Protezione dei dati in WordPress: verificare correttamente informativa sulla privacy, SSL e fonti di dati tipiche

Protezione dei dati in WordPress: verificare correttamente informativa sulla privacy, SSL e fonti di dati tipiche

La protezione dei dati è una parte importante di ogni sito WordPress professionale. Non appena sul vostro sito vengono trattati dati personali, i visitatori devono essere informati in modo chiaro e comprensibile. Questo non riguarda solo grandi negozi online o aree membri. Anche un semplice sito web con modulo di contatto, funzione commenti, strumento di analisi, mappe integrate, iscrizione alla newsletter o font esterni può comportare trattamenti rilevanti per la protezione dei dati.

WordPress offre funzioni integrate che aiutano nella creazione e gestione di un’informativa sulla privacy. Tuttavia, queste funzioni non sostituiscono una verifica legale. L’informativa sulla privacy deve sempre corrispondere al sito web effettivo, ai plugin utilizzati, ai servizi esterni, ai moduli, ai cookie e alle condizioni di hosting.

Perché la protezione dei dati è importante in WordPress

WordPress di per sé è solo la base tecnica. Un sito web diventa rilevante dal punto di vista della protezione dei dati soprattutto attraverso l’utilizzo concreto: moduli, commenti, account utente, funzioni shop, tracking, newsletter, plugin di sicurezza, media integrati e servizi esterni possono trattare dati personali.

Dati personali tipici sui siti WordPress sono ad esempio:

• Nome e indirizzo e-mail: ad esempio nei moduli di contatto, nei commenti o negli account utente.
• Indirizzo IP: ad esempio nei log del server, nei plugin di sicurezza o nella gestione dei commenti.
• Dati degli ordini: nei negozi WooCommerce.
• Dati di utilizzo: negli strumenti di analisi, tracking o statistica.
• Dati dei cookie: nelle funzioni di marketing, analisi o comfort.
• Contenuti dei messaggi: nei moduli, nelle richieste di supporto o nei commenti.
• Dati di pagamento e spedizione: nei negozi o nei sistemi di prenotazione.

L’IFPDT descrive l’obbligo di informazione nel senso che le persone interessate devono essere informate quando i loro dati personali vengono raccolti e trattati. Senza questa informazione, le persone interessate non possono esercitare i propri diritti in modo significativo.

1. Utilizzare la pagina privacy di WordPress

WordPress dispone di una propria funzione per la privacy. La trovate nella dashboard sotto:

Impostazioni > Privacy

Qui potete definire una pagina esistente come informativa sulla privacy o creare una nuova pagina privacy. WordPress offre inoltre una guida sulla privacy che fornisce indicazioni sui possibili contenuti. Secondo Learn WordPress, in questa sezione potete creare, modificare, visualizzare la pagina privacy e utilizzare la Privacy Policy Guide.

Questa funzione di WordPress è utile perché rende la pagina privacy gestibile in modo sistematico nel backend. Tuttavia, non crea automaticamente un’informativa sulla privacy completa e verificata legalmente per il vostro sito web specifico.

2. Funzioni WordPress per accesso e cancellazione

WordPress contiene strumenti integrati per le richieste relative alla privacy. Sotto Strumenti trovate funzioni per esportare e cancellare dati personali. Queste possono aiutare a gestire tecnicamente le richieste delle persone interessate.

Le funzioni tipiche sono:

• Esporta dati personali: Crea un’esportazione dei dati personali esistenti relativi a un indirizzo e-mail.
• Cancella dati personali: Supporta la cancellazione o anonimizzazione di determinati dati salvati.

Queste funzioni possono essere rilevanti, ad esempio, per commenti o account utente. Tuttavia, non coprono automaticamente ogni trattamento di dati effettuato da ogni plugin o servizio esterno. Verificate quindi sempre anche le estensioni utilizzate.

3. Quali contenuti fanno parte di un’informativa sulla privacy?

Un’informativa sulla privacy dovrebbe spiegare in modo comprensibile quali dati vengono trattati e perché. Non dovrebbe consistere solo in testi standard generici, ma corrispondere al sito web effettivo.

