Gestione della privacy e cookie policy in WordPress tramite Iubenda

L’entrata in vigore del Regolamento Europeo 2016/679 del 27 aprile 2016 (GDPR General Data Protection Regulation) impone ai siti, blog e applicazioni la revisione della Privacy Policy (ovvero l’informativa sul trattamento dei dati personali che era prevista dall’articolo 13 del Decreto Legislativo n. 196/2003) e della Cookie Policy (che era prevista dall’art. 122 del Decreto Legislativo n. 196/2003 che nella sua formulazione a fine maggio 2012 recepisce la direttiva comunitaria 2009/136/CE E-Privacy). Per maggiori dettagli si veda la FAQ del Garante per la protezione dei dati personali – Informativa e consenso per l’uso dei cookie che fornisce precise indicazioni sulla tipologia dei cookie e su come deve essere gestita l’informativa e la richiesta del consenso all’uso dei cookie.

Il GDPR impatta ovviamente anche su tali aspetti in quanto prevede che i dati possono essere trattati solo se sussiste almeno una base giuridica del trattamento, come ad esempio:

  • l’utente ha prestato il proprio consenso per una o più specifiche finalità;
  • il trattamento dei dati è necessario per l’esecuzione di un contratto al quale l’utente ha aderito, o per intraprendere azioni (su richiesta dell’utente) preliminari alla stipula del contratto;
  • il trattamento è necessario per l’adempimento ad un obbligo di legge al quale il titolare del trattamento è soggetto;
  • il trattamento è necessario per la tutela di interessi vitali dell’utente o di terzi;
  • il trattamento è necessario per l’esecuzione di un’attività di interesse pubblico, o che rientra nell’ambito dei poteri pubblici conferiti al titolare del trattamento;
  • il trattamento è necessario per interesse legittimo del titolare del trattamento o di terzi, a meno che non prevalgano gli interessi, i diritti e le libertà dell’utente, in particolare se l’utente è un minore.

In ogni caso al fine di effettuare un’attività di trattamento dei dati, occorre ottenere un consenso inequivocabile da parte degli utenti. Nel caso di utenti minori, occorre ottenere un consenso verificabile da parte di un genitore o tutore del minore, a meno che il servizio offerto non sia di prevenzione o consulenza. Occorre anche compiere sforzi ragionevoli (utilizzando ogni tecnologia disponibile) per verificare che la persona che presta il consenso detenga effettivamente la responsabilità genitoriale del minore.

Il GDPR fa espressamente riferimento ai cookies nel considerando 30 (a riguardo si veda Garante per la protezione dei dati personali – Regolamento UE 2016 679 con riferimenti ai considerando):

“Le persone fisiche possono essere associate a identificativi online prodotti dai dispositivi, dalle applicazioni, dagli strumenti e dai protocolli utilizzati, quali gli indirizzi IP, a marcatori temporanei (cookies) o a identificativi di altro tipo, come i tag di identificazione a radiofrequenza. Tali identificativi possono lasciare tracce che, in particolare se combinate con identificativi univoci e altre informazioni ricevute dai server, possono essere utilizzate per creare profili delle persone fisiche e identificarle.”

Per maggiori dettagli si vedano anche i seguenti articoli pubblicati sul sito di Iubenda nella sezione dedicata alla documentazione:

Fatte queste premesse per quanto riguarda un sito o un blog occorre gestire la Privacy Policy e la Cookie Policy e implementare la raccolta del consenso all’utilizzo dei cookie tenendo presente quando indicato nella
FAQ del Garante per la protezione dei dati personali – Informativa e consenso per l’uso dei cookie. In WordPress vi sono vari approcci con cui è possibile gestire tali requisiti, di seguito illustrerò come è possibile gestire la Privacy Policy, la Cookie Policy e la raccolta del consenso all’utilizzo dei cookie tramite i servizi cluod e il plugin messo a disposizione da Iubenda, un’azienda italiana nata nel 2012 con lo scopo di offrire servizi per la compliance alla privacy policy in linea con le normative vigenti. Per quanto riguarda la Privacy Policy e la Cookie Policy, Iubenda offre i servizi di compliance per un siti/app con tre differenti offerte: la Basic gratuita, la Pro a pagamento e la Tailored a pagamento con possibilità di personalizzazione del servizio.

