Cómo cumplir el reglamento RGPD en WordPress (con y sin plugins)

Actualizado: junio 2018

El RGPD o Reglamento General de Protección de Datos de la UE (EU General Data Protection Regulation - GDPR) afectará a casi todas las áreas de cualquier empresa o proyecto, ya sea off u online.

Cumplir RGPD WordPress

Cómo cumplir el reglamento RGPD en WordPress (con y sin plugins)
4,8 (96,82%) 44 votes

Por eso, si tienes una página web y no quieres arriesgarte a recibir multas millonarias esto te interesa.

La nueva ley RGPD de protección de datos de la UE se presentó el pasado 25 de mayo de 2016 y tras su entrada en vigor será de obligatorio cumplimiento a partir del 25 de mayo de 2018.

Para entonces, tu sitio web o blog, debe cumplir con la nueva normativa.

En caso contrario, podrías enfrentarte a fuertes multas de hasta 20 millones de euros o el 4% del total de ingresos por CADA ifnracción.

Cómo afecta la nueva ley RGPD a una págia o blog en WordPress

La nueva ley de protección de datos en Europa afecta a “cualquier información relativa a una persona física identificada o identificable” que se recoja en tu sitio web WordPress.

Esto afecta a cualquier campo, plugin o tecnología que realice cualquier tipo de tratamiento de datos personales, por ejemplo referentes a:

El tratamiento de datos personales se refiere a “cualquier operación o conjunto de operaciones que se realicen sobre los datos de los usuarios”.

Por ejemplo, almacenar una dirección IP en los registros de su servidor web constituye una situación en la que estaríamos procesando los datos personales de un usuario.

A tener en cuenta para cumplir con el reglamento RGPD en WordPress

Las formas más habituales en las que un sitio web o blog en WordPress estándar recopila datos de sus usuarios son:

Además, también puedes verte afectado por otros aspectos algo más avanzados que también recopilan la IP del usuario como:

Pero es que hay otras cosas que pueden pasar desapercibida y también debemos tener en cuenta:

Requisitos legales para cumplir el Reglamento General de Protección de Datos de la UE (RGPD)

A continuación, puedes leer un resumen de los principales aspectos que debes tener en cuenta si tienes una web o blog ya sea o no WordPress para cumplir con la RGPD.

Antes de continuar, debes saber que no soy abogado ni ningún experto en leyes.

Y si bien me he informado mucho sobre la ley RGPD de protección de datos, te recomiendo que en caso de duda, recurras a documentación oficial o a profesionales del tema.

01. Notificación a los usuarios de la recogida de datos

Por todos estos motivos, debes revisar tu WordPress y asegurarte que cumple con esta nueva política de recolección de datos.

Por el momento, la propuesta más extendida es añadir un pequeño texto debajo de cada formulario de contacto o registro en el que se especifica:

Por último, debes enlazar a la página de política de privacidad completa de tu WordPress desde la casilla de aceptación que utilices en cada caso.

02. Imprescindible recibir el consentimiento explícito antes de recolectar la información

Como ya hemos visto antes, es necesario recibir consentimiento explícito antes de cualquier recolección de datos personales de los usuarios de tu web o blog.

La nueva RGPD para la protección de datos en Europa especifica claramente que la inacción no se considera como consentimiento.

Es decir, no sólo es necesario informar, si no que el usuario debe realizar alguna acción para indicar que da su consentimiento para la recogida de esos datos.

Esto no sólo hace referencia a formularios, comentarios o boletines de noticias que es lo que más se está comentando, si no también afecta a cualquier tipo de cookies ya sea de seguimiento o análisis o incluso de afiliados.

03. Debes impedir la recogida no autorizada de datos por terceros

Como responsable de tu web o blog, no sólo debes regularizar la forma en la que tu sitio recolecta datos personales, si no también debes asegurarte de proteger esos datos para evitar la recopilación de datos no autorizados.

Para cumplir con este apartado, es necesario que mantengas un registro de cada interacción con el usuario en tu sitio web.

Como propietario del sitio web, blog o ecommerce en cuestión, eres legalmente responsable de la recopilación y seguridad de esos datos.

Por eso, debes de poder demostrar ante una auditoría el cumplimiento de la ley RGPD para para la protección de datos dentro de la UE ante una autoridad supervisora (SA).

04. Mantenga los datos de los usuarios organizados y accesibles.

Este nuevo derecho al olvido que trae consigo la nueva ley RGPD ofrece a los usuarios la posibilidad de borar sus datos personales y de interrumpir la recogida y tratamiento de los mismos.

La cláusula de Portabilidad de Datos de RGPD otorga a tus usuarios el derecho a descargar sus datos personales, para la recolección de los cuales han dado su consentimiento previamente.

Es por esto, que como responsable de cualquier web o blog en WordPress, debes de ser capaz de proporcionar a un usuario una copia de todos los datos personales que tengas en tu posesión.

Esta entrega de datos, debe realizarse sin coste alguno, en 40 días naturales como máximo y si el usuario así lo requiere, deberemos borrar los datos obtenidos.

05. Ofrece a tus usuarios una solución para gestionar las peticiones referentes a sus datos

Para esto, es recomendable que tu WordPress disponga de un sencillo formulario para solicitar la retirada o visualización de los datos recolectados en tu página de política de privacidad.

Esto permitirá a tus usuarios ponerse en contacto con el webmaster o responsable de tu web de forma sencilla.

06. Avisa de las brechas de seguridad a tus usuarios

Para cumplir la ley RGPD en WordPress, es necesario que si alguna vez la seguridad de los datos que almacenas en tu sitio web se ve comprometida, deberás comunicarla a todos tus usuarios de manera oportuna.

Este aviso debe realizarse en un plazo máximo de 72 horas siguientes a la primera noticia de esa violación de seguridad.

La forma ideal de detectar este tipo de brechas de seguridad, es monitorizar el tráfico web y los registros del servidor web, y sobre todo tener activado y correctamente configurado algún plugin de seguridad para WordPress.

En general, esta cláusula anima a utilizar las mejores prácticas de seguridad disponibles para garantizar que no se produzcan violaciones de datos.

07. Los plugins y la ley RGPD

Si eres propietario de un sitio web o blog en WordPress, eres el/la responsable último de la recopilación de datos y métodos de almacenamiento.

Por si no te queda alguna duda, esto por supuesto incluye cualquier plugin o software de terceros utilizado en tu WordPress.

Esto implica que es tu responsabilidad asegurarse de que cada plugin utilizado en tu web pueda exportar/proporcionar/borrar los datos de usuario que recopile de acuerdo con las reglas de la ley RGPD.

08. Consentimiento automático

Si en tu página web utilizas WooCommerce u otras plataformas de comercio electrónico para WordPress necesitas asegurarte de que todos los elementos de marketing, venta, boletines de noticias etc ofrecen la opción de consentir la recolección de datos de forma “opt-in” en lugar de “opt-out”.

Recuerda que si vienen marcadas por defecto se considerarían un incumplimiento de la nueva ley RGPD.

Primeros pasos para cumplir con la normativa RGPD en WordPress

Se exáctamente cómo te sientes. Es un montón de información y puede que no sepas ni por donde empezar.

Mi consejo, es que para empezar, comiences con estos 4 puntos para empezar a adaptar tu web al nuevo Reglamento General de Protección de Datos de la UE:

(I) Textos Legales

No olvides los formularios (contacto y comentarios) y adaptar las páginas de aviso legal etc.

(II) Actualiza tu lista de suscriptores

En caso de tener una lista de suscriptores, envía los emails necesarios para recolectar la aceptación necesaria en caso de no estar en regla.

Es importante que empieces cuanto antes y no esperes al último día para diferenciarte de la competencia.

(III) Recolección, procesamiento y almacenamiento de datos

Es importante que todos los datos que recolectes a partir de ahora lo hagas de la forma correcta acorde al nuevo reglamento.

Adapta tus formularios de contacto, comentarios, suscripción etc.

(IV) Estudia y corrige cómo manejan los datos otros servicios de tu web

Como hemos visto, no sólo hay que tener en cuenta cómo recabas información en tu WordPress, si no también como lo hacen aplicaciones de terceros en tu web.

Revisa si algún plugin o software que tengas instalado en tu web está recabando información de los usuarios y si lo hace de la forma correcta.

Mejores plugins para cumplir la ley RGPD en WordPress

Ya hay varios plugins disponibles que si bien no cumplen a fondo la nueva ley RGPD, sí que nos ayudan en ciertos aspectos.

A continuación vamos a ver algunos de las propuestas, la mayoría aún en desarollo que según prometen sus desarrolladores, nos permitirán adaptar nuestro WordPress a la nueva ley Europea.

Security Audit Log o Activity Log

Ambos son plugins para llevar un registro de todo lo que pasa en tu web, lo que te ayudará a hacer una auditoría de seguridad en tu WordPress para evitar las antes mencionadas brechas y robo de datos.

Imprescindible a partir del 25 de mayo para poder demostrar que estás tomando las medidas necesarias en seguridad posibles brechas de seguridad y avisar a tus usuarios.

