Guía fundamental sobre RGPD en WordPress

¿Trabajas con WordPress? Sigue leyendo, porque cuando llegue el 25 de mayo, tendrás de tener tu web WordPress completamente adecuada al RGPD.

Todo profesional que trabaje con WordPress (y el que no también) tendrá que realizar una puesta a punto de su sitio web ya que se impone un cambio notable en la manera de gestionar la información de los demás con la aplicación del Reglamento General de Protección de Datos – Reglamento (UE) 2016/679 (RGPD) que será de obligado cumplimiento para todos los que recaben información de los demás.

Esta nueva normativa determina que todas las empresas, independientemente de su país de origen o actividad, deberán cumplirla si recogen, guardan, tratan, usan o gestionan algún tipo de dato de los ciudadanos de la Unión Europea.

Trabajo con WordPress ¿tengo que cumplir con el RGPD?

El RGPD establece que, si un sitio web recopila, almacena o utiliza cualquier información relacionada con un ciudadano de la Unión Europea, debe cumplir con una serie de requisitos básicos:

  • Ser transparente: estás obligado a informar a tus usuarios de forma clara y sencilla sobre tu identidad, la finalidad de la información que recoges, el tiempo de conservación de los datos, la base para legitimar el tratamiento y los derechos que tienes tus usuarios sobre los datos que te hayan suministrado.
  • Contar con el consentimiento expreso: no podrás requerir información personal a otros si no le informas previamente sobre todo lo anterior de forma directa y si no recabas el consentimiento expreso con lo informado.
  • Asegurarte de que todas las herramientas que integras en tu WordPress, también cumplan con el RGPD. Incluyendo el propio WordPress.
  • Tener mecanismos habilitados para que los usuarios puedan ejercer sus derechos, por ejemplo, que estos puedan acceder fácilmente a sus datos, modificarlos, suprimirlos, etc.
  • Contar con un mecanismo para notificar brechas: El RGPD te exige informar a tus usuarios si se ha producido una fuga de información y a la autoridad de control, en este caso, a la Agencia española de protección de datos. Por tanto, si sufres una violación de datos en tu WordPress, deberás notificar a todos los afectados por la violación, incluyendo, personas que te hayan contactado o gente que solo haya comentado.

¿Qué información personal recopila WordPress?

Te sorprenderá saber la cantidad de información que recopila WordPress.

Por una parte, WordPress recopila información que le brindan voluntariamente los usuarios, por ejemplo:

  • Registros de usuarios
  • Formularios de comentarios
  • Formularios de contacto
  • Formularios de suscripción

Todos estos sistemas de captura deberán ser adecuados al RGPD, incluyendo:

  • Información básica en una primera capa
  • Información más completa en una segunda
  • Una casilla de selección para recabar el consentimiento de forma expresa.

Pero también debes saber que WordPress recopila información de forma automática:

  • Analíticas y soluciones de registro de tráfico,
  • Herramientas de registro, plugin y otros complementos
  • Herramientas de seguridad y sus complementos
  • Cookies y otras tecnologíasdebes saber que, por ejemplo, Automattic utiliza cookies y otras tecnologías como etiquetas de píxeles para identificar y rastrear a los visitantes, el uso y las preferencias de acceso a la plataforma. Por ejemplo, los usuarios de Jetpack y VaultPress . Si usas el módulo de estadísticas de JetPack estás cargando una cookie (_qca) que recoge información de tus visitantes y sobre la que deberías informar.

Estos plugins que instales en tu WordPress también deberán cumplir con las reglas de RGPD.  Recuerda que, como propietario y responsable del sitio, debes asegurarte de que cada complemento cumpla con los requerimientos del RGPD e informar de los mismos y del tratamiento de la información que estos completos hacen de la información  a tus usuarios en tus políticas.

Tu WordPress también recopilan información que proviene de otras fuentes: Por ejemplo, si creas o inicias sesión en su cuenta de WordPress.com a través de otro servicio (como Google) o si conectas tu sitio web o cuenta a un servicio de redes sociales. También deberás informar sobre ellas en tu política de privacidad y política de cookies.

¿Cumple WordPress con el RGPD?

Actualmente WordPress no cumple el RGPD, pero se está trabajando en incorporar en el software base todo lo necesario para ello, desde la casilla de aceptación en comentarios como herramientas de inventario y gestión de la privacidad de los usuarios.

Herramientas que integras en tu WordPress

¿Cuántas herramientas externas tienes integradas en tu WordPress? Has un recuento, están las herramientas de mail marketing, las herramientas de ecommerce, las de chat online, las de gestión de comentarios…y otras muchas más.

Todas ellas deben cumplir con los requisitos del RGPD, es decir, si están en EE. UU., deben ser Privacy Shield, si son europeas, estar adecuadas al RGPD.

