La nueva ley de protección de datos y privacidad, conocida como RGPD o GDPR, que entra definitivamente en vigor el 25 de mayo de 2018 incluye, entre otras cosas, la obligación de cumplir una serie de requisitos en los formularios de nuestra web.
No solo debes cumplir la política de protección de datos personales de la RGPD en los formularios de comentarios como ya vimos, también es obligatorio en los formularios de contacto que tengas en tu web.
Índice de contenidos
¿Qué debe tener un formulario de contacto para cumplir con la RGPD?
Para proteger los derechos de privacidad, olvido y protección de datos de nuestros visitantes los formularios de contacto deben incluir lo siguiente:
- Casilla de aceptación explícita (no seleccionada por defecto) de que el usuario acepta la política de privacidad del sitio.
- Un enlace a la política de privacidad del sitio.
- Un texto que detalle qué datos se almacenan, el responsable y su destino.
- Un modo de que el usuario ejerza su derecho al olvido en tu sitio.
- Asegurar que los datos viajen y se almacenen de manera encriptada (con la iglesia hemos topado).
Esto es así para cualquier tipo de formulario que tengas en tu web, no solo para los de contacto.
Cómo cumplir la RGPD en los formularios de contacto
Dicho lo anterior, en cada formulario de contacto de tu web debes, al menos, cumplir con estos requisitos:
- Casilla obligatoria (no marcada por defecto) de aceptación de la política de privacidad.
- Texto con enlace a la política de privacidad y explicación al usuario el uso, responsable y destino de su información, así como el modo de borrar sus datos.
- Que los datos estén encriptados.
Cumplir la RGPD en formularios de Contact Form 7
Como ejemplo de cómo cumplir los requisitos de la RGPD en formularios vamos a ver como se haría con el plugin Contact Form 7, de lejos el más utilizado.
Crea un nuevo formulario
Crea un nuevo formulario en Contacto > Añadir nuevo.
Se creará un formulario con los campos por defecto (recuerda tener previamente el plugin Contact Form 7 Accessible Defaults para tener en cuenta a todos).
Solo tienes que añadirle 2 campos nuevos:
Aceptación
Coloca el cursor antes del campo submit (botón de enviar) y pulsa en el botón para añadir un campo de aceptación.
Al abrirse la ventana emergente debes ponerle un identificador (nombre) que lo distinga y, a continuación rellenar el campo llamado «Condición«.
Ahí es donde pondrás tu texto que irá junto a la casilla de verificación, que acepta HTML, con lo que ya puedes aprovechar y poner el enlace a tu política de privacidad.
Es importante que no marques las siguientes casillas:
- Hacer que esta casilla esté seleccionada por defecto: Es justo lo contrario de lo que exige la RGPD
- Hacer que funcione a la inversa: Si marcas esto solo se acepta si se deja en blanco. Comportamiento extraño, y contrario a la RGPD también.
Una vez completes lo indicado inserta el campo y quedará así en tu formulario:
Textos informativos
Ya solo te queda añadir los textos informativos. En este caso no usaremos ningún botón de formulario sino puro HTML. Por ejemplo:
<label> <ol><li>Responsable de los datos: Mi nombre</li> <li>Finalidad de los datos: Envío de boletines de noticias y ofertas.</li> <li>Almacenamiento de los datos: Base de datos alojada en SiteGround Spain S.L. (UE)</li> <li>Derechos: En cualquier momento puedes <a href="https://ayudawp.com/muy-legal/">limitar, recuperar y borrar tu información</a>.</li></ol></label>
Que, visto en el formulario quedaría así:
Y ya está, solo te queda guardar, insertar el shortcode del formulario en una página y ver cómo queda.
Si quieres darle algún estilo simplemente aplícaselos en el mismo formulario, pero ya cumples con la base de los requisitos de la RGPD en tu formulario.
Almacenamiento de los formularios
Por defecto, Contact Form 7 no almacena los formularios en la base de datos, solo los envía por correo. Si es este el caso deberás explicarlo en tu política de privacidad, indicando el proveedor de servicio de correo electrónico y su respectiva política de privacidad y almacenamiento.
En este caso has terminado.
Pero también puedes instalar la extensión Flamingo, del mismo desarrollador del plugin, para guardar los formularios enviados en la base de datos y revisarlos cuando lo necesites.
