Translate

Come rendere Joomla! Conforme alla normativa Europea GDPR

jes 00 copertina

 

Oggi vediamo come utilizzare tool ed estensioni rese disponibili dagli sviluppatori di terze parti  per rendere Joomla! maggiormente conforme alla nuova normativa sul trattamento dei dati personali denominata EU GDPR, dotandola di una serie di funzionalità attualmente mancanti nel core. Con la nuova Privacy Policy Suite prevista per la versione 3.9 di Joomla! la situazione è destinata a migliorare, infatti il core includerà nuovi componenti e plugin per gestire al meglio i tracciamenti dei consensi e molto altro.

Al momento grazie all'estensione GDPR di JExtensions Store reperibile a questo indirizzo https://storejextensions.org/extensions/gdpr.html è possibile aggiungere alla versione attuale 3.8  le funzionalità mancanti in modo da rendere il proprio sito molto più conforme a quanto richiesto dalla GDPR. L'estensione è a pagamento e costa 39€.

Come stabilito, dal 25 Maggio 2018, l'Unione Europea ha applicato la nuova normativa sul trattamento e conservazione dei dati personali che ha coinvolto tutti i cittadini europei ma non solo, infatti anche i paesi al di fuori dell'Unione Europea che trattano dati di cittadini europei sono stati ugualmente coinvolti.

In sostanza la GDPR è un nuovo insieme di regole atte a dare ai cittadini Europei un maggior controllo sui propri dati personali.

Ma vediamo cosa può fare il componente GDPR per Joomla, in particolare ecco le funzionalità aggiuntive che sarà possibile gestire:

  • Consenso e blocco ai cookie: in base alla normativa sui cookie per avere piena conformità devi esserci un'azione preventiva che blocca determinati cookie. Il componente è in grado di bloccare in modo preventivo cookie di qualsiasi tipologia, inclusi i cookie di terze parti e i cookie tecnici come quello utilizzato per la sessione di Joomla. Inoltre i cookie possono essere suddivisi in categorie personalizzabili e il consenso ai cookie può essere gestito in modo revocabile.

  • Log dei profili utente: ogni modifica al profilo degli utenti sarà tracciata tramite un sistema di log, in modo da sapere esattamente quale campo è stato modificato, quando e da chi. Il log include lo stato dell'accettazione alla privacy policy e la generazione di report esportabili in formato CSV o Excel.

  • Cancellazione profilo: ad ogni utente deve essere data la possibilità di cancellare il proprio profilo in qualsiasi momento. Il componente supporta la pseudonimizzazione o la cancellazione fisica dei dati dal database.

  • Esportazione profilo: in base al diritto alla portabilità dei dati ogni utente deve avere la possibilità di esportare le proprie informazioni in un formato leggibile dai computer. Il componente GDPR supporta i formati CSV, Excel e JSON.

  • Accettazione informativa sulla privacy: qualsiasi form sul sito che tratta o raccoglie dati personali deve obbligatoriamente includere una checkbox per l'accettazione al trattamento dei dati. Inoltre deve essere collegata alla relativa pagina dell'informativa sulla privacy opportunamente redatta in base ai servizi offerti dal sito.

  • Registro dei consensi: si può generare ed esportare il fondamentale registro dei consensi che rappresenta il documento ufficiale contenente tutti i dati degli utenti che hanno acconsentito al trattamento dei dati personali accettando una o più informative sulla privacy presenti sul proprio sito e correlate ai vari form.

  • Notifica in caso di violazione dei dati: nel caso che ci sia una violazione dei dati si è tenuti ad informare gli utenti e il garante della privacy entro 72 ore. Il componente GDPR offre la possibilità di gestire la lista utenti ai quali sono stati violati i dati personali, informarli tempestivamente tramite un'email di notifica ed esportare la lista dei profili violati per fornire un documento dettagliato al garante della privacy, nonché notificare il garante della privacy direttamente via email.

  • Links all'informativa privacy e cookie: la barra di consenso ai cookie integra i links che rimandano alle pagine per l'informativa sulla privacy e sui cookie.

  • Supporto al multilingua di Joomla: i contenuti della barra dei cookie possono essere personalizzati grazie al sistema di override lingua di Joomla.

  • Si integra con estensioni di terze parti: il componente include già un set di integrazioni con le estensioni più comuni quali JomSocial, EasySocial, Virtuemart, Rs Form,  BreezingForms, Chronoforms, ecc e può essere configurato per integrarsi con altre estensioni che generano form standard.

 

Log dei profili utente

Ogni modifica al profilo degli utenti deve essere tracciata tramite un sistema di log, in modo da sapere esattamente quale campo è stato modificato, il valore precedente e quello attuale, quando e da chi.

