Il problema della conformità GDPR nei backup WordPress
Quando implementi una strategia di backup per i siti WordPress dei tuoi clienti, non stai solo proteggendo dati: stai trattando informazioni personali soggette al GDPR. Un backup completo di un sito WordPress contiene database con email, indirizzi IP, commenti, dati utente e spesso informazioni sensibili da WooCommerce, form di contatto o membership.
La maggior parte delle agenzie implementa backup automatici senza considerare che stanno creando copie multiple di dati personali, potenzialmente in violazione degli articoli 5, 13, 17 e 32 del GDPR. Nel 2025, il Garante italiano ha emesso 23 sanzioni a fornitori di servizi web per inadeguata gestione dei backup contenenti dati personali, con multe tra 15.000 e 80.000 euro.
Questo articolo definisce un framework pratico per gestire backup WordPress in conformità GDPR, basato su interpretazioni consolidate delle autorità europee e best practice tecniche verificate.
Location geografica dello storage: dove salvare i backup
Il GDPR non vieta esplicitamente di conservare dati fuori dall’UE, ma impone requisiti stringenti sui trasferimenti internazionali (Capitolo V). Dopo l’invalidazione del Privacy Shield e le sentenze Schrems II, la situazione si è complicata ulteriormente.
Opzioni conformi per il 2026
- Data center UE/SEE: la scelta più sicura. Provider come Hetzner (Germania), OVH (Francia), Aruba (Italia) offrono storage in regioni europee con piena conformità. Verifica che i contratti specificino esplicitamente la location fisica dei server e l’impegno a non trasferire dati.
- AWS/Google Cloud regioni EU: utilizzabili con le adeguate Standard Contractual Clauses (SCC) e Transfer Impact Assessment (TIA). Configura esplicitamente regioni come eu-south-1 (Milano), eu-west-1 (Irlanda) o eu-central-1 (Francoforte). Disabilita la replica cross-region automatica.
- Svizzera e UK: considerati paesi con adeguatezza riconosciuta dall’UE. Storage in questi territori è generalmente conforme, ma monitora gli sviluppi normativi.
- USA e altri paesi terzi: possibili solo con SCC, TIA documentato e misure supplementari (crittografia end-to-end, key management europeo). Sconsigliato per la complessità della compliance.
Configurazione pratica per backup remoti
Se utilizzi UpdraftPlus, BackWPup o soluzioni simili, configura esplicitamente la destinazione:
// Esempio: forzare region AWS S3 in wp-config.php
define('UPDRAFTPLUS_S3_ENDPOINT', 's3.eu-south-1.amazonaws.com');
define('UPDRAFTPLUS_S3_REGION', 'eu-south-1');
Per backup via SSH/rsync verso server dedicati, documenta nel tuo Data Processing Agreement (DPA) con il cliente la location esatta e l’infrastruttura di sicurezza.
Retention policy: quanto tempo conservare i backup
L’articolo 5(1)(e) del GDPR richiede che i dati personali siano conservati solo per il tempo necessario alle finalità del trattamento. Per i backup, questo crea un paradosso: servono per disaster recovery, ma non puoi conservarli indefinitamente.
Schema di retention consigliato
- Backup giornalieri: conserva 7-14 giorni. Sufficienti per ripristinare errori recenti o attacchi rilevati velocemente.
- Backup settimanali: conserva 4-8 settimane (1-2 mesi). Bilancia tra esigenze di ripristino e minimizzazione dati.
- Backup mensili: conserva 3-6 mesi massimo. Solo per siti con esigenze di compliance specifiche o che richiedono tracciabilità storica documentata.
- Backup annuali: evita completamente, salvo obbligo legale specifico (es. normative settoriali). Se necessari, applica pseudonimizzazione o anonimizzazione.
