Guía rápida para cumplir el RGPD con WordPress

Última actualización: 21-05-2018

Ya quedan menos días para la entrada en vigor del RGPD, el nuevo reglamento que protege los derechos de privacidad de los ciudadanos de la Unión Europea.

Y como veo que, a pesar de los muchos artículos que he publicado al respecto, aún hay muchas dudas, a ver si con este resumen, pasos y preguntas frecuentes logro ayudarte a cumplir el RGPD y te evitas algún disgusto con sus abultadas multas.

Los 5 principios del RGPD

Si tienes claros estos 5 principios básicos que protege el RGPD debería ser fácil que lo apliques:

  1. Los datos personales que recojas deben procesarse de modo legal, transparente, y no debes utilizarlos sin consentimiento del usuario.
  2. Los datos personales solo deben recogerse para un objetivo concreto, y debes especificar para qué pides esos datos y cuál será su destino.
  3. Los datos personales deben ser precisos y estar actualizados, y no debes guardarlos más tiempo del necesario para el propósito de su recogida.
  4. Los ciudadanos de la UE tienen derecho a acceder a sus propios datos. Pueden pedirte una copia, su modificación, borrado, restricción o reenvío a otra entidad sin excusas.
  5. Todos los datos personales deben guardarse con la máxima privacidad y seguridad, poner medidas para garantizarlo, y si el tamaño de tu organización o de los datos que manejas lo requiere, designar una persona para garantizarlo, el famoso oficial de protección de datos (OPD)

Privacidad por defecto

Uno de los principios fundamentales del RGPD es la protección por defecto de los datos personales de los usuarios, y sus derechos completos sobre esos datos.

De hecho, todo formulario, software, etc., debe estar pensado y diseñado para garantizar la privacidad, portabilidad y acceso de los datos que recoja de los usuarios, y no recopilar ningún dato sin consentimiento expreso, y no implícito como hasta ahora.

Si alguien o algo recoge tus datos debes saberlo y haber dado previamente tu consentimiento.

El troyano: Los derechos del ciudadano de la Unión Europea

Llegará a todas partes, porque ya se está implantando en todas partes, pero de momento solo se aplica a los derechos que tiene el ciudadano de la Unión Europa, y el deber que sus instituciones tienen de protegerlo.

Pero como en todo el mundo reciben visitas y compras de ciudadanos de la Unión Europea, en todos los países se están poniendo las pilas para adaptarse a esta legislación de la Unión Europea.

Desde Facebook a Amazon, desde WordPress.org a Automattic, toda empresa o institución que quiera evitarse perder clientes y visitantes europeos se está adaptando como si no hubiese un mañana.

Y eso es bueno, significará más derechos para todos, y quizás también una regulación en tu país que proteja también tus derechos.

Es más, como no se están implantando medidas para la identificación o geolocalización de los usuarios, a la hora de proteger los derechos recogidos en el RGPD, resulta que todos los ciudadanos del planeta vamos a estar más protegidos gracias a la implantación masiva del RGPD.

Derecho a la información = Transparencia

Como ciudadano tienes que saber en todo momento qué datos se quieren recopilar, con qué objeto, durante cuánto tiempo, quién podrá acceder a ellos, dónde estarán almacenados, qué medidas de seguridad y privacidad se aplicarán a tus datos y cómo manipularlos, actualizarlos, borrarlos, etc.

Y todo de un modo transparente y en dos capas:

  1. Primera capa: De modo resumido se debe informar de lo siguiente:
    • Responsable del tratamiento de los datos.
    • Finalidad de los datos
    • Legitimación (la base jurídica)
    • Destinatarios de los datos
    • Derechos del usuario sobre sus datos
    • Procedencia (en el caso de que no procedan del usuario sino de fuentes adicionales)
  2. Segunda capa: Debes explicar de modo claro, sencillo de entender para cualquier persona, cada uno de  los puntos de la primera capa, de manera detallada y ampliada. Por ejemplo, en la primera capa solo tienes que indicar quién es el responsable de los datos, mientras que en segunda capa debes apuntar también cómo contactar con él. Y así con todo, con explicaciones y procedimientos detallados de cada punto.

Consentimiento: expreso

Se acabaron las casillas marcadas por defecto y recogida de datos sin informar al usuario. El ciudadano de la UE tiene que dar su consentimiento expreso del almacenamiento y tratamiento de sus datos, respetando las capas de información que he apuntado arriba, antes de aceptar.

Igualmente, no se pueden ceder datos a terceros sin informar ni tener un consentimiento expreso, y así se evitarán escándalos como el del caso de Facebook y otros.

Derecho a la modificación y rectificación

Como tienes el deber como ciudadano de ofrecer datos precisos y actualizados, igualmente debes poder modificar tus datos almacenados en cualquier momento, y para ello, el responsable de la web debe facilitarte esa posibilidad.

Igualmente, puedes en cualquier momento revocar tu consentimiento al tratamiento de tus datos personales.

Derecho al olvido

Este es un concepto crucial, pues como ciudadanos tenemos derecho a que nuestro consentimiento a ceder datos personales sea algo temporal, una cesión, no un regalo de por vida.

