Il GDPR, acronimo di General Data Protection Regulation (Regolamento generale sulla protezione dei dati), è una legge dell’Unione Europea che protegge la privacy degli utenti quando utilizzano i siti web.
Abbiamo ricevuto decine di email da utenti che ci chiedevano di spiegare il GDPR in inglese semplice e di condividere suggerimenti su come rendere il vostro sito WordPress conforme al GDPR.
In questo articolo vi spiegheremo tutto quello che c’è da sapere sul GDPR e WordPress (senza le complesse questioni legali).
Dichiarazione di non responsabilità
Non siamo avvocati e nulla di quanto contenuto in questo sito web deve essere considerato una consulenza legale.
Per aiutarvi a navigare facilmente nella nostra guida definitiva a WordPress e alla conformità al GDPR, abbiamo creato un indice di seguito:
- What Is the GDPR?
- Does the GDPR Apply to My WordPress Website?
- What Is Required of Website Owners Under the GDPR?
- Is WordPress GDPR Compliant?
- Additional Areas on Your Website to Check for GDPR Compliance
- Best WordPress Plugins for GDPR Compliance
- Final Thoughts
- Expert Guides on Making Your WordPress Site GDPR-Compliant
- Additional Resources
Che cos’è il GDPR?
Il Regolamento generale sulla protezione dei dati (GDPR) è una legge dell’Unione Europea (UE) entrata in vigore il 25 maggio 2018. L’obiettivo del GDPR è dare ai cittadini dell’UE il controllo sui loro dati personali e cambiare l’approccio alla privacy delle organizzazioni di tutto il mondo.
Nel corso degli anni, è probabile che abbiate ricevuto decine di e-mail da aziende come Google in merito al GDPR, alle loro nuove politiche sulla privacy e a tutta una serie di altre questioni legali. Questo perché l’UE ha previsto forti sanzioni per chi non rispetta le norme.
Le aziende che non sono conformi ai requisiti del GDPR possono incorrere in multe salate che possono arrivare fino al 4% del fatturato globale annuo di un’azienda o a 20 milioni di euro (il maggiore dei due). Questo è un motivo sufficiente per scatenare il panico tra le aziende di tutto il mondo.
Che cos’è il CCPA?
Lo stato della California ha introdotto una legislazione simile in materia di privacy il 1° gennaio 2020, anche se le potenziali multe sono molto più basse.
Il California Consumer Privacy Act (CCPA) è stato progettato per proteggere le informazioni personali dei residenti in California. Esso dà loro il diritto di sapere quali informazioni personali vengono raccolte su di loro, di richiederne la cancellazione e di rinunciare alla vendita dei loro dati.
In questo articolo ci concentreremo sul GDPR, ma molti dei passi che elenchiamo in questo articolo vi aiuteranno anche a diventare conformi al CCPA.
Questo ci porta alla grande domanda a cui potreste pensare:
Il GDPR si applica al mio sito web WordPress?
La risposta è SÌ. Si applica a tutte le aziende, grandi e piccole, in tutto il mondo (non solo nell’Unione Europea).
Se il vostro sito web WordPress ha visitatori provenienti da paesi dell’Unione Europea, questa legge si applica a voi.
Ma niente panico. Non è la fine del mondo.
Sebbene il GDPR possa portare a questi livelli elevati di ammende, si inizierà con un avvertimento, poi un rimprovero e infine una sospensione del trattamento dei dati.
E solo se si continua a violare la legge, le multe saranno salate.
L’Unione Europea non è un governo malvagio che vuole prendervi. Il suo obiettivo è quello di proteggere i consumatori innocenti da una gestione sconsiderata dei dati che potrebbe portare a una violazione della loro privacy.
A nostro avviso, la multa massima è in gran parte destinata ad attirare l’attenzione di grandi aziende come Facebook e Google, in modo che questo regolamento non venga ignorato. Inoltre, questo incoraggia le aziende a porre maggiore enfasi sulla protezione dei diritti delle persone.
Una volta compreso ciò che è richiesto dal GDPR e lo spirito della legge, ci si renderà conto che tutto ciò non è troppo assurdo.
Condivideremo anche strumenti e suggerimenti per rendere il vostro sito WordPress conforme al GDPR.
Cosa è richiesto ai proprietari di siti web ai sensi del GDPR?
L’obiettivo del GDPR è quello di proteggere le informazioni di identificazione personale (PII) degli utenti e di imporre alle aziende standard più elevati per quanto riguarda le modalità di raccolta, archiviazione e utilizzo di questi dati.
Questi dati personali comprendono nomi, indirizzi e-mail, indirizzi fisici, indirizzi IP, informazioni sulla salute, reddito e altro ancora.
Sebbene il regolamento GDPR sia lungo 200 pagine, ecco i pilastri più importanti da conoscere:
È necessario ottenere un consenso esplicito per la raccolta di informazioni personali
Se state raccogliendo dati personali da un residente dell’UE, dovete ottenere un consenso o un’autorizzazione espliciti, specifici e inequivocabili.
In altre parole, non potete inviare email non richieste a chi vi ha dato il suo biglietto da visita o ha compilato il modulo di contatto del vostro sito web. Questo è spam. Dovete invece consentire loro di scegliere di partecipare alla vostra newsletter di marketing.
Per essere considerato un consenso esplicito, è necessario richiedere un opt-in positivo. La casella di controllo non deve essere selezionata per impostazione predefinita, deve contenere una formulazione chiara (senza legalese) e deve essere separata da altri termini e condizioni.
I vostri utenti hanno diritto ai loro dati personali
Dovete informare le persone su dove, perché e come i loro dati vengono elaborati e conservati.
Un individuo ha il diritto di scaricare i propri dati personali e il diritto all’oblio.