Guía práctica para adecuar tu WordPress al RGPD

Registro de actividades de tratamiento

Todo responsable o titular de un dominio en WordPress, debe poder demostrar que sus actividades de tratamiento de datos cumplen con los principios relativos al tratamiento de datos. Ya no hay que inscribir ficheros en la agencia, eso pasó a la historia, en lugar de eso, se requiere este registro.

Estas medidas deben ser recogidas en un Registro de actividades de tratamiento (RAT). Dicho documento tendrá un formato electrónico. El RGPD señala la necesidad de describir qué datos se recogen y de quién, con qué fin se tratan, a quién se comunican y si se transfieren a terceros países, qué medidas técnicas y organizativas se aplicarán, y cuándo se suprimirán.

Por tanto, en tu calidad de responsable del sitio web, deberás mantener registros de las actividades de tratamiento siempre actualizados que se encuentren bajo tu responsabilidad.

También estás obligado a cooperar con la autoridad de control y a poner a su disposición, previa solicitud, dichos registros de modo que puedan servir para supervisar las operaciones de tratamiento llevadas a cabo en tu WordPress.

En este contexto, deberás implantar las medidas técnicas y organizativas apropiadas a fin de demostrar y acreditar debidamente, que los tratamientos que realizan en la plataforma WordPress son conformes con el RGPD.

Una medida muy importante que deberías tener en cuenta es la minimización, deberás garantizar que los datos personales que recabes en tu web son adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados y, por tanto, solo requerir solo los datos imprescindibles para cada uno de los fines específicos del tratamiento.

Legitimar el tratamiento y el consentimiento

El RGPD mantiene el principio de que todo tratamiento de datos necesita apoyarse en una base que lo legitime. Deberás por tanto evitar realizar tratamientos de datos cuya legitimidad se base en consentimientos que no hayan sido otorgados expresamente por los o usuarios de tu WordPress.

En este sentido, es imprescindible que acondiciones todos tus formularios como se describe al inicio y recabar pruebas de que los consentimientos han sido otorgados mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada e inequívoca del interesado respecto al tratamiento de los datos que le conciernen.

También será imprescindible la realización de una campaña de regularización para acreditar los consentimientos obtenidos de forma tácita o que no cumplan con las exigencias del RGPD. En definitiva, deberás buscar un procedimiento que permita obtener el consentimiento de forma expresa, tanto en los nuevos registros como en los anteriores al reglamento.

Transparencia informativa

Para lograr que el tratamiento de datos personales que gestionas mediante WordPress se realiza con transparencia informativa deberás:

  • Revisar todas las cláusulas, coletillas legales, políticas de privacidad y avisos legales con objeto de verificar que el lenguaje empleado en dichos textos sea claro, sencillo y fácilmente comprensible para tus usuarios, evitando textos farragosos para el usuario medio.
  • Preparar cláusulas que expliquen su contenido de manera clara y comprensible y que incluyan la información que debe proporcionarse a los interesados.
  • Diseñar modelos de información por capas, es decir, que el usuario/cliente disponga de la información básica y accesible en una primera capa y que pueda completar esa información en una segunda capa. Es lo que se conoce como información multinivel.
  • Incluir en todos los mecanismos informativos información completa que incluya:
    • la identidad del responsable de la gestión y, si procede, del representante europeo, del delegado de protección de datos,
    • la identidad de los destinatarios o las categorías de destinatarios de los datos personales, que sus datos personales se están recogiendo, utilizando o consultando,
    • la medida en que dichos datos son o serán tratados y de las posibles consecuencias de no facilitar tales datos,
    • las finalidades con las que vas a utilizar esos datos personales y la base jurídica del tratamiento,
    • el plazo durante el cual se conservarán los datos o, cuando no sea posible, los criterios utilizados para determinar este plazo,
    • la existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales que haya facilitado, su rectificación o supresión, o la limitación de su tratamiento, o a oponerse al tratamiento, así como el derecho a la portabilidad de los datos,
    • la existencia de decisiones automatizadas, incluida la elaboración de perfiles para segmentación (por ejemplo, cuando esta elaboración tenga consecuencias jurídicas para el afectado), así como la base de la legitimación del tratamiento.

Atender a los nuevos derechos incorporados en el RGPD

Atender al ejercicio de los derechos de acceso, rectificación, supresión, limitación, portabilidad y olvido y generar los mecanismos oportunos para atender a las solicitudes.

Respecto al derecho al olvido: el usuario tendrá que ser capaz de eliminar sus datos, su cuenta, los contenidos generados por él mismo y hasta cualquier rastro de su paso por tu web.  Se trata de proporcionar un mecanismo ágil para que el usuario borre su propia cuenta en un sitio accesible y fácilmente localizable.

