Nel 2018 sono previsti molti cambiamenti per WordPress, e non ultimo il Regolamento generale sulla protezione dei dati (GDPR) che l’Unione Europea sta attuando, a partire dal 25 maggio 2018. Il GDPR dice che gli utenti devono avere il pieno controllo sui loro dati e devi dire loro del “perché ne hai bisogno”. A quel punto, possono dare il consenso oppure no. In pratica, tuttavia, è un po’ più complicato di così.
WordPress e GDPR
Dal momento che WordPress al momento è utilizzato nel 30% dei siti Internet, abbiamo un sacco di pulizia da fare. Il flusso di dati scorre tra i nostri siti e gli utenti e GDPR dice che tocca a noi gestire i nostri siti abbastanza bene da permettere agli utenti di gestire i loro dati. Anche se questo è un regolamento approvato dall’UE, colpisce praticamente tutto il mondo. Perché se raccogli un bit o un byte di dati da una persona nell’UE (indipendentemente dalla tua posizione), sei soggetto a questa legge perché hai informazioni di proprietà di un cittadino dell’UE. E se si scopre che ci sono state delle violazioni, si può essere multati fino a 20 milioni di euro o fino al 4% del fatturato annuo mondiale. Spaventoso per molte persone. Ma non deve esserlo. La buona notizia è che c’è un team dedicato di contributori di WordPress Core che lavorano su GDPR, e la verifica del codice Core sarà fatta entro il 25 maggio. Hanno un sito Web (e un canale Slack associato) dove amministratori e sviluppatori aggiornano sui progressi compiuti per ottenere la conformità al GDPR. Ecco ciò di cui sei responsabile:- Spiegando chi sei, per quanto tempo conserverai i dati, perché ne hai bisogno, e chi nel tuo team o esternamente ha accesso ad essi;
- Ottenere un consenso esplicito e chiaro per raccogliere i dati attraverso un opt-in;
- Fornire agli utenti l’accesso ai propri dati, la possibilità di scaricarli e di eliminarli completamente dai propri archivi;
- In caso di violazione del codice di sicurezza o di data breach, informare gli utenti e il Garante.
GDPR Opt-In
L’aspetto più importante di tutto questo è l’opt-in GDPR. Per essere più chiari. Un opt-in non è in nessun caso la stessa cosa di un opt-out. L’UE ha affermato che è necessario “ottenere il loro chiaro consenso per elaborare i dati“. Ciò significa che gli utenti devono dire esplicitamente di sì, non solo avere la possibilità di dire di no. Ecco un esempio: hai un’attività di dropshipping online (modello di vendita grazie al quale il venditore vende un prodotto ad un utente finale, senza possederlo materialmente nel proprio magazzino) e forse utilizzi WooCommerce. Quando gli utenti arrivano alla tua pagina di checkout, hai una casella di controllo che legge “[x] Sì, voglio registrarmi per la tua lista di e-mail sorprendente!” Nessun problema, giusto? Se la casella è selezionata per impostazione predefinita, sei in errore. L’utente deve poter scegliere liberamente e non deve essere condizionato nella scelta. La regola di opt-in GDPR dice che devono scegliere esplicitamente di condividere le loro informazioni con te. La stessa cosa vale per le sezioni dei commenti che iscrivono automaticamente gli utenti al thread dei commenti o qualsiasi tipo di contatto automatizzato che non sia direttamente avviato dall’utente. (Le finestre di chat pop-up come Intercom possono andare bene perché non stanno inserendo i loro dati, ma potrebbero comunque essere influenzate dalla clausola di pseudonimizzazione del GDPR.) Ma il tuo obiettivo numero uno è non prendere nulla per impostazione predefinita. E onestamente, prenditi il meno possibile quando ottieni un permesso esplicito.Richiedi il minimo indispensabile di dati
