Il GDPR, acronimo di General Data Protection Regulation (Regolamento generale sulla protezione dei dati), è una legge dell’Unione Europea che protegge la privacy degli utenti quando utilizzano i siti web.
Abbiamo ricevuto decine di email da utenti che ci chiedevano di spiegare il GDPR in inglese semplice e di condividere suggerimenti su come rendere il vostro sito WordPress conforme al GDPR.
In questo articolo vi spiegheremo tutto quello che c’è da sapere sul GDPR e WordPress (senza le complesse questioni legali).
Dichiarazione di non responsabilità
Non siamo avvocati e nulla di quanto contenuto in questo sito web deve essere considerato una consulenza legale.
Per aiutarvi a navigare facilmente nella nostra guida definitiva a WordPress e alla conformità al GDPR, abbiamo creato un indice di seguito:
- What Is the GDPR?
- Does the GDPR Apply to My WordPress Website?
- What Is Required of Website Owners Under the GDPR?
- Is WordPress GDPR Compliant?
- Additional Areas on Your Website to Check for GDPR Compliance
- Best WordPress Plugins for GDPR Compliance
- Final Thoughts
- Expert Guides on Making Your WordPress Site GDPR-Compliant
- Additional Resources
Che cos’è il GDPR?
Il Regolamento generale sulla protezione dei dati (GDPR) è una legge dell’Unione Europea (UE) entrata in vigore il 25 maggio 2018. L’obiettivo del GDPR è dare ai cittadini dell’UE il controllo sui loro dati personali e cambiare l’approccio alla privacy delle organizzazioni di tutto il mondo.
Nel corso degli anni, è probabile che abbiate ricevuto decine di e-mail da aziende come Google in merito al GDPR, alle loro nuove politiche sulla privacy e a tutta una serie di altre questioni legali. Questo perché l’UE ha previsto forti sanzioni per chi non rispetta le norme.
Le aziende che non sono conformi ai requisiti del GDPR possono incorrere in multe salate che possono arrivare fino al 4% del fatturato globale annuo di un’azienda o a 20 milioni di euro (il maggiore dei due). Questo è un motivo sufficiente per scatenare il panico tra le aziende di tutto il mondo.
Che cos’è il CCPA?
Lo stato della California ha introdotto una legislazione simile in materia di privacy il 1° gennaio 2020, anche se le potenziali multe sono molto più basse.
Il California Consumer Privacy Act (CCPA) è stato progettato per proteggere le informazioni personali dei residenti in California. Esso dà loro il diritto di sapere quali informazioni personali vengono raccolte su di loro, di richiederne la cancellazione e di rinunciare alla vendita dei loro dati.
In questo articolo ci concentreremo sul GDPR, ma molti dei passi che elenchiamo in questo articolo vi aiuteranno anche a diventare conformi al CCPA.
Questo ci porta alla grande domanda a cui potreste pensare:
Il GDPR si applica al mio sito web WordPress?
La risposta è SÌ. Si applica a tutte le aziende, grandi e piccole, in tutto il mondo (non solo nell’Unione Europea).
Se il vostro sito web WordPress ha visitatori provenienti da paesi dell’Unione Europea, questa legge si applica a voi.
Ma niente panico. Non è la fine del mondo.
Sebbene il GDPR possa portare a questi livelli elevati di ammende, si inizierà con un avvertimento, poi un rimprovero e infine una sospensione del trattamento dei dati.
E solo se si continua a violare la legge, le multe saranno salate.
L’Unione Europea non è un governo malvagio che vuole prendervi. Il suo obiettivo è quello di proteggere i consumatori innocenti da una gestione sconsiderata dei dati che potrebbe portare a una violazione della loro privacy.
A nostro avviso, la multa massima è in gran parte destinata ad attirare l’attenzione di grandi aziende come Facebook e Google, in modo che questo regolamento non venga ignorato. Inoltre, questo incoraggia le aziende a porre maggiore enfasi sulla protezione dei diritti delle persone.
Una volta compreso ciò che è richiesto dal GDPR e lo spirito della legge, ci si renderà conto che tutto ciò non è troppo assurdo.
Condivideremo anche strumenti e suggerimenti per rendere il vostro sito WordPress conforme al GDPR.
Cosa è richiesto ai proprietari di siti web ai sensi del GDPR?
L’obiettivo del GDPR è quello di proteggere le informazioni di identificazione personale (PII) degli utenti e di imporre alle aziende standard più elevati per quanto riguarda le modalità di raccolta, archiviazione e utilizzo di questi dati.
Questi dati personali comprendono nomi, indirizzi e-mail, indirizzi fisici, indirizzi IP, informazioni sulla salute, reddito e altro ancora.
