Todos los titulares de una página web en WordPress deben adaptarse a las exigencias del Reglamento General de Protección de Datos. Pero ¿cómo cumplir el RGPD en WordPress? ¿Cómo se deben tratar los datos personales de los usuarios para cumplir con la nueva ley de protección de datos en WordPress? En este artículo lo explicamos al detalle.
¿Cómo afecta el RGPD a las webs en WordPress?
Tras la entrada en vigor del RGPD se estableció un nuevo marco jurídico para los países de la UE a la hora de tratar los datos personales.
Esta normativa se complementa con otras leyes promulgadas por cada uno de los Estados miembros, que deben ir en consonancia con lo dispuesto en el RGPD. En el caso de España, estas normativas son la LOPDGDD (Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales) y la LSSI-CE (Ley de Servicios de la Sociedad de la Información y el Comercio Electrónico).
Básicamente, el RGPD establece nuevas obligaciones para los responsables y encargados del tratamiento de datos, y establece nuevos derechos para los usuarios de cara a la protección de su información personal.
Llevado a las páginas web, la aplicación de la ley de protección de datos en WordPress supone el cumplimiento de una serie de obligaciones, que se resumen en:
- Registrar las actividades de tratamiento (si procede).
- Identificar al responsable del tratamiento, sus representantes, o a los encargados del tratamiento.
- Informar sobre la finalidad del tratamiento.
- Indicar el plazo de conservación de los datos.
- Informar sobre si se van a ceder los datos a terceros.
- Indicar las vías por las que los usuarios pueden ejercer los derechos ARSULIPO (acceso, rectificación, supresión, limitación, portabilidad y oposición).
- Establecer las medidas técnicas y organizativas necesarias para garantizar la seguridad e integridad de los datos.
- Notificar brechas de seguridad.
Estas obligaciones para WordPress del RGPD deberán cumplirlas todos los responsables del tratamiento, es decir, los titulares de las páginas web, siempre que recojan y traten algún dato personal, lo que ocurre básicamente con todo tipo de sitios online. Basta con que solo se registre la dirección IP (considerada dato personal) para tener que cumplir con la normativa, incluso si se trata de un blog personal.
¿Cómo se recogen datos de los usuarios en WordPress?
Como decíamos, las obligaciones del RGPD en WordPress afectan a la gran mayoría de páginas web corporativas, tiendas online, sitios web de afiliados, etc., ya que la mayoría de estas páginas web hechas en WordPress recogen datos personales a través de alguno o varios de estos métodos:
- Datos de registro: webs que almacenan credenciales de acceso o información de registro de sus usuarios.
- Cookies: todos aquellos sitios web que utilicen cookies con fines de mercadotecnia o para guardar preferencias de los usuarios.
- Comentarios: ten en cuenta que las webs que permiten dejar comentarios almacenan datos como el email, nombre o dirección IP del usuario.
- Formularios: los formularios de contacto son otra de las principales maneras para recoger datos de los usuarios, los cuales pasan a formar parte de una base de datos.
- Plugins: también existen plugins que almacenan datos de los usuarios, además de sobre el sitio web.
Esto significa que, en la práctica, las páginas web obligadas a cumplir el RGPD en WordPress son:
- Webs con formularios de registro
- Tiendas online
- Páginas web de organismos públicos
- Sitios web que muestren publicidad
- Webs de afiliados
- Tiendas de dropshipping
- Páginas web que muestren botones de compartir en redes sociales
- Blog personal con comentarios habilitados o que midan audiencias con plugins analíticos, etc.
Cómo cumplir las obligaciones del RGPD en WordPress
Para adaptar una web o blog en WordPress al RGPD, debemos tener en cuenta una serie de requisitos, con los que iremos cumpliendo las diferentes obligaciones de la normativa que citamos más arriba.