El RGPD exige a los responsables que faciliten a los interesados el ejercicio de sus derechos bajo procedimientos electrónicos visibles, accesibles y sencillos, y que además sean gratuitos para el interesado.

De acuerdo con el RGPD, los responsables deberán tomar todas las medidas razonables para verificar la identidad de quienes soliciten acceso y de quienes ejerzan los restantes derechos ARCO.

Tener en cuenta el nuevo derecho a la portabilidad, ya que complementa al derecho de acceso y permite a las personas obtener los datos que han proporcionado a una entidad (responsable del tratamiento) en un formato estructurado, de uso común y de lectura mecánica.

Brechas de seguridad

Como te explicaba al principio, una de las novedades que contiene el RGPD es la obligatoriedad de notificar las incidencias, brechas o fugas de seguridad que impliquen una violación de datos personales, tanto a las Autoridades de Control como a los usuarios o afectados.

La misma debe hacerse sin demora injustificada y, a más tardar, 72 horas después de que haya tenido constancia de ella. La comunicación al afectado se realizará por vías de comunicación que garanticen una “pronta recepción de la información y sean seguras con arreglo al estado actual de la técnica”.

Utilizar el cifrado de la información personal elimina la obligación de notificar a los afectados que ha tenido lugar una brecha de seguridad en la que se han visto expuestos sus datos personales.

Por otra parte, en la comunicación obligatoria de dichas violaciones ante la Autoridad de Control se deberá incluir:

  • Número de interesados afectados.
  • Tipos y categorías de datos.
  • Descripción de los datos de contacto del delegado (DPO).
  • Efectos y consecuencias de la brecha de seguridad.
  • Medidas tendentes a atenuar los posibles efectos y medidas adoptadas.

Deberás contar además con mecanismos que permitan documentar adecuadamente este tipo de incidencias, notificarlas en el plazo establecido a la Autoridad de Control y a los afectados en caso de que proceda.

La seguridad en tu WordPress

La seguridad en un sitio web es fundamental para garantizar la confianza de los usuarios, así como para evitar las brechas que comentábamos en el punto anterior.

El RGPD habla en el artículo 5.1. sobre la seguridad e introduce el concepto de “seguridad adecuada” ¿esto qué significa?

Significa que se deben aplicar medidas técnicas y organizativas adecuadas a los tratamientos para:

  • Protegerse contra tratamientos no autorizados o ilícitos.
  • Protegerse de la perdida, destrucción y daño accidental de los datos.

De acuerdo con este principio, como responsable de una web, debes adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.

Atendiendo a este principio, cuando los usuarios registrados en una web tengan acceso online a los datos de que dispone el responsable respecto a su persona (sistema de registro de usuario), deberán establecerse procedimientos de identificación, autenticación y control de accesos como primera medida de seguridad.

Capas de seguridad recomendadas para una web en WordPress

Además de esas medidas de autenticación, deberán consolidarse otras medidas de seguridad:

Activar SSL (https) en tu WordPress:

Tanto si tienes un ecommerce como si no, se recomienda utilizar siempre protocolos de seguridad como Secure Sockets Layer (SSL) para la autenticación web y la protección de datos ya que se trata de una conexión segura que cifra toda la información enviada desde y hacia el sitio web.

Este es un punto básico en el cumplimiento del RGPD ya que el protocolo SSL permite cifrar los datos de un sitio web garantizando a los  usuarios que el sitio al que acceden es legítimo y que aplica una capa de seguridad adicional para evitar exponer datos sensibles.

Por otra parte, esta medida de seguridad protege tanto al titular de la web como a los clientes y evita que personas ajenas puedan obtener información de los usuarios. También evita que tengas que notificar brechas ya que la información se encuentra cifrada. Mejor aún, integrar EV SSL (Extended Validation Secure Sockets Layer), para que los clientes sepan que se trata de un sitio web seguro.

En términos generales, los certificados SSL deben incluir y mostrar (todos o al menos uno) su nombre de dominio, nombre del titular, dirección, ciudad, estado y país. También siempre muestra la fecha de expiración del certificado y por supuesto, los detalles de la autoridad certificadora que expide el certificado.

No almacenar datos sensibles o desactualizados:

Atendiendo al principio de minimización y anonimización de datos recomendados en el RGPD, no se deberían almacenar los registros de los clientes, particularmente números de tarjeta de crédito, fechas de caducidad o códigos CW2 (Card Verification Value).

Debes eliminar los registros antiguos de la base de datos y mantener una cantidad mínima de información, suficiente para cargos al usuarios y reembolsos y el posible, de forma que no permita identificar al usuario si está información fuera expuesta o sufriera una brecha de seguridad.

Usar un sistema de verificación de direcciones:

En caso de incorporar opciones ecommerce, siempre utilizar un sistema de verificación de direcciones (AVS) y la verificación del valor de la tarjeta (CVV) para las transacciones hechas con tarjetas de crédito y reducir con ello los cargos fraudulentos.

 Más recomendaciones de seguridad para tu WordPress:

  1. Debes tener un software de seguridad que se actualice automáticamente con regularidad y que incorpore un buen cortafuegos.
  2. Elige siempre contraseñas seguras para acceder a WordPress y no utilices nombres de usuario tipo “admin”, es algo básico, pero que no siempre se cumple.
  3. Actualiza tu sistema con los últimos parches: Esto es absolutamente esencial. También los temas, plugins y cualquier otro software que interactúe con WordPress.
  4. Crea copias de seguridad automatizadas y diarias sobre un soporte externo.
  5. Controla los plugins que instalas y asegúrate de que sean seguros.
  6. Mantén a raya el spam, fuente de malware, instala un buen filtro antispam en tu WordPress.

Hoja de ruta para adecuar tu WordPress al RGPD

También es recomendable preparar campaña de comunicación de actuaciones realizadas a tus usuarios para ajustarse al RGPD con evidencias y garantías aportadas. Esto genera confianza y credibilidad en tus usuarios y refuerza tu compromiso con tu audiencia.

¿Qué está haciendo WordPress para ayudarte con el RGPD?

Hay un proyecto en marcha para adecuar WordPress a la RGPD, de manera que incorpore herramientas para cumplir esta regulación y todos sus requisitos sin tener que instalar nada más.

De hecho, hay varias guías y recursos que te pueden resultarte de gran utilidad:

  • RGPD, Google Analytics y WordPress ¿tengo que hacer algo al respecto?
  • Cómo añadir la aceptación de política de privacidad en los comentarios
  • Cómo cumplir la RGPD en formularios de contacto de WordPress
  • Guía completa de WordPress GDPR.
  • El plugin Delete Me  permite a los usuarios eliminar sus cuentas para poder ejercitar el derecho al olvido.
  • GDPR para WordPress es un proyecto que establece un marco de validación de GDPR para los plugins WordPress.

¿Cómo puedes solucionar todo esto tu solit@?

Si eres usuario de WordPress, te encantan las herramientas que te ayudan a solucionar problemas o resolver cosas de forma sencilla y sin complicaciones ¿A que sí?

A nosotros también, por eso en LEXblogger creamos una herramienta que resuelve todos y cada uno de estos requisitos de forma eficaz, personalizada y sencilla a la vez.

Te invito a que conozcas nuestra herramienta.

¿Cómo?

Muy Fácil, aquí tienes tu enlace para conseguirlo.

Valora este artículo para mejorar la calidad del blog ...

Al hacer una valoración se recoge una cookie con la IP de tu dispositivo

FlojitoNo está malEstá bienMe ha servidoFantástico (15 votos, promedio: 4,60 de 5)
Cargando…

Autor: Marina Brocca

Consultora Especialista en Marketing Legal y Protección de Datos en Madrid. Amante de las aventuras rupestres y la conquista de cumbres. Divulgadora y formadora en el arte de vender sin atropellar y los nuevos paradigmas de la venta online

Comparte esta entrada en
468 ad

Al dejar un comentario se solicitan datos como tu correo y nombre que se almacenan en una cookie para que no tengas que volver a completarlos en próximas visitas. Para enviar un comentario debes aceptar nuestra política de privacidad | Responsable de los datos: Fernando Tellado García | Finalidad: Gestión y moderación de comentarios | Legitimación: Tu consentimiento expreso | Destinatario: Disqus (acogido a EU-US Privacy Shield) | Derechos: Tienes derecho al derecho al acceso, rectificación, supresión, limitación, portabilidad y olvido de sus datos

Centro de preferencias de privacidad

Cookies imprescindibles

Se usan para almacenar tu nombre, correo, IP y demás datos que dejas en los formularios de comentarios, contacto, acceso y tus preferencias de privacidad.

AUTH_KEY, SECURE_AUTH_KEY, LOGGED_IN_KEY, NONCE_KEY, comment_author, comment_author_email, comment_author_url, rated, gdpr, gawdp

Cookies de terceros

Usamos cookies de terceros en las que se almacenan externamente para conocer tus usos de navegación, si ya estás suscrito al boletín y los elementos compartidos en redes sociales

cfduit_, intercom-id, intercom-lou, mailerlite:language, mailerlite:webform, _ga, _gid
cfduit_, intercom-id, intercom-lou, mailerlite:language, mailerlite:webform
_ga, _gid

¿Quieres cerrar tu cuenta?

Se cerrará tu cuenta y todos los datos se borrarán de manera permanente y no se podrán recuperar ¿Estás seguro?

Pin It on Pinterest