La Verdad sobre el Cumplimiento de la GDPR para los Usuarios de WordPress

Actualizado June 19, 2018

Es posible que haya oído hablar del término “GDPR” en alguna discusión en internet. Es un tema bastante popular en este momento, especialmente con todo lo que está ocurriendo con las brechas de datos y seguridad en las noticias. En pocas palabras, la GDPR es una ley de privacidad diseñada para devolver a los ciudadanos el control de sus datos personales. Indiscutiblemente, la GDPR está teniendo gran impacto en el manejo de los datos en internet. La parte aterradora es que hay una fecha límite era el 25 de mayo de 2018, y muchas de estas preguntas con respecto a la GDPR siguen atormentando a la gente:

  1. En términos simples, ¿Qué es la GDPR exactamente?
  2. ¿La GDPR me afecta?
  3. ¿Qué debo hacer para cumplir con la GDPR antes de la fecha límite?

Muchos tienden a posponer lo que no entienden. Los impuestos son un buen ejemplo. Para muchos de nosotros, la GDPR ha sido de menor prioridad en nuestros checklists. Pero la GDPR está aquí y se debería tomar un momento para determinar si necesita o no realizar cambios en la forma en que opera su negocio y/o sitio web. Si no lo hace, podría haber multas considerables involucradas.

No se preocupe, trataremos de explicarle todo lo que necesita saber sobre la GDPR a continuación, así como también lo que puede hacer para prepararse. Pero no somos abogados, así que trataremos de no aburrirlo con todos los detalles legales.

GDPR puede parecer confusa! ? ¡Sea precauitvo no la ignore! Haga clic para Tweet

Tenga en cuenta que esta publicación es solo para fines informativos y no debe considerarse como asesoramiento legal.

¿Qué Es la GDPR?

GDPR significa General Data Protection Regulation (Regulación General de Protección de Datos). Es una ley de privacidad que fue aprobada el 14 de abril de 2016 por la Comisión Europea para proteger los derechos de todos los ciudadanos de la UE (28 estados) y sus datos personales. Esto reemplaza la Directiva 95/46/CE sobre protección de datos del 24 de octubre de 1995 y es mucho más extensa que la Ley de cookies de 2011 (que pronto será reemplazada por la nueva regulación de privacidad en la UE que va de la mano con la GDPR). El plan de implementación para la regulación se estableció por dos años, con una fecha límite al 25 de mayo de 2018.

La Regulación General de Protección de Datos de la UE (GDPR) es el cambio más importante en la regulación de la privacidad de datos en 20 añosUE GDPR

Si desea leer los PDF oficiales del reglamento (11 capítulos, 99 artículos), le recomendamos que consulte gdpr-info.eu, ya que tienen todo en un sitio web ordenado.

Lo que la GDPR Implica 

Desafortunadamente, no todo es siempre blanco y negro cuando se trata de cosas como esta, pero la alianza GDPR tiene una gran resumen general de lo que implica:

  • Se aplica a cualquier dato personal (cualquier dato que se relacione o se pueda usar para identificar a alguien).

Datos personales significa cualquier información relacionada con una persona física identificada o identificable (datos del sujeto); una persona física identificable es aquella que puede identificarse, directa o indirectamente, en particular por referencia a un identificador como un nombre, número de seguro social, datos de ubicación, un identificador en línea (dirección IP o dirección de correo electrónico) o a uno o más factores específicos a la identidad física, fisiológica, genética, mental, económica, cultural o social de esa persona física; También controla qué se puede hacer con la información personal (Art. 4).

