Gestione della privacy e cookie policy in WordPress tramite Iubenda
L’entrata in vigore del Regolamento Europeo 2016/679 del 27 aprile 2016 (GDPR General Data Protection Regulation) impone ai siti, blog e applicazioni la revisione della Privacy Policy (ovvero l’informativa sul trattamento dei dati personali che era prevista dall’articolo 13 del Decreto Legislativo n. 196/2003) e della Cookie Policy (che era prevista dall’art. 122 del Decreto Legislativo n. 196/2003 che nella sua formulazione a fine maggio 2012 recepisce la direttiva comunitaria 2009/136/CE E-Privacy). Per maggiori dettagli si veda la FAQ del Garante per la protezione dei dati personali – Informativa e consenso per l’uso dei cookie che fornisce precise indicazioni sulla tipologia dei cookie e su come deve essere gestita l’informativa e la richiesta del consenso all’uso dei cookie.
Il GDPR impatta ovviamente anche su tali aspetti in quanto prevede che i dati possono essere trattati solo se sussiste almeno una base giuridica del trattamento, come ad esempio:
- l’utente ha prestato il proprio consenso per una o più specifiche finalità;
- il trattamento dei dati è necessario per l’esecuzione di un contratto al quale l’utente ha aderito, o per intraprendere azioni (su richiesta dell’utente) preliminari alla stipula del contratto;
- il trattamento è necessario per l’adempimento ad un obbligo di legge al quale il titolare del trattamento è soggetto;
- il trattamento è necessario per la tutela di interessi vitali dell’utente o di terzi;
- il trattamento è necessario per l’esecuzione di un’attività di interesse pubblico, o che rientra nell’ambito dei poteri pubblici conferiti al titolare del trattamento;
- il trattamento è necessario per interesse legittimo del titolare del trattamento o di terzi, a meno che non prevalgano gli interessi, i diritti e le libertà dell’utente, in particolare se l’utente è un minore.
In ogni caso al fine di effettuare un’attività di trattamento dei dati, occorre ottenere un consenso inequivocabile da parte degli utenti. Nel caso di utenti minori, occorre ottenere un consenso verificabile da parte di un genitore o tutore del minore, a meno che il servizio offerto non sia di prevenzione o consulenza. Occorre anche compiere sforzi ragionevoli (utilizzando ogni tecnologia disponibile) per verificare che la persona che presta il consenso detenga effettivamente la responsabilità genitoriale del minore.
Il GDPR fa espressamente riferimento ai cookies nel considerando 30 (a riguardo si veda Garante per la protezione dei dati personali – Regolamento UE 2016 679 con riferimenti ai considerando):
“Le persone fisiche possono essere associate a identificativi online prodotti dai dispositivi, dalle applicazioni, dagli strumenti e dai protocolli utilizzati, quali gli indirizzi IP, a marcatori temporanei (cookies) o a identificativi di altro tipo, come i tag di identificazione a radiofrequenza. Tali identificativi possono lasciare tracce che, in particolare se combinate con identificativi univoci e altre informazioni ricevute dai server, possono essere utilizzate per creare profili delle persone fisiche e identificarle.”
Per maggiori dettagli si vedano anche i seguenti articoli pubblicati sul sito di Iubenda nella sezione dedicata alla documentazione:
- Iubenda – Cookie Law e normativa europea sulla privacy: cosa è davvero necessario?
- Iubenda – Panoramica sui requisiti di legge
- Iubenda – Guida GDPR
Fatte queste premesse per quanto riguarda un sito o un blog occorre gestire la Privacy Policy e la Cookie Policy e implementare la raccolta del consenso all’utilizzo dei cookie tenendo presente quando indicato nella
FAQ del Garante per la protezione dei dati personali – Informativa e consenso per l’uso dei cookie. In WordPress vi sono vari approcci con cui è possibile gestire tali requisiti, di seguito illustrerò come è possibile gestire la Privacy Policy, la Cookie Policy e la raccolta del consenso all’utilizzo dei cookie tramite i servizi cluod e il plugin messo a disposizione da Iubenda, un’azienda italiana nata nel 2012 con lo scopo di offrire servizi per la compliance alla privacy policy in linea con le normative vigenti. Per quanto riguarda la Privacy Policy e la Cookie Policy, Iubenda offre i servizi di compliance per un siti/app con tre differenti offerte: la Basic gratuita, la Pro a pagamento e la Tailored a pagamento con possibilità di personalizzazione del servizio.
Occorre però tenere conto che l’offerta Basic ha alcune limitazioni a riguardo si veda La privacy policy di iubenda è gratuita?, Inoltre nell’offerta Basic non sono previste le seguenti funzionalità:
- Privacy policy per app mobile
- Cookie policy
- Policy in più lingue
- Aggiunta testo personalizzato
- Rimozione logo Iubenda
- Opzioni avanzate di incorporazione e integrazione
Per i prezzi e l’elenco completo delle funzionalità nelle varie edizioni si veda il link Prezzi Compliance per siti web e app.