Delete Me para WordPress y WooCommerce

Este plugin es ideal para la gestión del derecho al olvido del usuario.

De ninguna manera satisface todos los requisitos del RGPD, pero a futuro pueden suponer un punto de partida muy interesante para poner esta funcionalidad a disposición de sus usuarios para no tener que cumplir manualmente este tipo de peticiones.

WP GDPR Compliance

Este plugin ofrece múltiples opciones y configuraciones posibles para cumplir con la normativa europea RGPD.

Según sus creadores este plugin es compatible con:

Además, está actualmente en desarrollo, por lo que espero que pronto ofrezca más características para cumplir al completo la nueva ley.

WP GDPR

La principal función de este plugin es ofrecer a tus usuarios la posibilidad de ver qué datos personales has recolectado sobre ellos así como ofrecer la posibilidad de descargarlos o solicitar su eliminación.

GDPR for WordPress

Este plugin hasta el momento no es más que una promesa y buenas intenciones.

La idea, es construir un estándar para WordPress a la hora de cumplir la ley GDPR en todos los aspectos relacionados con WordPress no sólo para gestores de páginas webs y blogs si no también para desarrolladores y programadores de themes, plugins, funcionalidades, etc.

Tocará estar atentos para ver si avanza lo suficientemente rápido.

GDPR Tools

GDPR Personal Data Reports

Adaptación RGPD / LOPD

Remove Comment IPs

La nueva normativa RGPD afecta directamente a los comentarios de WordPress, pero no sólo a la hora de crearlos, si no también de almacenarlos.

Y es que esta nueva normativa nos indica que no debemos guardar los datos personales de nuestros usuarios más tiempo del necesario.

Con el plugin Remove Comment IPs, se borrará la IP de los comentarios de WordPress al cabo de 60 días (una vez utilizada para filtrar el spam o controlar comentarios no deseados).

Esto no sólo hará que nuestros comentarios de WordPress cumplan con el RGPD, si no que liberará algo de espacio en nuestra base de datos.

Italy Cookie Choices (for EU Cookie Law)

Este es el plugin que yo he elegido para cumplir con la ley de protección de datos en mis WordPress.

He tomado esta decisión por los siguientes motivos:

IMPORTANTE: No debes marcar la opción de bloquear todos los scripts del body, ya que tu web no será visible en el navegador Firefox.

En su lugar, marca la primera opción, bloquear las cookies de terceros incrustadas en tu contenido y widgets, que será suficiente en la mayoría de los casos.

No obstante, no hay mejor forma de cumplir con la ley RGPD que evitar recolectar datos de usuarios innecesarios.

Es por eso que creo que el nuevo Reglamento General de Protección de Datos de la UE va a suponer una oportunidad para que todos los webmasters repasemos los procesos de recolección de datos de nuestra webs.

Nuevas herramientas nativas en WordPress 4.9.6 para cumplir con el GDPR

Con la nueva actualización a WordPress 4.9.6 saldrán a la luz 4 nuevas herramientas para cumplir con la nueva normativa Europea RGPD.

Este es el principal motivo por el que a día de hoy, aún no he adaptado este blog a la nueva ley, y es que prefiero esperar a una solución nativa del core de WordPress a buscar parches temporales que más tarde me tocaría volver a adaptar.

Por supuesto el objetivo sigue siendo estar listo para el 25 de mayo, por lo que si sigues mis pasos, tendrás que estar muy atento y tener todo muy claro para el sprint final los últimos días.

Dicho esto, ahora vamos al lo importante:

Herramientas RGPD en WordPress

Como os decía, disponemos de 4 nuevas herramientas para ayudarnos con esta tarea, que son:

Por supuesto, esto no se va a quedar aquí, y la magnífica comunidad de WordPress sigue trabajando para facilitarnos aún más la adaptación de nuestras webs a esta nueva normativa.

Vuelve de vez en cuando para estar al tanto de todas las novedades.

Cómo he adaptado mi blog WordPress a la nueva ley GDPR 25 Mayo

Video de PluginsWeb

Resumen para cumplir con la normativa GDPR en WordPress

Para resumir, si tienes una página web que recolecte cualquier dato personal de un usuario de la Unión Europea debes cumplir los siguientes aspectos del nuevo Reglamento General de Protección de Datos de la UE comúnmente conocido como RGPD:

Resumen

¿Alguna pregunta?

Si tienes alguna duda, o si te ha gustado el post, te espero en Twitter: @TutorialWP_

¡Sigue leyendo!