Ciò significa che hanno il diritto di chiedere la cancellazione dei loro dati personali. Quando un utente clicca su un link di cancellazione o vi chiede di cancellare il suo profilo, dovete effettivamente farlo.
Dovete fornire tempestivamente notifiche di violazione dei dati
Le organizzazioni devono segnalare alcuni tipi di violazione dei dati alle autorità competenti entro 72 ore, a meno che la violazione non sia considerata innocua e non rappresenti un rischio per i dati individuali.
Tuttavia, se una violazione è ad alto rischio, l’azienda deve informare subito le persone interessate.
In questo modo si spera di evitare insabbiamenti come quelli di Yahoo, che non sono stati rivelati fino all’acquisizione.
Potrebbe essere necessario nominare un responsabile della protezione dei dati
Se siete un’azienda pubblica o trattate grandi quantità di informazioni personali, dovete nominare un responsabile della protezione dei dati.
Questo non è richiesto per le piccole imprese. In caso di dubbi, consultate un avvocato.
Sintesi in parole povere di ciò che è richiesto
In parole povere, il GDPR garantisce che le aziende non possano fare spam inviando loro email che non hanno richiesto. Inoltre, le aziende non possono vendere i dati delle persone senza il loro esplicito consenso.
Le aziende devono cancellare gli account degli utenti e cancellarli dalle liste di posta elettronica quando richiesto. Le aziende devono inoltre segnalare le violazioni dei dati e, in generale, migliorare la protezione dei dati.
Sembra piuttosto buono, almeno in teoria.
Ma probabilmente vi starete chiedendo cosa dovete fare per assicurarvi che il vostro sito WordPress sia conforme al GDPR.
Dipende dal vostro sito web specifico (per saperne di più, più avanti).
Iniziamo rispondendo alla domanda più importante che ci è stata posta dagli utenti:
WordPress è conforme al GDPR?
Sì, il software principale di WordPress è conforme al GDPR da WordPress 4.9.6, rilasciato il 17 maggio 2018. A tal fine sono stati aggiunti diversi miglioramenti GDPR.
È importante notare che quando si parla di WordPress, si parla di WordPress.org self-hosted. Si tratta di una differenza rispetto a WordPress.com, che potete approfondire nella nostra guida su WordPress.com vs. WordPress.org.
Detto questo, a causa della natura dinamica dei siti web, nessuna piattaforma, plugin o soluzione può offrire il 100% di conformità al GDPR. Il processo di conformità al GDPR varia in base al tipo di sito web, ai dati memorizzati e alle modalità di elaborazione dei dati sul sito.
Ok, forse starete pensando: cosa significa in parole povere?
Per impostazione predefinita, WordPress è dotato dei seguenti strumenti di miglioramento del GDPR:
Commenti Casella di controllo del consenso
Prima di maggio 2018, WordPress memorizzava per impostazione predefinita il nome, l’e-mail e il sito web del commentatore come cookie nel browser dell’utente. Questo rendeva più facile per gli utenti lasciare commenti sui loro blog preferiti perché questi campi erano precompilati.
A causa del requisito del consenso previsto dal GDPR, WordPress ha aggiunto una casella di controllo del consenso al modulo dei commenti.
L’utente può lasciare un commento senza selezionare questa casella. Tuttavia, dovrà inserire manualmente il proprio nome, email e sito web ogni volta che lo farà.
Suggerimento: per verificare se la casella di controllo è presente, assicurarsi di aver effettuato il logout.
Se la casella di controllo non viene ancora visualizzata, è probabile che il vostro tema stia sovrascrivendo il modulo di commento predefinito di WordPress. Ecco una guida passo passo su come aggiungere una casella di controllo della privacy dei commenti GDPR nel vostro tema WordPress.
Funzioni di esportazione e cancellazione dei dati personali
WordPress offre ai proprietari dei siti gli strumenti necessari per conformarsi ai requisiti del GDPR in materia di trattamento dei dati e per soddisfare le richieste degli utenti di esportazione dei dati personali e di rimozione dei dati personali degli utenti.
Le funzioni di gestione dei dati si trovano nel menu Strumenti dell’amministrazione di WordPress. Da qui si può accedere a Esportazione di dati personali o Cancellazione di dati personali.
Generatore di informativa sulla privacy
WordPress è dotato di un generatore di norme sulla privacy integrato. Il modello di informativa sulla privacy è già pronto e offre indicazioni su cosa aggiungere. Questo vi aiuta a essere più trasparenti con gli utenti in termini di quali dati memorizzate e come gestite i loro dati.
Per saperne di più, consultate la nostra guida su come creare un’informativa sulla privacy in WordPress.
Queste tre caratteristiche sono sufficienti per rendere un blog WordPress predefinito conforme al GDPR. Tuttavia, il vostro sito web avrà probabilmente altre aree che dovranno essere conformi.
Ulteriori aree del vostro sito web da controllare per verificare la conformità al GDPR
In qualità di proprietari di un sito web, potreste utilizzare vari plugin di WordPress che memorizzano o elaborano dati e che possono influire sulla vostra conformità al GDPR. Esempi comuni sono:
- Moduli di contatto
- Analisi
- Marketing via e-mail
- Negozi online
- Siti associativi
- E altro ancora
A seconda dei plugin WordPress che utilizzate sul vostro sito web, dovrete agire di conseguenza per assicurarvi che il vostro sito sia conforme al GDPR.
Molti dei migliori plugin per WordPress hanno aggiunto funzioni di miglioramento del GDPR. Diamo un’occhiata ad alcune delle aree comuni che dovrete affrontare.
Google Analytics
Come la maggior parte dei proprietari di siti web, è probabile che utilizziate Google Analytics per ottenere le statistiche del sito. Ciò significa che potreste raccogliere o tracciare dati personali come indirizzi IP, ID utente, cookie e altri dati per la profilazione del comportamento.