Así, el RGPD nos ofrece que siempre debamos tener acceso a nuestros datos, incluso para pedir que se borren, a cualquier empresa, ciudadano o institución, y esto no es bueno, es buenísimo.

El único límite son el resto de regulaciones (leyes) que requieran almacenamiento de datos para otros fines. Por ejemplo, normas fiscales que obliguen a guardar facturas, legislación para la protección frente al fraude, etc.

Derecho a la portabilidad de los datos

También tienes derecho a recibir tus datos para dárselos a otra entidad si así lo requieres. Como tienes derecho a tus datos ya no tendrás que rellenar formularios innecesarios al cambiar de banco, operador de telefonía o incluso administraciones públicas, por ejemplo, podrás reclamar que se les remitan tus datos.

Igualmente, tienes derecho a tener tú mismo una copia de tus datos.

Derecho a la seguridad de los datos

Y, además, el usuario de la UE tiene derecho al tratamiento seguro de sus datos, para garantizar su privacidad y seguridad. Igualmente, tiene derecho a que se le informe en un plazo máximo de 72 horas de cualquier brecha de seguridad y las medidas tomadas o a llevar a cabo.

Resume, por favor. ¿Cómo cumplo con el RGPD en mi web con WordPress?

Para garantizar todos estos derechos que regula el RGPD te recomiendo esta sencilla ruta que, en breve, es así:

  1. Actualiza tu política de privacidad y de cookies y avisa
  2. Pide consentimiento expreso de todo
  3. Añade un certificado SSL
  4. Instala un plugin de seguridad que te avise de brechas de seguridad
  5. Instala un plugin de registro de actividad
  6.  Instala un plugin que facilite la vida del OPD
  7. No te olvides de las cookies

Y más en detalle…

Actualiza tu política de privacidad y de cookies

Si tu actual página de política de privacidad y de cookies no cumple con los principios y derechos que garantiza el RGPD debes primero actualizarla, pues ahí enviarás a informarse a tus usuarios.

Simplemente informa, con transparencia, de todo lo que hemos visto antes, en la segunda capa de información.

Si quieres, puedes echar un vistazo a otras políticas de privacidad ya adaptadas al RGPD, por si te dan una idea de la estructura, pero no es esto lo importante, sino que garantices la transparencia y detalle de la información sobre el tratamiento de los datos personales de los usuarios.

Te dejo algunos ejemplos de políticas de privacidad adaptadas al RGPD:

  • Blog de Rubén Alonso: Muy completa, bien clarita, quizás un poco demasiado «cachonda», generada con la ayuda de LEXBlogger.
  • Abanlex: Sencilla, en pestañas, fácil de navegar, quizás demasiado formal y con textos muy «leguleyos».
  • SurveyMonkey: Brutal, cuando tenga tiempo así será la mía.
  • Ayuda WordPress: Completa, detallada, clara, pero mejorable en su diseño.

Pero haz la tuya. Son 5 puntos que tienes que explicar, los de la primera capa de información, en el orden que quieras, pero en detalle, y con lenguaje sencillo.

Si quieres, la versión 4.9.6 de WordPress incorpora una herramienta para crear una página de política de privacidad básica, que incluso analiza tu tema y plugins instalados por si alguno incluye políticas propias de privacidad.

No es completa la página que genera pero te puede servir para empezar, y sobre todo ayuda en la parte de análisis de los plugins instalados, como en el caso de WooCommerce, que incluye alguna información importante a tener en cuenta en tu página de política de privacidad.

Puedes incluso copiar y pegar fácilmente los textos de ejemplo.

Además, avisa sobre este hecho, para obtener la aceptación de la nueva política de privacidad. Para ello puedes usar uno de estos dos plugins:

  • GDPR: Al actualizar tu página de privacidad mostrará una pantalla a todos los visitantes mostrándola y con la consabida aceptación.
  • WP Email Users: Envía un correo a tus usuarios registrados informándoles de la nueva política de privacidad.

Pide consentimiento expreso de todo

Da igual si es para dejar un comentario, rellenar un formulario, hacer una compra, darse de alta como usuario o suscribirse a tu newsletter, pide permiso siempre.

Pregunta, sé respetuoso con los derechos del usuario, respeta sus datos personales, y pídele permiso para guardarlos, informándole claramente de los motivos, objeto, destino, etc, etc, lo que hemos visto antes.

Ahora mismo ningún plugin, permite cumplir con todo. Como mucho añaden una casilla de aceptación con enlace a la política de privacidad, pero no permiten añadir fácilmente la primera capa de información.

Para los formularios de comentarios estándar puedes hacerlo como expliqué hace unos días, y para WooCommerce en APG han publicado unos snippets que sí permiten incluir los textos en WooCommerce. Y para los formularios de contacto te dejo este artículo.

En el caso de las newsletter, debes adecuar sus formularios y popups para incluir la casilla de consentimiento y primera capa de información en ellos, así como el acceso a los derechos de actualización, borrado, rectificación y portabilidad.