En este caso puedes optar por 2 estrategias diferentes.
- Puedes simplemente informar de que se almacenarán en tu base de datos, indicando el proveedor como hemos visto en el ejemplo anterior.
- Dar la opción de no almacenar los datos del formulario.
Si optas por la segunda posibilidad puedes añadir a tu formulario una nueva casilla de selección y una función para ofrecer al usuario no almacenar sus datos en la base de datos de Flamingo.
Lo primero es añadir a tu formulario una casilla de verificación, que llamaremos opt-in, por ejemplo. La casilla no tiene que ser obligatoria.
Un buen sitio para ubicarla sería bajo tu casilla de aceptación.
Con lo que ya aparecerá en tu formulario, así:
Y, vale, podrías dejarlo así y, cuando veas un formulario con esa casilla, manualmente borrarlo.
Pero estarás conmigo en que es más óptimo crear una función que, si está marcada esa casilla de selección, automáticamente no almacene el formulario ¿no?.
Esto puedes lograrlo con la casilla de selección antes creada y el gancho de CF7 before_send_mail y el ajuste de Flamingo do_no_store .
Aquí tienes el código que tendrás que añadir al archivo functions.php de tu tema WordPress. En el código, recuerda que el nombre de la casilla es «opt-in«, por si la tuya le pusiste otro nombre, y lo que hace es que, si está marcada, lanza el ajuste do_not_store=false, en caso contrario lanza do_not_store=true y así omite a Flamingo.
/**
* Casilla de selección opt-in en CF7 para no almacenar datos en Flamingo
*/
add_action( 'wpcf7_before_send_mail', 'gdpr_wpcf7_submit', 10, 2 );
function gdpr_wpcf7_submit( $form ) {
$wpcf7 = WPCF7_ContactForm::get_current();
$submission = WPCF7_Submission::get_instance();
if ( $submission ) {
$posted_data = $submission->get_posted_data();
// Casilla de CF7 llamada opt-in
$optIn = $posted_data['opt-in'][0];
if ( $optIn ) {
$formTitle = sanitize_text_field( $wpcf7->title() );
$wpcf7->set_properties( array (
'additional_settings' => 'do_not_store: false\nflamingo_subject: "'.$formTitle.'"'
));
} else {
$wpcf7->set_properties(array(
'additional_settings' => 'do_not_store: true',
));
}
}
return $form;
}Guarda los cambios y la magia se pondrá en marcha.
Cumplir la RGPD con otros formularios
Visto cómo cumplir la RGPD con Contact Form 7, vamos a echar un vistazo a cómo hacerlo con otros plugins y sistemas de formularios que podemos usar en nuestra web WordPress.
- Formularios de Jetpack: Actualmente es literalmente imposible cumplir la RGPD pues ninguno de sus campos acepta HTML como para poner enlace a la política de privacidad.
- Ninja Forms: Han elaborado una sencilla – pero incompleta – guía para cumplir la GDPR con sus formularios.
- WP Forms: También tienen una página de documentación sobre cómo aplicar los requisitos de la GDPR en sus formularios.
- Gravity Forms: Ofrecen una página de información sobre cómo hacerlo con sus formularios, que indica que los datos se almacenan sí o sí y que hay una función para, al menos, no almacenar la IP. Además, Samuel Aguilera ha publicado una guía en su blog.
- Google Forms: Si utilizas formularios de Google para tu página de contacto debes saber que actualmente también es imposible cumplir la RGPD, pues tampoco admite HTML en ningún campo, así que no puedes enlazar a tus políticas de privacidad.
Como ves, el panorama aún es poco halagüeño, en realidad es bastante triste. Esperemos que poco a poco se vayan poniendo las pilas y pronto tengamos esta tarea más fácil.
Plugins genéricos para cumplir la RGPD en formularios
Casi cada día sale algún nuevo plugin para ayudarnos a cumplir la RGPD, y la mayoría lo primero que añaden es la posibilidad de incorporar la consabida casilla de aceptación en los formularios de contacto.
Sin embargo, tras probar todos, sus posibilidades son bastante escasas, y NINGUNO te permite cumplir con todos los requisitos vistos arriba.
A modo informativo te los apunto, por si más adelante mejoran:
- GDPR – Actualmente es solo una promesa, no tiene nada.