Textos legales en WordPress
La normativa de protección de datos exige que siempre que vayamos a hacer algún tratamiento de datos personales, se informe de ello a los interesados (los usuarios de nuestra página web). Esta información se suministra a través de los denominados textos legales web.
Estos textos legales deben contener toda la información relativa al tratamiento de datos personales, desde la identificación del responsable, pasando por la finalidad, hasta el plazo de conservación. Puesto que deben darse de forma clara y comprensible, pero detallada, debemos recurrir a dos capas informativas.
La primera capa es un «resumen» de la información básica y es lo que nos encontramos en los formularios web, en los comentarios, en el aviso de cookies, etc., incluyendo además un enlace a la segunda capa informativa, que contiene toda la información pertinente. Esta segunda capa se aloja en una URL aparte, normalmente como subpágina, enlazada desde el footer de la web principal, puesto que debe ser accesible desde cualquier lugar del sitio online.
Los textos legales web son:
- Aviso legal: En él se informa al usuario sobre la identidad de la empresa que va a tratar sus datos personales. Debe contener la siguiente información:
- Nombre y dirección de la empresa
- NIF o Número de Identificación Fiscal
- Número del Registro Mercantil (si está inscrita)
- Teléfono, correo electrónico y otros datos de contacto
- Datos sobre el Colegio Profesional al que pertenece (en caso de pertenecer a alguno)
- Otra información de interés, como acuerdos de confidencialidad o cláusulas sobre propiedad intelectual o industrial
- Política de privacidad: para cumplir con la política de privacidad en WordPress se ha de informar a los usuarios acerca del tratamiento que se hace de sus datos personales. En ella se ha de indicar:
- Base legal para el tratamiento
- Identidad de responsables y encargados del tratamiento
- Finalidad del tratamiento
- Cesión de datos a terceros
- Plazo de conservación de datos
- Vías para ejercer los derechos ARSULIPO
- Política de cookies: existe la obligación de notificar sobre el uso de cookies en WordPress. La política de cookies indica qué cookies usa la página web, quién las gestiona, cuál es su finalidad y su plazo de conservación. El aviso de cookies, que, como dijimos, en la primera capa informativa sobre estas, se debe mostrar la primera vez que el usuario ingresa en la página o cuando ha borrado las cookies, para que otorgue su consentimiento para el uso de las mismas.
Gestión el consentimiento en WordPress
Para cumplir en WP con el RGPD es obligatorio contar con el consentimiento del usuario para tratar sus datos personales. Tras la entrada en vigor del RGPD, el consentimiento ya no puede ser tácito u otorgado por omisión. Ahora, el consentimiento ha de ser expreso y debe ser otorgado mediante una acción explícita, voluntaria e inequívoca, por ejemplo, pidiendo al usuario que marque una casilla o checkbox de aceptación de la política de privacidad.
En caso de que, por ejemplo, en un formulario se pida consentimiento para varias finalidades, el usuario ha de otorgar dicho consentimiento por separado para cada una de ellas.
Además, si el usuario quiere revocar el consentimiento dado, debe poder hacerlo de forma sencilla y el responsable del tratamiento deberá cumplir con esa solicitud sin demora innecesaria. Un ejemplo es incluir un enlace en las comunicaciones comerciales a través del cual se pueda revocar el consentimiento fácilmente (con la fórmula «Si no quiere seguir recibiendo comunicaciones comerciales, siga este enlace» o similar).
El aviso de cookies
Ese consentimiento expreso también se aplica a las cookies y para ello podemos facilitar la configuración de las mismas a través del aviso de cookies.
Existen diferentes formas de implantar el aviso de cookies, dependiendo del plugin RPGD que use la web en WordPress, de manera que los hay que permiten aceptar o rechazar los diferentes tipos de cookies de la web marcando las casillas correspondientes o mediante botones o solo permiten aceptar o rechazar la totalidad de las cookies. En cualquier caso, el plugin debe bloquear las cookies hasta que estas sean aceptadas por el usuario y no instalarlas si las rechaza.