Y también, si ya tenías listas en tu newsletter en las que no habías garantizado el cumplimiento de los derechos que ofrece el RGPD, tendrás que volver a pedir el consentimiento.

Añade un certificado SSL

Como debes proteger la información de tus usuarios, hazlo desde el momento en el que te los envían, y para ello nada mejor que un certificado SSL que transmita todos los datos de tu sitio web en HTTPS, cifrados.

Además, ya sabes que instalar un certificado SSL es fácil y gratis.

Instala un plugin de seguridad que te avise de brechas de seguridad

Para cumplir la obligación de proteger los datos personales de tus usuarios debes aplicar seguridad en tu WordPress, así que instala un plugin como WordFence o iThemes Security que tengan la opción de avisarte en caso de ataques y/o brechas de seguridad en tu instalación.

Luego, puedes valerte del plugin GDPR para informar de las brechas de datos y medidas a llevar a cabo.

Instala un plugin de registro de actividad

Con el mismo objetivo, proteger los datos personales de tus usuarios, debes saber si alguien o algo hace algún tratamiento del tipo que sea (actualización, borrado, modificación, etc.) internamente.

Para ello hay plugins como Audit Log o WP Security Audit Log que registran toda actividad en tu WordPress, por si detectas alguna incidencia de la que tengas que informar a tus usuarios.

También hace un gran trabajo la herramienta de telemetría del plugin GDPR, que vigila cualquier transferencia de datos desde tu WordPress por parte del mismo WordPress, plugins y temas.

Instala un plugin que facilite la vida del OPD

El trabajo (en muchos casos tú trabajo) del oficial de protección de datos, o en su defecto el responsable de la web, puede ser arduo.

Además de adecuar las casillas de consentimiento, los textos, y la seguridad de los datos, también tiene que disponer para los usuarios de un modo sencillo, también para él, de garantizar los derechos de rectificación, actualización, borrado y portabilidad de los datos personales.

Si, además, ofrece algún sistema sencillo de informar de brechas de seguridad mucho mejor.

Y para mi el mejor en esto es GDPR, una joya. Te ofrece:

  • Shortcodes para incluir formularios de petición de datos, actualización, borrado, rectificación y portabilidad.
  • Sistema interno de revisión, respuesta y cumplimiento de estas solicitudes, como la de exportación de datos.
  • Herramienta para comunicar brechas de seguridad a los usuarios.
  • Gestión de las cookies, pudiendo determinar el usuario qué cookies acepta y cuáles no.
  • Aviso automático de cambios en la política de privacidad.

Vamos, una maravilla. Es el que yo mismo utilizo y recomiendo actualmente.

También WordPress 4.9.6 incluye herramientas de exportación y borrado pero de momento funcionan mejor las del plugin GDPR, y además tienes los shortcodes para facilitar la vida al usuario. No hay color.

No te olvides de las cookies

Que no se hable específicamente de ellas no significa que no debas cumplir los principios básicos del RGPD en lo que se refiere a las cookies.

Así que utiliza un plugin que realmente pida consentimiento antes de cargar las cookies. No vale solo con informar.

Actualmente yo estoy usando el anteriormente citado plugin GDPR, que incluye un sistema muy completo, claro y respetuoso con los derechos del usuario.

Otro plugin muy interesante, que permite bloquear la mayoría de las cookies de manera sencilla (un clic en el ajuste de bloquear cookies en el body) es Italy Cookie Choices, y el resto añadiendo su código en los ajustes del plugin.

Preguntas frecuentes sobre el RGPD

Vamos a ver lo que más estáis preguntando…

¿También yo tengo que cumplir el RGPD?

Da igual el motivo, esta es una de las preguntas más comunes aquí en el blog. Que si yo vivo en Argentina o los EEUU, que si solo tengo enlaces de afiliado, que si solo vendo infoproductos y no pido dirección de envío, o que solo tengo un puto blog con comentarios, sin siquiera formulario de contacto.

La respuesta es sencilla:

Sí, debes proteger los derechos de los ciudadanos de la Unión Europea, da igual donde vivas.

Si no quieres perder visitantes o clientes más te vale defender sus derechos, porque nos vamos a acostumbrar a justo lo contrario que hacían hasta ahora empresas y particulares, a que se respeten nuestros datos, a que sepamos qué se hace con ellos, con qué finalidad, a que tengamos derechos totales sobre nuestros datos personales.

¿A qué vienen tantas prisas?

En realidad no es así, el RGPD lleva en vigor 2 años pero solo es obligatorio a partir del 25 de mayo de 2018. Pasa lo de siempre, que nadie quiere ser el primero en hacer los cambios que conlleva, y lo vamos dejando, lo vamos dejando,  y aquí estamos.

No cobro nada ¿también tengo que cumplir?

Sí. Da igual si cobras o no por lo que ofrezcas en tu web, si recopilas datos personales de ciudadanos de la UE debes cumplir el RGPD para garantizar sus derechos (y mañana los tuyos)

¿Qué datos se consideran como personales?