- GDPR Compliance – Detecta y permite insertar casillas de aceptación en comentarios, formularios y páginas de WooCommerce, pero incompletos, no cumple.
- GDPR Conformity – No tiene nada, en fase alpha de desarrollo.
El panorama, de nuevo, es desolador. Así que más vale que te plantees seguir este tutorial y hacer tus formularios con Contact Form 7.
Encriptación de los datos
Una de las cosas menos claras de la RGPD es el asunto de la encriptación de los datos, que no es muy explícita, pero se pide y habrá que cumplirlo, a la interpretación de la inspección si se diese el caso.
Lo primero que puedes y debes asegurar es la encriptación del envío de datos, y esto lo puedes cumplir fácilmente añadiendo un certificado SSL a tu sitio para que sirva las páginas en HTTPS, o sea, encriptados.
Lo complicado es la encriptación de los datos almacenados.
Para ello debes:
- Si el almacenamiento es en tu base de datos, requerir que tu proveedor de hosting garantice algún sistema de encriptación segura de los datos del servidor.
- Si el almacenamiento es en algún servicio externo como Dropbox, Google Forms o similares entonces todo pasa por contratar un servicio como Boxcryptor (gratis para un servicio y realmente barato en general), que encripta los datos almacenados en tus cuentas en la nube como OneDrive, Box, Amazon Cloud Drive, Dropbox, Google Drive, Amazon S3 y muchos más.
Como habrás podido comprobar a lo largo del artículo, cumplir con los requisitos de la RGPD es cualquier cosa menos sencillo, y nos va a hacer sudar tinta china.
Yo trataré de ir ayudándote a cumplir los requisitos uno por uno en una serie de artículos sobre cómo cumplir la RGPD en WordPress, de los que ya puedes ir revisando los publicados.
¿Te gustó este artículo? ¡Ni te imaginas lo que te estás perdiendo en YouTube!
AVISO: Esta publicación es de hace 3 años o más. Si es un código o un plugin podría no funcionar en las últimas versiones de WordPress, y si es una noticia podría estar ya obsoleta. Luego no digas que no te hemos avisado. ¡Ah! ¿te funciona? pues entonces no he dicho nada :)
Esa es la gran verdad. Ahora nos toca añadir unos cuantos párrafos más a ese ladrillo legal que todos tenemos obligación de tener y nadie lee 🙂
En cualquier caso, la protección de datos y el derecho al olvido me parecen bien, siempre. A ver como cumplen los grandes acaparadores de información como Google y Facebook, a ver si ellos también ponen el «botón» para borrar todo lo nuestro.
Ah amigo, es que esa es otra: al final las leyes sólo las cumplimos los peces pequeños…
Enhorabuena Fernando, pedazo de artículo para dejar clarinete este asunto
Gracias Pablo, se intenta 🙂
Me llama la atención que digas que la página de información de Gravity Forms «aclara bien poco». Porque se dan bastantes detalles y se indican las soluciones a las preguntas más frecuentes. ¿Qué crees que le falta para que aclare más las cosas?
Hola Samu 🙂
Pues que se queda en la superficie, y a ver si tú tienes mano para arreglarlo.
En la parte de «cómo adaptar los formularios» solo dice que hay que adaptarlos, sin dar una triste lista de apartados ni un solo ejemplo o captura, y encima recomienda para cumplir los plugins genéricos que ya comento luego (porque los he probado todos) en el artículo que no cumplen ni con lo básico, solo ponen la casilla y un texto, ni siquiera admiten enlace, mucho menos campo de texto adicional del albacea de datos, destino, etc.
A eso me refiero con lo pobre de la página.
Creo que esa sección mejoraría con una lista simple de lo que debes añadir al formulario (como cito en mi post), no estaría de más alguna captura o ejemplo, y por supuesto no recomendar esos plugins, pues no sirven de nada. De hecho están haciendo mucho mal porque la gente va a WordPress.org, busca por GDPR y salen esos fistros que no valen de nada, ninguno, incluso alguno solo es un texto avisando que harán algo (para flipar). Siendo generoso son muy incompletos. Y sí, el GDPR Compliance reconoce si hay un formulario de Gravity Forms pero lo que le añade y nada es todo uno.
Nada que decir sobre las FAQ, que están muy bien, sobre todo en la parte de informar sobre plugins que extienden GF para permitir el borrado y cosas así.