Como ya dijimos, el aviso de cookies incluirá un enlace a la política de cookies, para que los usuarios puedan informarse sobre todas las que emplea la web.
Derechos de los usuarios en WordPress
Asimismo, para cumplir el RGPD en WordPress es necesario que las páginas webs permitan a los usuarios ejercer sus derechos de acceso, rectificación, supresión, limitación del tratamiento, portabilidad y oposición. Se deben indicar las vías para ejercer estos derechos, y el responsable del tratamiento debe dar respuesta a las solicitudes en un plazo máximo de un mes (salvo excepciones).
Seguridad en WordPress
Para garantizar la seguridad en WordPress, los responsables del tratamiento han de poner en marcha las medidas necesarias para garantizar la protección e integridad de los datos personales recabados. Asimismo, deben notificar cualquier brecha de seguridad a la Agencia Española de Protección de Datos (AEPD) o a las autoridades de control pertinentes, y a los propios usuarios, en un plazo máximo de 72 horas.
Entre las medidas que pueden imponer los responsables del tratamiento está la seudonimización de los datos personales o asegurar que la información personal viaja correctamente cifrada, por ejemplo a través de los certificados SSL o Secure Sockets Layer, que permiten cifrar la información entre la web y el servidor.
También deben asegurarse que terceros no autorizados no puedan acceder a los datos personales almacenados, así como comprobar que plugins y otros complementos usados en su página web cumplen a su vez con el RGPD.
Plugins para cumplir el RGPD en WordPress
Cumplir con las obligaciones del RGPD en WordPress no tiene por qué resultar muy complicado, incluso si carecemos de los conocimientos técnicos para ello, ya que existen diversos plugins para ayudarnos a cumplir con la normativa de protección de datos en nuestra página web o blog en WordPress.
A continuación te indicamos algunos de los plugins más conocidos y usados, fáciles de configurar e implementar en tu sitio online.
- Cookie Notice
Cookie Notice es uno de los plugins de cookies para WordPress más conocidos y mejor valorados. Se trata de una herramienta gratuita que permite configurar de manera sencilla y flexible el aviso de cookies de WordPress.
Entre sus opciones está la posibilidad de editar el mensaje de aviso, elegir entre tres diseños distintos de botones, elegir el lugar de la web en el que se mostrará el aviso, o redirigir al usuario al texto de política de cookies para que pueda ampliar la información.
- WP GDPR Compliance
WP GDPR Compliance es un plugin RGPD para WordPress muy popular, cuenta con todas las opciones necesarias para cumplir la nueva normativa de protección de datos, y es compatible con plugins como WooCommerce, Contact Form 7 o Gravity Forms. Y lo mejor de todo, es totalmente gratuito.
- WordPress GDPR
Otro de los plugins RGPD WordPress más completos. En este caso se trata de una herramienta premium all in one o todo en uno, que cuenta con opciones de solicitud o eliminación de información, inclusión de formularios de contacto, obtención de consentimiento, notificación de brechas de seguridad, etc. Se puede integrar con numerosas herramientas como Google Analytics, Google Adwords, BuddyPress, WooCommerce o Contact Form 7.
- Delete Me
En este caso se trata de un plugin un tanto diferente al resto, cuyo objetivo es permitir a los usuarios ejercer el derecho al olvido. Este nuevo derecho permite a los usuarios solicitar la eliminación de aquella información sobre su persona que se considere desfasada, inexacta o que pueda ser contraria a sus intereses. Este plugin simplifica el proceso para que los usuarios puedan ejercer el derecho al olvido en la web.
En definitiva, cumplir con el RGPD en WordPress es una obligación que prácticamente cualquier página web o blog personal debe contemplar, puesto que ya solo con que se registre la dirección IP, estaríamos tratando con un dato personal. Y recuerda, que no cumplir con esta normativa podría suponerte la imposición de importantes sanciones.