  • Se aplica a cualquier dato personal sensible, como raza, origen étnico, orientación sexual y estado de salud. (Recital 51, Art. 9)
  • Requiere que se otorgue el consentimiento o que haya una buena razón para procesar o almacenar información personal.
  • Permite a una persona solicitar que se borre por completo su información personal (a menos que exista un motivo válido, como un préstamo bancario). También conocido como el derecho a ser olvidado (Art. 17).
  • Le da a una persona el derecho de saber qué información se está almacenando sobre ellos.
  • Privacidad por diseño y por defecto: se asegura de que la información personal esté protegida adecuadamente. Los nuevos sistemas deben tener protección diseñada en ellos y el acceso a los datos está estrictamente controlado y solo se da cuando es necesario (Art. 25).
  • Si los datos se pierden, se los roban o se accede sin permiso, las autoridades deben ser notificadas dentro de las primeras 72 horas (Art. 33) junto con las personas afectadas (Art. 34).
  • Los datos solo se pueden usar por el motivo dado en el momento de la recopilación, y se eliminan de forma segura después de que ya no se necesiten.
  • Derecho de acceso y portabilidad de datos: una persona puede solicitar que su información sea un formato fácilmente descargable en cualquier momento, así como usar o transferir los datos a otro servicio. (Art. 20)
  • Permite a las autoridades nacionales imponer multas a las empresas que infrinjan la regulación.
  • Se requerirá el consentimiento de los padres para procesar los datos personales de los niños menores de 16 años para los servicios en línea; puede variar según el estado, pero no podrá ser menor de 13 años (Art. 8).

¿A Quién Afecta la GDPR?

Si bien las nuevas regulaciones GDPR fueron diseñadas para proteger los derechos de los ciudadanos de la UE, impactan a todos en la web. ¡Así es, todos! Esto es independientemente de dónde se establezca una empresa o de dónde se lleven a cabo sus actividades en línea. Si su sitio web está procesando o recopilando datos de ciudadanos de la UE, entonces debe cumplir con las regulaciones de la GDPR.

GDPR afecta a todos

GDPR afecta a todos

Estos son solo algunos ejemplos de sitios web ubicados fuera de la UE que aún se verán afectados:

  • Un sitio de la comunidad de WordPress que recopila información personal para cada perfil de usuario.
  • Una tienda de temas de WordPress que hace que los clientes se registren para comprar temas o plugins (datos de ventas y facturación).
  • Un blog de WordPress que tiene un widget de suscripción al boletín o permite que los visitantes comenten.
  • Una tienda ecommerce (WooCommerce o Easy Digital Downloads) que vende productos en línea.
  • Un sitio de WordPress que usa un software de análisis.

Probablemente pueda ver a dónde vamos con esto. A menos que usted esté bloqueando todo el tráfico de la UE, que probablemente la mayoría de ustedes no lo hacen, su sitio estará sujeto a las regulaciones de GDPR.

Si se pregunta si su empresa ya cumple con GDPR, el equipo de Mailjet creó una práctica prueba de la GDPR. También recomendamos consultar la Lista de verificación de la GDPR.

Consecuencias de No Cumplir con la GDPR

Si su empresa no cumple con la GPDR, puede recibir una sanción de hasta el 4% de la facturación mundial anual o una multa de hasta €20 millones (la más alta de las dos), por infracción. También hay un enfoque escalonado a las multas. Por ejemplo, una empresa puede recibir una multa del 2% por no tener sus registros en orden, no notificar a la autoridad de supervisión y el sujeto de los datos sobre una infracción, o no llevar a cabo una evaluación de impacto. (Art. 83)

Si es una tienda ecommerce pequeña o un desarrollador de WordPress, ¡estas multas podrían ser devastadoras!

Cómo Hacer Que Su Sitio WordPress Cumpla con la GDPR

Ahora probablemente todos estén leyendo esta publicación por una razón, y esa es de cómo hacer que su sitio de WordPress sea compatible con la GDPR. Desafortunadamente, a diferencia de nuestros tutoriales normales, no podemos ofrecerle un tutorial paso a paso simple, ya que cumplir los requisitos variará según el sitio. Pero aquí hay sugerencias para seguir el camino correcto, así como otras cosas que debe tener en cuenta.

1. Contrate un Abogado

Si tiene dudas sobre el cumplimiento de la GDPR (lo que probablemente la mayoría tiene), recomendamos contratar un abogado, aunque sea de manera temporal. Esta es una de esas áreas que le recomendamos encarecidamente que no trate de resolver por su cuenta. Un abogado puede proporcionarle asesoramiento legal específicamente adaptado a su situación. Si lo hace mal, podría resultar en multas considerables.