Sebbene il regolamento GDPR sia lungo 200 pagine, ecco i pilastri più importanti da conoscere:
È necessario ottenere un consenso esplicito per la raccolta di informazioni personali
Se state raccogliendo dati personali da un residente dell’UE, dovete ottenere un consenso o un’autorizzazione espliciti, specifici e inequivocabili.
In altre parole, non potete inviare email non richieste a chi vi ha dato il suo biglietto da visita o ha compilato il modulo di contatto del vostro sito web. Questo è spam. Dovete invece consentire loro di scegliere di partecipare alla vostra newsletter di marketing.
Per essere considerato un consenso esplicito, è necessario richiedere un opt-in positivo. La casella di controllo non deve essere selezionata per impostazione predefinita, deve contenere una formulazione chiara (senza legalese) e deve essere separata da altri termini e condizioni.
I vostri utenti hanno diritto ai loro dati personali
Dovete informare le persone su dove, perché e come i loro dati vengono elaborati e conservati.
Un individuo ha il diritto di scaricare i propri dati personali e il diritto all’oblio.
Ciò significa che hanno il diritto di chiedere la cancellazione dei loro dati personali. Quando un utente clicca su un link di cancellazione o vi chiede di cancellare il suo profilo, dovete effettivamente farlo.
Dovete fornire tempestivamente notifiche di violazione dei dati
Le organizzazioni devono segnalare alcuni tipi di violazione dei dati alle autorità competenti entro 72 ore, a meno che la violazione non sia considerata innocua e non rappresenti un rischio per i dati individuali.
Tuttavia, se una violazione è ad alto rischio, l’azienda deve informare subito le persone interessate.
In questo modo si spera di evitare insabbiamenti come quelli di Yahoo, che non sono stati rivelati fino all’acquisizione.
Potrebbe essere necessario nominare un responsabile della protezione dei dati
Se siete un’azienda pubblica o trattate grandi quantità di informazioni personali, dovete nominare un responsabile della protezione dei dati.
Questo non è richiesto per le piccole imprese. In caso di dubbi, consultate un avvocato.
Sintesi in parole povere di ciò che è richiesto
In parole povere, il GDPR garantisce che le aziende non possano fare spam inviando loro email che non hanno richiesto. Inoltre, le aziende non possono vendere i dati delle persone senza il loro esplicito consenso.
Le aziende devono cancellare gli account degli utenti e cancellarli dalle liste di posta elettronica quando richiesto. Le aziende devono inoltre segnalare le violazioni dei dati e, in generale, migliorare la protezione dei dati.
Sembra piuttosto buono, almeno in teoria.
Ma probabilmente vi starete chiedendo cosa dovete fare per assicurarvi che il vostro sito WordPress sia conforme al GDPR.
Dipende dal vostro sito web specifico (per saperne di più, più avanti).
Iniziamo rispondendo alla domanda più importante che ci è stata posta dagli utenti:
WordPress è conforme al GDPR?
Sì, il software principale di WordPress è conforme al GDPR da WordPress 4.9.6, rilasciato il 17 maggio 2018. A tal fine sono stati aggiunti diversi miglioramenti GDPR.
È importante notare che quando si parla di WordPress, si parla di WordPress.org self-hosted. Si tratta di una differenza rispetto a WordPress.com, che potete approfondire nella nostra guida su WordPress.com vs. WordPress.org.
Detto questo, a causa della natura dinamica dei siti web, nessuna piattaforma, plugin o soluzione può offrire il 100% di conformità al GDPR. Il processo di conformità al GDPR varia in base al tipo di sito web, ai dati memorizzati e alle modalità di elaborazione dei dati sul sito.
Ok, forse starete pensando: cosa significa in parole povere?
Per impostazione predefinita, WordPress è dotato dei seguenti strumenti di miglioramento del GDPR:
Commenti Casella di controllo del consenso
Prima di maggio 2018, WordPress memorizzava per impostazione predefinita il nome, l’e-mail e il sito web del commentatore come cookie nel browser dell’utente. Questo rendeva più facile per gli utenti lasciare commenti sui loro blog preferiti perché questi campi erano precompilati.
A causa del requisito del consenso previsto dal GDPR, WordPress ha aggiunto una casella di controllo del consenso al modulo dei commenti.
L’utente può lasciare un commento senza selezionare questa casella. Tuttavia, dovrà inserire manualmente il proprio nome, email e sito web ogni volta che lo farà.
Suggerimento: per verificare se la casella di controllo è presente, assicurarsi di aver effettuato il logout.
Se la casella di controllo non viene ancora visualizzata, è probabile che il vostro tema stia sovrascrivendo il modulo di commento predefinito di WordPress. Ecco una guida passo passo su come aggiungere una casella di controllo della privacy dei commenti GDPR nel vostro tema WordPress.