I contenuti tipici sono:

• Titolare: Chi gestisce il sito web?
• Dati di contatto: Come possono mettersi in contatto le persone interessate?
• Hosting: Dove e da chi viene ospitato il sito web?
• Log del server: Quali dati tecnici vengono salvati quando si accede al sito?
• Moduli di contatto: Quali dati vengono trattati nelle richieste?
• Commenti: Quali dati vengono salvati nei commenti?
• Cookie: Quali cookie vengono impostati e a quale scopo?
• Strumenti di analisi: Vengono utilizzati servizi statistici o di tracking?
• Newsletter: Come avvengono iscrizione, invio e disiscrizione?
• Media esterni: YouTube, Google Maps, social media, font o altri servizi.
• Destinatari e terzi: I dati vengono trasmessi a fornitori di servizi?
• Durata di conservazione: Per quanto tempo vengono conservati i dati?
• Diritti delle persone interessate: Accesso, rettifica, cancellazione e altri diritti.

Secondo i principi di trasparenza del GDPR, le informazioni devono essere fornite in forma concisa, trasparente, comprensibile e facilmente accessibile. Questa idea di base è sensata anche nella pratica: i visitatori devono poter capire cosa accade ai loro dati.

4. Distinguere tra legge svizzera sulla protezione dei dati e GDPR

Per i siti web svizzeri è rilevante la legge svizzera sulla protezione dei dati. Se il vostro sito web si rivolge anche a persone nell’UE o nello SEE, anche il GDPR può svolgere un ruolo. Questo è particolarmente importante per siti multilingue, clienti UE, tracking UE, spedizioni UE, prodotti digitali o pubblicità mirata nei paesi UE.

Verificate quindi:

• Il vostro sito web si rivolge solo alla Svizzera o anche all’UE?
• Avete clienti, utenti o iscritti alla newsletter provenienti dall’UE?
• Utilizzate servizi con trasferimento di dati verso paesi terzi?
• Vengono utilizzati cookie, tracking o strumenti di marketing?
• Gestite un negozio con consegna nell’UE?

Se esiste un riferimento all’UE, i requisiti del GDPR devono essere verificati attentamente. Ciò riguarda in particolare basi giuridiche, consensi, diritti degli interessati, trattamento su incarico, trasferimenti verso paesi terzi e temi relativi a cookie/tracking.

5. Classificare correttamente la sede di hosting in Svizzera

La posizione del server è un punto importante nell’informativa sulla privacy. Con CURIAWEB beneficiate di una sede server in Svizzera. Questo può essere un vantaggio per aziende e clienti svizzeri, perché il trattamento dei dati e l’infrastruttura di hosting sono più facilmente tracciabili a livello locale.

È però importante ricordare: una sede server in Svizzera non rende automaticamente un sito web completamente conforme alla protezione dei dati. Decisiva è l’intera configurazione. Se, ad esempio, utilizzate Google Analytics, YouTube, Google Maps, font esterni, fornitori di pagamento, servizi newsletter o plugin social media, possono comunque verificarsi trattamenti di dati esterni e trasferimenti di dati.

6. Attivare la crittografia SSL

SSL, ovvero HTTPS, cifra la connessione tra browser e sito web. Questo è particolarmente importante quando i visitatori trasmettono dati, ad esempio tramite moduli di contatto, pagine di login, moduli di commento, iscrizioni alla newsletter o processi di checkout.

Verificate:

• Il vostro sito web è raggiungibile tramite https://?
• Tutte le pagine vengono reindirizzate automaticamente a HTTPS?
• L’indirizzo WordPress e l’indirizzo del sito sono impostati su HTTPS?
• Non sono presenti contenuti misti tramite HTTP?
• Moduli e aree di login funzionano tramite HTTPS?

• Importante: attivare la crittografia SSL per una trasmissione sicura dei dati

7. Utilizzare i moduli di contatto nel rispetto della privacy

I moduli di contatto sono tra le fonti di dati più frequenti sui siti WordPress. I visitatori vi inseriscono nomi, indirizzi e-mail, numeri di telefono o contenuti dei messaggi. Questi dati vengono spesso inviati via e-mail e talvolta anche salvati in WordPress.

