RGPD y WordPress

Publicado: 2022-11-10

GDPR significa Reglamento General de Protección de Datos. Es una regulación extensa de la UE (Unión Europea) que representa los requisitos mínimos para cualquier persona que maneje los datos de los ciudadanos de la UE. El reglamento consta de 99 artículos, divididos en 11 capítulos. Si bien esto puede parecer intimidante, desglosarlo puede ayudarnos a comprender sus puntos clave y cómo afecta a los sitios web de WordPress.

Tras la promulgación del RGPD en la UE, varios otros países y jurisdicciones actualizaron sus leyes inspirándose en esta regulación, incluidos el Reino Unido, Japón, Brasil, Turquía y otros. California, en particular, tiene su propia versión llamada CCPA – Ley de Privacidad del Consumidor de California.
En este artículo, veremos los principios básicos de GDPR, prestando especial atención a cómo se relacionan con la protección de datos personales.

Descargo de responsabilidad: este artículo no constituye un consejo legal. Debe tomar en serio las leyes de privacidad. Las sanciones por infringir las normas del RGPD pueden ser muy duras, llegando hasta los 20 millones de euros o el 4 % de los ingresos totales, la suma que sea más alta. En caso de duda, busque asesoramiento profesional.

Tabla de contenido

  • 1. Una introducción al RGPD de WordPress
  • 2. ¿Qué son los datos personales?
  • 3. Recopilación de datos personales en WordPress
  • 4. RGPD y seguridad de datos
  • 5. ¿Cumple WordPress con el RGPD?
  • 6. Introducción al cumplimiento técnico del RGPD
  • 7. Complementos de WordPress para ayudarlo a lograr el cumplimiento de GDPR
  • 8. Preguntas frecuentes

Una introducción al RGPD de WordPress

WordPress GDPR funciona de la misma manera que cualquier otro sitio web GDPR. Como GDPR es muy completo, la forma en que lo implemente dependerá en gran medida del tipo de sitio web de WordPress que ejecute. Si bien ciertos aspectos de la regulación son universales, otros aspectos dependerán de su implementación y negocio. Por ejemplo, los requisitos de un sitio web de comercio electrónico variarán significativamente de los de un sitio de WordPress que ejecuta un blog.

Los cuatro actores del RGPD

Antes de comenzar a analizar los principios básicos de GDPR, vale la pena tomarse unos minutos para comprender quiénes son los actores. Piense en los actores como roles que GDPR identifica como críticos para su implementación. Hay cuatro actores que necesitamos conocer. Comprender estos roles nos ayudará a comprender mejor quién es responsable de qué y hará que la comprensión de la regulación sea mucho más accesible.

1. El interesado

En el caso de los sitios web de WordPress, los interesados ​​son los visitantes de nuestro sitio web que se originan en la Unión Europea. El término sujeto de datos se refiere directamente a la persona a quien pertenecen los datos que estamos recopilando.

2. El controlador de datos

Como propietario del sitio web que recopila datos, eres tú. Los controladores de datos tienen varias responsabilidades. Los revisaremos cuando analicemos los siete principios del RGPD.

Como responsable del tratamiento, debe poder demostrar que cumple con el RGPD. Si no lo hace, lo clasificará como no conforme a todos los efectos. Con este fin, es beneficioso comprender de qué son responsables los controladores de datos ante los ojos de la ley.

3. El procesador de datos

Los procesadores de datos son aquellas personas o empresas que procesan datos en nombre del controlador de datos (usted).

Nota al margen: en esta etapa, es esencial comprender lo que el RGPD considera procesamiento de datos, ya que la entidad que procesa los datos tiene ciertas obligaciones. Con este fin, GDPR considera cualquier acción realizada sobre los datos como procesamiento de datos, desde la simple recopilación y almacenamiento hasta el uso, la organización y cualquier otra forma de procesamiento.

