Guía rápida para cumplir el RGPD con WordPress

Publicado Por el 3 May, 2018

Última actualización: 21-05-2018

Ya quedan menos días para la entrada en vigor del RGPD, el nuevo reglamento que protege los derechos de privacidad de los ciudadanos de la Unión Europea.

Y como veo que, a pesar de los muchos artículos que he publicado al respecto, aún hay muchas dudas, a ver si con este resumen, pasos y preguntas frecuentes logro ayudarte a cumplir el RGPD y te evitas algún disgusto con sus abultadas multas.

Los 5 principios del RGPD

Si tienes claros estos 5 principios básicos que protege el RGPD debería ser fácil que lo apliques:

  1. Los datos personales que recojas deben procesarse de modo legal, transparente, y no debes utilizarlos sin consentimiento del usuario.
  2. Los datos personales solo deben recogerse para un objetivo concreto, y debes especificar para qué pides esos datos y cuál será su destino.
  3. Los datos personales deben ser precisos y estar actualizados, y no debes guardarlos más tiempo del necesario para el propósito de su recogida.
  4. Los ciudadanos de la UE tienen derecho a acceder a sus propios datos. Pueden pedirte una copia, su modificación, borrado, restricción o reenvío a otra entidad sin excusas.
  5. Todos los datos personales deben guardarse con la máxima privacidad y seguridad, poner medidas para garantizarlo, y si el tamaño de tu organización o de los datos que manejas lo requiere, designar una persona para garantizarlo, el famoso oficial de protección de datos (OPD)

Privacidad por defecto

Uno de los principios fundamentales del RGPD es la protección por defecto de los datos personales de los usuarios, y sus derechos completos sobre esos datos.

De hecho, todo formulario, software, etc., debe estar pensado y diseñado para garantizar la privacidad, portabilidad y acceso de los datos que recoja de los usuarios, y no recopilar ningún dato sin consentimiento expreso, y no implícito como hasta ahora.

Si alguien o algo recoge tus datos debes saberlo y haber dado previamente tu consentimiento.

El troyano: Los derechos del ciudadano de la Unión Europea

Llegará a todas partes, porque ya se está implantando en todas partes, pero de momento solo se aplica a los derechos que tiene el ciudadano de la Unión Europa, y el deber que sus instituciones tienen de protegerlo.

Pero como en todo el mundo reciben visitas y compras de ciudadanos de la Unión Europea, en todos los países se están poniendo las pilas para adaptarse a esta legislación de la Unión Europea.

Desde Facebook a Amazon, desde WordPress.org a Automattic, toda empresa o institución que quiera evitarse perder clientes y visitantes europeos se está adaptando como si no hubiese un mañana.

Y eso es bueno, significará más derechos para todos, y quizás también una regulación en tu país que proteja también tus derechos.

Es más, como no se están implantando medidas para la identificación o geolocalización de los usuarios, a la hora de proteger los derechos recogidos en el RGPD, resulta que todos los ciudadanos del planeta vamos a estar más protegidos gracias a la implantación masiva del RGPD.

Derecho a la información = Transparencia

Como ciudadano tienes que saber en todo momento qué datos se quieren recopilar, con qué objeto, durante cuánto tiempo, quién podrá acceder a ellos, dónde estarán almacenados, qué medidas de seguridad y privacidad se aplicarán a tus datos y cómo manipularlos, actualizarlos, borrarlos, etc.

Y todo de un modo transparente y en dos capas:

  1. Primera capa: De modo resumido se debe informar de lo siguiente:
    • Responsable del tratamiento de los datos.
    • Finalidad de los datos
    • Legitimación (la base jurídica)
    • Destinatarios de los datos
    • Derechos del usuario sobre sus datos
    • Procedencia (en el caso de que no procedan del usuario sino de fuentes adicionales)
  2. Segunda capa: Debes explicar de modo claro, sencillo de entender para cualquier persona, cada uno de  los puntos de la primera capa, de manera detallada y ampliada. Por ejemplo, en la primera capa solo tienes que indicar quién es el responsable de los datos, mientras que en segunda capa debes apuntar también cómo contactar con él. Y así con todo, con explicaciones y procedimientos detallados de cada punto.

Consentimiento: expreso

Se acabaron las casillas marcadas por defecto y recogida de datos sin informar al usuario. El ciudadano de la UE tiene que dar su consentimiento expreso del almacenamiento y tratamiento de sus datos, respetando las capas de información que he apuntado arriba, antes de aceptar.