Verificate nei moduli:

• Quali campi sono davvero necessari?
• È presente un riferimento all’informativa sulla privacy?
• I dati del modulo vengono salvati nel database?
• Per quanto tempo restano conservate le richieste salvate?
• Viene utilizzata una protezione anti-spam?
• Vengono utilizzati servizi esterni come reCAPTCHA?
• L’invio delle e-mail è configurato in modo sicuro e corretto?

La minimizzazione dei dati è un buon principio: richiedete solo i dati di cui avete realmente bisogno per elaborare la richiesta.

8. Considerare commenti e account utente

Se i commenti sono attivati, WordPress tratta tipicamente dati come nome, indirizzo e-mail, URL del sito web, indirizzo IP, contenuto del commento e timestamp. Anche gli account utente sono rilevanti per la protezione dei dati, poiché possono contenere dati di accesso, ruoli, indirizzi e-mail e attività.

Verificate:

• I commenti sono davvero necessari?
• I commenti vengono moderati manualmente?
• Per quanto tempo restano salvati i commenti?
• Vengono utilizzati Gravatar o servizi avatar esterni?
• Gli account utente possono essere creati autonomamente?
• Quali ruoli e diritti ricevono gli utenti?

Se i commenti non sono necessari, potete disattivarli e ridurre così i rischi legati alla protezione dei dati e allo spam.

9. Verificare cookie e gestione del consenso

Molti siti WordPress utilizzano cookie. Alcuni cookie sono tecnicamente necessari, altri servono ad analisi, marketing, funzioni di comfort o servizi esterni. Se sia necessario un banner cookie o una gestione del consenso dipende dall’uso concreto.

Servizi tipici da verificare:

• Google Analytics o altri strumenti statistici,
• Google Ads o Meta Pixel,
• integrazioni YouTube o Vimeo,
• Google Maps,
• servizi newsletter e marketing,
• chat widget,
• plugin social media,
• font esterni,
• cookie WooCommerce.

Se vengono utilizzati cookie non necessari o servizi di tracking, può essere necessario un consenso preventivo. La configurazione concreta dovrebbe essere verificata legalmente.

10. Google Fonts, Maps, YouTube e servizi esterni

I servizi esterni possono trasmettere dati a terzi quando una pagina viene caricata. Questo riguarda ad esempio video incorporati, mappe, feed social media, font esterni o strumenti di analisi.

Verificate per ogni servizio esterno:

• Quando si accede alla pagina viene stabilita una connessione con un fornitore terzo?
• Vengono trasmessi indirizzi IP o altri dati tecnici?
• Vengono impostati cookie?
• Il servizio è descritto nell’informativa sulla privacy?
• È necessario un consenso?
• Esiste un’alternativa locale o più rispettosa della privacy?

Per Google Fonts, ad esempio, può essere sensato ospitare i font localmente per evitare connessioni esterne. Per YouTube o Maps possono essere utili soluzioni a due clic o blocchi basati sul consenso.

11. Strumenti di analisi e Google Site Kit

Molti gestori di siti web utilizzano Google Analytics, Google Site Kit, Matomo o altre soluzioni statistiche. Questi strumenti possono essere molto utili, ma devono essere integrati in modo conforme alla protezione dei dati.

Verificate:

• Quale strumento di analisi viene utilizzato?
• Gli indirizzi IP vengono abbreviati o anonimizzati, se possibile?
• Lo strumento viene caricato solo dopo il consenso, se necessario?
• Lo strumento è descritto nell’informativa sulla privacy?
• Esiste un accordo di trattamento dei dati o un accordo adeguato?
• I dati vengono trasferiti verso paesi terzi?

Google Site Kit facilita l’integrazione tecnica dei servizi Google, ma non sostituisce una verifica della privacy né la gestione del consenso.

12. Verificare WooCommerce e negozi con particolare attenzione

Nei negozi WooCommerce la protezione dei dati è particolarmente importante, perché vengono trattati molti più dati personali. Tra questi rientrano ordini, dati di fatturazione, indirizzi di consegna, informazioni di pagamento, account clienti e talvolta informazioni fiscali.