Todos, desde el nombre hasta el número de la seguridad social, pasando por el teléfono o el email. Cualquier dato que pueda servir para identificar a una persona.

Uso un sistema que no está adaptado al RGPD ¿qué hago?

Es muy común utilizar servicios o plugins que no cumplen con el RGPD. Por ejemplo, el sistema de reemplazo de comentarios Disqus se arriesga a perder gran parte de su implantación como siga tardando en adecuar su sistema al RGPD.

Si es tu caso, con este u otro servicio, y llegado el día 25 de mayo de 2018 no se ha adaptado, simplemente cambia de servicio hasta que se adecúe al RGPD.

¿Tengo que tener un OPD?

El oficial de protección de datos o OPD (DPO en inglés) solo es necesario si se recogen datos sensibles (información sanitaria, tarjetas de crédito, etc) o si el volumen de datos recogido y tratado es alto. Mi consejo es que lo definas, aunque seas tú mismo, y apliques los principios de garantía de privacidad y seguridad a tus usuarios, ellos te lo agradecerán, y ¿a que a ti te gustaría que se diese ese tratamiento a tus datos siempre? Pues eso.


¿Más dudas?

Si tienes alguna duda ahí tienes los comentarios. Trataré de ayudarte en lo que pueda y sepa.

VALORA Y COMPARTE ESTE ARTÍCULO PARA MEJORAR LA CALIDAD DEL BLOG…
(24 votos, promedio: 4.8)

¿Te gustó este artículo? ¡Ni te imaginas lo que te estás perdiendo en YouTube!

77 comentarios en “Guía rápida para cumplir el RGPD con WordPress”

  1. ¡Muchas gracias Fernando! Toca actualizar las políticas de la web. Me lo guardo como guía para asegurar que cumplo las nuevas políticas ¡Que ya no queda nada para que sea obligatorio!

  2. Todo suena mágico y bonito pero ¿Quien me garantiza a mi que dando la dirección de mi casa vengan algunos delincuentes a querer robarme? ¿Como me protejo yo de eso? Si los usuarios que entran a mi blog ingresan a leer la información y se van. Yo no estoy dispuesto a dejar mi nombre o número de mi casa para que vengan a robarme. ¿Quien me protege a mi de eso? Mi página tiene más den 100,000 visitas por mes. Uno de ellos puede ser un depravado que busque mi mal.

    En parte creo que eso no se contempla en la ley. :/

    1. Pues entonces no la estarás buscando, y eso deberías haberlo pensado antes de declarar tu dirección de tu casa como dirección fiscal.

      Una posibilidad es evitar el rastreo no poniéndola como texto sino como captura de imagen, por ejemplo.

      Y esto no es nuevo, también la LSSI y la LOPD obligaban a ello.

      1. Gracias por la sugerencia. Aunque si yo estoy más abrumado por proteger mis datos y que cualquier delincuente tenga acceso a mi dirección. Eso me preocupa más, al menos los usuarios ellos comentan se suscriben y es todo. Creo que en ese sentido tendré que ir con un notario para proteger mi privacidad. Y por otra parte me parece absurdo que yo tenga que exponerme en mi blog, cuando solo capturo correos con propósitos de comentarios y hacerles llegar los artículos a los mails. Espero y regulen esta ley para proteger a los bloggers caseros.

    2. Hola. En mi caso, pondré una dirección postal que denomino: «Dirección a efecto de notificaciones», que a fin de cuenta es de lo que se trata y la esencia de la ley. Es decir, le ley pretende que haya una dirección postal donde se pueda notificar aquello que el usuario quiera decir o reclamar y no que indiques donde vives.

  3. Muchas gracias por el post Fernando, lo has bordado y me viene genial

    Sólo me queda un par de dudas

    Cómo demuestro que el usuario ha aceptado al mandar un email o sobre todo al suscribirse a la newsletter? No me refiere a implementar el doble opt-in etc, si no a una vez hecho todo, como demostrar que se hizo bien.

    Por último, el tema cookies, actualmente no veo que esta web bloquee las cookies hasta que yo acepte nada. Es eso correcto y vale con avisar tal cual lo tienes o habría que modificarlo?

    Muchas gracias por toda la labor que haceis

    saludos!

    1. A tu primera pregunta, si hay un campo que es la casilla de aceptación, tanto en los formularios como en la newsletter se guarda, con su marca de tiempo, y ahí está por si alguien te pide confirmación. Por ejemplo, yo mismo ayer mandé una actualización de mi newsletter para confirmar esto a usuarios de los que no tenía la marca de tiempo de su aceptación, ahora si la tengo y la puedo demostrar que tú aceptaste tal día a tal hora y tal.

      Lo de las cookies es lo de siempre, algunas no se dejan bloquear tan bien como otras. El plugin GDPR tiene una función que si envuelves el script de la cookie en él la bloquea, pero algunas cookies no van así, por ejemplo las propias de WordPress. En este caso el usuario puede decidir no seguir navegando y las cookies se borrarán, o él mismo podrá borrarlas (por eso se explica cómo hacerlo en la política de cookies). Vamos, la mierda de siempre.

