Uno dei temi più caldi dal fatidico 25 maggio 2018, giorno in cui è divenuto operativo il regolamento europeo in materia di protezione dei dati personali, riguarda l’adeguamento di qualsiasi sito internet che raccoglie e gestisce i dati personali dei propri utenti.

Un mix di ansia e panico sono insorti tra gli addetti ai lavori, poiché vi sono delle salatissime multe da pagare in caso di mancato adeguamento e perché risulta molto difficile capire come adeguare i siti internet dei propri clienti (cosa che probabilmente non saprebbe fare, neanche chi ha ideato il GDPR).

In questo articolo hai l’opportunità di leggere la guida che ti permetterà di adeguare i siti WordPress che utilizzano due plugin sviluppati da Takayuki Miyoshi e molto diffusi:

  • Contact From 7 (plugin che permette la creazione di moduli di contatto)
  • Flamingo (plugin che permette di memorizzare nel database le informazioni inviate tramite modulo di contatto CF7)

Adeguare i moduli di Contact Form 7 al GDPR

Come si possono adeguare al GDPR i moduli di contatto creati con Contact Form 7 al GDPR?

Per adeguare al GDPR i moduli di contatto creati con Contact Form 7 utilizza lo strumento Acceptance Checkbox di CF7 per creare le caselle spuntabili dall’utente, così da poter raccogliere il consenso informato, specifico e libero.

Le caselle spuntabili si creano cliccando sul box “accettazione” (vedi screenshot).

Pulsante accettazione Contact Form 7

Una volta cliccato sul pulsante, si aprirà una finestrella che ti permetterà di creare la casella di controllo.

  • Nome: inserisci il nome della casella di controllo (es: accettazione-gdpr).
  • Condizione: inserisci il testo che l’utente andrà ad accettare, può contenere anche formattazioni html.
  • Opzioni: puoi rendere la casella obbligatoria o facoltativa da spuntare (è sempre obbligatorio ottenere il consenso per il trattamento dei dati personali, mentre è facoltativo ottenere il consenso per l’invio della newsletter).
  • Attributo Id: puoi dare un id all’attributo (puoi lasciare anche bianco).
  • Attributo classe: puoi dare una classe all’attributo (puoi lasciare bianco).

Inserimento casella accettazione GDPR Contact Form 7

Consenso informato

Per poter raccogliere il consenso informato, devi assicurarti che gli utenti siano nelle condizioni di poter leggere agevolmente la tua informativa sulla privacy, ovvero che abbiano il diritto/dovere di conoscere tutte le informazioni disponibili sul trattamento dei propri dati.

Per questo motivo è necessario creare una prima casella di accettazione che metta l’utente nelle condizioni di poter:

  1. leggere l’informativa sulla privacy (tramite un link),
  2. acconsentire il trattamento dei propri dati.

Di seguito puoi vedere un esempio di codice da inserire nel modulo di Contact Form 7 per poter raccogliere il consenso informato per l’accettazione di termini e condizioni (ovviamente secondo il GDPR).

Copia

Consenso informato

Consenso specifico

Il regolamento europeo prevede che non vi sia solamente un consenso generico sul trattamento dei dati dell’utente, ma che lo stesso sia specifico per ogni tipo di finalità.

Per esempio se un utente compila il modulo di contatto per richiedere un preventivo, non potrai inserirlo automaticamente nella mailing list delle newsletter. Dovrai ottenere un consenso specifico per ogni finalità.

Quindi un consenso per il contatto commerciale (di seguito un esempio del codice da inserire nel modulo di CF7).

Copia

Consenso contatto commerciale

E un consenso (non obbligatorio) per l’iscrizione alla newsletter (di seguito un esempio del codice da inserire nel modulo di CF7).

Copia

Consenso iscrizione newsletter

Consenso libero

Infine vi è il principio di libertà, ovvero l’utente ha la libertà di fornire il consenso al trattamento dei propri dati. È facile intuire che se l’utente non acconsente al trattamento dei dati, oppure non vuole essere contattato commercialmente, non sarà in grado di inviarci la richiesta, mentre deve sempre aver la libertà di potersi iscrivere alla newsletter.

Unendo i tre consensi precedentemente creati, si otterrà un modulo di contatto come il seguente.

Esempio modulo di contatto CF7 adeguato al GDPR

Flamingo per documentare i consensi ottenuti con i moduli di Contact Form 7

Nei punti precedenti abbiamo visto che grazie al plugin Contact Form 7 è possibile ottenere, dagli utenti che compilano i moduli di contatto, il consenso informato, specifico e libero al trattamento dei loro dati personali.

Il GDPR prevede che il consenso sia anche documentato, perciò grazie al plugin Flamingo, abbiamo la possibilità di registrare i consensi ottenuti dall’utente che ha compilato il modulo di contatto.

Per vedere i consensi per ogni singolo messaggio basterà:

  • accedere all’area “messaggi in arrivo” del plugin,
  • cliccare sull’oggetto del messaggio ricevuto,
  • vedere nella sezione “consent” quali consensi abbiamo ottenuto,
  • nei “meta” abbiamo anche indirizzo IP, data e ora della compilazione del modulo di contatto.

Consensi utente con plugin Flamingo

Conviene memorizzare l’indirizzo IP?

L’indirizzo IP associato al nome e cognome dell’utente che ha compilato il modulo, è un altro dato personale che viene memorizzato dal plugin Flamingo.

Nel mio caso e presumo anche nel tuo, non mi è molto utile memorizzare questo dato personale, perciò preferirei trovare un modo per renderlo anonimo.

Dalla versione 5.0.3 di CF7 è possibile utilizzare una semplice funzione che anonimizza gli indirizzi IP degli utenti che compilano il modulo di contatto, semplicemente rimpiazzando le ultime cifre dell’indirizzo con un bel zero.

Perciò un indirizzo IP come questo: “198.51.100.123” diventerà un indirizzo IP anonimo come questo “198.51.100.0”.

Per attivare questa impostazione, apri il file “functions.php” del tuo tema WordPress e incolla il seguente codice.

Copia

E il consenso revocabile?

Questa guida non poteva terminare con la ciliegina sulla torta, la possibilità da parte dell’utente, di revocare il consenso del trattamento dei propri dati personali.

L’articolo 15 del GDPR è interamente dedicato al “Diritto di accesso dell’interessato” dei propri dati personali. Non viene specificato se l’accesso ai dati deve essere in maniera automatica, oppure manuale.

Perciò una soluzione per adeguarsi al regolamento è quella di essere trasparenti e di comunicare all’utente la possibilità di:

  1. conoscere quali dati sono trattati,
  2. richiedere la cancellazione di questi dati.

Per farlo, utilizzo uno stratagemma abbastanza semplice. Nel tab “mail” del plugin Contact Form 7, abilito la Mail (2), ovvero il template utilizzato per inviare una risposta automatica all’utente che ha compilato il modulo di contatto.

Abilita risposta automatica Contact Form 7

Nel testo dell’email ringrazio l’utente per aver compilato il modulo di contatto e gli invio un riepilogo di tutti i dati che ha inserito (consensi compresi).

Al termine del messaggio concludo dicendo che ha sempre la possibilità di richiedere una copia dei suoi dati e della loro rimozione inviando una email all’indirizzo preposto (di seguito l’esempio dell’email di risposta automatica).

Copia

Se hai dubbi, oppure altri suggerimenti per adeguare i moduli di contatto al GDPR non esitare a commentare l’articolo.