Por eso, si tienes una página web y no quieres arriesgarte a recibir multas millonarias esto te interesa.
La nueva ley RGPD de protección de datos de la UE se presentó el pasado 25 de mayo de 2016 y tras su entrada en vigor será de obligatorio cumplimiento a partir del 25 de mayo de 2018.
Desde entonces, tu sitio web o blog, debe cumplir con la nueva normativa.
Si aún a día de hoy, en pleno 2024 no tienes tu proyecto adaptado a la nueva normativa RGPD, no puedes perderte este tutorial en el que veremos paso a paso qué debes cumplir y cómo hacerlo fácilmente con los mejores plugins para WordPress para cumplir el Reglamento General de Protección de Datos.
En caso contrario, podrías enfrentarte a fuertes multas de hasta 20 millones de euros o el 4% del total de ingresos por CADA infracción.
Cómo afecta la nueva ley RGPD a una página o blog en WordPress
Como probablemente hayas notado, esta página web gira en torno a este gestor de contenidos, de hecho, te recomiendo que descargues el WordPress tutorial pdf si te interesa el tema, pero debes saber que la teoría que encontrarás en este guía para cumplir con la GDPR, es válida para cualquier plataforma o creador de webs.
¡Vamos allá!
La nueva ley de protección de datos en Europa afecta a «cualquier información relativa a una persona física identificada o identificable» que se recoja en tu sitio web WordPress.
Esto afecta a cualquier campo, plugin o tecnología que realice cualquier tipo de tratamiento de datos personales, por ejemplo referentes a:
- Nombres
- Emails
- Direcciones
- Teléfono
- Direcciones IP
- Y en definitiva cualquier información referente a tus usuarios
El tratamiento de datos personales se refiere a «cualquier operación o conjunto de operaciones que se realicen sobre los datos de los usuarios».
Por ejemplo, almacenar una dirección IP en los registros de su servidor web constituye una situación en la que estaríamos procesando los datos personales de un usuario.
A tener en cuenta para cumplir con el reglamento RGPD en WordPress
Las formas más habituales en las que un sitio web o blog en WordPress estándar recopila datos de sus usuarios son:
- Sistema de registro de usuarios
- Sitema de comentarios
- Formulario de contacto
- Formularios de suscripción a boletines de noticias
- Sistemas de analítica, logs y registro de interacciones del tráfico en la web
- Cookies propias y de terceros
- Herramientas y plugin de seguridad
- Cualquier otra herramienta de registro y/o plugins
- Comercio electrónico, envíos etc.
Además, también puedes verte afectado por otros aspectos algo más avanzados que también recopilan la IP del usuario como:
- Algunos enlaces de afiliados
- Proveedor de email marketing (Mailchimp, Mailerlite, Mailrelay, Convert Kit, Aweber, Active Campaing, etc).
- Google Analytics
- El pixel de Facebook
- Anuncios como Adsense
- El servicio de Cloudflare
- Los logs de tu proveedor de hosting
Pero es que hay otras cosas que pueden pasar desapercibida y también debemos tener en cuenta:
- El plugin Yoast SEO por debajo de la versión 7.3 no cumple con la normativa
- Las fuentes de Google (Google Fonts)
- El plugin que usas para añadir estrellas (Star Rating) si limita los votos por IP
Requisitos legales para cumplir el Reglamento General de Protección de Datos de la UE (RGPD)
A continuación, puedes leer un resumen de los principales aspectos que debes tener en cuenta si tienes una web o blog ya sea o no WordPress para cumplir con la RGPD.
Antes de continuar, debes saber que no soy abogado ni ningún experto en leyes.
Y si bien me he informado mucho sobre la ley RGPD de protección de datos, te recomiendo que en caso de duda, recurras a documentación oficial o a profesionales del tema.
01. Notificación a los usuarios de la recogida de datos
- Es necesario que notifiques a tus visitantes antes de recopilar cualquier dato personal
- Es obligatorio dar un mensaje claro y conciso para notificar a los usuarios
- Debes notificar los datos que vas a recolectar y cómo los vas a utilizar
- Es necesario proporcionar un aviso de forma clara y sencilla para que cualquier usuario lo entienda
- Además, cualquier persona podrá revocar el anterior citado consentimiento en cualquier momento
Por todos estos motivos, debes revisar tu WordPress y asegurarte que cumple con esta nueva política de recolección de datos.
Por el momento, la propuesta más extendida es añadir un pequeño texto debajo de cada formulario de contacto o registro en el que se especifica:
- Responsable: Quién eres
- Finalidad: Por qué estás recopilando esos datos
- Cuánto tiempo vas a almacenarlos
- Destinatario: Quién tendrá acceso y con qué propósito
- Qué datos serán almacenados y utilizados
- Cómo, dónde y con qué propósito
Por último, debes enlazar a la página de política de privacidad completa de tu WordPress desde la casilla de aceptación que utilices en cada caso.
02. Imprescindible recibir el consentimiento explícito antes de recolectar la información
Como ya hemos visto antes, es necesario recibir consentimiento explícito antes de cualquier recolección de datos personales de los usuarios de tu web o blog.
La nueva RGPD para la protección de datos en Europa especifica claramente que la inacción no se considera como consentimiento.
Es decir, no sólo es necesario informar, si no que el usuario debe realizar alguna acción para indicar que da su consentimiento para la recogida de esos datos.
Esto no sólo hace referencia a formularios, comentarios o boletines de noticias que es lo que más se está comentando, si no también afecta a cualquier tipo de cookies ya sea de seguimiento o análisis o incluso de afiliados.
03. Debes impedir la recogida no autorizada de datos por terceros
Como responsable de tu web o blog, no sólo debes regularizar la forma en la que tu sitio recolecta datos personales, si no también debes asegurarte de proteger esos datos para evitar la recopilación de datos no autorizados.
Para cumplir con este apartado, es necesario que mantengas un registro de cada interacción con el usuario en tu sitio web.
Como propietario del sitio web, blog o ecommerce en cuestión, eres legalmente responsable de la recopilación y seguridad de esos datos.
Por eso, debes de poder demostrar ante una auditoría el cumplimiento de la ley RGPD para para la protección de datos dentro de la UE ante una autoridad supervisora (SA).
04. Mantenga los datos de los usuarios organizados y accesibles.
Este nuevo derecho al olvido que trae consigo la nueva ley RGPD ofrece a los usuarios la posibilidad de borar sus datos personales y de interrumpir la recogida y tratamiento de los mismos.
La cláusula de Portabilidad de Datos de RGPD otorga a tus usuarios el derecho a descargar sus datos personales, para la recolección de los cuales han dado su consentimiento previamente.
Es por esto, que como responsable de cualquier web o blog en WordPress, debes de ser capaz de proporcionar a un usuario una copia de todos los datos personales que tengas en tu posesión.
Esta entrega de datos, debe realizarse sin coste alguno, en 40 días naturales como máximo y si el usuario así lo requiere, deberemos borrar los datos obtenidos.
05. Ofrece a tus usuarios una solución para gestionar las peticiones referentes a sus datos
Para esto, es recomendable que tu WordPress disponga de un sencillo formulario para solicitar la retirada o visualización de los datos recolectados en tu página de política de privacidad.
Esto permitirá a tus usuarios ponerse en contacto con el webmaster o responsable de tu web de forma sencilla.
06. Avisa de las brechas de seguridad a tus usuarios
Para cumplir la ley RGPD en WordPress, es necesario que si alguna vez la seguridad de los datos que almacenas en tu sitio web se ve comprometida, deberás comunicarla a todos tus usuarios de manera oportuna.
Este aviso debe realizarse en un plazo máximo de 72 horas siguientes a la primera noticia de esa violación de seguridad.
La forma ideal de detectar este tipo de brechas de seguridad, es monitorizar el tráfico web y los registros del servidor web, y sobre todo tener activado y correctamente configurado algún plugin de seguridad para WordPress.
En general, esta cláusula anima a utilizar las mejores prácticas de seguridad disponibles para garantizar que no se produzcan violaciones de datos.
07. Los plugins y la ley RGPD
Si eres propietario de un sitio web o blog en WordPress, eres el/la responsable último de la recopilación de datos y métodos de almacenamiento.
Por si no te queda alguna duda, esto por supuesto incluye cualquier plugin o software de terceros utilizado en tu WordPress.
Esto implica que es tu responsabilidad asegurarse de que cada plugin utilizado en tu web pueda exportar/proporcionar/borrar los datos de usuario que recopile de acuerdo con las reglas de la ley RGPD.
08. Consentimiento automático
Si en tu página web utilizas WooCommerce u otras plataformas de comercio electrónico para WordPress necesitas asegurarte de que todos los elementos de marketing, venta, boletines de noticias etc ofrecen la opción de consentir la recolección de datos de forma «opt-in» en lugar de «opt-out».
Recuerda que si vienen marcadas por defecto se considerarían un incumplimiento de la nueva ley RGPD.
Primeros pasos para cumplir con la normativa RGPD en WordPress
Se exáctamente cómo te sientes. Es un montón de información y puede que no sepas ni por donde empezar.
Mi consejo, es que para empezar, comiences con estos 4 puntos para empezar a adaptar tu web al nuevo Reglamento General de Protección de Datos de la UE:
(I) Textos Legales
No olvides los formularios (contacto y comentarios) y adaptar las páginas de aviso legal etc.
(II) Actualiza tu lista de suscriptores
En caso de tener una lista de suscriptores, envía los emails necesarios para recolectar la aceptación necesaria en caso de no estar en regla.
Es importante que empieces cuanto antes y no esperes al último día para diferenciarte de la competencia.
(III) Recolección, procesamiento y almacenamiento de datos
Es importante que todos los datos que recolectes a partir de ahora lo hagas de la forma correcta acorde al nuevo reglamento.
Adapta tus formularios de contacto, comentarios, suscripción etc.
(IV) Estudia y corrige cómo manejan los datos otros servicios de tu web
Como hemos visto, no sólo hay que tener en cuenta cómo recabas información en tu WordPress, si no también como lo hacen aplicaciones de terceros en tu web.
Revisa si algún plugin o software que tengas instalado en tu web está recabando información de los usuarios y si lo hace de la forma correcta.
Mejores plugins para cumplir la ley RGPD en WordPress
Ya hay varios plugins disponibles que si bien no cumplen a fondo la nueva ley RGPD, sí que nos ayudan en ciertos aspectos.
A continuación vamos a ver algunos de las propuestas, la mayoría aún en desarollo que según prometen sus desarrolladores, nos permitirán adaptar nuestro WordPress a la nueva ley Europea.
Security Audit Log o Activity Log
Ambos son plugins para llevar un registro de todo lo que pasa en tu web, lo que te ayudará a hacer una auditoría de seguridad en tu WordPress para evitar las antes mencionadas brechas y robo de datos.
Imprescindible a partir del 25 de mayo para poder demostrar que estás tomando las medidas necesarias en seguridad posibles brechas de seguridad y avisar a tus usuarios.
Delete Me para WordPress y WooCommerce
Este plugin es ideal para la gestión del derecho al olvido del usuario.
De ninguna manera satisface todos los requisitos del RGPD, pero a futuro pueden suponer un punto de partida muy interesante para poner esta funcionalidad a disposición de sus usuarios para no tener que cumplir manualmente este tipo de peticiones.
WP GDPR Compliance
Este plugin ofrece múltiples opciones y configuraciones posibles para cumplir con la normativa europea RGPD.
Según sus creadores este plugin es compatible con:
- Contact Form 7 (Versión 4.6 en adelante)
- Gravity Forms (Versión 1.9 en adelante)
- Woocommerce (Versión 2.5.0 en adelante)
- Comentarios por defecto de WordPress
Además, está actualmente en desarrollo, por lo que espero que pronto ofrezca más características para cumplir al completo la nueva ley.
WP GDPR
La principal función de este plugin es ofrecer a tus usuarios la posibilidad de ver qué datos personales has recolectado sobre ellos así como ofrecer la posibilidad de descargarlos o solicitar su eliminación.
GDPR for WordPress
Este plugin hasta el momento no es más que una promesa y buenas intenciones.
La idea, es construir un estándar para WordPress a la hora de cumplir la ley GDPR en todos los aspectos relacionados con WordPress no sólo para gestores de páginas webs y blogs si no también para desarrolladores y programadores de themes, plugins, funcionalidades, etc.
Tocará estar atentos para ver si avanza lo suficientemente rápido.
GDPR Tools
GDPR Personal Data Reports
Adaptación RGPD / LOPD
Remove Comment IPs
La nueva normativa RGPD afecta directamente a los comentarios de WordPress, pero no sólo a la hora de crearlos, si no también de almacenarlos.
Y es que esta nueva normativa nos indica que no debemos guardar los datos personales de nuestros usuarios más tiempo del necesario.
Con el plugin Remove Comment IPs, se borrará la IP de los comentarios de WordPress al cabo de 60 días (una vez utilizada para filtrar el spam o controlar comentarios no deseados).