4. El delegado de protección de datos (DPO)

El oficial de protección de datos, conocido como DPO para abreviar, es una persona que asume la responsabilidad del cumplimiento de GDPR en los datos personales recopilados. Si bien no todos los controladores y procesadores de datos requieren un DPO, siempre puede designar uno dentro de su organización para garantizar el cumplimiento de GDPR.

Los siete principios del RGPD

Como se mencionó anteriormente, GDPR tiene siete principios que rigen el procesamiento de datos personales. Estos principios se basan en la protección de datos y la rendición de cuentas, asegurando así el cumplimiento de la legislación. Juntos, estos principios actúan como un marco que puede ayudarlo a cumplir con el RGPD.

Principio 1: Tratamiento lícito, justo y transparente

Debe procesar los datos de acuerdo con las disposiciones establecidas por la ley y de manera justa y transparente para el interesado. Esto significa que debe ser claro y directo sobre qué datos recopila, por qué los necesita y cómo los usará. Es igualmente importante asegurarse de que toda la información se proporcione en un inglés sencillo.

Principio 2: Tratamiento legítimo

Debe procesar los datos de acuerdo con el consentimiento del interesado. Como se mencionó anteriormente, debe obtener el consentimiento del usuario/visitante antes de recopilar y procesar sus datos.

Principio 3: Recopilación mínima de datos

Solo se deben recopilar los datos que son directamente necesarios para el procesamiento y para los cuales el usuario ha dado su consentimiento. Esta es una buena práctica incluso fuera del RGPD, ya que sigue el principio de reducir las partes móviles.

Principio 4: Precisión de los datos

Deberá mantener actualizados los datos personales recabados. Cualquier sujeto de datos puede solicitar que se eliminen o actualicen sus datos, y deberá completar esta solicitud dentro de los 30 días. En tales casos, debe tomar "todas las medidas razonables" para cumplir con los deseos del interesado.

Principio 5: Almacenamiento de datos

Debe conservar los datos solo durante el tiempo que sea necesario. Como esto puede ser muy subjetivo (¿cuándo deja de ser un cliente un cliente?), se recomienda encarecidamente el asesoramiento legal profesional para asegurarse de no infringir este principio.

Principio 6: Seguridad, confidencialidad e integridad de los datos

Este principio es el más técnico de los siete. Confiere al controlador de datos la responsabilidad de garantizar que se implementen protecciones contra el acceso no autorizado, el robo, la pérdida, la destrucción o el daño para garantizar la integridad y confidencialidad de los datos personales.

Principio 7: Responsabilidad

La rendición de cuentas es fundamental para garantizar que siempre cumpla con los requisitos de GDPR. Esto significa contar con la documentación, los procedimientos, los avisos, los registros y las evaluaciones necesarios que cumplan con el RGPD. GDPR estipula que el controlador de datos debe poder demostrar que está cumpliendo con GDPR.

¿Qué son los datos personales?

GDPR no está ahí para proteger todo tipo de datos. Su objetivo principal es salvaguardar los datos personales. A tal efecto, los datos personales incluyen cualquier dato que pueda identificar directa o indirectamente a una persona. Dado que la definición de datos personales es bastante abierta, la estrategia recomendada es errar por el lado de la precaución.

Recopilación de datos personales en WordPress

Dependiendo de cómo haya configurado su sitio web de WordPress, puede recopilar varios tipos de datos personales de sus usuarios y visitantes de la web. Como controlador de datos, usted es responsable de identificar qué datos personales se recopilan y garantizar que todos los procesos relacionados cumplan con GDPR.

Esto puede ser bastante fácil cuando usted es tanto el controlador de datos como el procesador de datos. Un ejemplo de esto es el cumplimiento de WooCommerce GDPR sin utilizar servicios externos. Sin embargo, las cosas pueden ponerse un poco más turbias cuando se utilizan servicios de terceros, como análisis y publicidad.