Un setup pratico con rotazione automatica:
// Rotazione backup con find (cron giornaliero)
find /backup/sito-cliente/ -name "*.tar.gz" -mtime +14 -delete # giornalieri
find /backup/sito-cliente/weekly/ -name "*.tar.gz" -mtime +60 -delete # settimanali
Documentazione obbligatoria
Per ogni cliente, documenta nel contratto o nel DPA:
- Frequenza dei backup (giornaliera, settimanale, etc.)
- Durata di conservazione per ogni tipologia
- Criteri di cancellazione automatica
- Procedure di ripristino e tempi massimi (RTO/RPO)
- Location geografica dello storage
Questa documentazione serve anche per rispondere a richieste di accesso (art. 15 GDPR) e per dimostrare accountability (art. 5(2)).
Data minimization nei backup WordPress
Non tutti i dati in un sito WordPress hanno la stessa rilevanza per il backup. Applicare il principio di minimizzazione (art. 5(1)(c)) riduce rischi e obblighi.
Escludere directory non essenziali
In molti casi, puoi escludere dai backup:
- Cache:
/wp-content/cache/,/wp-content/uploads/cache/— rigenerabili automaticamente - File temporanei:
/wp-content/temp/,/wp-content/upgrade/ - Log server: se contengono IP e user agent, valuta retention separata più breve
- Session data: spesso in
/wp-content/sessions/o gestiti da plugin
Configurazione UpdraftPlus per esclusioni:
// Filtro per escludere directory
add_filter('updraftplus_exclude_directory', function($exclude, $dir) {
$exclude_dirs = ['cache', 'temp', 'sessions', 'logs'];
foreach($exclude_dirs as $excluded) {
if(strpos($dir, $excluded) !== false) return true;
}
return $exclude;
}, 10, 2);
Backup selettivi del database
Il database WordPress contiene tabelle con dati personali di diversa sensibilità. Considera backup differenziati:
- Sempre incluse: wp_posts, wp_postmeta, wp_options (configurazione)
- Valutazione caso per caso: wp_users, wp_usermeta (contengono PII), wp_comments (email e IP)
- Esclusione consigliata: tabelle di log, analytics, statistiche dettagliate se contengono IP non anonimizzati
Per WooCommerce, le tabelle degli ordini (wp_woocommerce_order_*) richiedono particolare attenzione: contengono nomi, indirizzi, email, telefoni. Valuta crittografia selettiva o retention più breve.
Crittografia e sicurezza dello storage
L’articolo 32 GDPR richiede misure tecniche appropriate. Per i backup, la crittografia è praticamente obbligatoria, considerata l’alto rischio in caso di data breach.
Livelli di crittografia
- In transit: usa sempre SFTP, SCP, o HTTPS per il trasferimento. Mai FTP non crittografato.
- At rest: crittografa i backup prima dello storage. UpdraftPlus supporta crittografia nativa, oppure usa GPG:
tar -czf - /var/www/sito/ | gpg --symmetric --cipher-algo AES256 -o backup-$(date +%F).tar.gz.gpg - Key management: conserva le chiavi di crittografia separatamente dai backup. Mai nello stesso server o account cloud.
Controlli di accesso
- Limita l’accesso allo storage backup a utenti strettamente necessari (principio del least privilege)
- Implementa autenticazione a due fattori per account con accesso ai backup
- Logga tutti gli accessi e i download dei backup (audit trail)
- Per storage S3/cloud, usa bucket policy restrittive e IAM role specifici
Gestione delle richieste GDPR sui backup
I backup complicano la gestione dei diritti degli interessati, specialmente il diritto alla cancellazione (art. 17).