2. Revise Su Flujo de Trabajo de Recopilación y Procesamiento de Datos

Recomendamos revisar su sitio de WordPress completo y determinar dónde se produce la recopilación y el procesamiento de datos, así como dónde se almacena esa información y durante cuánto tiempo. Esto incluye cosas como:

  • Recopilación de información personal en una página de ecommerce checkout o en la página de registro de WordPress.
  • Direcciones IP, identificadores de cookies y ubicaciones de GPS.
  • Varios servicios como Google Analytics, Hotjar, etc..

Después de identificar todo, debe confirmar que está solicitando el permiso del visitante, así como también decir cómo se utilizan los datos recopilados.

3. Proyecto GDPR Fusionándose en WordPress Core para Desarrolladores

Dejlig Lama y Peter Suhm originalmente comenzaron a trabajar en un proyecto llamado GDPR para WordPress. Esto proporcionaría a los desarrolladores de plugins una solución simple para que la GDPR valide su plugin y les ofrezca a los administradores del sitio web la información general y las herramientas para manejar las tareas administrativas relacionadas con el cumplimiento de la GDPR. Sin embargo, la gran noticia es que ahora se está convirtiendo en parte del núcleo de WordPress.

Ahora puede seguir los tickets de la GDPR Trac, así como la hoja de ruta para el cumplimiento de la GDPR. Esperan tener todo terminado antes del del 25 de mayo de 2018. Esto es tan importante para los usuarios de WordPress como lo es para los desarrolladores, ya que el cumplimiento de la GDPR va a ser de doble filo. Los usuarios de WordPress necesitarán nuevas características incorporadas en los plugins que ya están usando tales como casillas de verificación, avisos, etc. para asegurarse de que sean compatibles al recopilar datos.

Con Gutenberg y ahora estos cambios en la GDPR, hay mucho por venir para WordPress 5.0.

4. Actualizar Todos los Documentos Legales

Con la GDPR es el momento de actualizar los términos y condiciones de sus páginas, páginas de privacidad, términos de afiliado, así como cualquier otro documento o acuerdo legal que pueda tener. Ya no puede tener formularios sin casillas de verificación. En otras palabras, debe haber una manera para que el usuario dé su aprobación específicamente. Los días de solo tirar términos en un enlace en la parte inferior y suponiendo que el usuario los leerá han quedado atrás.

Las condiciones para el consentimiento se han fortalecido, y las empresas ya no podrán usar términos y condiciones largos e ilegibles llenos de jerga legal, ya que la solicitud de consentimiento debe darse en una forma comprensible y de fácil acceso, con el propósito del procesamiento de datos adjunto a ese consentimiento. El consentimiento debe ser claro y distinguible de otros asuntos y proporcionado en una forma inteligible y de fácil acceso, usando un lenguaje claro y sencillo. Debe ser tan fácil retirar el consentimiento como darlo. (Fuente: UE GDPR)

Una vez más, esta es un área que recomendamos contratar un abogado. Si está ejecutando un blog simple nada más, al menos use una herramienta como iubenda o algo similar para generar políticas de privacidad más sólidas.

Una característica nueva – como página de privacidad – fue agregada en WordPress 4.9.6. Ahora puede diseñar una página de privacidad en su sitio y mostrarlo en su página de login y registro. También recomendamos incluirlo en el footer.

Página de privacidad en WordPress

Página de privacidad en WordPress

5. Ofrecer Portabilidad de Datos

De acuerdo con el Art. 20, cualquier negocio que recopile datos también debe ofrecer la capacidad para que el usuario los descargue y tome/transfiera los datos a otra parte.

El interesado tendrá derecho a recibir los datos personales respectivos en un formato estructurado, común y legible por máquina, y tendrá derecho a transmitir esos datos a otro controlador sin objeciones de parte del controlador al que se han proporcionado los datos personales.

Asegúrese de tener un sistema en su lugar para proporcionar a un usuario un archivo descargable de sus datos si así lo solicita (.csv, .xml, etc.). Si actualmente no puede ofrecer esto, es posible que desee contratar a un desarrollador de WordPress.

