¿Cómo adaptar una web al RGPD?

que es el RGPD Reglamento General de Protección de Datos

Te contaremos detalladamente los aspectos a tener en cuenta con la entrada en vigor de la nueva ley de protección de datos (RGDP, Reglamento General de Protección de Datos) y cómo adaptar una web al RGDP para que cumpla adecuadamente con esta ley.

Nuevo reglamento de protección de datos RGPD y cómo afecta a mi sitio web

Ya desde el 25 de mayo de 2018 entra en vigor en toda Europa la nueva ley de protección de datos RGPD (Reglamento General de Protección de Datos).

La RGPD es una normativa que afecta a todas las empresas que recogen y tratan datos de los ciudadanos europeos sea cual sea la finalidad de su recogida.

La RGPD busca proteger a los ciudadanos de la forma en la que las empresas tratan sus datos personales; los recogen, procesan, almacenan y se deshacen de ellos cuando estos ya no se necesitan.

En lo referente a las webs usadas por los ciudadanos, la nueva ley de protección de datos establece mecanismos de control individual acerca de cómo las compañías pueden usar la información personal que estas webs requieren a los usuarios.

Otorga a los usuarios una serie de derechos específicos que tienen que estar claramente presentes en dicha web. Se establecen normas muy estrictas que determinan las consecuencias de la violación en el tratamiento de datos personales.

En España se está trabajando en un Proyecto de Ley Orgánica de Protección de Datos para poder reemplazar la actual LOPD, ajustando nuestro ordenamiento a este nuevo Reglamento europeo. Estaremos atentos a los próximos meses para poder establecer las pautas necesarias para adaptar nuestras webs a la Nueva Ley de Protección de Datos.

¿A qué webs afecta la nueva ley de protección de datos?

Siempre que tengamos una web basada en gestores de contenidos en la que se hace uso por ejemplo de Google Analytics, Adsense, Formularios de Correo o cualquier mecanismo de recogida de datos de los visitantes, nos afecta directamente.

¿Qué aspectos debe tener en cuenta nuestra web para adaptarse al RGPD?

  • Los usuarios podrán expresar libremente su consentimiento a la hora de facilitar sus datos a las empresas a través de las webs que visiten.
  • Derecho al olvido: con el paso del tiempo los datos que ya no valen de los usuarios serán borrados y no dejarán huella.
  • Derecho a obtener una copia de sus datos. Los usuarios podrán solicitar una copia de sus datos personales guardados por las empresas, mediante un mecanismo sencillo que les permita descargar dicha copia.
  • El usuario tiene derecho a la portabilidad de los datos de un prestador de servicios a otro.
  • No se solicitarán más datos de los estrictamente necesarios para la finalidad para la cual se requieren.
  • Obligación de ofrecer a usuarios y clientes información completa sobre el uso de su propia información personal.
  • Deberás concretar y especificar con mucho más rigor todo lo que incluya tu actual política de privacidad, relativo a la información personal de usuarios de quienes obtienes datos en una solicitud, suscripción, comentario, registro, etc
  • En algunos casos necesidad de nombrar un Delegado de Protección de Datos (DPO) en indicar la forma de contactar con él. Estos delegados revisarán las Declaraciones de Privacidad, los Avisos de Privacidad y el resto de políticas internas, si las hubiera.

Adaptación a RGPD

Qué deben saber los usuarios de nuestra web antes de mandarnos sus datos

El nuevo reglamento de protección de datos te obliga informar a los usuarios sobre todos los aspectos que afectan al tratamiento de sus datos personales.

Los usuarios de tu web deben ser advertidos de los siguientes aspectos:

  • La identidad del responsable de la gestión y si es necesario del delegado de protección de datos.
  • La identidad de los destinatarios o tipos de destinatarios de los datos personales, que pasa por informar de todos los servicios de terceros que utilizamos en nuestra web y que almacenen también esos datos, como Hosting, plataforma de e-mail marketing, plugins de analítica web, software de afiliados…
  • Que sus datos personales se están recogiendo y qué consecuencias hay si no se facilitan esos datos.
  • La finalidad que tiene la recogida de datos, para qué se van a usar.
  • El plazo durante el cual se conservarán los datos personales y criterio utilizado para determinar este plazo.
  • La existencia del derecho a solicitar, al responsable del tratamiento, el acceso a los datos personales que haya facilitado, su rectificación o supresión, la limitación de su tratamiento o a oponerse al tratamiento, así como el derecho a la portabilidad de los datos.
  • La existencia de decisiones automatizadas como la elaboración de perfiles usada para la segmentación de los servicios.