Verificate nei negozi:

• Quali dati dei clienti vengono raccolti?
• Quali fornitori di pagamento vengono utilizzati?
• Quali corrieri o fornitori di spedizione ricevono dati?
• Per quanto tempo vengono conservati i dati degli ordini?
• Sono possibili ordini come ospite?
• Gli account clienti vengono creati obbligatoriamente?
• I consensi marketing sono separati in modo chiaro?
• Condizioni generali, privacy, diritto di recesso e informazioni di spedizione sono aggiornati?

Per i negozi è particolarmente consigliabile una verifica legale individuale, poiché protezione dei dati, diritto fiscale, diritto dei consumatori e gestione dei pagamenti si sovrappongono.

13. Documentare i plugin come fonti di dati

Molti rischi per la protezione dei dati non derivano da WordPress stesso, ma dai plugin. Ogni plugin può salvare dati propri, integrare servizi esterni o impostare cookie.

Verificate regolarmente:

• Quali plugin sono attivi?
• Quali dati tratta ogni plugin?
• Esistono connessioni API esterne?
• Il plugin imposta cookie?
• Il plugin salva inserimenti nei moduli?
• Esistono informazioni sulla privacy del fornitore del plugin?
• Il plugin è ancora mantenuto?
• Il plugin è davvero necessario?

Disattivate ed eliminate i plugin non necessari. Meno plugin significano spesso meno rischi per privacy, sicurezza e performance.

14. Generatori di testi legali e verifica giuridica

I generatori di informative sulla privacy possono essere una buona base se sono seri, aggiornati e adatti ai vostri mercati di riferimento. Per i siti web svizzeri dovrebbero essere utilizzati generatori che tengono conto della legge svizzera sulla protezione dei dati. In caso di riferimento all’UE, dovrebbe essere coperto anche il GDPR.

Per i generatori fate attenzione a:

• Il generatore è adatto alla Svizzera?
• Tiene conto del GDPR se esiste un riferimento all’UE?
• Chiede informazioni su servizi e plugin concreti?
• Il testo viene aggiornato regolarmente?
• Ci sono indicazioni su trattamento su incarico e trasferimenti verso paesi terzi?
• Il testo corrisponde davvero al vostro sito web?

Per siti complessi, negozi, dati sanitari, aree membri, tracking, vendita internazionale o dati sensibili è particolarmente consigliabile una consulenza legale.

15. Collegare l’informativa sulla privacy in modo ben visibile

Un’informativa sulla privacy deve essere facilmente reperibile. Di solito si utilizza un link nel footer, raggiungibile da ogni pagina. Inoltre, il link può comparire nei moduli, nelle iscrizioni alla newsletter, nelle pagine di checkout o nelle aree commenti.

Buoni posizionamenti sono:

• menu del footer,
• avviso nel modulo di contatto,
• iscrizione alla newsletter,
• checkout,
• modulo di registrazione,
• area commenti,
• banner cookie o consent manager.

Non nascondete l’informativa sulla privacy in una sottopagina difficile da trovare. La trasparenza è un principio centrale della protezione dei dati.

16. Protezione dei dati e sicurezza vanno insieme

Protezione dei dati non significa solo buoni testi. Anche la sicurezza tecnica è importante. Quando vengono trattati dati personali, il sito web deve essere adeguatamente protetto.

Misure di sicurezza importanti:

• attivare SSL,
• mantenere WordPress aggiornato,
• aggiornare plugin e temi,
• utilizzare password forti,
• verificare l’autenticazione a due fattori,
• creare backup regolari,
• limitare i diritti di amministratore,
• utilizzare protezione anti-spam,
• eliminare plugin non necessari,
• tenere sotto controllo log del server e degli errori.

Un’informativa sulla privacy descrive il trattamento dei dati. La sicurezza tecnica garantisce che questi dati siano protetti in modo adeguato.

17. SEO e GEO: classificare correttamente le pagine privacy

Le informative sulla privacy non sono landing page SEO classiche. Non devono essere sovraccaricate di parole chiave. Sono importanti chiarezza, completezza, aggiornamento e facile reperibilità.