      En mi caso aviso que algunas son obligatorias, porque no puedo bloquearlas, simplemente. ¿Esto cumple la LOPD? No, ni antes ni ahora, pero nadie lo cumple, y algunos menos aún, no bloquean nada. Lo compruebas rápido aceptando. Si no se recarga la página cargando más cookies es que ya te las cargó todas. Otros hasta lo tienen que desaparece solo.

  4. Buenos días Fernando, como siempre perfecta tu explicación sobre la normativa, aplicación, casuística, etc., los explicas mejor que un jurista de forma práctica y para que lo entendamos todos, enhorabuena! Soy un alumno de uno de tus fantásticos cursos online y ayer he recibido el correo para solicitar de nuevo el consentimiento para la suscripción a tus newsletter (el primero que recibo adaptándose a la nueva ley, por cierto), ¿podría tomarlo como referencia (cambiando texto, etc.) , el que nos has enviado a todos, para una pequeña lista que tengo de suscriptores?.

    Saludos y a seguir así!

    1. Hola Víctor,

      Sí claro, pero si usas MailerLite (el servicio de newsletter que recomiendo) ya tienes una plantilla preparada con los textos y todo en la selección de plantillas.

  5. Fernando Rutia

    Hola Fernando, muchas gracias por tu aportación con este post, la verdad es que me lleva loco el tema en concreto. Y tengo dudas que quizás me puedas ayudar a despejar ¿Dónde encuentro las Cookies utilizadas por el sitio? por ejemplo tu tienes AUTH_KEY,SECURE_AUTH_KEY,LOGGED_IN_KEY,NONCE_KEY,comment_author, comment_author_email, comment_author_url,rated,gdpr,et_editor,gawdp en las cookies de sesión, etc.
    Yo además que tengo varias redes sociales ¿Cómo se la que utiliza Facebook o las demás?
    Perdona las preguntas, quizás sean estúpidas, pero me siento perdido totalmente.
    Gracias de nuevo por tu aportación y ayuda.
    Saludos.
    Fernando

    1. No te preocupes, para eso estamos 🙂

      Yo uso el mismo inspector del navegador Chrome. Haz clic derecho en cualquier parte de tu pantalla y luego en Inspeccionar. En el Inspector ve a la cabecera llamada Application, y en la barra lateral ve a la sección de cookies. Ahí las tienes todas

      1. Fernando Rutia

        Muchas gracias por la respuesta y la rapidez.
        Ya entré, por ejemplo en Facebook, pero sale una lista de 10, entre ellas c_user, es esta la que debería de poner?
        Uff, menudo lío. Habría que hacer un curso solo para este tema!
        Gracias otra vez!
        Fernando

  6. Pero que te ha quedado muy bonito tu aviso junto con las preferencias de privacidad, lo has hecho todo a mano o te ayudaste de algún plugin?

    Me encantó la forma en lo presentas en tu web nos darás el tip?
    Saludos Fernando

  7. Por cierto olvide agradecerte por haberte tomado el tiempo de avisarnos, siento que te hable un poco exaltado en mi primer comentario, pero en realidad tú solo informas y lo haces súper bien, no tienes nada que ver con esto. Te pido una disculpa, solo me siento un poco preocupado, porque exponer mis datos al publico es exponer a mi familia. Muy buen tema. 🙂

  8. Alberto Pascual

    Hola, muchas gracias por tus aportaciones tanto en este post como en toda la serie dedicada a la RGPD. Soy muy nuevo en todo esto y no sé si las preguntas serán las apropiadas, pero no me importa pecar de ignorante si me ayuda a dejar de serlo. Como puedo saber qué cookies instala wordpress y los plugins que utilizo, porque sé como ver las cookies en el navegador, pero ni idea de que plugin las coloca o que hacen algunas.¿ Hay algún lugar donde consultar las cookies que instalan tanto wordpress como los plugins? ¿Cómo debemos considerarlas propias o de terceros? He encontrado una página llamada Cookiepedia donde metes la cookie y te da datos, pero de algunas no dice nada o te dice que el objetivo principal es por ejemplo rendimiento y caducan en un día, tendría que añadir una de este tipo a la lista de cookies de la política de cookies? Vaya lío

    1. Pues no, salvo que preguntemos al desarrollador de cada plugin no hay manera de saberlo, salvo nombres descriptivos del tipo wf (de WordFence), o cosas así.

      Los desarrolladores de plugins deberían indicar en la documentación qué cookies usan, y desde ahora será buena costumbre preguntarles.

      Sobre qué cookies son necesarias o no, propias o de terceros. Yo las clasificaría en realidad en técnicas o no. Las técnicas son aquellas que hacen que tu web funcione como funciona (comentarios, login, puntuaciones, encuestas, etc) y esas deberías cargarlas sí o sí para navegar. Y las no técnicas son aquellas referidas a campañas de marketing, estadísticas, etc. En la nueva regulación llamada ePrivacy (la próxima putada) es como las distinguen

      1. Alberto Pascual

        Muchas gracias por responder tan rápido, pues la verdad me parece complicado poder informar adecuadamente sobre las cookies que se utilizan. Me gustaría plantear otras tres preguntas si no es abusar de tu paciencia:
        1 ¿las cookies de wordpress las incluyo como propias?