Sanciones si no cumples con el RGPD

La protección de los datos personales de los usuarios debería ser una preocupación para todas las empresas pero no siempre es así, por ello el nuevo reglamento de protección de datos impone sanciones bastantes elevadas. Las sanciones por no cumplir con el RGPD, dependiendo de su gravedad, pueden ser:

  • Sanciones de hasta 10 Millones de euros o un 2% del volumen de negocio del año anterior.
  • Sanciones de hasta 20 Millones de euros o un 4% de la facturación de la empresa en el último año en el caso de graves incumplimientos de la normativa.

sanciones por no cumplir con la nueva ley de proteccion de datos RGPD

A parte de esto se reconoce el derecho a que los usuarios reciban una indemnización por el mal uso o violación de la protección de sus datos.

Elementos que deben adaptarse en una web WordPress al RGPD

Las formas más habituales en las que un sitio WordPress recoge los datos de sus usuarios son:

  • Registro de usuarios
  • Comentarios en posts
  • Formulario de contacto
  • Formularios de suscripción a newsletters
  • Sistemas de análisis web, logs y registro de interacciones del tráfico
  • Cookies propias y de terceros
  • Determinadas herramientas y plugin utilizados en el CMS
  • ECommerce

A parte algunos también recopilan la IP del usuario y hay que tenerlos en cuenta:

  • Enlaces o sw de afiliados
  • Proveedores de email marketing (Mailchimp, Mailerlite, Mailrelay, Convert Kit, Aweber, Active Campaing, etc).
  • Google Analytics
  • El pixel de Facebook
  • Adsense
  • Los logs de proveedores de hosting
  • El plugin Yoast SEO por debajo de la versión 7.3
  • Las fuentes de Google (Google Fonts)
  • El plugin Star Rating si limita los votos por IP
  • … y algunas herramientas más que desconocemos.

Mejorar seguridad protección de datos

¿Cómo adaptar mi web a la GDPR?

Recoger sólo la información necesaria.

Debemos tener muy claro cuáles son los datos que necesitamos recopilar de los usuarios y solicitar únicamente los que necesitamos. Por ejemplo si es para mandarle información por correo o teléfono de algún servicio requerido con el nombre, email y teléfono sería suficiente.

Adaptar Formularios

Para la recogida de datos a través de formulario, hasta ahora valía sólo con poner un aviso debajo de ellos informando de lo que ibas a hacer con los datos que recogías de los usuarios.

A partir de ahora el consentimiento tácito del usuario no estará permitido. Será obligatorio que para poder enviar el formulario o para poder publicar el comentario sobre un post, cada usuario tenga que marcar un check aceptando la política.

El consentimiento debe ser:

  • 1º Debe ser expreso: no vale el consentimiento tácito.
  • 2º Debe ser específico: ligado a una finalidad concreta y no genérico.
  • 3º Debe ser verificable: debes poder acreditar que lo has obtenido.

Por tanto, en todos los formularios de suscripción o solicitud de información añadiremos un checkbox para que se acepte la política de privacidad.

Debemos añadir un texto visible que deje claro para qué recopilamos estos datos, quién es el responsable del tratamiento de los datos, la finalidad, su legitimación, si se ceden a terceras personas o no, y los derechos que pueden ejercer los usuarios. Este es el primer nivel de información.

Además añadiremos un enlace acompañando el texto anterior que lleve a una página en la que se detalle claramente, de forma sencilla y entendible por todos, la finalidad, cómo se recogen, gestionan y almacenan los datos, responsables del tratamiento y delegados de protección si los hubiera, cómo darse de baja… es decir una explicación ampliada y detallada del primer nivel de información que aparece en el formulario.

Debido a que un visitante puede exigir en cualquier momento que le facilitemos los datos personales que hemos recogido de ellos, debemos tener un sistema que nos permita poder recopilar estos datos y podamos transferirlos a cualquier usuario en forma de fichero.