Funzioni di esportazione e cancellazione dei dati personali
WordPress offre ai proprietari dei siti gli strumenti necessari per conformarsi ai requisiti del GDPR in materia di trattamento dei dati e per soddisfare le richieste degli utenti di esportazione dei dati personali e di rimozione dei dati personali degli utenti.
Le funzioni di gestione dei dati si trovano nel menu Strumenti dell’amministrazione di WordPress. Da qui si può accedere a Esportazione di dati personali o Cancellazione di dati personali.
Generatore di informativa sulla privacy
WordPress è dotato di un generatore di norme sulla privacy integrato. Il modello di informativa sulla privacy è già pronto e offre indicazioni su cosa aggiungere. Questo vi aiuta a essere più trasparenti con gli utenti in termini di quali dati memorizzate e come gestite i loro dati.
Per saperne di più, consultate la nostra guida su come creare un’informativa sulla privacy in WordPress.
Queste tre caratteristiche sono sufficienti per rendere un blog WordPress predefinito conforme al GDPR. Tuttavia, il vostro sito web avrà probabilmente altre aree che dovranno essere conformi.
Ulteriori aree del vostro sito web da controllare per verificare la conformità al GDPR
In qualità di proprietari di un sito web, potreste utilizzare vari plugin di WordPress che memorizzano o elaborano dati e che possono influire sulla vostra conformità al GDPR. Esempi comuni sono:
- Moduli di contatto
- Analisi
- Marketing via e-mail
- Negozi online
- Siti associativi
- E altro ancora
A seconda dei plugin WordPress che utilizzate sul vostro sito web, dovrete agire di conseguenza per assicurarvi che il vostro sito sia conforme al GDPR.
Molti dei migliori plugin per WordPress hanno aggiunto funzioni di miglioramento del GDPR. Diamo un’occhiata ad alcune delle aree comuni che dovrete affrontare.
Google Analytics
Come la maggior parte dei proprietari di siti web, è probabile che utilizziate Google Analytics per ottenere le statistiche del sito. Ciò significa che potreste raccogliere o tracciare dati personali come indirizzi IP, ID utente, cookie e altri dati per la profilazione del comportamento.
Per essere conformi al GDPR, è necessario effettuare una delle seguenti operazioni:
- Anonimizzare i dati prima di iniziare l’archiviazione e l’elaborazione.
- Aggiungere un overlay che avvisi dei cookie e chieda agli utenti il consenso prima del tracciamento.
Entrambe le cose sono piuttosto difficili da fare se si incolla manualmente il codice di Google Analytics sul proprio sito. Tuttavia, se utilizzate MonsterInsights, il più popolare plugin di Google Analytics per WordPress, siete fortunati.
Hanno rilasciato un addon per la conformità all’UE che aiuta ad automatizzare il processo di cui sopra.
MonsterInsights ha anche un ottimo post sul blog che parla del GDPR e di Google Analytics. È una lettura obbligata se utilizzate Google Analytics sul vostro sito.
Moduli di contatto
Se si utilizza un modulo di contatto in WordPress, potrebbe essere necessario aggiungere ulteriori misure di trasparenza. Ciò è particolarmente vero se memorizzate le voci del modulo o utilizzate i dati per scopi di marketing.
Ecco alcuni elementi da considerare per rendere i vostri moduli WordPress conformi al GDPR:
- Ottenere il consenso esplicito degli utenti per memorizzare le loro informazioni.
- Ottenere il consenso esplicito degli utenti se si intende utilizzare i loro dati per scopi di marketing, ad esempio per aggiungerli alla propria lista di e-mail.
- Disattivare i cookie, gli user-agent e il tracciamento IP per i moduli.
- Rispettare le richieste di cancellazione dei dati.
- Se utilizzate una soluzione di moduli SaaS, assicuratevi di avere un accordo di trattamento dei dati con i vostri fornitori di moduli.
La buona notizia è che non è necessario organizzare un accordo sul trattamento dei dati se si utilizza un plugin di WordPress come WPForms, Gravity Forms o Ninja Forms.
Questi plugin memorizzano i moduli inseriti nel database di WordPress, quindi per essere conformi al GDPR è sufficiente aggiungere un checkbox di consenso con una spiegazione chiara.
WPForms, il plugin per i moduli di contatto che utilizziamo su WPBeginner, ha apportato diversi miglioramenti al GDPR per semplificare l’aggiunta di un campo di consenso GDPR, la disabilitazione dei cookie utente, la disabilitazione della raccolta degli IP utente e la disabilitazione delle iscrizioni con un solo clic.
Potete consultare la nostra guida passo passo su come creare moduli conformi al GDPR in WordPress.