Nuevas características sobre la manipulación de privacidad fueron agregadas a WordPress 4.9.6. Los propietarios de los sitios pueden exportar los datos personales de los usuarios en un archivo ZIP así como eliminarlos. Hay un nuevo método basado en email que pueden usar para confirmar las solicitudes de sus datos personales.

Exportar datos personales

Exportar datos personales

6. Autocertificarse Bajo el Marco del Escudo de Privacidad

Debido al hecho de que muchos sitios web recopilan datos de todo el mundo y con restricciones más estrictas sobre los datos personales, muchas empresas ahora se están certificando bajo la UE – EUA y Suiza – EUA. marcos de protección de privacidad. Estos fueron diseñados por el Departamento de Comercio de EUA., la Comisión Europea, y la Administración Suiza para proporcionar a las empresas de ambos lados del Atlántico un mecanismo para cumplir con los requisitos de protección de datos al transferir datos personales de la Unión Europea y Suiza a los Estados Unidos en apoyo del comercio transatlántico.

Obtenga más información sobre los beneficios de la autocertificación bajo el Escudo de Privacidad.

7. Cifrar Sus Datos / HTTPS

En términos de cifrado hay partes diferentes: la encriptación del tráfico de su web (HTTPS) y la encriptación donde sus datos son almacenados. Siempre recomendamos la encriptación del tráfico de su web independientemente de la GDPR. Los beneficios de mover a HTTPS superan los cons y allí es adonde la web es dirigida.

El término encriptación en sí es en realidad mencionado algunas veces en GDPR y no es necesariamente mandatorio.

Con el fin de mantener la seguridad y prevenir la infracción de esta Regulación, el controlador o procesador  debería evaluar los riesgos inherentes en el procesamiento e implementación de las medidas para mitigar dichos riesgos, tal como encriptación (Art 83).

Así mientras parece que la encriptación no es legalmente requerida para cumplir con la GDPR, es altamente recomendado ya que usted es responsable por los datos. Si está utilizando un WordPress host como Kinsta -somos potenciados por Google Cloud Platform lo cual significa todo dato es cifrado en reposo. Lea más acerca de la encriptación de la GDPR.

8. Revise Sus Temas de WordPress, Plugins, Servicios, API

Cualquier plugin de WordPress o características específicas del tema que haya instalado que recopilen o almacenen datos personales, se deben actualizar para que su sitio sea totalmente aceptado por la GDPR. Si es un desarrollador de WordPress, es de esperar que ya tenga un plan para implementar cambios de GDPR para los usuarios. Vamos a incluir algunos plugins populares y configuraciones a continuación, junto con enlaces directos a cómo manejan GDPR.

Plugins de formularios de contacto

Una de las maneras más fáciles de cumplir con la GDPR es agregar una simple casilla de verificación a su formulario de contacto, lo que le permita al usuario dar su consentimiento para que sus datos enviados sean recopilados y almacenados. Sin embargo la parte importante aquí “más fáciles”. No todos los formularios necesitan consentimiento. Esto puede pertenecer a lo que llaman Legalidad del Tratamiento.

Contact Form 7 GDPR

Contact Form 7 GDPR

Revise los plugins de formulario de contacto de WordPress adicionales.

Plugins de Comentarios

Incluso los plugins de comentarios están recopilando información personal. Así que al igual que con los formularios de contacto, debe agregar una casilla de verificación de consentimiento.  Esto puede pertenecer a lo que llaman Legalidad del Tratamiento.

Una casilla de verificación de consentido fue agregada a los comentarios nativos en la versión más reciente WordPress 4.9.6 Lanzamiento de Privacidad y Mantenimiento (como se ve abajo).

Comentarios nativos de WordPress

Comentarios nativos de WordPress

Plugins y Servicios de Marketing

Todo, desde plugins de boletines informativos, plugins de encuestas, plugins de cuestionarios, plugins de notificación de inserción y su software de marketing por correo electrónico se verán afectados por la GDPR.