Adaptación web a RGPD

Adaptar el formulario de suscripción (newsletter)

Tendremos que introducir, al igual que hicimos con los formularios, la casilla de aceptación de la política y la capa de información básica.

Tu lista de suscriptores ya no será válida, la UE la considera a partir de ahora ilegal. A partir de ahora cada usuario que quiera recibir una de tus news tendrá que dar su consentimiento expreso para que tú puedas enviársela. Para los suscriptores que ya tenías tendrás que informarles sobre qué vas a hacer con sus datos y obtener su consentimiento expreso para su tratamiento.

“Los tratamientos realizados con anterioridad al inicio de la aplicación de RGPD serán legítimos siempre que ese consentimiento se hubiera prestado de modo en que prevé el propio RGPD, es decir, mediante una manifestación o acción afirmativa”

Tendrás que valorar como has recabado los consentimientos en el pasado. Los datos recogidos mediante el método “Si no dices nada damos por supuesto tu consentimiento para que te enviemos información”, ya no valdrán.

Puedes mandarles un correo informativo y solicitando la aprobación, ellos tendrán que responderte dándote el ok.

Si no haces esto cualquier correo que envíes con news después del 25 de mayo será considerado ilegal.

Aviso Legal

Es un documento que tiene que estar presente en todas las páginas web, accesible desde un enlace bien visible. Por ejemplo podemos ponerlo en el pie de página de todas las secciones de nuestra web. Los usuarios suelen confundir el aviso legal con la Política de Privacidad o la de Cookies pero no es lo mismo.

El aviso legal debe informar de quién es el propietario de la web, su NIF, dirección, correo electrónico y teléfono, así como otros datos dependientes de la actividad profesional como nº de registro mercantil, autorización administrativa, código de conducta, etc.

El aviso legal informa además de si los contenidos gráficos que tiene nuestra web son nuestros o de terceros y si hay restricciones de uso o copia de los mismos.

Por último, deberás facilitar a los usuarios la forma en que pueden reclamar o resolver posibles conflictos entre usuario y empresa.

Política de Privacidad

El documento de política de privacidad, normalmente enlazado en nuestra web desde el pie de página, sufrirá algunas modificaciones.

La información que debe constar en este documento es la ampliación de la información de primer nivel que ponemos en cada formulario junto al check de aceptación. Debe consistir en una redacción de todos los puntos sobre derechos y obligaciones que hemos comentado anteriormente. Ya sabes, responsable, finalidad, tiempo de retención, mecanismos de baja, portabilidad, etc.

Aviso y Política de Cookies

También deberemos adaptar el texto de la sección de política de cookies de nuestra web al nuevo RGPD.

Aunque ya era obligatorio bloquear las cookies de una web hasta que el usuario diese su consentimiento, la legislación española lo pasaba un poco por alto. A partir de ahora cualquier cookie que recoja datos de carácter personal de los usuarios deberá ser bloqueada hasta que estos den su consentimiento explícito para ser utilizada.

Deberemos seguir informando de qué es una cookie, qué cookies se utilizan en la web, cómo se pueden desactivar las cookies y qué consecuencias puede tener el desactivar o no aceptar dichas cookies.

Haremos nuestra web https

Más allá de que sea recomendable por la nueva normativa el protocolo HTTPS es la manera más segura de acceder a los contenidos de Internet ya que cualquier dato o información que introduzcamos será cifrado. Al transmitirse información cifrada entre cliente y servidor evitamos que la información y datos personales de usuarios puedan ser capturados por terceros en este tránsito.

¿Cómo adapto mi web WordPress a la GDPR?

Hay algunos plugins de WordPress que pueden ayudarnos con el cumplimiento del RGPD.

adaptar wordpress rgpd

WooCommerce

WooCommerce lanza el día 23 de mayo una actualización en la que incluye una configuración de privacidad para incluir casillas de aceptación de las políticas además de la gestión de borrado de datos de usuarios.

GDPR Check

Consiste en una lista de comprobación que te sirve de guía, a través de una serie de preguntas sobre el uso de tu web, dándote recomendaciones de qué acciones debes llevar a cabo.

WP GDPR Compliance

Ofrece herramientas para añadir fácil y automáticamente textos y casillas de aceptación de la política de privacidad. Ayuda a propietarios de webs y tiendas a cumplir con la RGPD.

