Seguro que ya a estas alturas habrás oído hablar del nuevo Reglamento General de Protección de Datos de la Unión Europea (RGPD) o dicho en inglés General Data Protection Regulation (GDPR) y si no lo has hecho, no te preocupes, porque hoy te voy a contar de qué va todo esto y qué es lo que tienes que hacer para adaptar tu página web creada con WordPress y evitar multas de hasta 30.000 € por no hacerlo.

Cómo te he comentado antes, si tienes una página web y no quieres recibir una multa millonaria, atiende bien a este artículo, porque te voy a contar todos los pasos que debes seguir y todo lo que debes saber para adaptar tu web creada con WordPress al nuevo RGPD.

No te apures, pero tampoco te demores, puesto que esta nueva Ley entra en vigor el próximo 25 de mayo de 2018, fecha en la que todas las webs deben cumplir con el nuevo reglamento.

RGPD Reglamento General Proteccion de Datos - 25 mayo 2018

Cómo afecta el nuevo reglamento a nuestras páginas creadas con WordPress

La nueva Ley de Protección de Datos en Europa afecta a “cualquier información relativa a una persona física identificada o identificable” que se recoja en tu sitio web WordPress.

Esto afecta a cualquier campo, plugin o tecnología que realice cualquier tipo de tratamiento de datos personales, por ejemplo referentes a:

  • Nombres
  • Emails
  • Direcciones
  • Teléfono
  • Direcciones IP
  • Y en definitiva cualquier información referente a tus usuarios.

El tratamiento de datos personales se refiere a “cualquier operación o conjunto de operaciones que se realicen sobre los datos de los usuarios”.

Por ejemplo, almacenar una dirección IP en los registros de su servidor web constituye una situación en la que estaríamos procesando los datos personales de un usuario.

A partir de aquí, vamos a ver qué debemos tener en cuenta.

Qué debemos tener en cuenta para cumplir el RGPD en WordPress

Los métodos más habituales a través de los cuales un sitio web en WordPress recopila datos de sus usuarios son:

  • Sistema de registro de usuarios
  • Ssitema de comentarios
  • Formulario de contacto
  • Formularios de suscripción a boletines de noticias
  • Sistemas de analítica, logs y registro de interacciones del tráfico en la web
  • Cookies propias y de terceros
  • Herramientas y plugins de seguridad
  • Cualquier otra herramienta de registro y/o plugins
  • Comercio electrónico, envíos, etc.

Así es que amigo, tendrás que adaptar todo esto, o de lo contrario… ¡multa al canto! Pero no te agobies, vamos a ver cómo podemos hacerlo sin demasiada complicación.

RGPD Reglamento General Proteccion de Datos 2018

Requisitos legales que debes cumplir en tu web creada con WordPress para adaptarla al RGPD

Entramos ya en la chicha del contenido y en lo realmente interesante, es decir, qué es lo que verdaderamente y en la práctica debes hacer en tu web creada con WordPress para que se adapte al nuevo reglamento RGPD.

Antes de nada, no te creas sólo lo que yo te diga, evidentemente aquí tienes una gran cantidad de información y te ayudará a adaptar tu página web creada con WordPress al nuevo reglamento RGPD; pero os aconsejo que consultéis la documentación oficial relacionada con el tema, de esta forma estaréis 100% seguros de lo que estáis haciendo.

1 Notificación a los usuarios de la recogida de datos

  • Es necesario que notifiques a tus visitantes ANTES de recopilar cualquier dato personal.
  • Es obligatorio dar un mensaje claro y conciso para notificar a los usuarios.
  • Debes notificar los datos que vas a recolectar y cómo los vas a utilizar.
  • Es necesario proporcionar un aviso de forma clara y sencilla para que cualquier usuario lo entienda.
  • Además, cualquier persona podrá revocar el anterior citado consentimiento en cualquier momento.

Por todos estos motivos, debes revisar tu WordPress y asegurarte que cumple con esta nueva política de recolección de datos.

Por el momento, la propuesta más extendida es añadir un pequeño texto debajo de cada formulario de contacto o registro en el que se especifica:

  • Responsable: Quién eres.
  • Finalidad: Por qué estás recopilando esos datos.
  • Cuánto tiempo vas a almacenarlos.
  • Destinatario: Quién tendrá acceso y con qué propósito.
  • Qué datos serán almacenados y utilizados.
  • Cómo, dónde y con qué propósito

Por último, debes enlazar a la página de política de privacidad completa de tu WordPress desde la casilla de aceptación que utilices en cada caso.