Análisis, Seguimiento, Remarketing

Cualquier servicio de terceros o plugin que recopile datos. Esto incluye elementos como Google Analytics, plugins de prueba A/B, servicios de heat maps, plataformas de remarketing, etc. En lo que respecta a Google Analytics en sí, se recomienda anonimizar la IP.

Anonimizar la IP en Google Analytics

Anonimizar la IP en Google Analytics

A partir de abril, Google lanzó una nueva configuración de retención de datos para Google Analytics. Estos controles le dan la capacidad de establecer la cantidad de tiempo antes de que los datos de nivel de usuario y nivel de evento almacenados por Google Analytics se eliminen automáticamente de los servidores de Analytics. Puede acceder a estas configuraciones en Admin → Propiedad →  Información de Seguimiento → Retención de Datos.

Google Analytics retención de datos

Google Analytics retención de datos

¿Necesita una cookie si está usando Google Analytics reportando y mostrando anuncios? Depende. Consulte este artículo genial de Jeff sobre el cumplimiento de la GDPR con Google Analytics.

Soluciones de Ecommerce y Procesadores de Pago

Cualquier tipo de solución de ecommerce de WordPress es por supuesto, muy afectado por la GDPR ya que estos recopilan datos de ventas, información personal, datos de cuentas de usuario y tienen integraciones con procesadores de pago de terceros.

Más allá de la documentación anterior, también recomendamos visitar esta gran publicación sobre 12 formas de hacer que su sitio web de WooCommerce cumpla con GDPR.

Plugins de la Comunidad

Los plugins de la comunidad, los plugins de foros y los plugins de membresía muchas veces almacenan información personal adicional además del proceso de suscripción integrado de WordPress.

API de Terceros

Incluso las API de terceros recopilan datos. Un buen ejemplo de esto es Google Fonts. La mayoría de ustedes probablemente esté usando Google Fonts, ya sea que esté integrado en su tema de WordPress o lo haya agregado manualmente. Debe analizar cada API y averiguar los datos que recopila el proveedor. En algunos casos, se permite la recopilación de datos por sesgo legal sin consentimiento (Recital 49).

Esto puede ser muy trabajoso y confuso ya que algunas empresas, incluso Google, podrían no proporcionar respuestas simples de sí o no. Consulte esta conversación entre desarrolladores sobre si Google Fonts cumple o no con la GDPR. Siempre puede alojar sus fuentes de Google localmente en su propia CDN y esto resolvería el problema.

Mantendremos esta publicación actualizada ya que algunos desarrolladores de plugins de WordPress están apenas trabajando en la adición de funciones de cumplimiento de la GDPR. O peor, muchos ni siquiera han comenzado. Si tiene dudas con respecto a un plugin que tiene en ejecución, consulte con el desarrollador directamente para ver cómo planean manejar la GDPR. 

Legalidad del Tratamiento

Mientras es como vimos arriba preguntar por el consentimiento es la manera más fácil para cumplir con la GDPR no es la única manera. De hecho, en algunos casos el procesamiento de datos es permitido sin el consentimiento debido al término conocido como legalidad del tratamiento. He aquy unos ejemplos:

Necesidad Contractual

El procesamiento de datos es permitido si es necesario para la ejecución de un contrato al que el sujeto de datos es parte con el fin de tomar medidas por encargo del sujeto de datos antes de suscribir un contrato. (Art. 6 (1) b)

Interés Legítimo

El procesamiento de datos es permitido cuando es necesario por objetivos de interés legítimo del responsable o un tercero del contrato excepto cuando tal intereses son anulados por los intereses o derechos fundamentales y libertades del sujeto de datos lo cual requiere protección de datos personales, en particular cuando el sujeto  es un menor de edad. (Art. 6 (1) f)

Nota: Esto se aplica al procesamiento ejecutado por autoridades públicas en el cumplimiento de sus funciones.

Por ejemplos adicionales recomendamos consultar esta publicación por White&Case LLP.

Plugins de WordPress Útiles para la GDPR 

A continuación se encuentran algunos plugins útiles que recomendamos que revise que podrían ayudar:

  • WP Security Audit Log: Una de las mejores maneras de ver lo que sucede en su sitio de WordPress. Por lo general, recomendamos esto por razones de seguridad, pero puede ser una excelente manera de ver qué es lo que está recopilando información, como registros de usuarios, comentarios, entradas de formularios de contacto, etc.
  • WP GDPR Compliance: Este plugin ayuda a los propietarios de sitios web y tiendas web al proporcionar consejos comunes para cumplir con las integraciones con algunos plugins populares, como Gravity Forms, Contact Form 7, WooCommerce y WordPress native comments.
Cumplimiento de WP GDPR

Cumplimiento de WP GDPR

  • GDPR: Otro plugin que lo ayuda a cumplir. Incluye términos de servicio y políticas de privacidad, gestión de consentimiento, derechos de borrado y eliminación de datos con un mail de confirmación, configuración del procesador de datos y publicación de información de contacto, derecho a acceder a datos desde el panel de administración y exportación, administración de preferencias de cookies y mucho más.
  • WP GDPR: Este plugin crea una página donde los usuarios pueden solicitar acceso a sus datos personales, almacenados en su sitio web.
  • GDPR Cookie Compliance: Permite a los usuarios dar el consentido por objetivos especiales de cookies con la capacidad de habilitar y deshabilitar cookies a nivel granular.

Auditoría GDPR

¿Confundido? ? No se preocupe, la GDPR puede ser demasiado para entender y es un cambio masivo en lo que respecta a la recopilación de datos personales. Si le preocupa su propio sitio de WordPress, podría ser conveniente invertir en una auditoría de GDPR por parte de un experto, preferiblemente uno que trabaje exclusivamente con WordPress. Recomendamos consultar la Auditoría GDPR de Angled Crown.

¿Cómo Se Está Preparando Kinsta para la GDPR?

Debido al hecho de que Kinsta tiene su sede en Europa, hemos tenido restricciones más estrictas sobre nuestros datos desde el principio. Pero al igual que todas las empresas, revisamos cada una de nuestras políticas con nuestro equipo legal en lo que respecta al procesamiento, recopilación y almacenamiento de datos; así como nuestro sitio y blog de WordPress para garantizar que cumpliéramos con todo antes la fecha límite. Kinsta utiliza Google Cloud Platform, que está totalmente comprometido con la GDPR y estábamos revisando todos nuestros proveedores y terceros para organizar acuerdos similares de procesamiento de datos preparados para la GDPR.

Algunos cambios muy pronto incluirán:

  • Nombramiento de un Oficial de Protección de Datos (DPO en inglés).
  • Ofrecer nuevas formas de cumplir con la portabilidad de datos.
  • Acuerdos de procesamiento de datos.

Como cliente de Kinsta, usted es referido como un controlador de datos. Esto significa que usted es responsable de implementar medidas técnicas y organizativas apropiadas para garantizar y demostrar que cualquier procesamiento de datos se realiza de conformidad con la GDPR.

Resumen

Como ya habrá entendido, ¡GDPR es un gran negocio! Está impactando casi todos los sitios de WordPress en la web. Ya llegó la fecha límite, alentamos a todos a dedicar tiempo, investigar y asegurarse de que su sitio cumpla con todo. ¡Si no lo hace, podría ser testigo de algunas multas muy grandes!

¿Tiene alguna pregunta sobre la GDPR y WordPress? Escríbala abajo en los comentarios. O si conoce otro plugin popular de WordPress que ya cumple con GDPR, avísenos y lo agregaremos a la lista.

 

Este artículo fue escrito por Brian Jackson
Brian is the Chief Marketing Officer at Kinsta. He focuses on everything from developing new online growth strategies, content creation, technical SEO, and outreach within the community. He has a huge passion for WordPress, has been using it for 8+ years, and even develops a couple premium plugins. Brian enjoys blogging, movies, and hiking. Connect with Brian on Twitter.

Artículos relacionados

Deja un comentario

kinsta newsletter

¿Utilizas WordPress?

¡Únete a más de 20.000 lectores que ya reciben nuestro newsletter semanal GRATUITO con consejos de WordPress sobre cómo generar más tráfico e ingresos para tu negocio!

Consent

You have Successfully Subscribed!

Send this to a friend