Il componente include un sistema di log che traccia tutte le modifiche effettuate in frontend attraverso il form del profilo utente, sia in backend da parte di un amministratore. Il sistema di log si integra con il plugin di Joomla! 'Profilo utente' e con i campi aggiuntivi, quindi sarà possibile tracciare anche le modifiche ai campi personalizzati di Joomla! se presenti.

Infine il log include lo stato dell'accettazione alla privacy policy, la cancellazione utente, la creazione utente e la generazione di report esportabili in formato CSV o Excel.

jes 02



Cancellazione ed esportazione profilo


Gli utenti dovranno avere a disposizione gli strumenti necessari per esercitare il diritto all'oblio, ovvero cancellare il proprio profilo utente e i loro dati personali, nonché poter esportare i propri dati in un formato portabile.

Per questo motivo il componente GDPR è in grado di aggiungere dei pulsanti al form del profilo utente di Joomla! per cancellare ed esportare i dati personali. Ma non solo, i pulsanti possono essere integrati anche con estensioni di terze parti.

jes 03


Per default il profilo utente non verrà cancellato ma pseudonimizzato, ovvero i dati personali verranno criptati in modo da non essere più riconducibili all'utente.

Inoltre il componente supporta due modalità di cancellazione ed esportazione dati, automatica o a gestione manuale. L'utente può cancellare ed esportare il profilo in maniera autonoma oppure inviare una richiesta all'amministratore che gestirà manualmente il processo. Questo può essere utile nel caso in cui l'esportazione dei dati includa informazioni esterne al sito web stesso, per esempio se si utilizza un CRM esterno,ecc.

Opzionalmente si può decidere se cancellare definitivamente un record utente e addirittura i contenuti generati da quell'utente sul sito, siano essi articoli nativi di Joomla! o contenuti relativi ad estensioni di terze parti integrate con il componente quali blog, post, foto, video, ecc.

Consenso ai cookie

Il componente GDPR offre diversi tipi di 'livelli di conformità' per la gestione dei cookie, dalla più rigorosa alla semplice barra che informa gli utenti che sul sito sono presenti dei cookie.

Sebbene la GDPR non modifichi in modo particolare la precedente normativa riguardo ai cookie, la totale conformità  avviene quando si bloccano preventivamente tutti i cookie non prettamente tecnici, siano essi locali o di terze parti.

Per default il componente è settato per applicare la modalità più rigorosa tra i 3 livelli disponibili che quindi bloccherà tutti i cookie:

  • Blocca i cookie preventivamente (default)
  • Blocca i cookie successivamente n base alla scelta utente
  • Informa gli utenti riguardo all'utilizzo dei cookie

 

Categorie di cookie


Per impostazione predefinita, l'utente ha una singola scelta per consentire o rifiutare l'utilizzo dei cookie.

Opzionalmente è possibile configurare una classificazione completa dei cookie utilizzati sul proprio sito web, a condizione che siano stati determinati ispezionando la console del browser o  utilizzando un servizio di audit esterno.

Infatti il componente supporta fino a 4 categorie completamente personalizzabili, in modo da poter scegliere:

  • Le categorie abilitate
  • Il nome di ogni categoria
  • La descrizione di ogni categoria
  • La lista dei cookie assegnati ad ogni categoria
  • La lista dei domini dei cookie di terze parti assegnati ad ogni categoria



Il componente include 4 categorie preconfigurate con i valori più comuni utilizzati da Google, Facebook, Youtube, ecc. sia per i cookie che per l'elenco dei domini:

  • Necessari - Cookie che potrebbero impedire il corretto funzionamento del sito web
  • Preferenze - Cookie che consentono di ricordare le informazioni dell'utente come lingua, posizione, ecc
  • Statistiche: cookie che consentono di raccogliere informazioni sull'interazione dei visitatori con il sito web e i loro dati. Questa categoria include Google Analytics e potrebbe anche soltanto tracciare le informazioni in modo anonimo
  • Marketing: cookie utilizzati per tenere traccia dei visitatori e per visualizzare annunci pubblicitari mirati e contenuti promozionali
jes 04
 

Interessanti sono le funzionalità addizionali con cui si può gestire il consenso ai cookie:

  • Blocco dei cookie di terze parti, è possibile gestire una lista dinamica di domini esterni da cui bloccare i cookie
  • Consenso revocabile, si può permettere agli utenti di revocare il consenso ai cookie in qualsiasi momento e passare da uno stato all'altro dinamicamente
  • Blocco dei cookie locali sia lato client che lato server
  • Esclusioni per i cookie locali, se ad esempio si utilizza Google Analytics in modalità anonimizzazione già conforme e si vuole preservarne i cookie e possibile scegliere di non bloccarlo
  • Blocco modale del sito finchè i cookie non vengono accettati
  • Auto accettazione se si continua la navigazione
  • Inclusione dei links alla cookie policy e alla privacy policy direttamente nella barra dei cookie

 

Gestione avanzata del consenso all'informativa privacy


Se sul sito si ha un form di qualsiasi tipologia che richiede dati personali  è necessario che esso includa una checkbox obbligatoria per dare il consenso al trattamento dei dati personali.