        2 ¿si añado una lista con todas las cookies que carga las diferentes páginas de la web, aunque no dé una explicación de su función más que de las que sé para qué son valdría?

        3 Esta no tiene que ver con las cookies sino con la LGPD. ¿ Si solo tengo un formulario de contacto de contact form 7, para que el usuario pida información o concierte una visita y no se almacenan los datos que llegan a un correo normal de Gmail, si se borran después de contestar a la información o confirmar la visita con informar de esto vale o tengo que hacer algo más? Por supuesto que la casilla de aceptación la he colocado como bien explicas en el post para cumplir la ley en formularios.

        Gracias de nuevo por todo y un saludo cordial.

        1. A ver si te sé responder:

          1. Sí, claro, son técnicas, para que la web rule normal.
          2. La LSSI dice que al menos deberías enlazar a la política de cookies del emisor de cada cookie. El ePrivacy aún no está claro.
          3. Yo le explicaría eso, que no se almacenan salvo en el cliente de correo, que es GMail, con la política de privacidad de Google (mira mi política de privacidad, ahí tengo algo parecido, lo explico y he puesto el enlace también)

  9. En primer lugar mil gracias por aportar toda esta información Fernando. Somos muchos los que estamos perdidos y gracias a gente como tú salimos adelante.

    En segundo lugar quería hacerte una pregunta. Sí en un blog que gestiono, que ya está actualizado con todo adaptando al nuevo reglamento, no recojo dato alguno salvo los recogidos por cookies de terceros (Google Adsense y Analytics) ya que he eliminado tanto Disqus (a la espera de que se adapte) como todos los formularios de contacto y suscripción a la newsletter, ¿es necesario instar plugins que registren la actividad como AdiT Log o plugins para avisar de posibles brechas de seguridad como WordFence o GDPR para informar de brechas si no recojo dato alguno? Porque me da la impresión de que instalando eso pasaría de no recoger nada (lo único sería Analytics y Adsense que el usuario debería de contactar con Google para borrar su información) a recoger datos y estaría instalando unos plugins que registran datos para poder luego ofrecer al usuario en caso de que lo requiera su eliminación, limitación portabilidad etc. Lo único que ahora tengo es un plugin de WordPress que permite al usuario ver sus datos, eliminarlos y descargarlos en un Json.

    El único dato que se podría recoger es el del email que mandaría la persona para contactar y que como bien dice en mi política de privacidad se borrará del servidor de forma automática pasados los 14 dias de su recepción.

    ¿Tendría que instalar esos plugins para registro y administración de datos?

    Un saludo y muchas gracias por todo.

    1. Hombre, un plugin de seguridad siempre es recomendable, hasta ahí claro, y si te avisa de cambios (brechas posibles) mejor. Luego informas como quieras, si tienes usuarios claro, sino pues nada.

      Pero un plugin de registro de auditoría si eres usuario único no haría falta

      1. Usuarios sí que hay, los 8 redactores que escribimos en la web. ¿Debería entonces contar con el plugin de registro de auditoría para poder administrar sus datos entiendo no?

        Un saludo y muchas gracias de nuevo.

  10. Leandro Ojeda

    Muy bueno el post, me suscribo y me dispongo a seguir esta guía. Aunque me gustaría si pudieras informarnos en algo que no he encontrado en ningún lugar y que tampoco me han respondido en otros blogs.
    Entendido que si estamos en Argentina debemos cumplir la RGPD igualmente. Sería posible tener algún modelo de política de privacidad si estamos en Argentina, no creo que debamos poner los tribunales españoles, creo, ¿o sí? En mi caso particular, tengo mi web y servicios y alta fiscal en Argentina, aunque también soy español y mis alojamientos web y de email están en servidores españoles. Bueno, sería eso, algún modelito para los que no estamos fiscalmente en Europa pero igualmente debemos cumplir las leyes europeas, si fuera de Argentina, muchísimo mejor, o alguna pista de por donde buscar.
    Mil gracias y otras mil para dentro de un rato…

  11. Lorena Cantos

    Como siempre Fernando, muchas gracias por compartir guías tan maravillosas como esta 😀

    Necesito hacerte una pregunta sobre el plugin GDPR porque no sé si estoy haciendo algo mal. En teoría, cuando voy a la pestaña «Cookies» debería aparecer en la parte superior varias casillas donde configurar el texto que aparecerá, ¿cierto? ¿Debo configurar algo previamente? ¿Es dependiente de algún otro plugin?

    ¡Muchas gracias de nuevo!

  12. Estaba viendo tus políticas de privacidad y cada que regreso veo que le agregas más y más y cosas. ¿Te obsesionaste con ley Fer?

  13. Otra cosa más que me gustaría decirte es que el plugin que usas aquí en tu blog, algunas veces muestra que el Token no está habilitado cuando le das aceptar a la política. Otras cosas es que no desaparece por completo y te dice que antes debes de aceptar “la política de privacidad a lo menos” está pasando aquí en tu blog. Creo que el plugin aún está algo verde para implementarlo a páginas grandes.

  14. No se si sabias pero compartir los datos como seguro social en USA, esta completamente prohibido por la ley. Son datos sensibles y estos seguros son con los que se hacen los impuestos. Creo que estos datos personales no son aplicables para USA o Norte America según esta ley. Igual voy a implementar lo que yo considero que debo hacer. Y datos personales no será posible. 🙂 Gracias Fer, quedó todo muy claro en tu política jaja algo larga.

  15. Hola! La guia es fantástica y la web tambien!
    Solo una pregunta. ¿es oblicatorio indicar el proveedor del hosting en el texto legal? Por ejemplo, si mi web está en un VPS de Arsys, y yo uso un plugin de WP como Mailpoet en mi propio servidor para almacenar los datos y enviar newsletters. ¿no basta con indicar que los datos se guardan en un servidor de mi propiedad y dentro la unión Europea? Muchas gracias!! gran trabajo!!

  16. Gracias por todos los artículos sobre GDPR que nos ayudan a adecuar nuestras webs a la ley.
    En teoría las cookies de herramientas de analítica deberían estar bloqueadas hasta que el usuario da su consentimiento. Un tema interesante para un post sería ver como afecta la implantación del GDPR y el uso de estos plugins a los datos de Google Analytics y otras herramientas de seguimiento y analítica.
    ¡Saludos!

  17. Buenas Fernando,

    Al final el viernes pasado no pude asistir al evento que organizábais, una pena, porque seguro que se habló de un punto que me tiene con dudas.

    Actualmente, uso en mi blog el plugin de Jetpack, específicamente «Suscripción al blog» y claro como no es una cosa que controle yo misma, si no que es parte de un plugin… no sé bien si éste cumple con las necesidades de la RGPD, pensando en el usuario, a la hora de darse de alta si que tiene que aceptar el usuario un email que le llega a su bandeja de entrada, pero por ejemplo, para modificar la baja… no es nada intuitivo. No sé si sabes si esto va a cambiar (por parte del plugin), o si me puedes recomendar alguno similar que cumpla de manera clara y sencilla estos puntos.

    Por adelantado, muchísimas gracias.

    1. No cumple, punto. De hecho no cumplía con la LOPD, y no cumple con el RGPD. Desactívalo mientras no puedas editar el campo para incluir la información de 1ª capa con todo lo que pide la ley

      1. Muchas gracias Fernando. Pero si yo informo en cookies de terceros de Jetpack, ¿mi web cumpliría no?

        Aprovechando este mismo comentario mío, hace unos días te contacté por privado en Twitter para hacerte una consulta del plugin que usas en la web, como faldón informativo de la RGPD, y tal como quedamos, te pregunto por aquí para que la duda le pueda servir de ayuda a más gente.

        Me gustaría saber varios puntos de este plugin, llamado RGPD:
        – Tanto si la gente le da a la cruceta de cerrar, como si le da a «Estoy de acuerdo» interpreto que por ejemplo la medición de Google Analytics se sigue haciendo, ¿no?
        – Pero, si el usuario no pulsa en cookies de terceros, y no activa a y le da al botoón de «Estoy de acuerdo», ¿el plugin asegura al usuario que no le van a perseguir esas cookies de terceros?
        – Y otra pregunta más, realmente la que más me inquieta, si el usuario se mete en «preferencias de privacidad» y activa algunas y otras las desactiva, ¿el plugin desactiva lo que el usuario desactiva en su navegador? Es decir, por ejemplo en mi sitio web tengo puestas como cookies de terceros, servicios como jetpack, google analytics y hotjar, salen por defecto «Inactivas» si el usuario no lo activa, ¿mi web seguiría midiendo en google analytics aunque esté desactivado? en teoría no debería de hacerlo ¿no?

        Lo pregunto para entender el uso del plugin de RGPD, porque si solo sirve para anunciar cómo usamos las cookies y demás en nuestro sitio web, haría falta encontrar un plugin que si el usuario no lo activa, realmente no le siga o no le mida, ¿no?

        Muchas gracias por todo Fernando.
        Saludos.

        1. Para desactivar cookies de scripts las instrucciones del plugin te explican que debes envolver esos scripts en una función del plugin, sino es meramente informativo, no bloquea nada solo por poner el ID de la cookie.

  18. Hola Fernando. Lo primero muchas gracias por esta guía tan completa. Tengo una duda importante, en la pagina web que administro (que es de mi mujer), ya estaban aplicados casi todos los apartados de la nueva ley (datos de persona responsable, aceptación especifica de las condiciones, politica de privacidad y derechos ARCO, datos identificativos del titular del fichero en la Agencia de protección de Datos, NIF, direccion… etc. Así que no he tenido que hacer muchas modificaciones, mas bien poner un breve texto en cada formulario y un enlace a la politica de privacidad y de cookies mas estenso (segunda capa), pero me queda una duda… ¿Hay que volver a pedir el consentimiento explicito a todos los usuarios de nuevo?¿Bastaría con informar de los cambios en la politica de privacidad puesto que la aceptación explicita ya existe?. Muchas gracias.