Molti siti web e moduli e plug-in e negozi richiedono informazioni di cui non hanno realmente bisogno. In generale, una buona regola è quella di chiedere il minor numero di informazioni possibile ai propri utenti. Se non hai bisogno dei loro nomi, anche, non prenderli. O forse solo il loro primo. A volte basta la loro e-mail per completare il tuo lavoro. Questo non vuol dire che non puoi chiedere altre informazioni. Il GDPR dice semplicemente che devi dire alla gente perché ne hai bisogno. Se stai chiedendo il loro nome e cognome, digli perché. Se chiedi i loro compleanni, fai in modo che tu invii dei coupon come regali di compleanno, per esempio. A causa del GDPR, non è più necessario chiedere informazioni “nel caso” o “per progetti futuri non determinati”. Molti plug-in di moduli ti consentono di includere una nota sotto / accanto all’etichetta principale, quindi se disponi di un campo per i numeri di telefono: “Chiediamo un numero di telefono in modo che i nostri rappresentanti del servizio clienti possano accelerare la procedura di configurazione per i tuoi ordini personalizzati.” Inoltre, quando chiedi informazioni, l’UE dice che devi rivelare “chi sei […], per quanto tempo sarà archiviato il dato e chi lo riceverà”. Per quanto riguarda come e quando devi rivelare queste cose, può differire. Il primo è che devi dire chi sei nello stesso momento in cui fai la richiesta dei loro dati. Questo non è diverso dai footer richiesti che ogni servizio di posta elettronica richiede di fornire. Basta una frase che spieghi chi sei, una sola riga che afferma che “I dati di questo sito web sono gestiti da BJ Keeton, dal CIO di Awesomesauce International e dalle sue sussidiarie.” O anche qualcosa come “I dati inviati da questo modulo verranno utilizzati da Awesomesauce International e nessun altro” funzionerà. Ciò significa che il tuo modulo di contatto, il modulo di iscrizione, le pagine di checkout, ovunque gli utenti potrebbero fornirti le loro informazioni, devono identificare chiaramente te e i tuoi collaboratori.Il tuo ToS (Terms of Service) e l’informativa sulla privacy
Per quanto riguarda le altre parti delle clausole di conservazione dei dati del GDPR, è possibile includere i dettagli sui motivi, sulle modalità e su chi nei “Termini di servizio” o “Norme sulla privacy”. Ed è una buona idea anche perché fanno parte dell’esplicativo GDPR di opt-in. Il passaggio praticabile qui è duplice: in primo luogo, assicurati che il tuo ToS e l’informativa sulla privacy siano conformi allo stesso GDPR. In secondo luogo, creare campi obbligatori espliciti su ogni modulo che indica l’accettazione di entrambi i documenti prima di elaborare qualsiasi cosa. Le caselle di controllo vanno bene e i campi di testo in cui gli utenti possono digitare “Sono d’accordo” sono ancora migliori (ma sono veramente antipatici). Puoi controllare come aggiungere qui gli accordi richiesti ai tuoi moduli. E se non sei sicuro da dove iniziare sulla tua politica sulla privacy, possiamo guidarti anche qui. Suggerirei di aggiungere un paragrafo nei Termini di Servizio per accettare l’Informativa sulla privacy come termine e collegarlo direttamente al ToS. Quindi, nell’Informativa sulla privacy, aggiungi un paragrafo che discute il suo ruolo nel ToS, nonché esattamente come il tuo sito gestisce i dati in conformità al GDPR. Nello specifico, dovrai fornire istruzioni dettagliate relativamente alla tua politica sulla privacy spiegando ognuna delle seguenti informazioni.- Come accedere e scaricare una registrazione completa di tutti i dati che hai su di loro;
- Il processo attraverso il quale gli utenti possono cancellare completamente i propri dati dai propri archivi (e non semplicemente annullare l’iscrizione, ecc.) come parte delle leggi sul “diritto all’oblio” precedentemente approvate nell’UE;
- Esattamente come informerai gli utenti di violazioni dei dati, se mai accadessero;
- Spiegazioni dettagliate su chi sei, su cosa usi i dati, chi ha accesso e quanto a lungo lo trattieni.