Si bien el RGPD no prohíbe la recopilación de datos personales, establece normas específicas sobre cómo se pueden recopilar, procesar y almacenar los datos. Si bien se recomienda una comprensión completa de las regulaciones, la UE ofrece siete principios rectores para ayudarlo a configurar su estrategia de datos para cumplir con los requisitos de GDPR.

RGPD y seguridad de datos

La seguridad de los datos es un aspecto importante del RGPD, que fomenta medidas técnicas y organizativas para garantizar la protección y la seguridad de los datos. Para cumplir con GDPR, la protección de datos debe ser "por diseño y por defecto". Esto significa que debe incorporar consideraciones de protección de datos en todo lo que hace en lugar de una idea de último momento.

Medidas técnicas

GDPR.EU ofrece dos ejemplos de medidas técnicas que puede tomar para proteger los datos de sus usuarios. El primero es la autenticación de dos factores que, afortunadamente para los administradores de WordPress, es fácil de implementar gracias a WP 2FA. Este complemento de WordPress 2FA admite múltiples canales de autenticación. Viene con muchas funciones útiles para ayudarlo a garantizar que su implementación de 2FA sea un éxito continuo.

El segundo ejemplo se refiere al cifrado de extremo a extremo. Es importante tener en cuenta que GDPR no exige el cifrado por completo. En cambio, enfatiza las medidas apropiadas para proteger los datos personales, siendo el cifrado un ejemplo de tal medida. Estas medidas, cualesquiera que sean, deben cubrir dos estados de datos: datos en tránsito y datos en reposo.

Comprender los datos en tránsito y los datos en reposo

Los datos en tránsito son datos que se envían a través de una red. Por otro lado, los datos en reposo se refieren a los datos que se encuentran en papelería, como los datos en una base de datos. El uso de un certificado SSL/TLS en su WordPress lo ayudará a garantizar que los datos en tránsito estén encriptados. El cifrado del correo electrónico y otros canales de comunicación es igualmente importante.

Los datos personales en reposo son un poco más complicados. En primer lugar, debe identificar qué tipo de datos personales está almacenando en su base de datos de WordPress. Hablamos de esto en una sección anterior. Si bien WordPress no recopila datos personales de forma predeterminada, los formularios personalizados y los complementos de terceros pueden recopilar dichos datos.

WordPress no ofrece cifrado de datos en este momento. Por lo tanto, debe tomar otras medidas para garantizar que los datos estén lo más seguros posible. Una política sólida de contraseñas de WordPress es uno de los pasos que puede seguir para garantizar que el acceso sea lo más seguro posible. Por supuesto, esto debería acompañar una política de acceso que cumpla con el principio de privilegio mínimo.

Recogida de datos y consentimiento

Debe minimizar[a] la recopilación de datos a la absoluta necesidad para el propósito para el que se recopilan y, cuando sea posible, debe anonimizarlos[b]. Aun así, es esencial obtener siempre el consentimiento del interesado, explicando por qué está recopilando los datos y cómo los utilizará.

El consentimiento es una parte importante del RGPD. El consentimiento debe ser inequívoco, lo que significa que no puede ocultarlo en la letra pequeña. Debe asegurarse de redactar todas las políticas en un lenguaje claro y sencillo. Además, debe obtener el consentimiento por separado, ya que no puede incluirlo con otras declaraciones.

Los interesados ​​también tienen derecho a retirar el consentimiento en cualquier momento. Retirar el consentimiento debe ser tan fácil como darlo. Además, los interesados ​​conservan el derecho de eliminación, donde pueden solicitar que se eliminen todos los datos personales relacionados con ellos.

Procesamiento de datos

El sitio web típico de WordPress recopila y procesa datos de varias maneras. Si bien es prácticamente imposible cubrir todas las formas en que se recopilan y procesan los datos en todos los sitios web, podemos ver algunos ejemplos típicos para comprender cómo afecta el RGPD.