Gracias Samu.
Bueno Fernando, la página en si es una FAQ, su objetivo es aclarar dudas y dar un punto de partida, no es un tutorial pormenorizado de nada pero sí da las indicaciones de cómo acometer los cambios más solicitados. Es lo que venimos usando en soporte cuando algún cliente pregunta algo de lo que allí se responde y hasta la fecha no hemos tenido quejas de ningún cliente, y si alguien necesita más detalles (aparte del resto de documentación existente o los enlaces en la página) para eso estamos en soporte. Por supuesto se puede mejorar, y le voy a dar un repaso teniendo en cuenta tus comentarios (que te agradezco), pero creo que decir aclara bien poco no le hace justicia a la página.
Y cuando dices «los datos se almacenan sí o sí y que hay una función para, al menos, no almacenar la IP.» da la sensación de que GF no diera ninguna opción de no guardar las entradas sólo la IP, cuando en la misma página se explica que puedes borrar las entradas durante el proceso de envío si quieres, y se enlaza a un artículo (detallado para este fin) donde se proporcionan los fragmentos de código funcionales que puedes utilizar o distintos add-ons que también lo pueden hacer.
Vamos, que entiendo tu punto de vista en cuanto a que la página en si no elabora un desarrollo paso a paso de cada punto con capturas y demás como tú has hecho aquí para CF7. Pero de ahí al párrafo que has puesto en el artículo hay mucha distancia. Es mi opinión personal únicamente.
No te ofendas que está escrito como me salió mientras buscaba soluciones, y me desanimó un poco precisamente porque venía de ver la de WP Forms, que al menos daba instrucciones básicas, y me dio bajón que la de GF, a los que tengo cariño, y no solo porque tú estés trabajando ahí, no tuviese algo tan sencillo y de ayuda rápida.
Ahora miro el texto por si me quedó algo faltón, que tampoco era mi intención 😉
No hombre no, que no me ofendo 🙂 es sólo que me chocó mucho lo que decías y quería aclarar el asunto. Ya sé que no había mala intención por tu parte 😉
Aunque reconozco el mérito del artículo y le agradezco el trabajo, la información que proporciona es incompleta.
Si alguien usa sus consejos en su página web estará muy lejos de cumplir con el RGPD, ya que no ofrece todos los datos legalmente exigidos. Lo que significa que el consentimiento obtenido no sería válido (aspecto que es, precisamente, una de las mayores preocupaciones del Reglamento).
Anda claro, pero eso es cuestión de un artículo de otro tipo. Aquí se trata el aspecto técnico de adaptar los formularios, no de qué textos legales disponer. Para ello habrá que consultar con un abogado, pues cada negocio/web es diferente, y en ningún artículo te diré qué poner, pues cambia en cada web.
Aquí se trata, y eso explico, de cómo crear los formularios, y lo que deben tener, y que debe enlazarse a los datos exigidos, que es cuestión de rellenarlos cada uno en su web.
De hecho, la AEPD ha creado una herramienta online (Facilita: http://www.servicios.agpd.es/Facilita/ – dicho sea de paso con el SSL caducado como todo en la Administración) para ayudar a completar los datos de la RGPD a cada web.
Luego creo que sí, que la información técnica que he dado es bastante completa. Otra cosa bien distinta es qué poner en los textos legales a los que hay que enlazar.
Gracias por tu aportación
Encantado. 🙂
Sí, a nivel técnico la información es correcta. Solo quería matizar por si algún despistado entraba aquí, lo leía y se hacía una -peligrosa- idea equivocada. 😀
Sí, y te lo agradezco. Igual me faltó un «disclaimer» del tipo «Consulta a tu abogado especializado de cabecera para saber qué textos crear» o algo parecido 😀
Un abrazo.
¡Gracias por el articulo! Solamente tengo una duda e igual digo una barbaridad pero ¿no se supone que los datos en las bases de datos de wordpress ya están encriptados o cifrados de serie?
Por otro lado me parece exagerado que una web con un simple formulario de contacto (Nombre, email, asunto) y con la posibilidad de comentar artículos (nombre, email, texto) tengan que pasar por este calvario.
Que va, WordPress no encripta los datos por defecto, están en MySQL en tu hosting. Ojalá, nos quitábamos otro marrón.