Per essere conformi al GDPR, è necessario effettuare una delle seguenti operazioni:
- Anonimizzare i dati prima di iniziare l’archiviazione e l’elaborazione.
- Aggiungere un overlay che avvisi dei cookie e chieda agli utenti il consenso prima del tracciamento.
Entrambe le cose sono piuttosto difficili da fare se si incolla manualmente il codice di Google Analytics sul proprio sito. Tuttavia, se utilizzate MonsterInsights, il più popolare plugin di Google Analytics per WordPress, siete fortunati.
Hanno rilasciato un addon per la conformità all’UE che aiuta ad automatizzare il processo di cui sopra.
MonsterInsights ha anche un ottimo post sul blog che parla del GDPR e di Google Analytics. È una lettura obbligata se utilizzate Google Analytics sul vostro sito.
Moduli di contatto
Se si utilizza un modulo di contatto in WordPress, potrebbe essere necessario aggiungere ulteriori misure di trasparenza. Ciò è particolarmente vero se memorizzate le voci del modulo o utilizzate i dati per scopi di marketing.
Ecco alcuni elementi da considerare per rendere i vostri moduli WordPress conformi al GDPR:
- Ottenere il consenso esplicito degli utenti per memorizzare le loro informazioni.
- Ottenere il consenso esplicito degli utenti se si intende utilizzare i loro dati per scopi di marketing, ad esempio per aggiungerli alla propria lista di e-mail.
- Disattivare i cookie, gli user-agent e il tracciamento IP per i moduli.
- Rispettare le richieste di cancellazione dei dati.
- Se utilizzate una soluzione di moduli SaaS, assicuratevi di avere un accordo di trattamento dei dati con i vostri fornitori di moduli.
La buona notizia è che non è necessario organizzare un accordo sul trattamento dei dati se si utilizza un plugin di WordPress come WPForms, Gravity Forms o Ninja Forms.
Questi plugin memorizzano i moduli inseriti nel database di WordPress, quindi per essere conformi al GDPR è sufficiente aggiungere un checkbox di consenso con una spiegazione chiara.
WPForms, il plugin per i moduli di contatto che utilizziamo su WPBeginner, ha apportato diversi miglioramenti al GDPR per semplificare l’aggiunta di un campo di consenso GDPR, la disabilitazione dei cookie utente, la disabilitazione della raccolta degli IP utente e la disabilitazione delle iscrizioni con un solo clic.
Potete consultare la nostra guida passo passo su come creare moduli conformi al GDPR in WordPress.
Moduli Opt-in per l’email marketing
Come per i moduli di contatto, se avete moduli di opt-in per l’email marketing come popup, barre fluttuanti, moduli in linea e altri, dovete assicurarvi di ottenere il consenso esplicito degli utenti prima di aggiungerli alla vostra lista.
Questo può essere fatto da entrambi:
- Aggiungere un checkbox che l’utente deve cliccare prima di effettuare l’opt-in.
- È sufficiente richiedere una doppia iscrizione alla vostra mailing list.
Le migliori soluzioni di lead-generation come OptinMonster hanno aggiunto caselle di controllo per il consenso GDPR e altre funzioni necessarie per aiutarvi a rendere i vostri moduli opt-in conformi.
Potete leggere ulteriori informazioni sulle strategie GDPR per i marketer sul blog di OptinMonster.
Negozi eCommerce e WooCommerce
Se utilizzate WooCommerce, il più popolare plugin di eCommerce per WordPress, dovete assicurarvi che il vostro sito web sia conforme al GDPR.
Fortunatamente, il team di MonsterInsights ha preparato una guida approfondita su come rendere un negozio WooCommerce conforme al GDPR.
Annunci di retargeting
Se il vostro sito web utilizza pixel di retargeting o annunci di retargeting, dovrete ottenere il consenso dell’utente.
È possibile farlo utilizzando un plugin come Cookie Notice. Potete trovare istruzioni dettagliate nella nostra guida su come aggiungere un popup sui cookie in WordPress per il GDPR/CCPA.
Caratteri di Google
I font di Google sono un ottimo modo per personalizzare la tipografia del vostro sito WordPress.
Tuttavia, è stato riscontrato che Google Fonts viola le normative GDPR. Questo perché Google accede all’indirizzo IP del visitatore ogni volta che viene caricato un font.
Fortunatamente, ci sono alcuni modi per gestire questa situazione in modo che il vostro sito web sia conforme al GDPR. Ad esempio, è possibile caricare i font in locale, sostituire Google Fonts con un’altra opzione o disabilitarli.
Per sapere come fare, consultate la nostra guida su come rendere Google Fonts compatibile con la privacy.
I migliori plugin WordPress per la conformità al GDPR
Esistono diversi plugin per WordPress che possono aiutarvi ad automatizzare alcune parti della conformità al GDPR.
Tuttavia, nessun plugin può offrire una conformità al 100% a causa della natura dinamica dei siti web.
Diffidate di qualsiasi plugin per WordPress che affermi di offrire il 100% di conformità al GDPR. Probabilmente non sanno di cosa stanno parlando ed è meglio evitarli completamente.
Di seguito è riportato il nostro elenco di plugin consigliati per la conformità al GDPR:
- Se utilizzate Google Analytics, vi consigliamo di utilizzare MonsterInsights e di attivare il suo addon per la conformità all’UE.
- WPForms è il plugin per moduli di contatto WordPress più semplice da usare e offre campi GDPR e altre funzionalità.
- Cookie Notice è un popolare plugin gratuito per aggiungere un avviso sui cookie dell’UE e si integra bene con i migliori plugin come MonsterInsights e altri.
