¿Cumple o cumplirá WordPress el RGPD?

Si te tengo que contestar ahora mismo la respuesta es clara: No, WordPress ni cumple ni ayuda a cumplir la RGPD, pues no ofrece básicos que la nueva regulación exige para la protección de la privacidad y datos personales de los usuarios.

A saber:

• No permite que los usuarios borren sus propios datos.
• No permite que los usuarios exporten sus datos.
• No dispone de una casilla de aceptación expresa de la política de privacidad en los comentarios.
• No dispone de páginas de política de privacidad por defecto.

Porque no estoy hablando de los plugins, que ya disponen de una iniciativa para que cumplan con la RGPD, sino del mismo WordPress, desde su instalación.

¿Hay planes para que WordPress cumpla la RGPD?

Afortunadamente sí. Se ha formado un equipo en el blog de Make WordPress que ha elaborado una hoja de ruta con las medidas que tiene que aplicar WordPress para cumplir con la RGPD.

Bajo la etiqueta #gdpr-compliance se está agrupando toda conversación e iniciativa en este sentido. Y ya hay medidas concretas en forma de tickets en el Trac, para incorporar en el software base de WordPress los cambios necesarios para que WordPress cumpla la RGPD, o al menos ayude a ello.

Objetivos

Los objetivos a cumplir son los siguientes:

1. Identificar todos los datos almacenados por WordPress.
2. Añadir herramientas (functions,hooks,etc.) en WordPress para facilitar el cumplimiento, y la privacidad en general:
   • Para administradores y propietarios del sitio poder tener una visión general de qué datos se almacenan y cómo usar las herramientas
   • Poder anonimizar/Borrar los datos personales.
   • Poder mostrar/exportar datos personales (para su transferencia)
   • Añadir avisos tanto para usuarios registrados como a comentaristas sobre qué datos recoge WordPress por defecto y por qué.
3. Establecer un centro de privacidad que guarde la información de la RGPD para los usuarios del sitio, administradores y desarrolladores.
   • Para usuarios del sitio y administradores: Que se recopila, cuánto tiempo, por qué, etc
   • Para desarrolladores: Cómo usar las herramientas incluidas en WordPress

Hoja de ruta para que WordPress cumpla la RGPD

Aunque aún no hay fecha definida para cumplir los objetivos antes citados, hay ya una hoja de ruta en la que se van añadiendo tareas concretas, a saber:

Debe haber dos herramientas principales:

• Una herramienta con la que exportar todos los datos almacenados en el sitio (por dirección de correo o nombre de usuario).
• Una herramientas con la que exportar todos los datos personales y anonimizar todos los datos personales y contenido publicado (entradas, comentarios, etc).
• Para los comentaristas, los datos privados almacenados son las direcciones IP, el resto son datos públicos.
  • Campo o ventana de confirmación para solicitar ver y descargar sus datos privados, y quizás también los públicos.
  • Campo o ventana de confirmación para solicitar el borrado/anonimización de los datos.
  • Solicitar permiso para almacenar las cookies de comentarios. Esto podría ser una casilla (seleccionada) bajo el formulario de comentarios, del tipo «Guarda mi nombre, correo y URL de mi sitio en el navegador para la próxima vez que publique un comentario. Más información”.
• Para los usuarios registrados todos los datos almacenados por defecto los pueden ver en su perfil (excepto la dirección IP si han comentado en el sitio) y la mayoría se pueden editar y borrar ya desde ahí.
  • Botón para descargar sus datos privados, incluidas las direcciones IP si han comentado, e incluso sus datos públicos
  • Botón para solicitar el borrado/anonimización de su cuenta

Las peticiones de ver, descargar y borrar/anonimizar los datos privados deberían tener confirmación (doble) para evitar errores. Una solución sería enviar un token por correo electrónico cuando un comentarista solicita acceso/borrado/anonimización de sus datos privados.

El solicitante tendrá que enviar ese token como confirmación de su petición antes de que el propietario del sitio realice la acción. Aunque esto se podría hacer de manera automática, borrar y anonimizar no sería reversible, y podría generar algún tipo de abuso. En este caso es mejor que la acción la lleven a cabo los administradores, una vez recibida la confirmación.

Ya hay varios plugins que ofrecen esto o parecido.

Recopilación y retención de datos de WordPress por defecto

• Crear textos sobre qué información recopila WordPress y qué opciones tienen los usuarios, con enlaces a más información.
• Crear las páginas de «más información» en WordPress.org y/o en los recursos de privacidad del sitio.

Herramientas para crear la política de privacidad

Los administradores con sitios que recopilen datos de residentes en la UE tendremos que mostrar un aviso en un lenguaje llano y sencillo para explicar claramente el flujo de los datos, su retención y las opciones de los usuarios.