2 Imprescindible recibir el consentimiento explícito antes de recolectar la información

Como ya hemos visto antes, es necesario recibir consentimiento explícito antes de cualquier recolección de datos personales de los usuarios de tu web.

La nueva normativa RGPD para la protección de datos en Europa especifica claramente que la inacción no se considera como consentimiento.

Es decir, no sólo es necesario informar, si no que el usuario debe realizar alguna acción para indicar que da su consentimiento para la recogida de esos datos.

Esto no sólo hace referencia a formularios, comentarios o boletines de noticias que es lo que más se está comentando, si no también afecta a cualquier tipo de cookies ya sea de seguimiento o análisis o incluso de afiliados.

3 Debes impedir la recogida no autorizada de datos por terceros

Como responsable de tu web, no sólo debes regularizar la forma en la que tu sitio recolecta datos personales, si no también debes asegurarte de proteger esos datos para evitar la recopilación de datos no autorizados.

Para cumplir con este apartado, es necesario que mantengas un registro de cada interacción con el usuario en tu sitio web.

Como propietario del sitio web, eres legalmente responsable de la recopilación y seguridad de esos datos.

Por eso, debes de poder demostrar ante una auditoría el cumplimiento de la ley RGPD para para la protección de datos dentro de la UE ante una autoridad supervisora (SA).

4 Mantenga los datos de los usuarios organizados y accesibles

Este nuevo derecho al olvido que trae consigo la nueva ley RGPD ofrece a los usuarios la posibilidad de borrar sus datos personales y de interrumpir la recogida y tratamiento de los mismos.

La cláusula de Portabilidad de Datos de RGPD otorga a tus usuarios el derecho a descargar sus datos personales, para la recolección de los cuales han dado su consentimiento previamente.

Es por esto que como responsable de cualquier web en WordPress, debes de ser capaz de proporcionar a un usuario una copia de todos los datos personales que tengas en tu posesión.

Esta entrega de datos, debe realizarse sin coste alguno, en 40 días naturales como máximo y si el usuario así lo requiere, deberemos borrar los datos obtenidos.

5 Ofrece a tus usuarios una solución para gestionar las peticiones referentes a sus datos

Para esto, es recomendable que tu WordPress disponga de un sencillo formulario para solicitar la retirada o visualización de los datos recolectados en tu página de política de privacidad.

Esto permitirá a tus usuarios ponerse en contacto con el webmaster o responsable de tu web de forma sencilla.

6 Avisa de las brechas de seguridad a tus usuarios

Para cumplir la nueva normativa RGPD en WordPress, es necesario que si alguna vez la seguridad de los datos que almacenas en tu sitio web se ve comprometida, deberás comunicarla a todos tus usuarios de manera oportuna.

Este aviso debe realizarse en un plazo máximo de 72 horas siguientes a la primera noticia de esa violación de seguridad.

La forma ideal de detectar este tipo de brechas de seguridad, es monitorizar el tráfico web y los registros del servidor web, y sobre todo tener activado y correctamente configurado algún plugin de seguridad para WordPress.

En general, esta cláusula anima a utilizar las mejores prácticas de seguridad disponibles para garantizar que no se produzcan violaciones de datos.

7 Los plugins y la ley RGPD

Si eres propietario de un sitio web en WordPress, eres el/la responsable último de la recopilación de datos y métodos de almacenamiento.

Por si no te queda alguna duda, esto por supuesto incluye cualquier plugin o software de terceros utilizado en tu WordPress.

Esto implica que es tu responsabilidad asegurarse de que cada plugin utilizado en tu web pueda exportar/proporcionar/borrar los datos de usuario que recopile de acuerdo con las reglas de la ley RGPD.

8 Consentimiento automático

Si en tu página web utilizas WooCommerce u otras plataformas de comercio electrónico para WordPress necesitas asegurarte de que todos los elementos de marketing, venta, boletines de noticias, etc., ofrecen la opción de consentir la recolección de datos de forma “opt-in” en lugar de “opt-out”.

Recuerda que si vienen marcadas por defecto se considerarían un incumplimiento de la nueva ley RGPD.

RGPD Reglamento General Proteccion de Datos 2018 Europa

Pasos prácticos para cumplir con la RGPD en WordPress

A ver, esto nos ha llegado de sopetón y ahora mismo estamos cómo quién se despierta de una pesadilla y no sabe ni dónde se encuentra; pero no te preocupes, poco a poco y siguiendo algunos paso sencillos, podemos cumplir con la Ley de manera correcta.

Para empezar, atiende a estos 4 puntos, imprescindibles para adaptar tu web creada con WordPress a la nueva Ley RGPD.

1 Textos Legales

No olvides los formularios (contacto y comentarios) y adaptar las páginas de aviso legal etc.

2 Actualiza tu lista de suscriptores

En caso de tener una lista de suscriptores, envía los emails necesarios para recolectar la aceptación necesaria en caso de no estar en regla.

Es importante que empieces cuanto antes y no esperes al último día para diferenciarte de la competencia.

3 Recolección, procesamiento y almacenamiento de datos

Es importante que todos los datos que recolectes a partir de ahora lo hagas de la forma correcta acorde al nuevo reglamento.

Adapta tus formularios de contacto, comentarios, suscripción etc.

4 Estudia y corrige cómo manejan los datos otros servicios de tu web

Como hemos visto, no sólo hay que tener en cuenta cómo recabas información en tu WordPress, si no también como lo hacen aplicaciones de terceros en tu web.

Revisa si algún plugin o software que tengas instalado en tu web está recabando información de los usuarios y si lo hace de la forma correcta.

Los mejores plugins para cumplir la Ley RGPD en WordPress

Los desarrolladores se han dado prisa y ya hay varios plugins disponibles en el repositorio oficial de WordPress para ayudarnos a que nuestra web cumpla con la nueva Ley RGPD. Vamos a ver algunos de ellos, aunque todavía les falta un pelín para estar 100% a tono.

WooCommerce

WooCommerce, el plugin de comercio online por excelencia de WordPress, también se adapta a la nueva Ley RGPD con una actualización que lanzará el próximo 23 de mayo, en la que incluirá su propia página de ajustes de privacidad, en la cual podrás personalizar las casillas de aceptación, además de la gestión de borrado de datos de usuarios.

Ajustes de privacidad Woocommerce - RGPD

GDPR √ Check

En realidad este plugin no sirve para cumplir ningún requisito del RGPD, pero es una especie de lista de comprobación, al igual que la herramienta “Facilita” de la Agencia Española de Protección de Datos, que te hace preguntas sobre el uso de tu web y, en base a tus respuestas, te indica qué documentos/comunicados tienes que crear.

GDPR Check WordPress

WP GDPR Compliance

Este plugin está totalmente en español y ofrece herramientas para añadir fácil y automáticamente textos y casillas de aceptación de la política de privacidad.

Se integra en WooCommerce, los formularios de comentarios de WordPress, los formularios de contacto más populares e incluso bbPress.

WP GDPR Compilance

GDPR

Con este simple nombre se presenta hasta el momento el mejor y más completo plugin para ayudarnos a cumplir el RGPD.

Éstas son las cosas que este plugin hará por ti:

  • Gestión completa de solicitudes y reclamaciones de protección, borrado, rectificación y revisión de datos de los usuarios. No sólo ofrece un shortcode para incluir un botón desde el que solicitarlas, sino completos correos de confirmación, avisos de administración y herramientas para la gestión completa de este tipo de solicitudes. Los borrados, por ejemplo, son automáticos si el usuario no tiene contenido (en caso contrario conllevan revisión) pero siempre con doble confirmación y hasta token de seguridad.
  • Búsqueda, revisión y exportación (en XML o JSON) de datos de los usuarios.
  • Registro de auditoría para usuarios no registrados.
  • Telemetría: Identificación automática de envío de datos por parte de WordPress y plugins, con autoborrado, para saber qué plugins o qué de tu instalación envía datos y qué datos envía a servidores externos.
  • Gestión de brechas de datos personales. Si se detecta una brecha de datos el oficial de protección de datos puede desde aquí enviar correos masivos (programados) a los usuarios, informando en los plazos legales de la brecha, los datos comprometidos y de las medidas a llevar a cabo.
  • Detección automática de cambios en la política de privacidad, advirtiendo automáticamente también a los usuarios/visitantes de los cambios y pidiendo su aceptación para poder seguir visitando la web.
  • Generación y gestión completa de cookies propias y de terceros, con bloqueo y/o aceptación obligatoria u opcional. Además la ventana emergente es estupenda, de lo mejor que he visto.
  • Y encima la ayuda en cada pantalla es buenísima.

GDPR - Brechas de Datos

Para terminar de rematar esta joya de plugin, incluye shortcodes y funciones de ayuda con los que generar botones, consentimientos, incluir o excluir códigos y cookies de consentimientos, casi de todo.

¡Imprescindible! La mejor herramienta para ayudarnos a cumplir el RGPD. No tiene todo, pero lo que tiene lo hace perfectamente, a un nivel de detalle impresionante.

WP Security Audit Log

Este plugin te va a encantar, registra toda la actividad tanto de administración como de navegación de tu WordPress, para saber en todo momento qué pasa, quién lo hace y poder tomar medidas en caso necesario.

WP Security Audit Log

iThemes Security

Por otro lado, también necesitarás un buen plugin de seguridad, que proteja tu sitio y a tus usuarios de ataques y brechas de seguridad y privacidad de los datos.

Puedes utilizar éste, iThemes Security, muy completo y  muy fácil de utilizar.

iThemes Security

La seguridad en tu WordPress

La seguridad en un sitio web es fundamental para garantizar la confianza de los usuarios, así como para evitar las brechas de seguridad.

El RGPD habla en el artículo 5.1. sobre la seguridad e introduce el concepto de “seguridad adecuada” ¿esto qué significa?

Significa que se deben aplicar medidas técnicas y organizativas adecuadas a los tratamientos para:

  • Protegerse contra tratamientos no autorizados o ilícitos.
  • Protegerse de la perdida, destrucción y daño accidental de los datos.

De acuerdo con este principio, como responsable de una web, debes adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.

Atendiendo a este principio, cuando los usuarios registrados en una web tengan acceso online a los datos de que dispone el responsable respecto a su persona (sistema de registro de usuario), deberán establecerse procedimientos de identificación, autenticación y control de accesos como primera medida de seguridad.

Capas de seguridad recomendadas para una web en WordPress

Además de esas medidas de autenticación, deberán consolidarse otras medidas de seguridad:

Activar SSL (https) en tu WordPress:

Tanto si tienes un ecommerce como si no, se recomienda utilizar siempre protocolos de seguridad como Secure Sockets Layer (SSL) para la autenticación web y la protección de datos ya que se trata de una conexión segura que cifra toda la información enviada desde y hacia el sitio web.

Este es un punto básico en el cumplimiento del RGPD ya que el protocolo SSL permite cifrar los datos de un sitio web garantizando a los usuarios que el sitio al que acceden es legítimo y que aplica una capa de seguridad adicional para evitar exponer datos sensibles.

En términos generales, los certificados SSL deben incluir y mostrar (todos o al menos uno) su nombre de dominio, nombre del titular, dirección, ciudad, estado y país. También siempre muestra la fecha de expiración del certificado y por supuesto, los detalles de la autoridad certificadora que expide el certificado.

No almacenar datos sensibles o desactualizados:

Atendiendo al principio de minimización y anonimización de datos recomendados en el RGPD, no se deberían almacenar los registros de los clientes, particularmente números de tarjeta de crédito, fechas de caducidad o códigos CW2 (Card Verification Value).

Debes eliminar los registros antiguos de la base de datos y mantener una cantidad mínima de información, suficiente para cargos al usuarios y reembolsos y el posible, de forma que no permita identificar al usuario si está información fuera expuesta o sufriera una brecha de seguridad.

Usar un sistema de verificación de direcciones:

En caso de incorporar opciones ecommerce, siempre utilizar un sistema de verificación de direcciones (AVS) y la verificación del valor de la tarjeta (CVV) para las transacciones hechas con tarjetas de crédito y reducir con ello los cargos fraudulentos.

Más recomendaciones de seguridad para tu WordPress:

  1. Debes tener un software de seguridad que se actualice automáticamente con regularidad y que incorpore un buen cortafuegos.
  2. Elige siempre contraseñas seguras para acceder a WordPress y no utilices nombres de usuario tipo “admin”, es algo básico, pero que no siempre se cumple.
  3. Actualiza tu sistema con los últimos parches: Esto es absolutamente esencial. También los temas, plugins y cualquier otro software que interactúe con WordPress.
  4. Crea copias de seguridad automatizadas y diarias sobre un soporte externo.
  5. Controla los plugins que instalas y asegúrate de que sean seguros.
  6. Mantén a raya el spam, fuente de malware, instala un buen filtro antispam en tu WordPress.

Resumen

Sé que esto no es fácil, además si no te gusta mucho el aspecto legal (que reconozco que es algo tedioso), será todo un reto adaptar tu web al nuevo marco y normativa de protección de datos RGPD.

A modo de resumen y utilizando siempre el sentido común, ten en cuenta estos pasos para adaptar tu página web creada con WordPress al nuevo Reglamento General de Protección de Datos de la Unión Europea (RGPD).

Conclusiones RGPD WordPress

Algunos ejemplos prácticos

Por aquí os dejo también algunos ejemplos prácticos de cómo adaptar algunos elementos de nuestra web creada con WordPress al nuevo Reglamento General de Protección de Datos (RGPD).

Adaptar los formularios de contacto

Para adaptar los formularios de contacto de tu página web a la nueva RGPD, debes incluir los siguientes elementos:

  • El propio formulario.
  • La casilla de aceptación de la política de privacidad.
  • La explicación / petición al usuario de que debe aceptarla.
  • Tus datos o los de tu negocio:
    • Responsable.
    • Finalidad.
    • Legitimación.
    • Destinatarios.
    • Derechos.

Adaptar los formularios de suscripción

Por otro lado, si utilizas en tu página web formularios de suscripción para newsletter y demás, debes igualmente incluir varios elementos:

  • El propio formulario.
  • La casilla de aceptación de la política de privacidad.
  • Texto legal del formulario. Por ejemplo: * Para cumplir con la nueva Ley de Protección de Datos y que tus datos estén a salvo, debes leer y aceptar la política de privacidad. Tus datos serán guardados en SiteGround y MailPoet, nuestros proveedores de hosting y email marketing, éste software externo también cumple perfectamente la normativa RGPD.

Adaptar los comentarios del blog

Por último, vamos a ver cómo adaptar los comentarios de tu blog al nuevo RGPD, donde también debes incluir un check para que los usuarios acepten la política de privacidad.

Para ello, vamos a instalar el siguiente plugin: WP Comment Policy Checkbox.

Formulario de contacto adaptado a RGPD

Este plugin se encarga de añadir una casilla de aceptación de política obligatoria a cualquier formulario de comentarios y un enlace personalizado al texto de la política que se abre en una nueva pestaña.

Para configurarlo, sólo debes ir a Ajustes > Comentarios y elegir la página referente a la Política de Privacidad de tu sitio.

Conclusiones

Bien, ya sí, ya hemos llegado al final del tutorial, ¡por fin! Espero que te haya quedado algo más claro todo esto del RGPD, aunque ahora te queda un arduo trabajo por delante con tu web y no será fácil.

Por otro lado hay que reconocer que la Ley de Protección de Datos ya necesitaba un arreglo y se lo han dado de verdad, las nuevas tecnologías de la información han cambiado y están cambiando mucho y las leyes hay que adaptarlas.

Mi consejo es que empieces ya a trabajar en ello desde ya, puesto que queda un mes justo para que el nuevo Reglamento General de Protección de Datos RGPD entre en vigor y lo mejor es tenerlo todo preparado. Recuerda que las multas pueden llegar a ser millonarias.

Por último, recuerda utilizar el sentido común y tratar los datos de los usuarios de la manera correcta, al fin y al cabo el eje principal de la nueva ley gira en torno a eso, así que tenlo muy en cuenta.

Y si después de leer todo este tochaco, todavía sigues con dudas o simplemente no quieres meterte en líos y quieres que te lo den todo hecho, habla conmigo y yo me encargaré de todo, además, ¡por un módico precio! Te cobraré bastante menos de la multa que te puede llegar si tu web no cumple con el nuevo Reglamento General de Protección de Datos RGPD 😉

Referencias: Agencia Española de Protección de DatosTutorialWP | AyudaWPMax Camuñas