Si miras la filosofía de la ley, en realidad, cuando admites comentarios o formularios, capturas la IP, email, nombre, etc del usuario. Qué menos que informarle de qué datos guardas de él y qué uso le darás. A mi no me parece mal en esencia.
Gracias por la aclaración. Pues a ver cómo respiran los hostings con esto, menos mal que lo de los certificados SSL ya es costumbre..
El usuario medio usa los datos para facturar, responder a comentarios o a solicitudes de información. Algunos mandan emails periódicos con información/publicidad propias. Lo grave para mi es compartir esa información sin un consentimiento. Aún hay por ahí empresas usando las casillas de «si no quieres que compartamos tus datos marca esta casilla» eso si que es tremendo. O las llamadas automáticas estas de los call centers. En fin a ver si esto ayuda a erradicar toda esta publicidad no deseada.
Perdona que te dé la brasa otra vez, pero esta mañana hable con 3 proveedores de hosting serios y todos parecen estar al día con la encriptación de datos de las webs en sus servidores ¿Puede ser así o estoy confundiendo las cosas?
Todos te dirán que se puede hacer sin problemas, pero que son procesos que ralentizan los servidores.
Me dicen que ya se hace actualmente, que las bases de datos están ya encriptadas.
Una pregunta que quizás me he perdido, veo en la página legal lo de poner la razón social y otros datos personales. Entonces sí eres un blog o en definitiva no eres una empresa que ocurre.
¡Muchas gracias por el post! Me surge la duda, ¿Si tenemos webs enfocadas en el continente Americano y Asiático también nos afecta? Con lo cual afecta al continente Europeo o por otro lado tiene que ver donde tengamos hosteado la pagina, por ejemplo, si tenemos la web en servidores europeos da igual el mercado donde nos enfoquemos.
Disculpa y otra duda, ¿Con los newsletter hay que hacer modificaciones?
Con las newslettter la filosofía es exactamente la misma: información precisa sobre los datos que pides, para qué, dónde, quién, cuáles, etc.
Si tienes algún cliente potencial en la UE debes adaptarte. Si tienes la web en hosting europeo te afecta
Muchas gracias por la aclaración 🙂
Hola Fernando
Gran post como siempre. Me surgen un par de dudas.
1. Uso de Google Gsuite
Yo en mi web utilizo contact form, pero para gestionar los correos en lugar de con mi proveedor de hosting tengo contratado Gsuite de Google. Entiendo que cualquier correo que me envíen por elf ormulario, lógicamente se almacena en mi correo. ¿Tengo que indicarlo? Imagino que tu solo pones tu servidor porque tus correos recibidos se almacenan ahí.
2. Finalidad de los datos
La finalidad creo que puede ser mucho mayor. De hecho en la política de privacidad suelen aparecer todas las posibles causas de recogida de datos en la web. Si tengo que hacer referencia a todas las que te pongo a continuación es una locura. Solo hay que hacer referencia a las propias del formulario? (Por ejemplo, también recoges datos con analytics y lo dices en las políticas pero en un formulario no influye). ¿Es posible enlazar a la política para ampliar información?
El mantenimiento de la relación comercial establecida entre el usuario y la empresa
Facilitar información de los servicios y productos a los usuarios que nos lo soliciten.
Proporcionar actualizaciones sobre productos y servicios.
La gestión, administración, prestación, ampliación y mejora de los servicios en los que el usuario decida suscribirse, darse de alta o utilizar.
Llevar a cabo análisis y estudios de mercado.
Analizar el comportamiento de los usuarios para personalizar las preferencias de los usuarios.
Realizar un estudio cuantitativo y cualitativo de las visitas y de la utilización de los servicios por parte de los usuarios, el diseño de nuevos servicios relacionados con los servicios propios y sus actualizaciones.
Ofrecer asistencia al usuario, gestionar las suscripciones y responder a solicitudes, preguntas y comentarios.
Realizar comunicaciones de actos especiales, programas, encuestas, concursos, sorteos y otras ofertas y promociones, además de administrar la participación en estos.
Permitir publicaciones en nuestros blogs y en otras comunicaciones.
Personalizar, cuantificar y mejorar la publicidad, productos, servicios, y las propiedades de nuestro portal.
¡Muchas gracias!