Utile comunque per SEO e GEO:

• titolo della pagina chiaro,
• struttura comprensibile,
• collegamento nel footer,
• dati aziendali coerenti,
• informazioni aggiornate,
• nessuna affermazione contraddittoria su strumenti e servizi,
• buona leggibilità su dispositivi mobili.

GEO, cioè Generative Engine Optimization, trae beneficio da informazioni chiare e affidabili. Una pagina privacy trasparente può contribuire all’affidabilità dell’intero sito web.

18. Errori frequenti nella protezione dei dati in WordPress

• Utilizzare testo standard invariato: La bozza WordPress raramente corrisponde completamente al sito reale.
• Non considerare i plugin: Moduli, analytics, negozi o plugin di sicurezza mancano nel testo.
• Dimenticare servizi esterni: YouTube, Maps, Fonts o social media non vengono menzionati.
• Nessun link nel footer: L’informativa sulla privacy è difficile da trovare.
• Nessun SSL: Moduli o login funzionano in modo non sicuro.
• Testi obsoleti: Vengono aggiunti nuovi strumenti, ma l’informativa sulla privacy non viene aggiornata.
• Banner cookie configurato in modo errato: Il tracking inizia prima del consenso.
• Sopravvalutare l’hosting svizzero: La sede server locale non sostituisce la verifica dei servizi esterni.

Procedura consigliata

1. Analizzare il sito web: Quali moduli, plugin, cookie e servizi esterni vengono utilizzati?
2. Definire la pagina privacy: Selezionare la pagina corretta sotto Impostazioni > Privacy.
3. Descrivere l’hosting: Indicare correttamente sede server in Svizzera e fornitore di hosting.
4. Attivare SSL: Gestire il sito web interamente tramite HTTPS.
5. Verificare i moduli: Richiedere solo dati necessari e inserire avvisi privacy.
6. Verificare i cookie: Distinguere tra cookie necessari e non necessari.
7. Verificare i servizi esterni: Documentare Analytics, Maps, YouTube, font, newsletter e fornitori di pagamento.
8. Utilizzare un generatore o uno specialista: Far creare un testo legale adatto alla Svizzera ed eventualmente all’UE.
9. Inserire link nel footer: Collegare l’informativa sulla privacy in modo ben visibile.
10. Aggiornare regolarmente: Verificare il testo in caso di nuovi plugin, servizi o funzioni.

Domande frequenti sulla protezione dei dati in WordPress

WordPress crea automaticamente un’informativa sulla privacy completa?

No. WordPress può creare una pagina privacy e fornire indicazioni. I contenuti devono però essere adattati al vostro sito web concreto, ai plugin, ai moduli e ai servizi esterni.

Dove trovo le impostazioni privacy in WordPress?

Trovate la sezione sotto Impostazioni > Privacy. Qui potete creare una pagina privacy o definire una pagina esistente.

Ho bisogno di un’informativa sulla privacy se ho solo un sito web semplice?

Se vengono trattati dati personali, i visitatori devono essere informati. Già moduli di contatto, log del server, commenti, analytics o servizi esterni possono essere rilevanti per la protezione dei dati.

L’hosting svizzero è automaticamente conforme alla protezione dei dati?

No. L’hosting svizzero è un vantaggio importante, ma non sostituisce la verifica di plugin, servizi esterni, cookie, moduli e trasferimenti di dati.

Devo menzionare Google Analytics nell’informativa sulla privacy?

Sì, se utilizzate Google Analytics o strumenti di analisi comparabili, questi devono essere descritti nell’informativa sulla privacy e, a seconda della configurazione, caricati solo dopo il consenso.

SSL è importante per la protezione dei dati?

Sì. SSL protegge la trasmissione dei dati tra visitatore e sito web. HTTPS è particolarmente importante per moduli, login, commenti, negozi e aree clienti.

Dovrei utilizzare testi privacy da un generatore?

Un generatore serio può essere una buona base. Per siti complessi, negozi, riferimento all’UE o dati sensibili è consigliabile una verifica legale.

Con quale frequenza dovrei aggiornare la mia informativa sulla privacy?

Ogni volta che cambiano trattamento dei dati, plugin, servizi esterni, tracking, moduli, funzioni shop o requisiti legali. Una verifica regolare è consigliabile.