Il componente GDPR permette di inserire una checkbox nei vari form integrandosi anche con estensioni di terze parti, ad esempio nel form contatti di Joomla:

jes 05


Per default la checkbox per l'informativa sulla privacy principale viene visualizzata quando un utente si registra sul sito. In questo caso viene creata automaticamente una nota utente di Joomla, contenente i dati dell'utente registrato, la data e l'ora in cui ha accettato l'informativa sulla privacy. Inoltre queste informazioni andranno a costituire il contenuto del registro dei consensi degli account che può essere esportato in formato Excel/CSV.

Se si sceglie di attivare la modalità revocabile, gli utenti visualizzeranno sempre la checkbox nel form standard di Joomla! per la modifica del proprio profilo utente. Questo permette di revocare il consenso al trattamento dei dati personali in qualsiasi momento, con conseguente tracciamento nel log dei profili utente, nel registro dei consensi degli account e nella nota utente creata.

Interessante è anche la possibilità di bloccare la navigazione del sito agli utenti che revocano il consenso all'informativa sulla privacy principale relativa all'account. Infatti nel caso in cui un utente decida di revocare il consenso, è possibile redirezionarlo alla pagina del  profilo utente richiedendo di accettare nuovamente l'informativa sulla privacy prima di poter proseguire con la navigazione.

Questo si applica anche agli utenti già registrati precedentemente  in modalità retroattiva al fine di aggiornare lo stato del loro consenso alla nuove nuove condizioni dettate dalla GDPR. Infatti la prima volta che un utente effettua il login verrà redirezionato alla pagina del profilo utente e gli verrà richiesto di accettare la nuova informativa sulla privacy al fine di continuare l'utilizzo del sito. Grazie a questo sistema è possibile aggiornare ed adeguare lo stato degli utenti già esistenti prima dell'installazione del componente e prima dell'entrata in vigore della GDPR.

Integrazioni e checkbox dinamiche

L'accettazione dell'informativa sulla privacy non è limitata a quella principale per la registrazione profilo utente relativa all'account, infatti è possibile integrare una checkbox per la  privacy policy con le varie estensioni di terze parti che presentino dei form riguardanti dati personali quali ad esempio iscrizioni newsletter, form di contatto, ecc
Ogni tipo di consenso andrà ad essere tracciato e potrà essere esportato sotto forma di registro dei consensi in formato Excel/CSV.

L'integrazione con i form di terze parti può avvenire in due modi:

  • Utilizzando il sistema di integrazione basato sui parametri personalizzati
  • Utilizzando il sistema di checkbox dinamiche e i segnaposto da inserire nel formato {….....}
  • Infatti il componente integra un sistema che rende possibile creare privacy policy multiple e personalizzate associate a una specifica checkbox che potrà essere posizionata ovunque sia necessario: testi, articoli, moduli, forms, ecc

Infatti avere una singola privacy policy potrebbe non essere sufficiente  in base ai servizi offerti, ad esempio potrebbe essere necessario avere :

  • Un consenso per la newsletter
  • Un consenso per gli annunci pubblicitari
  • Un consenso per il marketing
  • ecc



Registro dei trattamenti

Il componente è in grado di gestire e generare il registro dei trattamenti in formato Excel e OpenOffice direttamente dal backend di Joomla!

Sarà possibile creare una serie di record che comporranno il registro dei trattamenti e il relativo documento Excel/OpenOffice generato. Il registro dei trattamenti è composto da 2 aree principali:

  • Descrizione del trattamento
  • Valutazione d'impatto sulla protezione dei dati personali (DPIA)
  • Ogni riga conterrà informazioni in base al tipo di trattamento dei dati personali svolto, al tipo di azienda e dei dati personali trattati.
jes 06

 

Notifica violazione dati personali


Nel caso in cui si verifichi una fuga di dati e alcuni dati utente vengano rubati, la normativa prevede una tempestiva notifica entro 72 ore sia agli utenti soggetto della violazione sia al garante della privacy.

Il componente GDPR include un sistema per gestire rapidamente questa notifica per ogni utente a cui siano stati rubati dati personali e per il garante della privacy.

Infatti è possibile preformattare il contenuto dell'email che verrà inviata ai singoli utenti e al garante della privacy con un semplice sistema di template e segnaposto.

jes 07



Altre estensioni per la GDPR

Restando in attesa della release 3.9 di Joomla! che includerà la nuova Privacy Suite e le API per gli sviluppatori, ad oggi oltre all'estensione appena analizzata esistono altre soluzioni per gestire gli aspetti della GDPR con Joomla! reperibili ai seguenti links:

 
 
Autore: