Cómo cumplir el RGPD en formularios de contacto de WordPress

La nueva ley de protección de datos y privacidad, conocida como RGPD o GDPR, que entra definitivamente en vigor el 25 de mayo de 2018 incluye, entre otras cosas, la obligación de cumplir una serie de requisitos en los formularios de nuestra web.

No solo debes cumplir la política de protección de datos personales de la RGPD en los formularios de comentarios como ya vimos, también es obligatorio en los formularios de contacto que tengas en tu web.

¿Qué debe tener un formulario de contacto para cumplir con la RGPD?

Para proteger los derechos de privacidad, olvido y protección de datos de nuestros visitantes los formularios de contacto deben incluir lo siguiente:

  1. Casilla de aceptación explícita (no seleccionada por defecto) de que el usuario acepta la política de privacidad del sitio.
  2. Un enlace a la política de privacidad del sitio.
  3. Un texto que detalle qué datos se almacenan, el responsable y su destino.
  4. Un modo de que el usuario ejerza su derecho al olvido en tu sitio.
  5. Asegurar que los datos viajen y se almacenen de manera encriptada (con la iglesia hemos topado).

Esto es así para cualquier tipo de formulario que tengas en tu web, no solo para los de contacto.

Cómo cumplir la RGPD en los formularios de contacto

Dicho lo anterior, en cada formulario de contacto de tu web debes, al menos, cumplir con estos requisitos:

  1. Casilla obligatoria (no marcada por defecto) de aceptación de la política de privacidad.
  2. Texto con enlace a la política de privacidad y explicación al usuario el uso, responsable y destino de su información, así como el modo de borrar sus datos.
  3. Que los datos estén encriptados.

Cumplir la RGPD en formularios de Contact Form 7

Como ejemplo de cómo cumplir los requisitos de la RGPD en formularios vamos a ver como se haría con el plugin Contact Form 7, de lejos el más utilizado.

Crea un nuevo formulario

Crea un nuevo formulario en Contacto > Añadir nuevo.

Se creará un formulario con los campos por defecto (recuerda tener previamente el plugin Contact Form 7 Accessible Defaults para tener en cuenta a todos).

Solo tienes que añadirle 2 campos nuevos:

Aceptación

Coloca el cursor antes del campo submit  (botón de enviar) y pulsa en el botón para añadir un campo de aceptación.

Al abrirse la ventana emergente debes ponerle un identificador (nombre) que lo distinga y, a continuación rellenar el campo llamado “Condición.

Ahí es donde pondrás tu texto que irá junto a la casilla de verificación, que acepta HTML, con lo que ya puedes aprovechar y poner el enlace a tu política de privacidad.

Es importante que no marques las siguientes casillas:

  • Hacer que esta casilla esté seleccionada por defecto: Es justo lo contrario de lo que exige la RGPD
  • Hacer que funcione a la inversa: Si marcas esto solo se acepta si se deja en blanco. Comportamiento extraño, y contrario a la RGPD también.

Una vez completes lo indicado inserta el campo y quedará así en tu formulario:

Textos informativos

Ya solo te queda añadir los textos informativos. En este caso no usaremos ningún botón de formulario sino puro HTML. Por ejemplo:

Que, visto en el formulario quedaría así:

Y ya está, solo te queda guardar, insertar el shortcode del formulario en una página y ver cómo queda.

Si quieres darle algún estilo simplemente aplícaselos en el mismo formulario, pero ya cumples con la base de los requisitos de la RGPD en tu formulario.

Almacenamiento de los formularios

Por defecto, Contact Form 7 no almacena los formularios en la base de datos, solo los envía por correo. Si es este el caso deberás explicarlo en tu política de privacidad, indicando el proveedor de servicio de correo electrónico y su respectiva política de privacidad y almacenamiento.

En este caso has terminado.

Pero también puedes instalar la extensión Flamingo, del mismo desarrollador del plugin, para guardar los formularios enviados en la base de datos y revisarlos cuando lo necesites.

En este caso puedes optar por 2 estrategias diferentes.

  1. Puedes simplemente informar de que se almacenarán en tu base de datos, indicando el proveedor como hemos visto en el ejemplo anterior.
  2. Dar la opción de no almacenar los datos del formulario.

Si optas por la segunda posibilidad puedes añadir a tu formulario una nueva casilla de selección y una función para ofrecer al usuario no almacenar sus datos en la base de datos de Flamingo.

Lo primero es añadir a tu formulario una casilla de verificación, que llamaremos opt-in, por ejemplo. La casilla no tiene que ser obligatoria.

Un buen sitio para ubicarla sería bajo tu casilla de aceptación.

Con lo que ya aparecerá en tu formulario, así:

Y, vale, podrías dejarlo así y, cuando veas un formulario con esa casilla, manualmente borrarlo.

Pero estarás conmigo en que es más óptimo crear una función que, si está marcada esa casilla de selección, automáticamente no almacene el formulario ¿no?.

Esto puedes lograrlo con la casilla de selección antes creada y el gancho de CF7 before_send_mail y el ajuste de Flamingo do_no_store .

Aquí tienes el código que tendrás que añadir al archivo functions.php de tu tema WordPress. En el código, recuerda que el nombre de la casilla es “opt-in“, por si la tuya le pusiste otro nombre, y lo que hace es que, si está marcada, lanza el ajuste do_not_store=false, en caso contrario lanza do_not_store=true y así omite a Flamingo.

Guarda los cambios y la magia se pondrá en marcha.

Cumplir la RGPD con otros formularios

Visto cómo cumplir la RGPD con Contact Form 7, vamos a echar un vistazo a cómo hacerlo con otros plugins y sistemas de formularios que podemos usar en nuestra web WordPress.

  • Formularios de Jetpack: Actualmente es literalmente imposible cumplir la RGPD pues ninguno de sus campos acepta HTML como para poner enlace a la política de privacidad.
  • Ninja Forms: Han elaborado una sencilla – pero incompleta – guía para cumplir la GDPR con sus formularios.
  • WP  Forms: También tienen una página de documentación sobre cómo aplicar los requisitos de la GDPR en sus formularios.
  • Gravity Forms: Ofrecen una página de información sobre cómo hacerlo con sus formularios, que indica que los datos se almacenan sí o sí y que hay una función para, al menos, no almacenar la IP. Además, Samuel Aguilera ha publicado una guía en su blog.
  • Google Forms: Si utilizas formularios de Google para tu página de contacto debes saber que actualmente también es imposible cumplir la RGPD, pues tampoco admite HTML en ningún campo, así que no puedes enlazar a tus políticas de privacidad.

Como ves, el panorama aún es poco halagüeño, en realidad es bastante triste. Esperemos que poco a poco se vayan poniendo las pilas y pronto tengamos esta tarea más fácil.

Plugins genéricos para cumplir la RGPD en formularios

Casi cada día sale algún nuevo plugin para ayudarnos a cumplir la RGPD, y la mayoría lo primero que añaden es la posibilidad de incorporar la consabida casilla de aceptación en los formularios de contacto.

Sin embargo, tras probar todos, sus posibilidades son bastante escasas, y NINGUNO te permite cumplir con todos los requisitos vistos arriba.

A modo informativo te los apunto, por si más adelante mejoran:

  • GDPR – Actualmente es solo una promesa, no tiene nada.
  • GDPR Compliance – Detecta y permite insertar casillas de aceptación en comentarios, formularios y páginas de WooCommerce, pero incompletos, no cumple.
  • GDPR Conformity – No tiene nada, en fase alpha de desarrollo.

El panorama, de nuevo, es desolador. Así que más vale que te plantees seguir este tutorial y hacer tus formularios con Contact Form 7.

Encriptación de los datos

Una de las cosas menos claras de la RGPD es el asunto de la encriptación de los datos, que no es muy explícita, pero se pide y habrá que cumplirlo, a la interpretación de la inspección si se diese el caso.

Lo primero que puedes y debes asegurar es la encriptación del envío de datos, y esto lo puedes cumplir fácilmente añadiendo un certificado SSL a tu sitio para que sirva las páginas en HTTPS, o sea, encriptados.

Lo complicado es la encriptación de los datos almacenados.

Para ello debes:

  • Si el almacenamiento es en tu base de datos, requerir que tu proveedor de hosting garantice algún sistema de encriptación segura de los datos del servidor.
  • Si el almacenamiento es en algún servicio externo como Dropbox, Google Forms o similares entonces todo pasa por contratar un servicio como Boxcryptor (gratis para un servicio y realmente barato en general), que encripta los datos almacenados en tus cuentas en la nube como OneDrive, Box, Amazon Cloud Drive, Dropbox, Google Drive, Amazon S3 y muchos más.

Como habrás podido comprobar a lo largo del artículo, cumplir con los requisitos de la RGPD es cualquier cosa menos sencillo, y nos va a hacer sudar tinta china.

Yo trataré de ir ayudándote a cumplir los requisitos uno por uno en una serie de artículos sobre cómo cumplir la RGPD en WordPress, de los que ya puedes ir revisando los publicados.

Valora este artículo para mejorar la calidad del blog ...

Al hacer una valoración se recoge una cookie con la IP de tu dispositivo

FlojitoNo está malEstá bienMe ha servidoFantástico (43 votos, promedio: 4,88 de 5)
Cargando…

Autor: Fernando Tellado

Fernando Tellado, apasionado de WordPress, profesor, consultor y ponente. Maquero cansino, padre de tres hijos y de una perrita Beagle, Bilbaíno de nacimiento, Español de corazón y ciudadano de donde me quieran. Autor del libro WordPress - La tela de la araña. Mi blog personal es Navegando con red, donde he crecido como escritor en la red y ofrezco mis visiones acerca de la Web 2.0 y la blogosfera.

Comparte esta entrada en
468 ad

Pin It on Pinterest