Igualmente, no se pueden ceder datos a terceros sin informar ni tener un consentimiento expreso, y así se evitarán escándalos como el del caso de Facebook y otros.

Derecho a la modificación y rectificación

Como tienes el deber como ciudadano de ofrecer datos precisos y actualizados, igualmente debes poder modificar tus datos almacenados en cualquier momento, y para ello, el responsable de la web debe facilitarte esa posibilidad.

Igualmente, puedes en cualquier momento revocar tu consentimiento al tratamiento de tus datos personales.

Derecho al olvido

Este es un concepto crucial, pues como ciudadanos tenemos derecho a que nuestro consentimiento a ceder datos personales sea algo temporal, una cesión, no un regalo de por vida.

Así, el RGPD nos ofrece que siempre debamos tener acceso a nuestros datos, incluso para pedir que se borren, a cualquier empresa, ciudadano o institución, y esto no es bueno, es buenísimo.

El único límite son el resto de regulaciones (leyes) que requieran almacenamiento de datos para otros fines. Por ejemplo, normas fiscales que obliguen a guardar facturas, legislación para la protección frente al fraude, etc.

Derecho a la portabilidad de los datos

También tienes derecho a recibir tus datos para dárselos a otra entidad si así lo requieres. Como tienes derecho a tus datos ya no tendrás que rellenar formularios innecesarios al cambiar de banco, operador de telefonía o incluso administraciones públicas, por ejemplo, podrás reclamar que se les remitan tus datos.

Igualmente, tienes derecho a tener tú mismo una copia de tus datos.

Derecho a la seguridad de los datos

Y, además, el usuario de la UE tiene derecho al tratamiento seguro de sus datos, para garantizar su privacidad y seguridad. Igualmente, tiene derecho a que se le informe en un plazo máximo de 72 horas de cualquier brecha de seguridad y las medidas tomadas o a llevar a cabo.

Resume, por favor. ¿Cómo cumplo con el RGPD en mi web con WordPress?

Para garantizar todos estos derechos que regula el RGPD te recomiendo esta sencilla ruta que, en breve, es así:

  1. Actualiza tu política de privacidad y de cookies y avisa
  2. Pide consentimiento expreso de todo
  3. Añade un certificado SSL
  4. Instala un plugin de seguridad que te avise de brechas de seguridad
  5. Instala un plugin de registro de actividad
  6.  Instala un plugin que facilite la vida del OPD
  7. No te olvides de las cookies

Y más en detalle…

Actualiza tu política de privacidad y de cookies

Si tu actual página de política de privacidad y de cookies no cumple con los principios y derechos que garantiza el RGPD debes primero actualizarla, pues ahí enviarás a informarse a tus usuarios.

Simplemente informa, con transparencia, de todo lo que hemos visto antes, en la segunda capa de información.

Si quieres, puedes echar un vistazo a otras políticas de privacidad ya adaptadas al RGPD, por si te dan una idea de la estructura, pero no es esto lo importante, sino que garantices la transparencia y detalle de la información sobre el tratamiento de los datos personales de los usuarios.

Te dejo algunos ejemplos de políticas de privacidad adaptadas al RGPD:

  • Blog de Rubén Alonso: Muy completa, bien clarita, quizás un poco demasiado «cachonda», generada con la ayuda de LEXBlogger.
  • Abanlex: Sencilla, en pestañas, fácil de navegar, quizás demasiado formal y con textos muy «leguleyos».
  • SurveyMonkey: Brutal, cuando tenga tiempo así será la mía.
  • Ayuda WordPress: Completa, detallada, clara, pero mejorable en su diseño.

Pero haz la tuya. Son 5 puntos que tienes que explicar, los de la primera capa de información, en el orden que quieras, pero en detalle, y con lenguaje sencillo.

Si quieres, la versión 4.9.6 de WordPress incorpora una herramienta para crear una página de política de privacidad básica, que incluso analiza tu tema y plugins instalados por si alguno incluye políticas propias de privacidad.

No es completa la página que genera pero te puede servir para empezar, y sobre todo ayuda en la parte de análisis de los plugins instalados, como en el caso de WooCommerce, que incluye alguna información importante a tener en cuenta en tu página de política de privacidad.