Moduli Opt-in per l’email marketing
Come per i moduli di contatto, se avete moduli di opt-in per l’email marketing come popup, barre fluttuanti, moduli in linea e altri, dovete assicurarvi di ottenere il consenso esplicito degli utenti prima di aggiungerli alla vostra lista.
Questo può essere fatto da entrambi:
- Aggiungere un checkbox che l’utente deve cliccare prima di effettuare l’opt-in.
- È sufficiente richiedere una doppia iscrizione alla vostra mailing list.
Le migliori soluzioni di lead-generation come OptinMonster hanno aggiunto caselle di controllo per il consenso GDPR e altre funzioni necessarie per aiutarvi a rendere i vostri moduli opt-in conformi.
Potete leggere ulteriori informazioni sulle strategie GDPR per i marketer sul blog di OptinMonster.
Negozi eCommerce e WooCommerce
Se utilizzate WooCommerce, il più popolare plugin di eCommerce per WordPress, dovete assicurarvi che il vostro sito web sia conforme al GDPR.
Fortunatamente, il team di MonsterInsights ha preparato una guida approfondita su come rendere un negozio WooCommerce conforme al GDPR.
Annunci di retargeting
Se il vostro sito web utilizza pixel di retargeting o annunci di retargeting, dovrete ottenere il consenso dell’utente.
È possibile farlo utilizzando un plugin come Cookie Notice. Potete trovare istruzioni dettagliate nella nostra guida su come aggiungere un popup sui cookie in WordPress per il GDPR/CCPA.
Caratteri di Google
I font di Google sono un ottimo modo per personalizzare la tipografia del vostro sito WordPress.
Tuttavia, è stato riscontrato che Google Fonts viola le normative GDPR. Questo perché Google accede all’indirizzo IP del visitatore ogni volta che viene caricato un font.
Fortunatamente, ci sono alcuni modi per gestire questa situazione in modo che il vostro sito web sia conforme al GDPR. Ad esempio, è possibile caricare i font in locale, sostituire Google Fonts con un’altra opzione o disabilitarli.
Per sapere come fare, consultate la nostra guida su come rendere Google Fonts compatibile con la privacy.
I migliori plugin WordPress per la conformità al GDPR
Esistono diversi plugin per WordPress che possono aiutarvi ad automatizzare alcune parti della conformità al GDPR.
Tuttavia, nessun plugin può offrire una conformità al 100% a causa della natura dinamica dei siti web.
Diffidate di qualsiasi plugin per WordPress che affermi di offrire il 100% di conformità al GDPR. Probabilmente non sanno di cosa stanno parlando ed è meglio evitarli completamente.
Di seguito è riportato il nostro elenco di plugin consigliati per la conformità al GDPR:
- Se utilizzate Google Analytics, vi consigliamo di utilizzare MonsterInsights e di attivare il suo addon per la conformità all’UE.
- WPForms è il plugin per moduli di contatto WordPress più semplice da usare e offre campi GDPR e altre funzionalità.
- Cookie Notice è un popolare plugin gratuito per aggiungere un avviso sui cookie dell’UE e si integra bene con i migliori plugin come MonsterInsights e altri.
- GDPR Cookie Consent vi permette di creare una barra di avviso sul vostro sito in modo che l’utente possa decidere se accettare o rifiutare i cookie e copre sia il CCPA che il GDPR.
- WP Frontend Delete Account è un plugin gratuito che consente agli utenti di eliminare automaticamente il proprio profilo sul vostro sito.
- OptinMonster è un software avanzato per la generazione di lead che offre funzioni di targeting intelligenti per aumentare le conversioni ed è conforme al GDPR.
- PushEngage consente di inviare messaggi push mirati ai visitatori dopo che hanno lasciato il sito ed è pienamente conforme al GDPR.
- Smash Balloon vi offre un modo conforme al GDPR per incorporare feed live e mostrare post da Facebook, Twitter, Instagram, YouTube, TripAdvisor e altro ancora.
- Novashare offre un modo per consentire agli utenti di condividere i vostri contenuti sui social media senza raccogliere i loro dati personali o inserire cookie.
Troverete altre opzioni nella nostra selezione dei migliori plugin WordPress GDPR per migliorare la conformità.
Continueremo a monitorare l’ecosistema dei plugin per vedere se qualche altro plugin per WordPress si distingue e offre caratteristiche sostanziali di conformità al GDPR.
Pensieri finali
Il GDPR è in vigore da maggio 2018.
Forse avete il vostro sito web WordPress da un po’ di tempo e state lavorando per la conformità al GDPR. Oppure avete appena iniziato a creare un nuovo sito web.
In ogni caso, non c’è bisogno di farsi prendere dal panico. Continuate a lavorare per la conformità e fatelo il prima possibile.
Potreste essere preoccupati per le multe elevate. Ricordate che il rischio di essere multati è minimo. Sul sito web dell’Unione Europea si legge che prima si riceve un avvertimento, poi un richiamo e le multe sono l’ultimo passo se non si rispetta e si ignora consapevolmente la legge.
Ricordate che l’UE non vi sta cercando. Lo sta facendo per proteggere i dati degli utenti e ripristinare la fiducia dei cittadini nelle aziende online.
Poiché il mondo diventa digitale, abbiamo bisogno di questi standard. Con le recenti violazioni dei dati di grandi aziende, è importante che questi standard vengano adattati a livello globale.
Sarà un bene per tutte le parti coinvolte. Queste nuove regole contribuiranno a rafforzare la fiducia dei consumatori e, di conseguenza, a far crescere la vostra attività.
Speriamo che questo tutorial vi abbia aiutato a capire come diventare conformi al GDPR sul vostro blog WordPress. Vi consigliamo di consultare anche le nostre guide di esperti su come rendere il vostro sito web conforme al GDPR.
Guide di esperti per rendere il vostro sito WordPress conforme al GDPR
- Come aggiungere una casella di controllo per la privacy dei commenti GDPR in WordPress
- Come aggiungere un popup sui cookie in WordPress per il GDPR/CCPA
- Come sapere se il vostro sito Web WordPress utilizza i cookie
- Come creare moduli conformi al GDPR in WordPress
- Come rendere i font di Google compatibili con la privacy
- Come disattivare i font di Google sul vostro sito web WordPress
- Come aggiungere un’informativa sulla privacy in WordPress
Se questo articolo vi è piaciuto, iscrivetevi al nostro canale YouTube per le esercitazioni video su WordPress. Potete trovarci anche su Twitter e Facebook.
Esclusione di responsabilità legale
Non siamo avvocati e nulla di quanto contenuto in questo sito web deve essere considerato una consulenza legale. A causa della natura dinamica dei siti web, nessun singolo plugin o piattaforma può offrire una conformità legale al 100%.
In caso di dubbio, è meglio consultare un avvocato specializzato in diritto di Internet per determinare se siete conformi a tutte le leggi applicabili alle vostre giurisdizioni e ai vostri casi d’uso.
Risorse aggiuntive
- Isteria da GDPR Parte I e Parte II di Jacques Mattheij
- Infografica sulla protezione dei dati della Commissione europea
- Principi del GDPR della Commissione europea
- GDPR e MonsterInsights: tutto quello che c’è da sapere sulla conformità GDPR di Google Analytics
- Funzionalità di miglioramento GDPR per WPForms – tutto ciò che dovete sapere sulla conformità GDPR per i vostri moduli WordPress
- WooCommerce e il GDPR: tutto quello che c’è da sapere sulla conformità al GDPR per il vostro negozio online
- OptinMonster e il GDPR – tutto quello che c’è da sapere sulla conformità al GDPR e sui moduli opt-in per l’email marketing
Se questo articolo vi è piaciuto, iscrivetevi al nostro canale YouTube per le esercitazioni video su WordPress. Potete trovarci anche su Twitter e Facebook.
Mrteesurez
Also, I can see maybe that’s why WordPress itself comes with a basic privacy policy generator with some suggested text.
I just discovered it not so long.
But is that basic content sufficient ?? because sometimes I used the basic WP generated policy contents for new blogs.
WPBeginner Support
You would want to edit the content in the privacy policy to suit your needs and if you are concerned then you would want to check with a legal professional.
Admin
Mrteesurez
OK, maybe when the blog grows and gaining more traction, then, I can seek out to legal professional for a standard and official policy.
Thanks.
Mrteesurez
Honestly, most of the bloggers and online marketer who just want to make money online don’t usually take this serious.
I could remember how much fine I heard in the press that Google have paid and some other businesses that use tracking software.
My question is, Is this only applicable for if I have visitors from EU ??
Also, you talk of ‘checkbox’.
In WPbeginner, checkbox is not showing, I manually need to re-enter names and email every time I want to comment. Can you fix this ?? or is there any reason no to do this ??
WPBeginner Support
It is applicable to more than the EU, we give an example with California in the article above.
We do not have the consent checkbox at the moment, our theme style overrides the checkbox. We do not save your information in the browser for the time being.
Admin
Mrteesurez
Ok, I understand but you can try to implement it for easy participation in the community.
It can be autofilled or save it in browser but give disclaimer or include it in your privacy policy.
Jiří Vaněk
I hadn’t paid much attention to this topic before, but practice eventually showed me that it’s indeed much better to have everything in order on the website, especially when it comes to laws. Living in an EU country, GDPR is now a top priority for me. Guides like these are great because there’s always something one might overlook.
WPBeginner Support
Glad you found our guide helpful
Admin
Moinuddin Waheed
Thankfully I am not from any of the European country which means GDPR rule will not apply to my website. But data protection has been a prime topic for every country not that for European countries only. we have similar data protection bill in our country as well. it is infact good to see that there is enhanced awareness in terms of data and content online.
thanks for detailing every bit of GDPR for us
WPBeginner Support
You’re welcome
Admin
Ralph
Good to find such a detailed guide that not only explains what to do, but also how and why it is important.
I see GDPR as a plus for user as he can have some impact on his data, but we have to have more and more annoying popups on websites. Cookies, ads, newsletters, GDPR… In 5 or 10 years we will spend more time closing this than reading websites. I wish governments can come up with new 1 idea, that will replace all of that.
Geethu
Thank you for the detailed explanation. It cleared some of the queries I had especially if GDPR applied to websites outside the EU and what to keep in mind while making them GDPR complaint.
WPBeginner Support
You’re welcome, glad we could clear up some confusion!
Admin
Ram E.
Thanks for listing the two cookie notice plugins (Cookie Notice and GDPR Cookie Consent)! I’ve been meaning to find and install one on my blog. This compliance stuff is one of the reasons why I haven’t opened my blog for user registrations yet, and it’s going to be more complicated if more and more countries require it. Personally, I think this is not a big deal though if an EU country or California is not one of your top 10 locations by sessions.
WPBeginner Support
You’re welcome, glad our recommendations were helpful
Admin
John Fernandez
Thanks for the article! This guide will help me manage my wordpress site better.
WPBeginner Support
Glad our guide was helpful
Admin
Ahmed Omar
Thank you for the detailed post.
I have concern about GDPR , what if the visitor did not accept the terms, would he still be able to browse my site or register
Thank you
WPBeginner Support
Unless you set it up to prevent access, the users should still be able to browse your site. For registration you can have a required checkbox to prevent registrations.
Admin
Mikolaj
Thanks for the article! It’s good to know that WP tracks the development of the situation on an ongoing basis
Charles Anderson
Great post, helpful WordPress and GDPR guide ness. keep posting more articles.
WPBeginner Support
Thank you, glad you liked our article
Admin
Chris H
A kind of good post. All SMEs and large business should be GDPR compliant. GDPR Awareness must be given to the staffs.
WPBeginner Support
Glad you liked our content
Admin
Shashank
Nice Blog. Thank you for the article about GDPR. Much needed for me
Gavin
I am still a little confused with all this. Some say as long as you get consent and use something like a cookie/privacy popup to alert users and get consent etc its fine. But surely once someone has visited your site the cookies have already been placed in their browser so in this case should all cookies etc not be used until the users agrees? If this is the case how do we achieve this?
Konrad
Some cookies are just required to load the page.
Users consent to the use of 3rd party and non-essential cookies.
Trond
Hi,
I would just like to add that the Cookie Notice for GDPR plugin states it’s “100% GDPR compliant”. See “features include” at their plugin page.
You say that “Beware of any WordPress plugin that claims to offer 100% GDPR compliance. They likely don’t know what they’re talking about, and it’s best for you to avoid them completely.”
So, how can Cookie Notice be recommended by you?
WPBeginner Support
Hi Trond,
Cookie Notice is a useful plugin, however the plugin alone cannot make your website 100% GDPR compliant.
Admin
Rick OD
how could a law in the European Union hold any water in the USA and how on earth could they fine you or force you to make changes to your website here in the US if no US law forces GDPA compliance?
Mathukutty P. V.
I have Monsterinsights free version. Can not afford to buy pro now so cant install addon.
I was using Jetpack comment, after reading this post changed to wp default. Thanks.
Mathukutty P. V.
Thanks for the clarification. Mine is a personal blog. Will try to modify privacy policy.
Debbie
Excellent article. Could you clarify something I’d not seen mentioned anywhere else?
According to GDPR Article 83, (this is not a quote, but my own summary) fines, penalties, or other consequences for non-compliance, would be based on your footprint as an organization, the degree to which you collect and process data from Europe, and the severity of the infraction.
You said: “While GDPR has the potential to escalate to those high level of fines, it will start with a warning, then a reprimand, then a suspension of data processing, and if you continue to violate the law, then the large fines will hit.” And then you have an infographic with this info.
That’s a very specific progression. Can you point to an official notification or article somewhere where this is stated? Specifically, that an infraction would start with a warning, etc. And let’s just assume we’re talking about the average or smaller site and not Facebook. Thanks!
Abin
Seems it is the lengthy process to correct all the checks against each clause, do we have any plugin available to do correction across the WordPress blog?
Prithvi Raj
This is impossible to enforce.
Who is going to go around and check if every single site is following this?
What are newbie website owners going to do?
It is hard enough to create a website and get a few people to come and read, and now you also have to deal with rubbish like this?
To put it in plain English, the EU intended that big giants like Google and FB don’t screw with data.
This law is not for the average Joe. There are hundreds of laws ordinary people break everyday by visiting simple websites, and doing simple thing online. Nobody can enforce laws like GDPR on small business owners.
If you’re getting big, you definitely need to comply, it also makes sense, if you’re bigger, you have more resources.
Prithvi
I doubt if this GDPR can be enforced for small businesses, does the EU plan on going after every single small website?
I’m not based in the EU, this regulation does not apply to me, at least not at this level (I’m a small business).
Even if it does apply, I can’t make any changes for every single regulation that comes about in different countries.
I’d like to see how this plays out over the years, it is primarily meant for giants, not for ordinary people.
Jeanne
Thanks for the article! I am glad to know the WP is all over this topic.
Geoff
The Ginger plugin works, it is simple to use and will block 3rd party cookies if the user wishes to not accept cookies but still see the website in question.
Christophe Huget
Hello, I use Iubenda to manage my Privacy Policy, the page is not physically on our website, it’s hosted on Iubenda.com. There’s no option to add a link to an external link.
owolabi Thankgod
I was sent a message by google that I should log into my adsense account and accept their new privacy policy and I have done that
Is this same as GDPR because I am getting increasingly confused after reading this article
Please what am I to do to make my wordpress site GDPR complaint because as for me, i have not done anything whatsoever.
Guust
The article says there are fines for companies, so what if my business is not carried on by a company?
And what about hobby websites and blogs, as in non-business websites?
Either the article is not complete or misleading?
Can you clarify?
Thanks
Nanette Irvine
Thank you for your informative article. I have a question in regard to a blog I write. I have a self hosted Wordpress site with a Divi theme. It is not a business, no marketing, no advertising – purely sharing a personal journey. I do offer people the opportunity to receive a notice when the next post is up. Their name and email address is stored in Aweber. Do I have to have Privacy notice etc for GDPR compliance?
Mamun
Very informative article. Really I was confused about the term GDPR. Now it’s clear to me…Thanks buddy
Bill
I disagree with assuming the EU can dictate to a business without a physical location in an EU country. This is a sovereignty issue most US citizens would have issue with like the tea tax which basically started the American colonies fight for independence. The EU cannot globally criminalize an action they do not like and penalize a US citizen, or other citizen outside their umbrella of power, based on such action. To say they can is the height of socialist arrogance.
Nor does the EU have dominion over the internet. If they do not like the way the rest of the world does business they are free to lock their coddled citizens in a make believe world much like the Chinese do.
JC
True indeed but then there is DMCA which is an American law designed to protect copyright that people also follow regardless of soveriegnty. And Americans seem not to fight paying tax abroad even when their physical location and employment does not fall under American jurisdiction.
Geoff
Of course the EU can criminalise certain actions globally.
Currently – The sale of illicit goods to the EU can be made illegal and any EU police force make arrests for certain actions carried out by people entering the EU.
The point is, this is a step towards protecting the data of anyone residing within the EU (even non-EU nationals). If a US based organisation releases data that is personal to me for their own gain or because they did not protect it properly – they should be penalised.
Nathan
Yes! I thought I was the only one who’s thinking this way. Is there a legal precedent for something like this? A citizen from the EU visits my site and all of the sudden they have the right to legislate what I can and can’t do? I think everyone is jumping on the GDPR train because it means more work (i.e. more money) for developers. Is anyone else willing to just say that the emperor doesn’t have any clothes?
Tony Tremblay
I don’t think they will go after anyone outside the Euro zone. What they could do howerver is force Google to integrate them in the search engine ranking factors. This way, every website could be affected…
John
Can we choose to block business in Europe? There’d be ZERO reason for me to even come up over there… I don’t even want their money!
Magrt
Sadly that’s more problems for you.
Apparently EU has a rule, that will take effect this year that prohibits geoblocking. Am not a lawyer but basically that rule will prevent you from blocking out EU members from your site and attract fines .
Bill
Yes John, you most certainly can block all EU based traffic and forget the whole mess.
Latunde
Thank you for sharing this awesome information
GeeLew Grinds Carpentier
GDPR understanding is real right now
Amanda
Hi, thank you all, Editorial Staff, SO much for this wonderful and helpful article, with all the helpful links and resources!! And I am so grateful to see a mostly positive and thankful response from our fantastic community of bloggers. I am so proud to be a part of this. And I really love your respectful treatment of the “spirit of this law.”
Joe
This was fantastic! I only wish it included AdSense, as a lot of site owners use that, too.
nancie
Thank you! Was looking for something simple like this for weeks…
Amar Ilindra
Thanks for the detailed guide.
But I feel you missed Google Adsense part.
For EU users, we need to get consent for personalized/non-personalized ads.
It would be really helpful for people if you update the article with the changes we need to make with Adsense.
WPBeginner Support
Hi Amar,
AdSense has issues GDPR related guidelines for publishers. Basically, you will need to disclose your ads in the privacy policy and cookie usage. You will need to show a cookie popup to get user consent.
Admin
Mike
What if a person’s business is only local to Western Canada
Geoff
If that business interacts with a person residing within the EU – then yes they do.
Lawrence Elliott
What about using the Facebook Comments plugin? Is that in compliance? If not, how can we make it so?
WPBeginner Support
Hi Lawrence,
All Facebook embeds set cookies and track users across the web, you will need to disclose this information and get explicit user consent for those cookies.
Admin
Una
Thank you so much for this very useful article.
Editorial Staff
Glad you found it helpful
Admin
Dawn Daniel
Very good Article Thank you sharing this informative article. easy to understand
balu
I don’t use Google Analytics plugin in wordpress. But I placed Google Analytics code in header file of Wordpress Theme. What can I do for this problem.
WPBeginner Support
Hey Balu,
You will still need to comply with the GDPR by manually adjusting settings.
Admin
Clare
This WAS plain English. Thank you.
Editorial Staff
You’re welcome
Admin
David Lightfoot
Well that’s just brilliant. In order to eliminate spam, they have now set it up so every website, that I have ever sent my email to, anywhere in the world is going to email me some kind of spam about their “new privacy rules”. Idiots.
C.J. Haynie
Thank you so much for putting this together! It’s been a big help. I just run a personal blog but have managed to change a few of my plugins to be more compliant. I need to look at monster insights about their free version of their addon, but I think for the most part I should be fine.
Cheers to you all! Take care of yourselves.
Suzanne
“If your website has visitors from European Union countries, then this law applies to you.”
Correction, “If your website has visitors from European Union countries, then this law applies to THEM.”
This article makes no reference to which countries have treaties with the EU that would allow the EU to usurp their sovereignty to enforce, prosecute, and fine people within them, for having the “wrong check boxes” in their contact forms.
The EU doesn’t get to swallow the earth like some amoeba. I am neither a citizen, serf, nor resident of the EU. My websites are all hosted in non-EU countries. If you can show me the list of countries that have signed on to a treaty to allow the EU to prosecute people for non-GDPR-approved check boxes within their borders, I’ll consider choosing or updating my own plugins/contact forms, thank you very much, or updating my .htaccess to block all EU IP addresses from visiting.
And that’s how it’s played.
Jean Jeudi
Good to know that your site can do without visitor from Europe. I reckon your are not providing important services or goods. Maybe you should read a bit more what the EU requires from companies tar getting European customers. Most of the topics are common sense e.g not to share information you receive with third parties without a previous approval. Similar laws exist ever since for sharing photos showing third parties in social media.
I know that I am already a transparent person thanks to google and friends but at least I want to have the right to check what they have collected on me and to stop distribution of this information
Geoff
I’m afraid the EU does… if you want to play fast and loose with personal data, feel you have a right to send me crap emails me if I didn’t sign up, store information about me with permission, release information about me to 3rd parties (intentionally or not)… then you shouldn’t have a website.
Chris Bukoski
This post seems relevant for wordpress.org (as mentioned). What about wordpress.com sites?
Thanks!
Jonathan Soto Gregg
This is important information. Thanks for sharing. Can i share this in my blog?
Editorial Staff
Hi Jonathan, we don’t allow folks to copy our entire articles. However if you want to link to our article from your own original content blog post, then absolutely
Admin
Gidon Ariel
Great article, I will certainly try to find it and refer to it if I ever need to worry about this.
But since you say that worst case, i will first be given a warning, I will focus on other things and be motivated by real 3rd degree urgency then instead of spending hours now – a few hours before the “deadline” – for something that will probably never affect me.
Sorry chums, this sounds like Bug2000’s little brother.
Cheers!
Jasmin Patterson
First off, thank you for explaining this so simply!
Second, a question. I have a small self-hosted WP blog and I send new posts and updates to my readers but don’t sell them anything at this point. I’m using the Mailmunch plug in for opt-in forms, integrated with my Mailchimp email list.
If I enable double-opt in for my email newsletter opt-in forms, do I need to also have legal language on each of those opt-in forms specifically stating that users information will be stored in my email marketing client and that they can unsubscribe at any time? Or is the double opt-in sufficient to be compliant? Should I perhaps include storage information in a privacy policy also/instead?
Thanks!