Diritto di accesso (art. 15)
Se un utente richiede copia dei propri dati personali, tecnicamente questi esistono anche nei backup. Nella pratica:
- Rispondi estraendo dati dal sistema in produzione, non dai backup
- Documenta nella privacy policy che i backup sono conservati solo per disaster recovery
- Specifica che i dati nei backup saranno cancellati secondo la retention policy stabilita
Diritto alla cancellazione (art. 17)
La posizione consolidata delle autorità europee: non è necessario cancellare dati personali dai backup esistenti se:
- I backup sono conservati solo per disaster recovery
- Esiste una retention policy documentata e rispettata
- I dati vengono cancellati dal sistema in produzione immediatamente
- I backup non vengono utilizzati per scopi operativi (no ripristini selettivi di singoli utenti)
Documenta questa procedura nel tuo DPA e nella risposta alle richieste di cancellazione: “I dati sono stati rimossi dal sistema attivo. Copie nei backup di sicurezza saranno automaticamente eliminate entro [X giorni] secondo la nostra retention policy.”
Data breach sui backup
Se subisci una violazione che coinvolge backup, hai 72 ore per notificare al Garante (art. 33). Prepara:
- Inventario aggiornato di tutti i backup esistenti e loro location
- Documentazione delle misure di sicurezza implementate
- Procedure di incident response specifiche per backup compromessi
- Template di notifica pre-compilati
Checklist operativa per agenzie
Implementa questi controlli per ogni sito cliente:
- ✓ Backup configurati con location server UE/SEE esplicita
- ✓ Retention automatica configurata (max 3-6 mesi)
- ✓ Crittografia abilitata (AES-256 o superiore)
- ✓ Directory cache/temp escluse dai backup
- ✓ DPA firmato con cliente specifica durata conservazione backup
- ✓ Privacy policy del sito menziona backup e retention
- ✓ Procedure documentate per richieste GDPR
- ✓ Test di ripristino trimestrale documentato
- ✓ Audit log degli accessi ai backup attivo
- ✓ Chiavi crittografia conservate separatamente
Usa un tool come AgencyPilot per centralizzare monitoraggio e compliance di backup su tutti i siti clienti, con alert automatici per backup obsoleti oltre la retention policy.
FAQ
Posso conservare backup su Google Drive o Dropbox personale?
Sconsigliato per uso professionale. Gli account personali non offrono DPA conformi GDPR e spesso hanno server distribuiti globalmente senza controllo sulla location. Usa account business con SCC e configurazione regionale EU, oppure provider europei. Se usi già questi servizi, verifica nelle impostazioni account la location di storage e richiedi il DPA business.
Quanto tempo ho per cancellare backup dopo richiesta di un utente?
Non devi cancellare immediatamente dai backup esistenti. Cancella subito dal sistema in produzione, poi i dati scompariranno automaticamente dai backup quando questi raggiungono la scadenza della retention policy. Comunica all’utente i tempi massimi (es. “entro 60 giorni”). Questo approccio è conforme secondo le linee guida EDPB e del Garante italiano.
Serve il consenso degli utenti per fare backup del sito?
No, il backup è un legittimo interesse del titolare del trattamento (art. 6(1)(f) GDPR) per garantire sicurezza e disponibilità del servizio. Non serve consenso esplicito, ma devi informare gli utenti nella privacy policy che vengono effettuati backup, dove sono conservati e per quanto tempo. Il legittimo interesse deve essere bilanciato con i diritti degli utenti, quindi implementa minimizzazione e sicurezza adeguate.
I backup di staging/sviluppo hanno le stesse regole GDPR?
Sì, se contengono dati personali reali. Molte agenzie clonano siti in produzione su ambienti di staging senza considerare che stanno duplicando dati GDPR. Best practice: usa dati fittizi o anonimizzati per staging, oppure applica le stesse misure di sicurezza e retention del produzione. Mai esporre staging pubblicamente senza protezione password e HTTPS.
Come gestire backup di siti dismessi o clienti che hanno chiuso contratto?
Alla chiusura del rapporto: (1) trasferisci backup al cliente se richiesti, (2) cancella tutti i backup entro 30-60 giorni salvo obbligo di conservazione contrattuale o legale, (3) documenta la cancellazione. Includi clausole contrattuali che specificano la gestione dati a fine rapporto. Non conservare backup di ex clienti indefinitamente “per sicurezza”: viola la minimizzazione GDPR e aumenta rischi in caso di breach.