Puedes incluso copiar y pegar fácilmente los textos de ejemplo.

Además, avisa sobre este hecho, para obtener la aceptación de la nueva política de privacidad. Para ello puedes usar uno de estos dos plugins:

  • GDPR: Al actualizar tu página de privacidad mostrará una pantalla a todos los visitantes mostrándola y con la consabida aceptación.
  • WP Email Users: Envía un correo a tus usuarios registrados informándoles de la nueva política de privacidad.

Pide consentimiento expreso de todo

Da igual si es para dejar un comentario, rellenar un formulario, hacer una compra, darse de alta como usuario o suscribirse a tu newsletter, pide permiso siempre.

Pregunta, sé respetuoso con los derechos del usuario, respeta sus datos personales, y pídele permiso para guardarlos, informándole claramente de los motivos, objeto, destino, etc, etc, lo que hemos visto antes.

Ahora mismo ningún plugin, permite cumplir con todo. Como mucho añaden una casilla de aceptación con enlace a la política de privacidad, pero no permiten añadir fácilmente la primera capa de información.

Para los formularios de comentarios estándar puedes hacerlo como expliqué hace unos días, y para WooCommerce en APG han publicado unos snippets que sí permiten incluir los textos en WooCommerce. Y para los formularios de contacto te dejo este artículo.

En el caso de las newsletter, debes adecuar sus formularios y popups para incluir la casilla de consentimiento y primera capa de información en ellos, así como el acceso a los derechos de actualización, borrado, rectificación y portabilidad.

Y también, si ya tenías listas en tu newsletter en las que no habías garantizado el cumplimiento de los derechos que ofrece el RGPD, tendrás que volver a pedir el consentimiento.

Añade un certificado SSL

Como debes proteger la información de tus usuarios, hazlo desde el momento en el que te los envían, y para ello nada mejor que un certificado SSL que transmita todos los datos de tu sitio web en HTTPS, cifrados.

Además, ya sabes que instalar un certificado SSL es fácil y gratis.

Instala un plugin de seguridad que te avise de brechas de seguridad

Para cumplir la obligación de proteger los datos personales de tus usuarios debes aplicar seguridad en tu WordPress, así que instala un plugin como WordFence o iThemes Security que tengan la opción de avisarte en caso de ataques y/o brechas de seguridad en tu instalación.

Luego, puedes valerte del plugin GDPR para informar de las brechas de datos y medidas a llevar a cabo.

Instala un plugin de registro de actividad

Con el mismo objetivo, proteger los datos personales de tus usuarios, debes saber si alguien o algo hace algún tratamiento del tipo que sea (actualización, borrado, modificación, etc.) internamente.

Para ello hay plugins como Audit Log o WP Security Audit Log que registran toda actividad en tu WordPress, por si detectas alguna incidencia de la que tengas que informar a tus usuarios.

También hace un gran trabajo la herramienta de telemetría del plugin GDPR, que vigila cualquier transferencia de datos desde tu WordPress por parte del mismo WordPress, plugins y temas.

Instala un plugin que facilite la vida del OPD

El trabajo (en muchos casos tú trabajo) del oficial de protección de datos, o en su defecto el responsable de la web, puede ser arduo.

Además de adecuar las casillas de consentimiento, los textos, y la seguridad de los datos, también tiene que disponer para los usuarios de un modo sencillo, también para él, de garantizar los derechos de rectificación, actualización, borrado y portabilidad de los datos personales.

Si, además, ofrece algún sistema sencillo de informar de brechas de seguridad mucho mejor.

Y para mi el mejor en esto es GDPR, una joya. Te ofrece:

  • Shortcodes para incluir formularios de petición de datos, actualización, borrado, rectificación y portabilidad.
  • Sistema interno de revisión, respuesta y cumplimiento de estas solicitudes, como la de exportación de datos.
  • Herramienta para comunicar brechas de seguridad a los usuarios.
  • Gestión de las cookies, pudiendo determinar el usuario qué cookies acepta y cuáles no.
  • Aviso automático de cambios en la política de privacidad.

Vamos, una maravilla. Es el que yo mismo utilizo y recomiendo actualmente.

También WordPress 4.9.6 incluye herramientas de exportación y borrado pero de momento funcionan mejor las del plugin GDPR, y además tienes los shortcodes para facilitar la vida al usuario. No hay color.