Di seguito invece i passi per gestire in un sito WordPress la Privacy Policy, la Cookie Policy e la raccolta del consenso ai Cookies necessari al sito tramite i servizi Compliance per siti web e app di Iubenda nella versione Pro dal moneto che la versione Basic non prevede la Cookie policy.
Passo 1: Configurare nella dashboard di Iubenda la Privacy Policy e la Cookie Policy
Una volta creato il proprio account per la soluzione Pro per un sito/app occorre accedere alla dashboard per creare e gestire la Privacy e Cookie policy configurando:
- quali servizi vengono utilizzati, la soluzione Pro consente di poter specificare un maggior numero di servizi rispetto alla soluzione Basic, nel caso un servizio non sia presente tra quelli offerti è possibile inviare una segnalazione al supporto di Iubenda oppure scrivere in autonomia la clausola, a riguardo si veda Clausole personalizzate
- il nominativo del titolare, a riguardo si veda Il campo “Titolare del Trattamento” nella Privacy Policy
- le opzioni relative al GDPR e standard UE, a riguardo si veda Come aggiornare i tuoi documenti e rendere la tua privacy e cookie policy conforme al GDPR
- Configurare le lingue per cui si desidera generare le policy, a riguardo si veda Cookie solution multilingua con WordPress
Per quanto riguarda la Cookie Policy è possibile configurare i cookie che saranno utilizzati per la gestione della stessa, si noti anche che Iubenda genera una Cookie Policy il più possibile comprensibile agli utenti evitanti di inserire dettagli tecnici , a riguardo si vedano le considerazioni riportate nel seguente Fonti giuridiche sulla necessità di dover citare i nomi dei cookie di terza parte e sui requisiti di opt-out.
Passo 2: Integrazione delle Privac Policy e delle Cookie Policy nel sito
Una volta generate le policies è possibile integrarle nel sito in tre diverse modalità e per ciascuna viene fornito il codice necessario da copiare:
- Aggiungendo un widget nel footer che visualizzerà un pulsante tramite cui aprire la policy, a riguardo si vedano Integrazione tramite codice d’inserimento e Personalizza il testo del pulsante iubenda.
- Utilizzando un link diretto, tale modalità richiede la soluzione PRO, a riguardo si veda Integrazione tramite link diretto.
- Integrando il testo nel body di una pagina, tale modalità richiede la soluzione PRO, a riguardo si veda Integrazione tramite inclusione diretta.
Tutti e tre gli approcci prevedono quindi, in modo diverso, di poter fare riferimento alle policies richiedendole direttamente al servizio cloud di Iubenda garante quindi un aggiornamento dinamico sulla base delle impostazioni che vengono configurate sulla dashboard di volta in volta in base alla modifica dei servizi utilizzati dal sito e soprattutto in base alle modifiche che Iubenda esegue sulle policies per adeguarle ad eventuali modifiche che tali servizi potrebbero subire o a eventuali modifiche normative.
Passo 3: Installazione e configurazione del plugin in WordPress per la gestione della raccolta del consenso all’utilizzo dei cookie
Un plugin che si integra molto bene con Iubenda è Cookie Notice for GDPR sviluppato da dFactory che permette di gestire anche i cookie non funzionali, come ad esempio quelli di Google Analytics, mediante l’inserimento degli scripts che gestiscono l’uso di tali cookies nella sezione Script Blocking. Il plugin permette anche di gestire il rifiuto dei cookie in questo caso occorre gestire l’esecuzione condizionale dello script con un codice di questo tipo:
if ( function_exists(‘cn_cookies_accepted’) && cn_cookies_accepted() ) {
// Your third-party non functional code here
}
Per quanto riguarda eventuali servizi che si intende integrare nel sito e che fanno uso di cookies è bene comunque, se possibile, adottare configurazioni che riducano le informazioni raccolte e la loro condivisione se non necessarie. Ad esempio per quanto riguarda Google Analytics è consigliabile anonimizzare l’IP raccolto da Google ed impedire a Google di incrociare i dati raccolti attraverso Analytics con quelli di altri suoi prodotti, a riguardo si veda Anonimizzare Google Analytics ed evitare l’incrocio dati.
Per rendere anonimo l’ip di provenienza dei visitatori occorre modificare la seguente riga dello script base:
gtag(‘config’, ‘GA_TRACKING_ID‘);
aggiungendo l’opzione per anonimizzare l’IP come segue:
gtag(‘config’, ‘GA_TRACKING_ID‘, {‘anonymize_ip’: true});
A riguardo si veda anche IP Anonymization in Google Analytics.
Passo 4: Verifica della compliance del sito alla normativa vigente in materia di gestione dei cookies
Terminata la fase di configurazione è possibile testare se effettivamente i cookie non funzionali vengono utilizzati solo previa autorizzazione del visitatore tramite una serie di servizi online come i seguenti:
- CookieMetrix che consente di verificare la compliance del sito con la Cookie Law
- Cookiebot che consente di verificare la compliance del sito al GDPR e alla Direttiva ePrivacy (ePR)