Esto no sólo hará que nuestros comentarios de WordPress cumplan con el RGPD, si no que liberará algo de espacio en nuestra base de datos.
Italy Cookie Choices (for EU Cookie Law)
Este es el plugin que yo he elegido para cumplir con la ley de protección de datos en mis WordPress.
He tomado esta decisión por los siguientes motivos:
- Permite bloquear el contenido de terceros incrustado (embed) en mi web
- Aparece un botón para aceptar cookies en cada contenido bloqueado, por lo que las posibilidades de que el usuario acepte se multiplican
- Permite eliminar los estilos CSS cargados por defecto (que no son nada del otro mundo), con sólo pulsar un botón, algo que me encanta
- Es altamente personalizable
- Aunque tiene muchas opciones, es muy fácil y rápido de configurar para cumplir la RGPD con un par de clicks (en lo referente a cookies claro)
IMPORTANTE: No debes marcar la opción de bloquear todos los scripts del body, ya que tu web no será visible en el navegador Firefox.
En su lugar, marca la primera opción, bloquear las cookies de terceros incrustadas en tu contenido y widgets, que será suficiente en la mayoría de los casos.
No obstante, no hay mejor forma de cumplir con la ley RGPD que evitar recolectar datos de usuarios innecesarios.
Es por eso que creo que el nuevo Reglamento General de Protección de Datos de la UE va a suponer una oportunidad para que todos los webmasters repasemos los procesos de recolección de datos de nuestra webs.
Nuevas herramientas nativas en WordPress 4.9.6 para cumplir con el GDPR
Con la nueva actualización a WordPress 4.9.6 saldrán a la luz 4 nuevas herramientas para cumplir con la nueva normativa Europea RGPD.
Este es el principal motivo por el que a día de hoy, aún no he adaptado este blog a la nueva ley, y es que prefiero esperar a una solución nativa del core de WordPress a buscar parches temporales que más tarde me tocaría volver a adaptar.
Por supuesto el objetivo sigue siendo estar listo para el 25 de mayo, por lo que si sigues mis pasos, tendrás que estar muy atento y tener todo muy claro para el sprint final los últimos días.
Dicho esto, ahora vamos al lo importante:
Herramientas RGPD en WordPress
Como os decía, disponemos de 4 nuevas herramientas para ayudarnos con esta tarea, que son:
- Creación automática de una página que incluye una política de privacidad adaptada a las funcionalidades de nuestro theme y plugins
- Solución nativa para que los administradores del sitio podamos ver y exportar los datos recolectados
- Caja de confirmación (optin) para que el usuario de su consentimiento en la zona de comentarios
- Solución nativa para que los usuarios vean, editen o apliquen sus derechos en lo referente a sus datos almacenados
Por supuesto, esto no se va a quedar aquí, y la magnífica comunidad de WordPress sigue trabajando para facilitarnos aún más la adaptación de nuestras webs a esta nueva normativa.
Vuelve de vez en cuando para estar al tanto de todas las novedades y si aún tienes dudas, te dejo un par de videos muy interesantes sobre el tema para completar el artículo, espero te sean de ayuda.
Resumen para cumplir con la normativa GDPR en WordPress
Para resumir, si tienes una página web que recolecte cualquier dato personal de un usuario de la Unión Europea debes cumplir los siguientes aspectos del nuevo Reglamento General de Protección de Datos de la UE comúnmente conocido como RGPD:
- Informar al usuario: Quien eres, que datos recolectas y por qué. Durante cuánto tiempo y quien tendrá acceso
- Obtener consentimiento explícito e informado antes de recolectar cualquier dato
- Permite a tus usuarios acceder, descargar y eliminar sus datos
- Avisa a tus usuarios si se produce algún error de seguridad en la protección de sus datos
Cómo he adaptado mi blog WordPress a la nueva ley GDPR 25 Mayo
Video de PluginsWeb
RGPD/GDPR: COMO CUMPLIR CON LA LEY EN WORDPRESS – TODO LO QUE DEBES HACER
Video de Yo Androide
Referencias
Si te ha gustado este artículo, te invito a compartirlo en redes sociales para que ayude a más gente.
Por último, puedes dejar tu email en el formulario que verás debajo para recibir gratis nuestra Guía Completa de Wordpress en PDF. También te informaremos de nuevos artículos, recursos y ofertas útiles para tu Wordpress.