WP GDPR Compliance actualmente es compatible con Contact Form 7 (>= 4.6), Gravity Forms (>= 1.9), WooCommerce (>= 2.5.0) y los comentarios de WordPress. Pronto se añadirá compatibilidad con más plugins.

Es un plugin muy bueno para incluir la primera capa de información y aceptación de las políticas de privacidad.

GDPR

Hasta el momento el mejor y más completo plugin para ayudarnos a cumplir con la nueva ley de protección de datos. Permite la gestión completa de solicitudes y reclamaciones de protección, borrado, rectificación y revisión de datos de los usuarios.

Ofrece un shortcode para incluir un botón desde el cual realizar las solicitudes y además correos de confirmación y avisos en el panel de administración de WP.

Búsqueda, revisión y exportación (en XML o JSON) de datos de los usuarios para el momento en que éstos solicitan sus datos personales.

Identificación automática del envío de datos por parte de WordPress y sus plugins a servidores externos para así saber qué partes del sitio están cediendo datos de usuarios al exterior.

Envío de correos de aviso a los usuarios en caso de brecha de seguridad para cumplir con el punto que obliga el reglamento a notificar en caso de vulneración de los datos.

Detección automática de cambios en la política de privacidad y aviso a los usuarios para la relectura de la misma.

Gestión de cookies propias y de terceros, con bloqueo y/o aceptación obligatoria u opcional.

WP GDPR

Este plugin permite ver a los usuarios de tu sitio web la qué datos personales has recolectado sobre ellos. De la misma forma ofrece la posibilidad de descargarlos o solicitar su eliminación.

Remove Comment IPs

La nueva normativa de protección de datos, RGPD, afecta directamente a los comentarios de WordPress, pero no sólo a la hora de crearlos sino también de almacenarlos en nuestra BBDD.

El RGDP nos dice que no debemos guardar los datos personales de nuestros usuarios más tiempo del necesario.

Con este plugin se borrará la IP de los comentarios de WordPress al cabo de 60 días. Esta IP en un principio se necesita recoger para filtrar el spam o controlar comentarios no deseados.

adaptar web wordpress rgpd

WP Security Audit Log y Activity Log

Estos dos plugins te ayudan a registrar toda la actividad tanto de administración como de navegación de tu WordPress para saber en todo momento qué está ocurriendo, quién lo hace y poder tomar las medidas oportunas en caso necesario.

iTemes Security

Plugin de seguridad que te ayudará a proteger tu sitio y a sus usuarios de ataques y brechas de seguridad y privacidad de los datos. Permite entre otras cosas:

  • Detección de cambios en archivos.
  • Cambiar prefijo de tablas de base de datos
  • Protección contra fuerza bruta
  • Refuerzo de seguridad de la contraseña
  • Desactivar XML-RPC
  • Protección de archivos de sistema
  • Evitar ejecución de PHP en carpetas de WordPress

Delete Me

Este plugin es ideal para cumplir con el derecho al olvido del usuario.

Es interesante para disponer de esta funcionalidad de cara al usuario y no tener que realizar manualmente este tipo de peticiones.

Herramientas RGPD en WordPress

Disponemos de 4 nuevas herramientas en WordPress para ayudarnos con el cumplimiento del RGPD:

  • Creación automática de una página de política de privacidad adaptada a las funcionalidades de nuestro theme y plugins.
  • Solución nativa en WP para que los administradores del sitio podamos revisar y exportar los datos recolectados de usuarios.
  • Check de confirmación para que el usuario preste su consentimiento a la hora de enviar un comentario.
  • Solución nativa de WP para que los usuarios vean, editen o apliquen sus derechos en lo referente a sus datos personales almacenados.

Esperamos poder haber arrojado un poco de luz sobre el tema y cómo afecta a nuestras webs. Ahora manos a la obra y si aún no lo has hecho ponte a adaptar tu web al nuevo reglamento de protección de datos, RGPD.

Y no olvides, que aunque nos hayamos informado ampliamente sobre el tema, lo mejor es consultar a un experto en Ley de Protección de Datos y RGPD, ellos sabrán perfectamente cómo adaptar tu web al nuevo reglamento.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *