General Data Protection Regulation (GDPR), o como lo llamamos en español, Reglamento General de Protección de Datos (RGPD). También conocida como esa ley europea que durante varios meses trajo de cabeza a toda empresa que recoge datos de alguna forma, digital o no.
Quizás recuerdes el momento de su entrada en vigor porque en muy pocos días recibiste decenas de correos electrónicos informándote de cambios en la política de privacidad e, incluso, solicitándote que volvieses a registrarte a ciertas bases de datos.
Pero mayo de 2018 no fue el fin. Al contrario. Fue el comienzo de la implantación obligatoria del RGPD. Porque el RGPD es algo que hay que cumplir constantemente. No vale hacer los deberes el día que los va a mirar el profesor y olvidarse después. Porque puede haber un examen sorpresa el día menos pensado y suspender te supondrá una multa bastante cuantiosa.
Así que en este artículo te explicaré qué supone y cómo adaptar al RGPD tu WordPress.
Índice
Requisitos del RGPD para Autónomos y Pymes
El RGPD tiene muchos matices y ramas dependiendo del tipo de datos que se gestionen. Es distinto un autónomo que recoge el correo electrónico para mandar sus últimas novedades, que una clínica que tiene todo el historial médico de sus pacientes o una empresa que cuenta con cámaras de seguridad en la entrada.
Así que vamos a centrarnos en lo que nos pilla más cerca a la mayoría, que suelen ser datos de nivel básico, porque ni siquiera solemos almacenar medios de pago gracias a las pasarelas externas. Si tu empresa tiene más de 250 empleados o manejas datos más sensibles como datos médicos, deja este artículo y busca un especialista en la materia para que te asesore adecuadamente.
Lo que el RGPD viene a exigir es que, cuando recoges datos de un usuario, pidas únicamente los que necesitas y le informes de para qué son, quién y cómo los va a gestionar y cómo puede hacer para que sus datos dejen de estar a tu disposición.
A grandes rasgos viene a ser lo mismo que la LOPD, vigente desde 1999, pero algo más estricta e incluyendo nuevos conceptos como el «derecho al olvido».
Con aquella LOPD, a la hora de presentar un formulario, podías hacer una aceptación de condiciones implícita. Es decir, los típicos mensajes de «si mandas el formulario aceptas…». El RGPD dice que no, que el usuario tiene que aceptarla de manera explícita y tener acceso a ella antes de hacerlo. Además, tú tienes que poder demostrar que, efectivamente, la aceptó.
Otro cambio bastante destacable es el texto de la política de privacidad. Ya no vale un texto infumable, ambiguo y copiado/pegado vete a saber de donde. Ahora tiene que estar escrito de tal manera que un usuario medio pueda entenderlo, ser aplicable a tu caso concreto de datos y estar accesible tanto a la hora de la recogida como posteriormente, en cualquier momento.
No voy a pararme a detallar qué contenido debe incluir porque no soy abogada ni especialista en protección de datos y ya hay suficiente desinformación por la red. Mi recomendación en este sentido es que contactes con algún experto en la materia o acudas a las guías publicadas por la Agencia Española de Protección de Datos, como por ejemplo su «Guía para el cumplimiento del deber de informar». Yo voy a pararme únicamente en los aspectos técnicos, cómo adaptar al RGPD tu WordPress.
El RGPD y las cookies están íntimamente ligados porque muchas recogen información que se entiende como «datos personales».
Deberías estar bloqueando todas las cookies no exentas de tu web hasta que el usuario las acepta, si no lo haces estás haciendo las cosas mal. Pero las posibles consecuencias serán peores si alguna de tus cookies recoge datos personales, como puede ser la IP con Google Analytics. Porque el RGPD dice que para recoger datos personales debe haber una aceptación explícita del usuario.
El problema está en que con los procedimientos adecuados, cualquier cookie, aunque no recoja ningún dato aparentemente personal, puede identificar al usuario que está detrás. Así que es necesaria la aceptación explícita para prácticamente todas las cookies.
Así que si instalas tus cookies antes de dicha aceptación, no sólo incumples la ley de cookies, también el Reglamento de Protección de Datos.
Pero este tema está ya recogido en la guía para el cumplimiento de la ley de cookies en WordPress.
RGPD WordPress en los Formularios
Los formularios son el día a día en una web. Los más habituales en cualquier instalación WordPress son:
- Comentarios en las entradas.
- Registro de usuarios.
- Contacto.
- Suscripción a alguna lista.
- Proceso de compra.
Todos ellos recogen datos personales (el correo electrónico lo es), pero cada uno tiene una finalidad y tratamiento distinto.
No obstante, de cara a la parte técnica, en todos ellos necesitas las mismas implementaciones:
- Incluir un enlace a la política de privacidad completa.
- Añadir una casilla de aceptación o cualquier otro mecanismo que suponga una aceptación explícita y que sea de obligado cumplimiento. Debe estar desmarcada para que el usuario la active.
- Guardar dicha aceptación.
Información por Capas
Además del enlace a la política de privacidad completa, se recomienda añadir una primera capa de información. Esto es, una información básica y resumida dentro del propio formulario para que el usuario conozca los aspectos fundamentales de la gestión de datos personales, sin acceder al texto legal completo.
Esta primera capa informativa no es obligatoria, sólo recomendable. Por eso en algunos formularios la ves y en otros no.
Esa «breve información» en la mayoría de casos acaba siendo un tocho que, seamos sinceros, la mayoría tampoco leemos. Al fin y al cabo todas vienen a decir lo mismo y cada vez andamos con el tiempo más ajustado para pararnos en ellas.
A mí me gusta sustituir toda esa información por una cláusula mucho más resumida en la que únicamente indico la finalidad del uso de los datos y un nuevo recordatorio de que pueden ver más detalles en el texto legal completo.
Si la web en la que vas a introducir tus datos te genera absoluta confianza, ni leerás lo que pone esa primera capa. Y en caso contrario, lo más seguro es que quieras toda la información, no sólo un resumen, para decidir si mandas el formulario o no.
¿Y cómo adapto mi WordPress al RGPD?
Ya sabes la respuesta. Con plugins.
Si estás entre quienes toquetean código, te puedes crear el tuyo propio sólo con lo que necesitas y asegurándote de que todo se guarda correctamente. Personalmente es la opción que utilizo en todas las webs que gestiono.
No obstante, hay algunos que te ayudarán a implementar el RGPD en tus formularios WordPress. Aunque ninguno garantiza que lo cumpla al 100%, según sus propias descripciones, y la variedad en el repositorio oficial es bastante escasa (al menos los que sí son susceptibles de cumplir la ley).
WP GDPR Compliance: Para añadir casilla de verificación a los formularios integrados en el core de WordPress (comentarios y registro), así como para algunos plugins (WooCommerce, Gravity Forms y Contact Form 7).
GDPR Comments: Si sólo necesitas añadir casilla de verificación y 1ª capa informativa en el formulario de comentarios de tu WordPress.
Para otros formularios que tengas en tu web, como los de contacto o suscripción, tendrás que revisar la documentación del plugin que utilices o añadir la casilla manualmente.
¿Cumple Google Fonts el RGPD?
Como ya sabes (y si no te lo cuento), la mayoría de themes WordPress utilizan Google Fonts para mostrar distintos tipos de fuentes. Esto se hace mediante una solicitud a los servidores de Google Fonts mientras carga cada página.
Hasta aquí no habría ningún problema si no fuese porque Google almacena la IP del ordenador que hace la solicitud. Es decir, del ordenador de nuestro visitante, no de nuestro servidor. Y como ya hemos mencionado, la IP se considera un dato personal.
Todo esto significa que, cuando un usuario entra a una de nuestras páginas, si estas usan Google Fonts, se está almacenando su IP sin que haya dado su aceptación explícita. Es decir, estamos incumpliendo el RGPD.
Mientras Google decide modificar esto y dejar de almacenar este dato (si decide hacerlo), la solución más fácil que podemos implementar es guardar las fuentes en nuestro propio servidor, como un recurso más del theme, y cambiar la solicitud para que se carguen estas y no las de Google Fonts.
Esto tiene una ventaja añadida, y es que te ayudará a mejorar ligeramente la velocidad de carga. Dado que las fuentes están en local, cada página que se carga no necesita esperar respuesta de los servidores de Google, a donde están accediendo millones de personas al mismo tiempo.
Ya ves que, si tienes tu web desde hace tiempo y cumplías con la LOPD, adaptarte al RGPD es bastante sencillo, al menos técnicamente.
Si tienes dudas acerca de si lo cumples o no, puedes solicitar la auditoría de tu web donde se incluye este apartado entre otros igual de importantes como la seguridad y la velocidad.
Y si ya sabes que tienes que mejorar este aspecto y quieres que alguien lo haga por ti, puedes contar con mi ayuda.
Adapta técnicamente tu web al RGPD antes de que sea tarde…
Imagen ilustrativa del artículo de Catkin (Pixabay).
Deja una respuesta