- GDPR Cookie Consent vi permette di creare una barra di avviso sul vostro sito in modo che l’utente possa decidere se accettare o rifiutare i cookie e copre sia il CCPA che il GDPR.
- WP Frontend Delete Account è un plugin gratuito che consente agli utenti di eliminare automaticamente il proprio profilo sul vostro sito.
- OptinMonster è un software avanzato per la generazione di lead che offre funzioni di targeting intelligenti per aumentare le conversioni ed è conforme al GDPR.
- PushEngage consente di inviare messaggi push mirati ai visitatori dopo che hanno lasciato il sito ed è pienamente conforme al GDPR.
- Smash Balloon vi offre un modo conforme al GDPR per incorporare feed live e mostrare post da Facebook, Twitter, Instagram, YouTube, TripAdvisor e altro ancora.
- Invece di caricare i pulsanti di condivisione predefiniti con i cookie di tracciamento, il plugin Shared Counts carica pulsanti di condivisione statici e visualizza il conteggio delle condivisioni.
Troverete altre opzioni nella nostra selezione dei migliori plugin WordPress GDPR per migliorare la conformità.
Continueremo a monitorare l’ecosistema dei plugin per vedere se qualche altro plugin per WordPress si distingue e offre caratteristiche sostanziali di conformità al GDPR.
Pensieri finali
Il GDPR è in vigore da maggio 2018.
Forse avete il vostro sito web WordPress da un po’ di tempo e state lavorando per la conformità al GDPR. Oppure avete appena iniziato a creare un nuovo sito web.
In ogni caso, non c’è bisogno di farsi prendere dal panico. Continuate a lavorare per la conformità e fatelo il prima possibile.
Potreste essere preoccupati per le multe elevate. Ricordate che il rischio di essere multati è minimo. Sul sito web dell’Unione Europea si legge che prima si riceve un avvertimento, poi un richiamo e le multe sono l’ultimo passo se non si rispetta e si ignora consapevolmente la legge.
Ricordate che l’UE non vi sta cercando. Lo sta facendo per proteggere i dati degli utenti e ripristinare la fiducia dei cittadini nelle aziende online.
Poiché il mondo diventa digitale, abbiamo bisogno di questi standard. Con le recenti violazioni dei dati di grandi aziende, è importante che questi standard vengano adattati a livello globale.
Sarà un bene per tutte le parti coinvolte. Queste nuove regole contribuiranno a rafforzare la fiducia dei consumatori e, di conseguenza, a far crescere la vostra attività.
Speriamo che questo tutorial vi abbia aiutato a capire come diventare conformi al GDPR sul vostro blog WordPress. Vi consigliamo di consultare anche le nostre guide di esperti su come rendere il vostro sito web conforme al GDPR.
Guide di esperti per rendere il vostro sito WordPress conforme al GDPR
- Come aggiungere una casella di controllo per la privacy dei commenti GDPR in WordPress
- Come aggiungere un popup sui cookie in WordPress per il GDPR/CCPA
- Come sapere se il vostro sito Web WordPress utilizza i cookie
- Come creare moduli conformi al GDPR in WordPress
- Come rendere i font di Google compatibili con la privacy
- Come disattivare i font di Google sul vostro sito web WordPress
- Come aggiungere un’informativa sulla privacy in WordPress
Se questo articolo vi è piaciuto, iscrivetevi al nostro canale YouTube per le esercitazioni video su WordPress. Potete trovarci anche su Twitter e Facebook.
Esclusione di responsabilità legale
Non siamo avvocati e nulla di quanto contenuto in questo sito web deve essere considerato una consulenza legale. A causa della natura dinamica dei siti web, nessun singolo plugin o piattaforma può offrire una conformità legale al 100%.
In caso di dubbio, è meglio consultare un avvocato specializzato in diritto di Internet per determinare se siete conformi a tutte le leggi applicabili alle vostre giurisdizioni e ai vostri casi d’uso.
Risorse aggiuntive
- Isteria da GDPR Parte I e Parte II di Jacques Mattheij
- Infografica sulla protezione dei dati della Commissione europea
- Principi del GDPR della Commissione europea
- GDPR e MonsterInsights: tutto quello che c’è da sapere sulla conformità GDPR di Google Analytics
- Funzionalità di miglioramento GDPR per WPForms – tutto ciò che dovete sapere sulla conformità GDPR per i vostri moduli WordPress
- WooCommerce e il GDPR: tutto quello che c’è da sapere sulla conformità al GDPR per il vostro negozio online
- OptinMonster e il GDPR – tutto quello che c’è da sapere sulla conformità al GDPR e sui moduli opt-in per l’email marketing
Se questo articolo vi è piaciuto, iscrivetevi al nostro canale YouTube per le esercitazioni video su WordPress. Potete trovarci anche su Twitter e Facebook.
Syed Balkhi says
Hey WPBeginner readers,
Did you know you can win exciting prizes by commenting on WPBeginner?
Every month, our top blog commenters will win HUGE rewards, including premium WordPress plugin licenses and cash prizes.
You can get more details about the contest from here.
Start sharing your thoughts below to stand a chance to win!
Teresa Cuervo says
I use Jetpack plugin for my contact form and stats (among others) How to make their contact form compliant?
Thanks
Dan says
One thing that people don’t seem to be discussing is the comment section. Right here, in this very form, you just asked me for my email address, as does every standard WP comment form. But nowhere are you telling me what this email address will be used for. You aren’t using it for follow up because I’m not going to subscribe to that option.
The default WP comment behaviour is just to ask for people’s email address but with no particular purpose, which also goes against GDPR, right? You have to have a purpose to ask for someone’s data now.
This seems so obvious that I wonder what I’m missing. They clearly thought about comments and added that new cookie comment check-box, so why is nothing mentioned about the email address collection in the first place?
Faizan says
Thelanguage you use o explain this GDPR issue,is tremendously unique. ALL in one solution for small projects like mine. From this I get to know completely about GDPR and Now I can analyze where i have to improve.
Thanks
Rahadian says
Wonderful guide, I thought this compliance is not affecting me, although I wonder what is this “GDPR compliance” people talking about, and this article provide me with clear explanation. Now I know I should update my website and must follow this compliance. Thank you for sharing this information.
Q says
Thank you for a very detailed explanation AND most of all for curbing panic. I can look at decent solutions and implement GDPR compliance on my website with ease now that I know what it entails.
Himadri Saha says
Hi, Thanks for your nice, clear and explanatory article. I am using Sumome to generate my subscriber base. Do you have any idea whether this is GDPR compliant?
Editorial Staff says
Hi Himdari,
You’d have to ask the Sumo team as to what they’re doing about GDPR
Admin
Aliyy Oke says
What a succinct and we’ll informative article. This article has quite enlightenment effect on understanding what GDPR is. Until now I never knew that this law is just going to be taking its effect from 25th of May and there has been a lot buzzes and news of it here and there for a long time now. Thank you for the wonderful post.
Waqas says
I run a cybersecurity news website and I have never collected anything from any visitor other than email for sending readers notifications about new news articles.
Do I have to go through all this headache as well? Also, do we have to show GDPR compliance popup to visitors like we do with cookie consent popup?
Thanks for the great article.
Gary Sonnenberg says
I think you’re going to get a lot of hits on this article.
I agree with others that it’s the best one out there so far. Thanks!
Jeff Coombs says
Hey!
How would I know – or – what can I do on my WordPress site to make sure there are no cookies being used so I don’t have to have the cookie warning or any other policy (GDPR etc) to worry about?
(I just have a few “how-to” guides on there, nothing else – no comments etc or any contact boxes etc).
* Thank you for taking the time to create this GDPR post – greatly appreciated!
JC.
Cheryl Harrison says
Other sources say that GDPR applies only to people/company in the EU, NOT to EU citizens who happen to be in the US.
We have enabled country blocking so our site is simply not available anywhere but the US and Canada.
Is it your (non-legal) opinion that we therefore do not need to comply?
glenda taylor says
I have used WP Simple Membership Plug in on my website. What do I need to do to update the forms there?
WPBeginner Support says
Hi Glenda,
Individual plugins will address GDPR compliance on their own. Please reach out to plugin’s support and they will point you in the right direction.
Admin
rodrigo says
Congratulations for a very informative and well explained article. A very good starting point for further reading.
Tamara says
Thank you for this
About the plugins you recommend, so you recommend downloading ALL OF THEM right?
Thank you
Tamara
Editorial Staff says
They’re all good plugins. You can use the ones that you need
Admin
Carolyn Astfalk says
This is a very helpful article. I’d previously addressed all of these issues in the fashion you recommend, but there is one thing I cannot find an answer to despite searching and posting in multiple places:
What about WP blog subscriptions? Nothing in the WP or JetPack updates that I can find provides that check box of consent for blog subscribers. Don’t those email and WP subscriptions require consent too?
WPBeginner Support says
Hi Carolyn,
They have addressed some of these issues, to learn more please contact their support forums and they will point you in the right direction.
Admin
Dan says
Understanding Title 9 is key.
Here’s a link,
http://www.privacy-regulation.eu/en/article-9-processing-of-special-categories-of-personal-data-GDPR.htm
Dan says
This is a good resources as well,
https://www.compliancejunction.com/gdpr-for-small-business/
Quoting below –
What effect could the GDPR have on small businesses?
For the purposes of the GDPR, a small business is classified as one with fewer than 250 employees. Any business with more than 250 employees is required to comply with the GDPR and is required to nominate a Data Protection Officer (DPO).
Businesses with fewer than 250 employees are required to comply with the GDPR if their data processing could affect the rights and freedoms of individuals, if they process personal data on a regular basis, or if they process data which is covered by Article 9 of the GDPR, which includes sensitive data such as that relating to religious beliefs. If any of these apply to a small business, it needs to ensure that it complies with all aspects of the GDPR.
Dan says
You are omitting the part of GDPR that gives exemptions to companies with less than 200 employees. At least I didn’t see any mention of it.
Editorial Staff says
I believe that part is specific to requiring a Data Protection Officer. However I do agree that risk of penalty is lower for smaller businesses, but it doesn’t mean that they shouldn’t do their best to comply.
-Syed
Admin
Brian77 says
WordPress 4.9.6 is not GDPR-compliant, not at all, sorry. Core-content in backend available to all user roles including subscriber is hosted on third party servers without information and/or consent. User IPs are stored in database without notice, just look for session_token. User IPs are stored for comments. User email is used in filename for GDPR data export. Exported meta fields from user profile are hardcoded, export will be incomplete in most cases. And there are a lot of of bugs like privacy policy page can not be edited by editors, your clients need full admin access to edit that page now, good luck with that.
Wayne Rose says
What a great article, the first bit of sense i have read about the mysterious GDPR, I found that this was informative to start off with and also helpful with advising on plug-ins to add to my website to help make it compliant.
Thank you very much, i can now breathe a sigh of relief!
Dawson Johnson says
Amazing article, thanks so much.
A few questions:
— With regard to MonsterInsights, is the “anonymize IP” feature in the free version sufficient for GDPR compliance with regard to Google Analytics? Or is there critical functionality associated with the paid version (and EU Compliance Addon)?
— I’m a bit concerned about third-party ads (via networks like Taboola, RevContent, etc). What exactly is and isn’t required of publishers given that we in no way control or process the data that they collect / cookies they store?
— With regard to Cookie Plugins, are there any that A) actually block third-party cookies on your site based on a lack of consent or opt-out and B) can be geotargeted to EU users?
I’m a US based publisher, so I don’t want to show opt-out messages (and risk losing track / ad dollars) to visitors who are outside Europe.
WPBeginner Support says
Hi Dawson,
Please see MonsterInsights’ blog post for more details.
You will need to reach out to each network, and most likely they will already have documentation on how to prepare for GDPR compliance.
As for cookie plugins, surely there will be more plugins coming out to address different requirements.
Admin
stefan says
Hi,
Not identifying people that post on your blog can be dangerous for many sites. If someone threatens to sue you and you have insurance, I think you need to inform about it and be able to identify the person so that you can protect yourself against legal claims. As a result, you can’t ask for consent because if you do, the person have to right to be forgotten. So, I am using legitimate interest. By the way, I think the privacy policy offers by WordPress is missing some GDRP requirements such as the identification of the legal basis for each processing.
Stephanie Markou says
By far one of the best articles on GDPR compliance when it comes to plugins and websites. Do you have any examples of privacy policies that show data categories and GDPR compliant terms that would cover plugins in general (in lieu of listing every single plugin used on a website). Thank you!
Elvis Nyamekye says
Hi, I just wanted to say thanks for writing this article. Didn’t really understand this GPDR Update until today. Thanks so much.
McCool Travel says
Wonderful guide to GDPR. Answers many of the question I had. Thank you.
Riccardo says
The best article about GDPR compliance for WordPress that I have read so far! Thank you!
Editorial Staff says
Thanks Ricardo
Admin
Eleni says
Hello, thanks for all these information but I do have one last question. My blog is personal, which means I do not give analytics or data to no-one, or I don’t have advertises.
Do I still have the obligation to obey to the new regulations?
Thanks in advance
Editorial Staff says
Hi Eleni,
According to the regulation, yes if you have a website (personal or business or anything else) you would still have to comply. You can wait and see how they enforce it on small personal blogs since there is no precedent of that yet, but if all you have to do is anonymize IP addresses on your analytics, then it’s not that big of a deal
Admin
Trish says
Thanks for the great article. I’m using your Insert Headers and Footers plug-in, how do I anonymize IP addresses on that?
Editorial Staff says
That plugin only offers you the ability to add scripts. It does not have functionality like anonymizing IPs because that’s specific to individual scripts that you might be loading.
Andrei says
Hi guys,
First of all thank you for this great article.
I have a question regarding the export personal data tool.
If my understanding is correct, a user can access his personal data by contacting the admin and waiting for an email response. I may be wrong, but it’s not a very user-friendly approach. And it also puts a big load on the admin if working with a big user database.
Is there a way to make this process automatically? Maybe a plugin that automatically exports & downloads the user, instead of having the admin do it manually?
Cheers,
Andrei
WPBeginner Support says
Hi Andrei,
Hopefully, soon there will be some plugins available to automate the process. Right now, a user will have to contact an admin.
Admin
Peter Derek says
Thank you for your informative article which I will read more thoroughly. However, I am obliged at this point to mention an issue which has caught my eye. You make mention of ‘EU citizens’ and ‘EU resident’ which are incorrect terms. No one can be legally resident in the EU as such, but only in their respective countries. The EU is not a country, but a bureaucracy which is basically an economic entity that enables free trade among its separate member states and has its own regulations to which member states are subject. The countries of Europe are situated in a landmass geographically, but each have their own identity and culture. Therefore it would be more accurate to refer to the GDPR in terms of relevance to member countries.
Editorial Staff says
Hi Peter,
I am glad you found the article helpful. My goal with this article is to break down things to it’s simplest level. While the distinction exists on local levels, from the sake of this article any long-term resident of an EU member nation is considered an EU resident.
The law is being passed by EU as a whole with signatures from each member nation.
Admin
Benjamin says
This is the best Guide i’ve been reading so far about GDPR. Thank you very much!
Editorial Staff says
Thanks Benjamin, glad you found it helpful
Admin
Agnes says
Thanks for the detailed info? Beyond the legal stuff, practical help and tools to make it possible are very needed here.
Editorial Staff says
Hi Agnes, we added the tools in this article that can help you automate parts of the GDPR process.
Admin
Che says
Hi, Can we write our own privacy policy or do we need a lawyer?
Also, can we copy the privacy policy of another site (certain sentences)?
Editorial Staff says
Hi Che,
You can most definitely use the default WordPress privacy policy through the generator in 4.9.6. Just make sure you add everything that you’re collecting because there’s no such thing as one-size fits all.
Admin
Sieglinde says
I am still confused. My website has a Add To Cart button but the shopping cart is at PayPal, not on my computer, they advise me when I have an order by email so I can ship to the name and address given the item ordered. I have not heard boo from PayPal about these regulations. I don’t store anything other than the name of the buyer and the ship-to address given to me.
If people sign up for my wordpress.com blog to “follow”, all I have is their email address and actually am personally never in touch with them. So what do I need to do?
Editorial Staff says
Hey there,
You would need to update your privacy policy and add what information you store. Add a cookies notice on your blog if you’re adding cookies on the user’s browser and that’s about it.
Admin
Mark Corder says
According to this (very helpful!) article, WP 4.9.6 now has Comments Consent by default. I’m always running the latest version (and I do have the new Privacy setting) but I don’t see this showing on my Comment forms, nor do I see a way to turn it on. I am running a “subscribe” plugin (Subscribe to Comments Reloaded) and this is all I see. Could this be blocking it? Otherwise, how do I activate this feature?
Editorial Staff says
Hi Mark,
WordPress 4.9.6. added the comment consent box by default. Are you logged out when you’re checking this?
Admin
Mark Corder says
Yes – I’ve logged-out, cleared both the WP cache and the browser’s, forced refreshes, tried different browsers … everything I can think of. I installed a clean version of WP 4.9.6 on a test server with NO plugins, and I can see it there – but not on any of the live sites I manage.
I’m still trying things … If I discover the problem, I’ll let you know. In the meantime, anyone have any ideas?
Mark Corder says
OK, after a lot of reading and digging through the WP files, this seems to be a problem with some themes. As of WP 4.9.6, a “$cookies_consent” parameter was added, and while virtually all themes will have their own Comments Forms, many of them will not make use of this parameter – hence the fact that it doesn’t show up. For more information on what’s happening here (and needs to happen), see this article at WordPress.org : https://make.wordpress.org/core/2018/05/17/changes-that-affect-theme-authors-in-wordpress-4-9-6/ .
While this explains the problem and offers a way to fix it, I’m afraid this level of hacking to include a new parameter in the array may be beyond the average person that WPBeginner is focused on… So what to do?
* Contact your theme’s author and ask if they plan to update their theme to include this parameter … and best of luck to you.
* Switch to a theme that’s GDPR compliant and will show this checkbox option on the Comments Form. (The “bundled” WP themes like Twenty Seventeen and such have all been updated to show it.)
I predict that in the future you’re going to get a lot of questions about this very issue – you may even want to write a dedicated article about it!
And while I’m waiting to hear back from a couple of theme developers, I plan to roll up my sleeves and try adding this parameter myself. (Said the fearless code-hacker – who uses child-themes and backs everything up first!)
I hope this helps explain why this feature is probably not showing up for lots of others … and keep up the great work, folks!
Editorial Staff says
Thanks for the link Mark. We’re going to work on getting this guide up ASAP
Marge says
The comment consent box isn’t showing up for me, either. I’m logged out and using an incognito browser. I have seen others say the same thing in another forum.
Maria Spyrou says
Hi! It seems I have the same problem here! I’m running WordPress 4.9.6 and there is no consent checkbox for Comments. It goes without saying that I wasn’t logged in when I checked. Any ideas?
Laura Weed says
And what do we do about WordPress.com blogs? I wrote a privacy policy and I enabled the cookies notice, even though it does not go away when you click accept and close.
You also forgot Article 21. If your website is accessible and collects data from EU citizens, but you are not located in the EU, you are required to have a representative that IS located in the EU in case a local supervising authority needs to get hold of you. This is mandatory.
Editorial Staff says
Hi Laura,
Data protection officer is not mandatory. You can review the infographic that we linked to in additional resources section of this article which is by the European Union themselves.
This is what it says in regards to a Data Protection Officer:
“This is not always obligatory. It depends on the type and amount of data you collect, whether processing is your main business and if you do it on a large scale.”
I’m certain more services will come out and offer representative services at scale for affordable prices.
Admin
Karin says
This is good news .. unless I’m missing something loll
Guess this means that WP will stop sharing our IP’s addresses every time we comment – was not crazy about that .. Wish I knew that before to ensure my VPN’s always active loll But I was a newbie n guess I missed it
All good. I love WP, I love blogging there; been meeting some really great people. Thanks
Mike C says
“around the world (not just in the European Union).”
Please, I’d like to know the source of this information. EU laws do not, and can not apply to US citizens. As I understand, GDPR will only apply to multi national corporations, i.e. ones that have some business unit(s) registered in the EU. Please cite the US statute that states GDPR regulations apply to US citizens operating a business out of the USA. I’ve not been able to find one, and no one has been able to point me to one as of yet. I think all this fear mongering is just plain wrong. EU regulations apply in the EU and US regulations apply in the US. The US has its own privacy related laws. Please advise?
Editorial Staff says
Hi Mike,
By doing business online and making your website available to the entire world, you expose yourself to the jurisdiction of each state and country. It is a quite common argument that EU laws like GDPR does not apply here in US. That’s actually not true. We just haven’t seen them strictly enforced on companies outside of EU (or large multi-national corporation). This does not mean that it can’t happen.
A foreign government or entity can bring a legal case against you (for any reason), win in their respective jurisdiction and file for a motion in your local jurisdiction for a judgement claim. As you can imagine, the cost of doing this is very high, and this is why it doesn’t happen often.
However saying it can’t happen would be a mistake.
Again I’m no lawyer, and as I stated in the article above, people won’t get fined right away. You’ll get a warning first, then reprimand, and then fine. A lot of fear mongering is being done around fines right now, and I wanted to clarify that here in this article.
-Syed
Admin
Neghie Thervil says
Since you’re not a lawyer, maybe it’s best not to give this kind of advice. There is a lot of misinformation in your comment and is the kind of info that causes widespread unnecessary panic.
Barbara Holtzman says
As the “EU” launched two massive lawsuits against Alphabet (Google and Android) and Facebook as soon as the law went into effect, it’s pretty clear this law was and is a thinly veiled ruse to “get” those two companies.
As a one to sometimes three-person shop, with a company that rarely grosses over $1k (although I’m hoping to crank it up to $10k over time), the EU can have a fun go at me for the couple bucks in fines they might get.
More likely I’ll just block all non-US IP addresses [Israel can stay too, the EU will never let them in], and refuse to communicate or do any business with anyone in the EU. Since most of the research I do is US based anyway, and academic research at that, most likely no one will care.
I’ve always had a double-opt-in, don’t share any info with anyone policy, and my data is double anonymized with a proprietary algorithm. I don’t mind adding all the cookie and privacy warnings and such, so I’m probably in compliance anyway. But I don’t like the EU telling the rest of the world what it can and can’t do by fiat.
I hope Google and Facebook pull out of the EU along with me. Watching that and the fallout afterward will really be a hoot.
Christine Robinson says
What are the rules for a non-hosted WordPress.com website? Only used for personal posts, not marketing anything. But I do have worldwide followers. Noticed you addressed WordPress.org only. Thank you!
Editorial Staff says
Hi Christine, everything we do on WPBeginner is focused for helping self-hosted WordPress.org users.
I’d recommend reaching out to WordPress.com team to see what they’re doing about GDPR for their hosted sites.
-Syed
Admin
Vatsala Shukla says
Thanks for the simple plain English post. I’ve shared it forward in a Facebook Group where one of the Group members had concerns about GDPR. Thank you for validating my understanding about GDPR and what we need to do for compliance without overwhelm.
Editorial Staff says
Cheers
Admin
Luis Aquino says
Thank you, thank you, thank you for a an easy to understand article!
Editorial Staff says
You’re welcome Luis
Admin
Christos says
Hello,
I’ve been using the free version for a while and could not be happier.
However, with regards to the GDRP integration, is that available only with a payment plan?
Thank you for a great plug-in! (Already a subscriber and happy to remain one)
Christos
Editorial Staff says
Hi Christos, which plugin are you talking about?
For MonsterInsights, the EU compliance addon is available on paid plans only. For WPForms, it has enhancements for both Lite and Pro users (depending on individual needs).
Admin
Carole says
Our website is for our organization and informational in nature. We don’t sell anything or have a blog. Do I still need to be GDPR compliant?
Editorial Staff says
If you’re storing user’s data or adding cookies to their browsers, then yes
Admin
Vidya SUry says
That’s a concise guide. Jetpack offers the cookie banner with a cookie policy. Today there was a pop up on the dashboard announcing help with the WP Privacy Policy–helping to populate the Privacy Policy subheadings.
My question is: why would one need a GDPR plug in when WP’s tools are available?
Also, how does the export/erase data work? From where do website visitors request that info?
Thanks Syed
Editorial Staff says
Not everyone will need third-party GDPR plugins. It will depend on the type of site you have and your needs. If you’re using Google Analytics, then you would need the MonsterInsights EU compliance addon that either anonymizes IP address or integrates with a cookie notices plugin.
Adding an email in your privacy policy that a visitor can use to email you to request data export / erasure would work sufficiently. Alternatively, you can use a form plugin like WPForms to create a form on your site for that.
Admin
Fernando Tellado says
Hi!
Sorry but WordPress isn’t GDPR compliant because it lacks of the first layer of information that must be agreed by the user. Las version of WordPress only doesn’t save the cookie but doesn’t have a place where to inform to the user that his name, IP, email, etc are going to be saved to the database, and doesn’t have the (not checked) checkbox to agree to this personal data storing.
Curiously, WooCommerce’s next version will include this type of feature in the new Privacy & Accounts tab.
Hugs!
Editorial Staff says
Let’s see if WordPress adds that. I am not a lawyer, but in my opinion this can be addressed in the privacy policy. When the user submits the comment, they understand this information is being stored. However if you want to use their information for something other than just displaying comment (i.e sending a comment notification, email newsletters, etc) then you have to get additional consent.
I also expect a lot more plugins to come out to solve GDPR related issues
Admin
Alison Rayner says
Thank you for producing an easy to understand and follow article on GDPR – the first time I’ve come across something that’s relevant and cuts through all the jargon!
Editorial Staff says
Glad you found it helpful Alison
Admin
Pat Sonnenstuhl says
I do not do financial transaction, nor store any information on my websites. I do charge any money for my sites. will i still need to go thru these costly hoops ?
Pat
Editorial Staff says
Hi Pat, if you’re not using Google Analytics or adding any cookies to user’s browser, then you don’t need to do anything
Admin
Farukh says
Thank you so much for posting this article. I was waiting from many days to listen your thoughts on GDPR. It is helpful and specially simple english. Thank you so much for helping on this matter.
Editorial Staff says
You’re welcome Farukh
Admin
Julie Strietelmeier says
I’d like to know what to do about Amazon affiliate links. How do we become compliant with them? I’ve tried to ask Amazon but they will not provide any advice.
Editorial Staff says
Depending on who you ask, you will get differing opinions. Some will say because the referral cookies don’t get added on your site, you don’t have to do anything regarding affiliate links (it’s the merchant’s responsibility).
Others will recommend to use a cookie notice on your site and add Affiliate Links section in your privacy policy.
Admin
Julie Strietelmeier says
I’ve been trying to find someone’s privacy policy where they mention affiliate links from Amazon and others like Skimlinks but haven’t been successful yet. Do you know of one that I can “borrow”?
Editorial Staff says
Not yet, but we will be updating our privacy policy to add that in the coming days.
Christos says
That actually makes sense – cookie disclaimer and affiliate notice. I use an affiliate notice in the base footer of my site and a cookie consent.
As long as we are transparent with all that we do there can be no comebacks – theoretically!!!
Christos
Dave Soucy says
Nicely done. I’ll be sending my clients to read this instead of re-inventing the wheel and writing my own version.
Editorial Staff says
Thanks Dave – glad you found it useful
Admin
Kichtrickster says
Thanks for the article, great points! I honestly feel ready, but still feel like after a few days I’ll find out some stuff that will be totaly new for me.
https://www.omnisend.com/blog/gdpr-hub/the-3-foundations-of-the-gdpr/ for example here they say that you even need consent to see and save their IP information and such, and so much more. So I mean they disagree with cookie policy? Too bad then, can’t follow ‘em anymore. Tough luck really.
Editorial Staff says
Yes you do need their consent to store IP information. That’s why in our guide we recommend that you anonymize IP for Google Analytics and use Cookie Notice or similar solution to get permission.
Admin