Hola Carlos,
Si te descuidas haces un post más largo que el mío 😀
1. Deberías indicar que se almacenan donde esté tu correo claro. De hecho la ley también abarca las comunicaciones por correo electrónico. Yo lo pondría, sin duda.
2. Sí, de hecho lo ideal es enlazar a las políticas, donde lo expliques todo parte por parte (formularios, comentarios, newsletter, etc). Porque puede ser amplísimo. De hecho la ley incide mucho en la buena voluntad del responsable de la web en informar adecuadamente al usuario, y si la mejor manera de informar es con una detallada página mejor que mejor. Lo único que me deja la duda es si vale con solo poner un enlace y poco más, del tipo «Acepto tu politica de privacidad (aquí enlace)» o habría que resumir algo o qué. Ciertamente no lo tengo claro. Ayer mismo pregunté a un abogado especializado en el tema y no me supo/quiso dar una respuesta tajante al efecto.
Lo que sí te digo es que, como siempre, no habrá inspecciòn de oficio, y el marcador lo empezará el primero que denuncie a su competencia, y ahí empezará el juego (malo) de la denuncia, contra-denuncia, etc.
Yo te animo a que, pensando en el usuario preocupado por la privacidad de sus datos, informes de la mejor manera posible, de modo que vea que te preocupas y que le informas adecuadamente Y DE FORMA CLARA (muy importante) de qué pasará con sus datos si deja un comentario, envía un formulario, etc. Ahí juega mucho la empatía, el ponernos en el lugar del obsesivo con la privacidad, y sobre todo, el pensar que esta ley es algo bueno para todos, que nos protege (o lo intenta) del abuso que las grandes empresas hacen de nuestros datos privados. La pena es que nos toque la tarea a todos, que somos buenos y bienintencionados, pero es lo que hay.
Bueno, noticias amarillistas las hay a miles, y esa es una de ellas. Yo creo que mientras se informe adecuadamente no deben tener problemas
¿De qué page builder?
Page Builder by SiteOrigin
No se puede de momento. Puedes añadir un campo de casilla de verificación obligatorio al formulario del widget pero ningún campo admite HTML para poner un enlace a la misma así que, como no metas un campo de texto a capón con la política o el enlace de momento no cumple.
Muchas gracias, Fernando. Pues me voy a plantear pasarme a C7F.
Hola. Muchísimas gracias por la entrada. Estoy implementando estas soluciones en varias webs. Sin embargo, tengo una duda. Tras seguir todos los pasos indicados he estado haciendo pruebas. Todos los formularios me llegan al correo. Pero he notado que, los formularios a los que le marco la casilla de «No quiero que almacenes mis datos», quedan archivados en Flamingo. Sin embargo, aquéllos en los que no marco la casilla, no aparecen allí… ¿Podrías indicarme por qué sucede esto? Desde ya, muchas gracias (y también por la excelente web).
Qué raro, es justo lo contrario de lo que debe hacer. Y la documentación es la oficial del plugin. Lo consultaré
Sí, es lo que me ha extrañado. Gracias.
Sí, a mí también me ha ocurrido lo mismo.
A mi me ocurre el mismo problema, ¿alguna solución?. muchas gracias por el post.
No se cual es el problema pero esta es una solución para los que nos funciona a la inversa:
En la línea 19 cambiar la condición añadiendo el símbolo de exclamación:
if (! $optIn )
Espero que os sirva.
Felicidades! Fernando. Un artículo, currado y genial. Sobre todo para los que como yo, no tiene ni idea de insertar un sólo código.
Juan Jose Sánchez
Muchas gracias por este artículo, que junto con otros que habéis publicado sobre adaptación al RGPD me están ayudando mucho.
Seré breve: en mi caso no guardo la información sobre los formularios de contacto en base de datos, simplemente el formulario hace en el envío a mi Email.
La duda que tengo es que según lo que he leído, el RGPD indica que debe quedar constancia de la aceptación de las políticas por parte del usuario (cuando marca el checkbox), pero, ¿cómo se podría hacer al no haber base de datos de por medio?
Un saludo !
Debes informar al usuario en cualquier caso de que solo se reciben en tu correo, y si usas un servicio como GMail indicarlo, y si es el correo de tu hosting indicarlo. Vamos, siempre hay que informarle a donde va a parar, cuanto tiempo los guardas, etc
Perfecto, gracias de nuevo !