Analítica

Las herramientas de análisis, como Google Analytics y Hotjar, por nombrar algunas, procesan los datos de los clientes en su nombre. A los ojos de GDPR, esto los convierte en un procesador de datos de terceros. Aun así, usted sigue siendo responsable de lo que suceda con esos datos, lo que significa que debe tomar algunas precauciones para garantizar el cumplimiento.

Una cosa que es muy importante tener es lo que se conoce como el Acuerdo de procesamiento de datos. Este acuerdo escrito, que ambas partes deben firmar, detalla explícitamente las responsabilidades de cada parte. Este documento es legalmente vinculante y firmarlo puede ahorrarle muchos problemas.

Esto es especialmente importante si tiene integraciones con terceros, ya sea a través de un complemento de análisis o directamente. De cualquier manera, es esencial comprender qué datos se recopilan, ya sea información de geolocalización,

Galletas

Las herramientas de análisis, WordPress, algunos complementos y temas utilizan cookies para almacenar y rastrear información de usuarios y visitantes. Como controlador de datos, debe saber qué hace cada cookie y obtener un permiso explícito para la recopilación de datos de cada cookie.

Además, el usuario debe poder elegir a qué da su consentimiento e igualmente poder retirar su consentimiento en cualquier momento. Los consentimientos deben renovarse cada año y deben almacenarse como documentación legal.

Consentimiento de cookies RGPD

Las cookies han estado sujetas a su propia regulación de la UE desde 2002, cuando entró en vigor la Directiva de privacidad electrónica, también conocida como la ley de cookies. La UE modificó aún más esta ley en 2009. Actúa como un complemento del RGPD de la Unión Europea y, en algunos casos, lo anula.

La Directiva de privacidad electrónica, EPD para abreviar, está a punto de desaparecer y será reemplazada por el EPR - Reglamento de privacidad electrónica.

Administrar consentimiento de cookies

La diferencia entre una directiva y un reglamento es técnica. Las directivas deben ser incorporadas a la ley por el gobierno de cada país dentro de la UE, mientras que los reglamentos son leyes para toda la UE.

De cualquier manera, para cumplir, debe:

  • Pedir a los usuarios su consentimiento explícito antes de utilizar cualquier cookie
  • Proporcione a los usuarios información en lenguaje sencillo sobre cada dato que se rastrea cuando se suscriben
  • Permitir a los usuarios acceso completo al servicio incluso si rechazan ciertas cookies
  • Documento de consentimiento del usuario
  • Permitir a los usuarios retirar el consentimiento

¿Cumple WordPress con el RGPD?

WordPress introdujo varias funciones en la versión 4.9.6 que facilitan mucho el cumplimiento del RGPD. Si bien estas características no necesariamente lo hacen cumplir con GDPR (más sobre esto más adelante), lo ayudarán a asegurarse de que tiene los conceptos básicos cubiertos.

Exportación de datos personales

Puede exportar fácilmente todos los datos de un usuario en caso de que presente una solicitud de datos. Para exportar los datos personales de un usuario, simplemente vaya a Herramientas > Exportar datos personales e ingrese el nombre de usuario o la dirección de correo electrónico del usuario en el cuadro de texto provisto.

También puede enviar un correo electrónico de confirmación marcando la casilla de verificación Correo electrónico de confirmación.

Exportar datos personales

Borrado de datos personales

Para cumplir con el derecho al olvido, WordPress también ofrece una función de borrado de datos personales. Puede acceder a esta función navegando a Herramientas > Borrar datos personales. Al igual que la función de exportación de datos personales, también existe la opción de enviar un correo electrónico de confirmación.

Política de privacidad

Tener una página de política de privacidad es solo un pequeño paso hacia el cumplimiento de GDPR, pero es muy importante. Si bien tener una política de privacidad personalizada es ideal, ya que le permite dar cuenta de todo, tener una plantilla puede ayudarlo a comenzar más rápido, que es precisamente lo que ofrece WordPress.