El objetivo aquí es añadir la funcionalidad de ayudar a los usuarios a crear un aviso de privacidad, usando herramientas que informe automáticamente de los datos recopilados y su retención por parte de los plugins instalados.

Para ello habrá unas funciones de ayuda del tipo wp_get_privacy_policy_page() para usarlas en temas, etc.

Otra idea es tener una especie de «buzón» que se mostrará al editar la página de privacidad. Todos los plugins que recopilen datos personales o usen cookies podrán mostrar ahí información concisa sobre qué recopilan y por qué. Esta información debería estar preparada como texto para su inclusión sencilla en la política de privacidad del sitio.

También se crearán shortcodes sobre las acciones de privacidad, que podrán usar también los plugins. Estos shortcodes los podrá también usar el administrador a la hora de crear su página de política de privacidad.

Por ejemplo:

Qué datos se recopilan del usuario
[privacy-what-personal-data-collected]
Qué hacemos con tus datos / por qué recopilamos datos
[privacy-why-personal-data-collected]
Con quién se comparten tus datos
[privacy-sharing-personal-data]
Dónde se almacenan tus datos, y cómo se protegen tus datos personales
[privacy-storing-personal-data]
Cuánto tiempo se retienen tus datos
[privacy-retaining-personal-data]
Qué opciones tienes para usar y recopilar tus datos
[privacy-user-options-personal-data]
Cómo puedes acceder, actualizar o borrar tus datos recopilados
[privacy-user-managing-personal-data]

Publicación del aviso de privacidad

La idea es crear la funcionalidad para crear una página especial de política de privacidad (la versión inicial ya está enviada). Los administradores podrán elegir una página existente o crear una nueva.

La herramienta de aviso de privacidad de WordPress también tendrá texto de ejemplo que los administradores puedan usar para crear sus políticas de privacidad. El texto se usará como texto por defecto para la política de privacidad y se insertará en la página de política de privacidad cuando se cree una nueva.

En cualquier caso, generar el aviso de privacidad no será una tarea automática: la herramienta/funcionalidad recopilará la información necesaria para la aprobación manual y la aprobación por parte del administrador.

Directrices para plugins

Como ya he comentado arriba, se está creando este tipo de documentación y herramientas en paralelo, que deberá alinearse con las funcionalidades que se incluyan en WordPress.

Añadir documentación/ayuda para que los administradores sepan cómo usar estas herramientas

El objetivo es ofrecer una guía sencilla a los administradores y usuarios sobre las herramientas creadas con este proyecto.

También ofrecerá información general sobre problemas acerca de la protección de datos y buenas prácticas, pero no será una guía legal.

La idea es crear un blog específico en WordPress.org, al estilo del blog de transparencia.

La documentación estará también en el menú Herramientas, con breves explicaciones sobre las herramientas de privacidad disponibles y cómo usarlas.

También contendrá las herramientas, por ejemplo, un campo de entrada para anonimizar los comentarios por dirección de correo.

La documentación estará disponible en el nuevo menú Herramientas => Privacidad.

Hay incluso ya un borrador de cómo sería, este:

¿Cumplirá WordPress la RGPD antes de su entrada en vigor?

Pues no está muy claro, pero al menos se está en ello, y como ves hay muchas tareas abiertas.

Se planteó incluir ya alguna herramienta en WordPress 4.9.5 pero se ha atrasado de momento.

Lo que está claro es que el cumplimiento de la RGPD por parte del software base de WordPress deberá llegar antes de WordPress 5.0.

Más información de interés

Si quieres ponerte al día sobre cómo cumplir la RGPD en WordPress aquí tienes unos enlaces:

Información oficial

• Información y recursos sobre la RGPD en la Agencia Española de Protección de Datos
• FACILITA: herramienta online de la AEPD para generar los textos legales.
• Guía rápida (PDF) de la AEPD para el cumplimiento de la RGPD por parte del sector privado.
• Guía para el cumplimiento del deber de informar (PDF)
• Infografía resumen de la UE sobre la RGPD

Información específica sobre RGPD y WordPress

• GDPRWP: Proyecto para el cumplimiento de la RGPD en plugins.
• RGPD WordPress: Artículos detallados sobre cómo cumplir la RGPD en WordPress.
• RGPD, WordPress y Google Analytics.
• RGPD en formularios de contacto WordPress.
• RGPD en comentarios WordPress.
• RGPD y borrado de usuarios en WordPress.

¿Te gustó este artículo? ¡Ni te imaginas lo que te estás perdiendo en YouTube!

AVISO: Esta publicación es de hace 3 años o más. Si es un código o un plugin podría no funcionar en las últimas versiones de WordPress, y si es una noticia podría estar ya obsoleta. Luego no digas que no te hemos avisado. ¡Ah! ¿te funciona? pues entonces no he dicho nada :)