Al hilo de nuestra conversación anterior, aquí te dejo el enlace a un artículo que acabo de publicar que cubre el tema de casilla para la política de privacidad, iba a añadir también cómo borrar los datos después de enviar el email, pero ya me quedado el artículo bastante largo así que lo dejaré para otro post…
Hola, excelente artículo… de los mas claros que he conseguido. Tengo 2 dudas:
1. Si yo no vivo en la UE, pero igual mi página es visitada por todos los países; debo apegarme a esta Ley de Protección de Datos y hacer lo necesario para que mi sitio se ajuste a ella?
2. Si en mi sitio vendo productos de afiliado entonces yo no soy quien recaba los datos de compra de los usuarios sino el sitio web al que hace referencia mi link de afiliado, por ejemplo, Amazon, clickbank, hotmart, etc. Como especificaría eso en las políticas de privacidad del sitio? o ni siquiera debo hacer mención a ello?
En realidad es más sencillo que todo eso.
Si en tu sitio pides o almacenas datos del tipo que sea, para lo que sea, a ciudadanos de la UE debes informarles, da igual si es para vender o para comentar.
Si no les pides o almacenas datos entonces nada
Gracias por el artículo, es el más claro y completo que he leído hasta ahora, y han sido unos cuantos. Tengo un blog personal pequeñito con tan sólo unos pocos seguidores y me preocupa mucho el tema de garantizar la mayor legalidad en esta actividad. Probé la herramienta Facilita, y efectivamente comprobé que mi blog de de bajísimo riesgo, pero el formulario que me aportaba incluía el requisito de publicar no ya mi nombre, sino también mi dirección y mi DNI. No me parecía lógico que una normativa sobre protección de datos me obligará precisamente a abrir los míos de manera pública. Según me parece leer en tu artículo, parece que bastaría con que aparezca mi nombre como autora y responsable del blog, no?
Isabel, ya la LOPD obligaba a eso, siento decírtelo, eso no cambia. No en cada formulario sino en la página de privacidad
Hola Isabel. Precisamente, ayer comente en otro artículo de Fernando, que puedes poner una «Dirección a efecto de notificaciones» que no tiene por qué ser la de tu domicilio, sino alguna oficina o lugar donde puedas recoger el correo.
Estoy totalmente de acuerdo contigo, que los propietarios de pequeñas webs personales estamos «vendidos» con esta legislación, pensada para controlar a los «grandes» pero aplicables también a los «pequeños».
Supongo que en unos meses lo enmendarán de alguna manera.
Hola Fernando
Hoy un abogado me ha dicho que es necesario habilitar mecanismos que permitan vincular el “clic” en la casilla de “Acepto “de la Política de Privacidad (es decir, que el interesado ha consentido el tratamiento de sus datos) a la IP de su ordenador. ¿Esto es posible?
Como para poder demostrar en que hora ha aceptado la política y qué política concreta ha aceptado.
¡Gracias!
No le falta razón. El plugin GDPR guarda un token de cada aceptación, ligada al usuario. El resto lo almacenan en la cookie propia del plugin de aceptación.
Que gran noticia…imagino que eso se realiza en el registro de auditoría no? Introduces el correo electrónico dle usuario en cuestión y te sale hora y si ha aceptado la política no? Lo que no veo en ese campo es la IP
Hola Josu. Ya le contesté a Isabel hace unos segundo en este mismo hilo sobre esto que preguntas para comentarle que puedes poner una «Dirección a efecto de notificaciones» que no tiene por qué ser la de tu domicilio, sino alguna oficina o lugar donde puedas recoger el correo.
Estoy totalmente de acuerdo contigo, que los propietarios de pequeñas webs personales estamos «vendidos» con esta legislación, pensada para controlar a los «grandes» pero aplicables también a los «pequeños».
Supongo que en unos meses lo enmendarán de alguna manera.
De lo mas concreto que he encontrado sobre el tema, muy buen trabajo.
Ahora, una duda, a ver si es que lo interpreto mal. Si un usuario se da de alta en la news y escoge que no almacenes sus datos, ¿como demuestras que te ha autorizado a enviarle los mails?
Saludos
El sistema de newsletter debe guardar una columna con la aceptación, de hecho lo hacen