Puede acceder a esta función navegando a Configuración > Privacidad y siguiendo las instrucciones proporcionadas.

Casilla de consentimiento

Para ayudar con el cumplimiento de las cookies de GDPR, WordPress viene con una casilla de verificación de consentimiento de cookies incorporada, que está habilitada de manera predeterminada. Tenga en cuenta que esto solo es válido para los usuarios que comentan: debe encargarse del resto si configura cualquier otra cosa que coloque una cookie.

Puede habilitar esta configuración navegando a Configuración > Discusiones.

Cumpliendo con el RGPD

Cumplir con GDPR no es un proceso de una sola vez que puede completar una vez y tirar al final de la pila. Si bien el ejercicio de cumplimiento inicial será el más laborioso de todos, invertir un poco más de tiempo aquí generará dividendos en el futuro.

No solo mantendrá su sitio web en cumplimiento, sino que también garantizará que el mantenimiento y las actualizaciones tomen la menor cantidad de tiempo posible. Para ello, deberá:

Haga un balance : el primer paso que debe tomar es evaluar qué datos personales está recopilando y dónde se almacenan. Las listas de marketing por correo electrónico, los perfiles de usuario y los datos de usuario almacenados en las cookies son algunas cosas que debe tener en cuenta. Asegúrese de anotar información identificable, incluidos seudónimos, direcciones IP, etc. La lista real dependerá de los datos que recopile y cómo los procese.

Instale un complemento de consentimiento y asegúrese de que haya una casilla de verificación de consentimiento para cada proceso de datos. Si bien hablaremos más sobre dichos complementos en breve,

Páginas legales fáciles de usar : asegúrese de que todas las páginas de políticas, como su página de política de privacidad, estén escritas en un inglés sencillo que cualquiera pueda entender.

Banner de consentimiento de cookies : agregue un banner de aviso de cookies que informe al usuario o visitante qué datos está recopilando y por qué, al tiempo que brinda la opción de aceptar o rechazar.

Introducción al cumplimiento técnico del RGPD

Cumplir con el RGPD requiere esfuerzos tanto técnicos como operativos. Si bien sus obligaciones dependerán de su configuración y circunstancias específicas, los conceptos básicos tienden a ser los mismos. Éstos incluyen:

  • Fortalecer el servidor web de WordPress
  • Fortalecer PHP para la seguridad de WordPress
  • Fortalecer el sitio web de WordPress

Una política sólida de contraseñas de WordPress es otro aspecto crucial del cumplimiento de GDPR, ya que garantiza una mejor seguridad general de la cuenta. Puede implementar esto fácilmente con WPassword, que incluye muchas opciones de seguridad de contraseña de WordPress para mantener su WordPress seguro. Del mismo modo, habilitar 2FA en WordPress puede acercarlo a cumplir con GDPR, con muchos estudios que muestran cuán efectivo puede ser 2FA para detener la mayoría de los ataques.

Una cosa a tener en cuenta es que la seguridad de WordPress es un proceso iterativo: no es algo que se configura una vez y se olvida, sino que necesita monitoreo y ajustes constantes para garantizar que se mantenga fuerte a medida que la tecnología evoluciona.

Complementos de WordPress para ayudarlo a lograr el cumplimiento de GDPR

La optimización de GDPR no tiene por qué ser engorrosa. Gracias a los complementos de WordPress, puede asegurarse fácilmente de cumplir con todas sus obligaciones. Tenga en cuenta que ningún complemento por sí solo puede garantizar el cumplimiento total. Dado que los requisitos pueden variar de un sitio web a otro, depende de usted asegurarse de cumplir con todos los requisitos legales. En caso de duda, consulte con un abogado/abogado.

Cookieyes se enfoca en ayudar a los propietarios de sitios a lograr el cumplimiento de las cookies de acuerdo con los requisitos de GDPR. Además, también admite el cumplimiento de aCCPA, CNIL y LGDP.

Complianz se etiqueta a sí mismo como la suite de privacidad para WordPress y ofrece un conjunto integral de herramientas que incluye avisos de cookies, páginas legales, registros de consentimiento y muchas otras características. MonsterInsights es un complemento listo para GDPR que le permite hacer que Google Analytics cumpla con GDPR. Ofrece muchas otras características no relacionadas con GDPR, incluidos análisis y seguimiento.

WPassword le permite implementar políticas de contraseñas para sus usuarios, asegurando que se utilicen contraseñas seguras. Tener contraseñas seguras de WordPress minimiza el riesgo de infracciones, lo que garantiza que los datos de los usuarios se mantengan siempre seguros.

WP Activity Log mantiene un registro de actividad del usuario y del sistema en sus sitios web de WordPress, registrando quién hizo qué y cuándo. También incluye un módulo de sesión de usuario para ayudarlo a administrar mejor las sesiones de usuario.

WP 2FA le permite implementar fácilmente 2FA en su sitio web de WordPress, un requisito de GDPR y otros estándares y regulaciones, incluido PCI DSS. Ofrece múltiples canales de autenticación para ayudarlo a incorporar a todos los usuarios.

Cómo elegir los complementos de GDPR

Funciones : los complementos vienen en diferentes formas y tamaños con diferentes conjuntos de funciones y a diferentes precios. Si bien los complementos gratuitos siempre son agradables, los complementos premium tienden a tener más funciones comerciales, que su sitio web puede encontrar críticas para su éxito.

Integración : deberá asegurarse de que cualquier complemento que elija pueda funcionar con su tema de WordPress y cualquier complemento de terceros que pueda estar ejecutando, como complementos de formulario de contacto. Los mejores complementos de WordPress siempre se prueban con los principales complementos de terceros, lo que garantiza una implementación más fluida en la mayoría de los casos.

Precios : la mayoría de los complementos vienen en una versión premium y una versión gratuita. En la mayoría de los casos, la versión gratuita ofrecerá una funcionalidad básica, mientras que la versión premium incluirá complementos que pueden o no ser importantes para su sitio web y negocio. Las versiones gratuitas se pueden descargar desde el repositorio oficial de WordPress en WordPress.org, y los complementos premium generalmente se descargan desde el sitio web del fabricante.

Soporte : a veces, las cosas se rompen y, cuando lo hacen, contar con un buen soporte es crucial para minimizar el tiempo de inactividad. Esto puede ser en forma de soporte por correo electrónico, documentación y preguntas frecuentes sobre el RGPD para ayudarlo a obtener respuestas rápidas a preguntas importantes. También puede ayudarlo a asegurarse de que haya ayuda disponible en caso de que la necesite en cualquier momento.

Preguntas frecuentes

¿Qué significa WP RGPD?

WP GDPR es un acrónimo que significa Reglamento General de Protección de Datos de WordPress. Se refiere al cumplimiento de GDPR en los sitios web de WordPress, lo que requiere una buena comprensión tanto de GDPR como de los datos de usuario que recopila de los visitantes y usuarios del sitio web.

¿Cumple WordPress con el RGPD?

WordPress ofrece funciones compatibles con GDPR; sin embargo, esto no necesariamente hace que todos los sitios web de WordPress cumplan con GDPR. Dependiendo de cómo configure su sitio web de WordPress, para qué lo use y los datos que recopile, es posible que deba tomar medidas adicionales para lograr el cumplimiento de GDPR.

¿Cómo hago para que WordPress cumpla con el RGPD?

Debe hacer varias cosas para que su WordPress cumpla con GDPR. Desafortunadamente, no existe una fórmula única que se aplique a todos, ya que los sitios web de WordPress pueden ser drásticamente diferentes entre sí. Consulte nuestro artículo para comprender cuáles son sus responsabilidades y qué pasos debe seguir para lograr el cumplimiento del RGPD.