Occorre però tenere conto che l’offerta Basic ha alcune limitazioni a riguardo si veda La privacy policy di iubenda è gratuita?, Inoltre nell’offerta Basic non sono previste le seguenti funzionalità:

  • Privacy policy per app mobile
  • Cookie policy
  • Policy in più lingue
  • Aggiunta testo personalizzato
  • Rimozione logo Iubenda
  • Opzioni avanzate di incorporazione e integrazione

Per i prezzi e l’elenco completo delle funzionalità nelle varie edizioni si veda il link Prezzi Compliance per siti web e app.

Di seguito invece i passi per gestire in un sito WordPress la Privacy Policy, la Cookie Policy e la raccolta del consenso ai Cookies necessari al sito tramite i servizi Compliance per siti web e app di Iubenda nella versione Pro dal moneto che la versione Basic non prevede la Cookie policy.

Passo 1: Configurare nella dashboard di Iubenda la Privacy Policy e la Cookie Policy

Una volta creato il proprio account per la soluzione Pro per un sito/app occorre accedere alla dashboard per creare e gestire la Privacy e Cookie policy configurando:

Per quanto riguarda la Cookie Policy è possibile configurare i cookie che saranno utilizzati per la gestione della stessa, si noti anche che Iubenda genera una Cookie Policy il più possibile comprensibile agli utenti evitanti di inserire dettagli tecnici , a riguardo si vedano le considerazioni riportate nel seguente Fonti giuridiche sulla necessità di dover citare i nomi dei cookie di terza parte e sui requisiti di opt-out.

Passo 2: Integrazione delle Privac Policy e delle Cookie Policy nel sito

Una volta generate le policies è possibile integrarle nel sito in tre diverse modalità e per ciascuna viene fornito il codice necessario da copiare:

Tutti e tre gli approcci prevedono quindi, in modo diverso, di poter fare riferimento alle policies richiedendole direttamente al servizio cloud di Iubenda garante quindi un aggiornamento dinamico sulla base delle impostazioni che vengono configurate sulla dashboard di volta in volta in base alla modifica dei servizi utilizzati dal sito e soprattutto in base alle modifiche che Iubenda esegue sulle policies per adeguarle ad eventuali modifiche che tali servizi potrebbero subire o a eventuali modifiche normative.

Passo 3: Installazione e configurazione del plugin in WordPress per la gestione della raccolta del consenso all’utilizzo dei cookie

Un plugin che si integra molto bene con Iubenda è Cookie Notice for GDPR sviluppato da dFactory che permette di gestire anche i cookie non funzionali, come ad esempio quelli di Google Analytics, mediante l’inserimento degli scripts che gestiscono l’uso di tali cookies nella sezione Script Blocking. Il plugin permette anche di gestire il rifiuto dei cookie in questo caso occorre gestire l’esecuzione condizionale dello script con un codice di questo tipo:

if ( function_exists(‘cn_cookies_accepted’) && cn_cookies_accepted() ) {

// Your third-party non functional code here

}

Per quanto riguarda eventuali servizi che si intende integrare nel sito e che fanno uso di cookies è bene comunque, se possibile, adottare configurazioni che riducano le informazioni raccolte e la loro condivisione se non necessarie. Ad esempio per quanto riguarda Google Analytics è consigliabile anonimizzare l’IP raccolto da Google ed impedire a Google di incrociare i dati raccolti attraverso Analytics con quelli di altri suoi prodotti, a riguardo si veda Anonimizzare Google Analytics ed evitare l’incrocio dati.

Per rendere anonimo l’ip di provenienza dei visitatori occorre modificare la seguente riga dello script base:

gtag(‘config’, ‘GA_TRACKING_ID‘);

aggiungendo l’opzione per anonimizzare l’IP come segue:

gtag(‘config’, ‘GA_TRACKING_ID‘, {‘anonymize_ip’: true});

A riguardo si veda anche IP Anonymization in Google Analytics.

Passo 4: Verifica della compliance del sito alla normativa vigente in materia di gestione dei cookies

Terminata la fase di configurazione è possibile testare se effettivamente i cookie non funzionali vengono utilizzati solo previa autorizzazione del visitatore tramite una serie di servizi online come i seguenti:

  • CookieMetrix che consente di verificare la compliance del sito con la Cookie Law
  • Cookiebot che consente di verificare la compliance del sito al GDPR e alla Direttiva ePrivacy (ePR)