    1. Sí, habría que informarles, en el modo que tú creas más conveniente. Si son usuarios de la web el plugin GDPR hace una buena labor informando del cambio en la política de privacidad.

  19. Hola, felicitaciones por el artículo, estoy actualizando mis sitios al nuevo reglamento de la unión europea pero tengo algunas dudas, soy de Argentina, ¿Necesito poner la información personal (titular de la web) en cada uno de mis sitios? Saludos!

  20. ¿Y qué pasa con el AMP? Acabo de entrar a esta página mediante el enlace AMP (añadiendo /amp al final del URL) y parte de los plugins no funcionan, ni los avisos.

  21. Otro par de preguntas:
    1.- Tengo varias webs, ¿es posible tener una página «central» que haga referencia a las políticas de todas las webs? Vamos, una sola política para la empresa que sirva para todas las webs.
    2.- Tengo webs en castellano y en inglés. ¿Es posible hacer la página legal sólo en castellano en webs que estén totalmente en inglés? ¿Hay que hacerla en los dos idiomas?
    Gracias por el trabajazo que has hecho

    1. Vamos a ver si te sé contestar:

      1. Sí, mientras en cada una enlaces a la política que afecta a todas. Ejemplo: las mías. Indica a qué webs hace referencia

      2. No. El foco está en el usuario, y en que le sea fácil de saber cómo gestionamos su privacidad. Si piensas en el usuario te respondes tú mismo a casi todas las preguntas 😉

  22. Hola, buenas tardes. Gracias por tanta información. La verdad es que para los que tan sólo tenemos un blog al que subimos entradas de vez en cuando, y no tenemos ni idea de informática, esto nos viene grandes. Yo ya he cambiado mi política de protección, añadiendo algo más de información que la que ya tenía. He añadido menú en el footer con ambas políticas y el aviso legal. He añadido casilla de verificación en el formulario de contacto y he instalado un plugin que demuestra que aceptan la política. Por otro lado he contactado con mi proveedor de mail para la newsletter y me dicen que lo estan modificando para adaptarse (imagino que será para poder aceptar el consentimiento). Mi gran duda y la que me está volviendo loca es… ¿cómo hacemos para poner una casilla de verificación de aceptación en comentarios y que encima se haga un registro con esa aceptación? Gracias de antemano. Saludos.

  23. Buenas tardes. Un tema muy interesante que me estoy mirando poco a poco, pues es algo complicado para los no entendidos en la materia. Tenemos un blog de cocina en WordPress.com., simplemente como afición. En nuestro caso, la versión de WordPress es la gratuíta. En dicho blog, solamente se sube alguna receta de cocina, pudiéndose comentar éstas. WordPress gratuíto no permite introducir Plugins. ¿Hay alguna forma de poder dejar el blog correcto de cara a la Ley? Muchas gracias.

  24. Muchas gracias Fernando por toda la información que vienes brindando al respecto, quería comentarte que soy de Perú, mi página es de descarga de recursos educativos (separatas, libros gratuitos, etc.), no vendo ni distribuyo nada y mi mayor público es latinoamericano, con alguno que otro visitante de la UE, quisiera saber, si todos estos cambios también es obligatorio implementar en mi página, ya que para mantener un control de los accesos y descargas el registro es obligatorio. Hasta el momento ya he implementado el plugin de Italy Cookie Choices (sin modificar las opciones para google adsense), instalé el plugin de Google Analitycs que te implementa automáticamente los cambios para analitycs (además de modificar la configuración de mi cuenta en Analitycs), instalé mi certificado SSL y actualicé mi página de política de privacidad tomando tu página como modelo.
    Quisiera saber si es obligatorio que implemente todos los cambios, incluido lo de la publicidad personalizada de Google Adsense, y otros cambios que veo que aun me faltan realizar. Muchas gracias.

    1. Hola @fliberty:disqus

      Es encomiable el compromiso que ya has adqurido, pero ya que estás si que añadiría la primera capa de información y adaptaría la política de privacidad para que todo ciudadano, europeo o no, sepa cómo tratas los datos, para qué los pides, etc. Eso nunca está de más, es una buena cultura de la privacidad que incorpora esta ley

  25. Hola, Fernando. En el texto, haces alusión a algunos ejemplos de políticas de privacidad adaptadas al RGPD y en concreto me refiero al de ABANLEX, donde he podido leer que en el apartado de «cookies» dicen:
    «Tampoco tenemos obligación de informar en este aviso legal sobre las cookies técnicas que instalamos», lo cual me ha sorprendido un poco.
    Según esto, creo entender que según ABANLEX, bastaría con informar que usamos cookies técnicas, pero no cuales. ¿Es correcto? Gracias por tu respuesta.

    1. Es un texto de compromiso entiendo, porque las cookies técnicas (te habrás fijado) cambian de nombre a menudo. Yo prefiero informar, me cuesta lo mismo que no hacerlo.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Ir arriba Ir al contenido