimento de duplo opt-in também se aplica ao formulário de newsletter, bem como a maior transparência possível na informação sobre o que pretende fazer ou oferecer exactamente com a newsletter.

Duplo procedimento de opt-in permanece padrão

Se você ainda não o fez, então use sempre o procedimento de opt-in duplo a partir de agora! Com opt-in duplo, o destinatário do e-mail deve clicar explicitamente no link em um e-mail de confirmação uma segunda vez após o primeiro registro, a fim de ser adicionado à lista de distribuição. Isto assegura que ninguém se regista para receber uma newsletter em seu nome e que o registo real também é desejado por si.

Medidas técnicas UERGPD

Medidas técnicas fora do seu WordPress -Plugins

Encriptação SSL

A encriptação SSL não é obrigatória em RGPD, mas sem uma ligação SSL não é possível uma transmissão de dados segura em torno do seu website. Você também pode aprender mais sobre SSL em nosso extenso Compêndio Let's Encrypt SSL Compendium.

Não queres ser tu a preparar o certificado SSL? Depois utilize, por exemplo, os certificados SSL da Let's Encrypt, que pode activar de forma rápida e fácil para o seu site WordPress gratuitamente com um clique de instalação.

Criar o Google Analytics Opt-Out

Neste contexto, é de salientar mais uma vez que mesmo antes da UE RGPD, a anterior, que ainda é válida português es RGPD, há anos que exige a anonimização completa dos visitantes. A fim de garantir isto, o Google Analytics muito frequentemente utilizado tem de ser alargado pela seguinte linha de código:

ga('set', 'anonymizeIp', true);

Se o seu trecho de javascript tivesse este aspecto de antemão:

<script>
(function(i,s,o,g,r,a,m){i['GoogleAnalyticsObject']=r;i[r]=i[r]||function(){
(i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o),
m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m)
})(window,document,'script','https://www.google-analytics.com/analytics.js','ga');
ga('create', 'UA-XXXXXXXX-X', 'auto');
ga('require', 'displayfeatures');
ga('require', 'linkid', 'linkid.js');
ga('send', 'pageview');
</script>

o código fica assim depois de o adicionar:

Além disso, você deve criar uma possibilidade na sua política de privacidade de que os visitantes do seu website possam ser completamente excluídos da análise do Google. Você pode encontrar um opt-out gratuito Plugin para o Google Analytics chamado Google Analytics Opt-Out no diretório WordPress -Plugin-. Isto instala um cookie que impede que o analytics.js recolha os dados.

Endereços IP anonimizados nos comentários do blog

WordPress armazena os endereços IP dos autores de comentários por padrão. Contudo, de acordo com a UERGPD , a recolha de endereços IP não é compatível com a protecção de dados. Você pode usar um pequeno código PHP em seu functions.php para evitar o armazenamento futuro de endereços IP. Recomendamos a utilização de uma criança -Theme para isso, para que o código ainda seja integrado após a próxima actualização do seu Themes . O código a inserir é:

function  wpb_remove_commentsip( $comment_author_ip ) {
	return '';
	}
add_filter( 'pre_comment_user_ip', 'wpb_remove_commentsip' );

Finalmente, você precisa apagar manualmente os endereços IP existentes no banco de dados do seu site uma vez retroativamente. Um bom tutorial sobre como fazer isso pode ser encontrado aqui.

A UERGPD tem muito mais (novos) requisitos para si como operador de um website do que apenas as medidas técnicas explicadas acima no seu website WordPress .

Um bom investimento é, por exemplo, o livro electrónico pago na UERGPD da t3n para implementar os requisitos do Regulamento Geral Europeu de Protecção de Dados em todos os assuntos que o afectam como empresário.

Agradecemos qualquer feedback e comentários no âmbito do artigo.

Artigos relacionados

Comentários sobre este artigo

Escreve um comentário

O teu endereço de e-mail não será publicado. Os campos obrigatórios estão marcados com *.