No te olvides de las cookies

Que no se hable específicamente de ellas no significa que no debas cumplir los principios básicos del RGPD en lo que se refiere a las cookies.

Así que utiliza un plugin que realmente pida consentimiento antes de cargar las cookies. No vale solo con informar.

Actualmente yo estoy usando el anteriormente citado plugin GDPR, que incluye un sistema muy completo, claro y respetuoso con los derechos del usuario.

Otro plugin muy interesante, que permite bloquear la mayoría de las cookies de manera sencilla (un clic en el ajuste de bloquear cookies en el body) es Italy Cookie Choices, y el resto añadiendo su código en los ajustes del plugin.

Preguntas frecuentes sobre el RGPD

Vamos a ver lo que más estáis preguntando…

¿También yo tengo que cumplir el RGPD?

Da igual el motivo, esta es una de las preguntas más comunes aquí en el blog. Que si yo vivo en Argentina o los EEUU, que si solo tengo enlaces de afiliado, que si solo vendo infoproductos y no pido dirección de envío, o que solo tengo un puto blog con comentarios, sin siquiera formulario de contacto.

La respuesta es sencilla:

Sí, debes proteger los derechos de los ciudadanos de la Unión Europea, da igual donde vivas.

Si no quieres perder visitantes o clientes más te vale defender sus derechos, porque nos vamos a acostumbrar a justo lo contrario que hacían hasta ahora empresas y particulares, a que se respeten nuestros datos, a que sepamos qué se hace con ellos, con qué finalidad, a que tengamos derechos totales sobre nuestros datos personales.

¿A qué vienen tantas prisas?

En realidad no es así, el RGPD lleva en vigor 2 años pero solo es obligatorio a partir del 25 de mayo de 2018. Pasa lo de siempre, que nadie quiere ser el primero en hacer los cambios que conlleva, y lo vamos dejando, lo vamos dejando,  y aquí estamos.

No cobro nada ¿también tengo que cumplir?

Sí. Da igual si cobras o no por lo que ofrezcas en tu web, si recopilas datos personales de ciudadanos de la UE debes cumplir el RGPD para garantizar sus derechos (y mañana los tuyos)

¿Qué datos se consideran como personales?

Todos, desde el nombre hasta el número de la seguridad social, pasando por el teléfono o el email. Cualquier dato que pueda servir para identificar a una persona.

Uso un sistema que no está adaptado al RGPD ¿qué hago?

Es muy común utilizar servicios o plugins que no cumplen con el RGPD. Por ejemplo, el sistema de reemplazo de comentarios Disqus se arriesga a perder gran parte de su implantación como siga tardando en adecuar su sistema al RGPD.

Si es tu caso, con este u otro servicio, y llegado el día 25 de mayo de 2018 no se ha adaptado, simplemente cambia de servicio hasta que se adecúe al RGPD.

¿Tengo que tener un OPD?

El oficial de protección de datos o OPD (DPO en inglés) solo es necesario si se recogen datos sensibles (información sanitaria, tarjetas de crédito, etc) o si el volumen de datos recogido y tratado es alto. Mi consejo es que lo definas, aunque seas tú mismo, y apliques los principios de garantía de privacidad y seguridad a tus usuarios, ellos te lo agradecerán, y ¿a que a ti te gustaría que se diese ese tratamiento a tus datos siempre? Pues eso.

¿Más dudas?

Si tienes alguna duda ahí tienes los comentarios. Trataré de ayudarte en lo que pueda y sepa.

VALORA Y COMPARTE ESTE ARTÍCULO PARA MEJORAR LA CALIDAD DEL BLOG…
(24 votos, promedio: 4.8)
PocketLinkedInWhatsAppPinterest
¿Te gustó este artículo? ¡No sabes lo que te estás perdiendo en YouTube!

Autor: Fernando Tellado

Fernando Tellado, apasionado de WordPress, profesor, consultor y ponente. Maquero cansino, padre de tres hijos y de una perrita Beagle, Bilbaíno de nacimiento, Español de corazón y ciudadano de donde me quieran. Mi último libro es WordPress - La guía completa. Mi blog personal es Navegando con red, donde he crecido como escritor en la red y ofrezco mis visiones acerca de la Web 2.0 y la blogosfera. Sigue a @fernandot en Twitter

Comparte esta entrada en
468 ad
Ir al contenido