Ecommerce

Cómo adaptar tu tienda en WooCommerce al RGPD

15/06/2018

Desde el día 25 de mayo de 2018 se está aplicando el Reglamento General de Protección de Datos, o RGPD (GDPR en inglés).
Incumplir con el RGPD puede suponer sanciones de hasta 20 millones de euros o el 4% de la factura anual, la cantidad que sea mayor, por lo que si ofreces servicios o productos a habitantes europeos, más vale que tengas la web adaptada al RGPD, y si no es así te recomendamos que cambies esto cuanto antes.

Esta es la segunda parte de la serie de artículos que tratan sobre el RGPD y cómo adaptar distintos tipos de webs en WordPress a él.
En esta segunda parte vamos a explicarte qué cambios debes hacer en tu WooCommerce para adaptarlo al RGPD.

Si estas planteándote en montar una tienda online, sigue nuestra guía para aprender cómo montar una tienda online con WooCommerce.
Si quieres saber más sobre el RGPD visita la primera parte de esta serie de artículos, en la que explicamos cómo adaptar un blog en WordPress al RGPD.
Hemos tratado de hacer una estructura similar entre la primera parte y la segunda para que te sea más fácil seguir las explicaciones, por lo que te recomendamos encarecidamente que tomes la primera parte como referencia en las explicaciones de cada apartado.

1.- Resumen RGPD

El RGPD es una normativa europea que regula la protección y el correcto tratamiento de los datos del consumidor, aportándole a éste un mayor control sobre el tratamiento de sus datos personales.

El RGPD afecta a cualquier tienda que ofrezca servicios a ciudadanos europeos, independientemente de dónde esté ubicada la tienda o de la nacionalidad y ubicación del propietario de dicha tienda.

Cuando vayas a guardar un dato personal de un usuario, éste deberá consentirlo de forma explícita. La forma más sencilla es habilitar una check box que el usuario deberá marcar para dar su consentimiento; esta check box no deberá estar marcada por defecto en ningún caso. Hay más métodos, pero éste es el que mejor refleja el consentimiento del usuario. Además, no puedes utilizar los datos de los usuarios para otro fin que no sea aquél que haya aceptado el usuario.

2.- ¿Qué debo corregir en mi tienda en WooCommerce para cumplir con el RGPD?

No vamos a profundizar demasiado en los detalles del RGPD, puesto que ya lo hicimos en la primera parte, en el artículo sobre cómo adaptar un blog en WordPress al RGPD.
Lo principal que debes saber respecto al RGPD es que si eres el dueño de una tienda en WooCommerce, tienes la obligación de saber qué datos recoges, cómo lo haces, dónde los almacenas, durante cuánto tiempo y con qué objetivo. También debes informar a los usuarios sobre los datos personales que recoges, por qué los recoges y durante cuánto tiempo los vas a guardar.

2.1.- Opciones de privacidad

Puedes configurar el comportamiento de WooCommerce con respecto a la Política de Privacidad. Para ello ve a WooCommerce > Ajustes > Cuentas y privacidad.
En la sección Solicitudes de borrado de cuenta puedes indicar si quieres que se eliminen los datos personales de los pedidos o el acceso a las descargar a los usuarios que eliminan su cuenta.
En la sección de Política de privacidad puedes definir la página de Política de Privacidad, la coletilla legal que se muestra al usuario cuando se registra y la coletilla legal que se muestra al realizar un pedido.

Configurar privacidad

Configuración de la privacidad en WooCommerce

En la sección de Conservación de datos personales puedes definir el tiempo de conservación de los datos personales. Es importante que estos datos se correspondan con lo que indicas en tu Política de Privacidad.

La versión actual de WooCommerce permite borrar los datos de los usuarios eliminados, pedidos pendientes, cancelados o fallidos, ya que de no borrarlos, estarías incumpliendo con el RGPD, por que se estarían guardando datos que no deberían guardarse, y además de forma indefinida. A menos claro que lo indiques claramente y el usuario dé su consentimiento explícito.

Conservación de datos personales

Conservación de los datos personales que no es necesario procesar, en WooCommerce

2.2.- Textos legales

Además de la Política de Privacidad y la Política de Cookies, es recomendable que tengas una página para los Términos y Condiciones. Las siglas en inglés son T&C, o ToS (Terms of Services).
Las páginas de Política de Privacidad y Política de Cookies deben ser vistas desde TODAS las páginas (lo más sencillo es insertarlas en el footer), pero la página de Términos y Condiciones, si existe, debe ser accesible, al menos, desde la página en la que se hace el pago.
En la página de Términos y Condiciones, sería recomendable poner un enlace a la Política de Privacidad.

Puedes descargar los textos legales personalizados para tu web en Guardatum.com.
Tras crear las páginas de los textos legales, edita el footer y añade enlaces a las páginas de Política de Privacidad y Política de Cookies (si la hay).

2.2.1.- Términos y Condiciones

Para definir los términos y condiciones, primero crea una página (Páginas > Añadir nueva), y luego ve a WooCommerce > Ajustes > Avanzado y selecciona la página de Términos y Condiciones que hayas creado.

TyC

Seleccionar página de Términos y Condiciones en WooCommerce

Una vez seleccionada la página de Términos y Condiciones, al hacer un pedido aparecerá una check box en la que se requerirá aceptar los Términos y Condiciones de la web para poder hacer el pago.

Check box terminos y condiciones

Check box para aceptar los Términos y Condiciones

2.3.- Formularios

Ya hemos explicado cómo deben ser los formularios. Ahora vamos a explicar cómo hacerlos.

2.3.1.- Adaptar página de pago (finalizar compra, o checkout)

Vamos a mostrarte cómo añadir la check box para aceptar la Política de Privacidad en la página de pago.
Hay varios métodos para realizar esto, pero vamos a ir al más sencillo. Primero instala y activa el plugin WP GDPR Compliance. Luego ve a la configuración del plugin y actívalo para WooCommerce. Para ir a la configuración del plugin ve a Herramientas > WP GDPR Compliance.

WP GDPR Compliance

Habilitar check box en el formulario de finalizar compra con el plugin WP GDPR Compliance

Para activar el plugin para WooCommerce desliza la casilla que pone Activar, arriba a la derecha, y se abrirá un desplegable con casillas en las que puedes personalizar los mensajes. En la primera casilla Texto de la casilla de selección, debes poner el mensaje que se mostrará junto a la check box. En la segunda casilla debes indicar el mensaje de error que aparecerá si se trata de realizar la compra sin marcar la check box.

En el ejemplo puedes ver que se muestra el mensaje He leído y acepto la Política de Privacidad junto a un enlace a la Política de Privacidad. Hay varias formas de meter la coletilla legal, y la forma dependerá del diseño que quieras:

2.3.1.1.- Añadir coletilla legal a la check box

Si pones la coletilla legal en la casilla Texto de la casilla de selección , la página de compra será similar a esto:

Check box 1

Check box y coletilla legal con el plugin WP GDPR Compliance

Con este método, puedes utilizar etiquetas como <a class="" href="" target="" rel=""> <br> <strong> <u> <span class="">, por lo que puedes definir una clase con el estilo que quieras darle y aplicarlo.

Como ejemplo, vamos a poner esta clase en el fichero CSS:

span.info {
margin-left:20px;
font-size:95%;
font-weight:normal;
font-style:italic;
}

Y en el plugin, ponemos esta línea:

He leído y acepto la <a href="https://www.example.com/politica-de-privacidad">Política de Privacidad</a>.<br><span class="info">Guardamos sus datos para poder identificarle y para saber dónde enviar nuestros productos. Sus datos se almacenarán hasta que elimine su cuenta o ejerza el derecho de borrado sobre sus datos.</span>

Y obtendremos lo siguiente:

Check box 1.1

Check box y coletilla legal con el plugin WP GDPR Compliance tras editar los estilos con CSS

2.3.1.2.- Editar la página de finalizar compra

Puedes introducir la coletilla legal al editar la página de finalizar-compra, como en la siguiente imagen.

Editar página finalizar compra

Página de finalizar compra editada para agregar coletilla legal

El resultado es el siguiente:

Coletilla legal

Coletilla legal al editar la página de finalizar compra

2.3.1.3.- Política de Privacidad de WooCommerce

Este es el método más óptimo, y que además es el que viene de forma predeterminada. Ve a WooCommerce > Ajustes > Cuentas y privacidad y pon la coletilla legal en la casilla Política de privacidad al finalizar compra.

Coletilla legal

Coletilla legal con el plugin WooCommerce

El resultado es el siguiente:

Coletilla legal

Coletilla legal con el plugin WooCommerce

Por defecto incluye una coletilla legal, así que si no quieres mostrarla aquí, deja la casilla en blanco.

2.3.1.4.- Editar código

Esta es la menos recomendable, ya que no sólo es necesario tocar código del plugin de Woocommerce, sino que si hay alguna actualización del plugin se perderán los cambios.
Para hacerlo igual que en el ejemplo, debes editar el fichero wp-content/plugins/woocommerce/templates/checkout/payment.php e insertar la coletilla antes del botón de Realizar pedido. El código para este botón es:

<?php echo apply_filters( 'woocommerce_order_button_html', '<button type="submit" class="button alt" name="woocommerce_checkout_place_order" id="place_order" value="' . esc_attr( $order_button_text ) . '" data-value="' . esc_attr( $order_button_text ) . '">' . esc_html( $order_button_text ) . '</button>' ); // @codingStandardsIgnoreLine ?>

Coletilla legal

Coletilla legal editando el código del plugin WooCommerce

El resultado es el siguiente:

Coletilla legal

Coletilla legal tras editar el código del plugin WooCommerce

Recuerda que puedes aplicar estilos cuando quieras, por lo que utiliza la forma que más te guste y modifícalo para dejar la coletilla legal como quieres.

Si un usuario intenta comprar sin aceptar la Política de Privacidad ni los Términos y Condiciones, saldrán los siguientes mensajes de error:

Error check boxes

Error al no seleccionar ninguna de las check boxes

2.3.2.- Adaptar registro de usuarios

Puedes permitir o denegar a los usuarios hacer pedidos sin tener una cuenta o también puedes permitir que los usuarios se registren. Ve a WooCommerce > Ajustes > Cuentas y privacidad y marca o desmarca las casillas en función de qué opciones quieres darle a los usuarios.

Opciones de cuentas y privacidad

Opciones de pago y de creación de cuenta

A continuación vamos a ver cómo queda la Política de Privacidad en el formulario de registro de los usuarios.
Para utilizar la forma que ofrece WooCommerce, ve a Ve a WooCommerce > Ajustes > Cuentas y privacidad y pon la coletilla legal en la casilla Política de privacidad en el registro.

Coletilla legal

Coletilla legal en el registro de los usuarios con el plugin WooCommerce

La página de registro queda así:

Coletilla legal

Coletilla legal con el plugin WooCommerce

Para cambiar la forma de poner esta coletilla es exáctamente igual que antes. El plugin WP GDPR Compliant no permite personalizar este mensaje, por lo que para añadir la coletilla legal a la check box, es necesario editar el código del fichero
wp-content/plugins/woocommerce/templates/myaccount/form-login.php.
Para poner la coletilla después del botón, se debe editar la página finalizar-compra.

2.3.3.- Adaptar valoraciones

Es recomendable añadir una check box en las valoraciones para que los usuarios acepten de forma explícita que sus datos se van a guardar. Para añadir una check box en los comentarios, ve a la configuración del plugin WP GDPR Compliance (Herramientas > WP GDPR Compliance) y en la primera pestaña, activa la check box de Comentarios de WordPress. Añade la coletilla legal y el mensaje de error y guarda los cambios.

WP GDPR Compliance

Habilitar check box en las valoraciones y los comentarios con el plugin WP GDPR Compliance

El resultado es el siguiente:

Check box en las valoraciones con el plugin WP GDPR Compliance, tras editar las CSS

Si quieres que sólo los usuarios registrados que hayan comprado el producto puedan valorarlo, ve a WooCommerce > Ajustes > Productos y en la primera pestaña, General, en la sección Activa las valoraciones, activa la casilla Las reseñas solo las pueden dejar "propietarios verificados".

Limitar valoraciones

Limitar las valoraciones a usuarios registrados que hayan adquirido el producto

Si alguien que no esté registrado y que no haya comprado el producto intenta dejar una valoración, se encontrará con este mensaje:

Mensaje de error

Mensaje que se muestra en las valoraciones a los usuarios que no están registrados

Y si alguien registrado que haya comprado el producto quiere valorarlo, se encontrará así:

Valoración

Valoración para los usuarios registrados

2.3.4.- Adaptar comentarios

Si permites comentarios en alguna página, también deberías habilitar la check box para aceptar la Política de Privacidad e incluir la coletilla legal. Si has añadido la check box y la coletilla legal en las valoraciones, ya tendrás los comentarios adaptados al RGPD.

Check box en los comentarios

Check box en los comentarios con el plugin WP GDPR Compliance

Como ya comentamos en la primera parte de esta serie de artículos, tras la versión de WordPress 4.9.6 (adaptación al RGPD), hay una nueva casilla que da al usuario la posibilidad de rechazar las cookies que guardan el nombre, el email y la web al escribir un comentario; sin embargo, estos datos se guardan en base de datos independientemente de que se hayan aceptado o rechazado las cookies.

2.4.- Boletines

Esta parte es exactamente igual que en la primera parte. Si quieres saber más échale un vistazo al post sobre cómo adaptar un blog en WordPress al RGPD, concretamente al apartado 4.3.

2.5.- Plugins

Como ya dijimos en la primera parte de la serie, debes asegurarte que los plugins cumplen con el RGPD. Esta advertencia se debe a que muchos plugins almacenan muchos más datos de los necesarios, siendo muchos de ellos datos personales, como la IP o el email.
En la primera parte recomendamos analizar las bases de datos para identificar las tablas que guarden datos personales, y una vez identificadas, comprobar a qué plugin pertenecen y si estos datos son necesarios para el correcto funcionamiento.
Un ejemplo de esto se puede dar en el plugin Omega Instant Search For WooCommerce, que guarda todos los datos de los clientes y ni siquiera da opción de evitar esto. Esto se debe a que almacena e indexa todo el contenido disponible, incluyendo datos de otras tablas más sensibles.

Plugin Omega Search

Dashboard del plugin Omega Search

Si encuentras un plugin que de un modo u otro gestiona datos personales de los usuarios, debes hacer que sí cumpla con el RGPD. Si el plugin guarda información personal de los usuarios, deberás informar de los datos que se guardan, para qué se usan y durante cuánto tiempo los vas a guardar. Debes intentar evitar que el plugin guarde los datos comprometidos si es posible y no afecta a su funcionamiento, o borrarlos de forma programada (deberás informar de ello en la Política de Privacidad). Si ese plugin es un "puente" a un servicio externo, deberás informar a los usuarios de que un tercero tiene acesso a sus datos (por ejemplo un plugin de métricas o uno de gestión de suscripciones, como mailchimp).
Si no te es posible hacer que el plugin cumpla con el RGPD o consideras que el plugin no merece la pena el esfuerzo, desinstálalo y borra las tablas problemáticas.

Si quieres saber más échale un vistazo al apartado de plugins de la primera parte de la serie, cómo adaptar un blog en WordPress al RGPD, apartado 4.4.

2.6.- Bases de datos

Ya sabes que debes informar al usuario en todo momento de qué datos recoges, para qué fin los vas a utilizar y durante cuánto tiempo los vas a guardar. Por este motivo debes auditar los datos que recoges, para saber exáctamente qué datos recoges y cómo lo haces. Ya has visto en el apartado anterior que ciertos plugins guardan información sensible, y que en muchos casos ni siquiera la necesitan. Con el RGPD esto no puede ocurrir, es decir, no puedes recoger más datos de los que necesites. Además de esto, como ya sabes, los usuarios deben dar su consentimiento, o de lo contrario no podrás recoger estos datos.

Para ampliar esta información, visita el post cómo adaptar un blog en WordPress al RGPD, apartado 4.5.

2.6.1.- Ataque a las bases de datos

Debes asegurar la información personal de los usuarios frente a ataques de terceros. Si un tercero consigue acceder a la información personal de los usuarios, debes informar a los usuarios afectados, así como a las autoridades competentes, como la Agencia Española de Protección de Datos (AEPD), la Autoritat Catalana de Protecció de Dades (APDCAT) y la Agencia Vasca de Protección de Datos (AVPD) en un plazo máximo de 72 horas.

2.7.- Estadísticas

Las estadísticas deben anonimizar la ip (que es el dato que suelen utilizar para hacer las métricas) para que no sea capaz de identificar a un usuario. Ésto también lo explicamos en la primera parte de la serie, en el artículo de cómo adaptar un blog en WordPress al RGPD, apartado 4.5.1.

2.8.- Copias de seguridad

Las copias de seguridad también son susceptibles de incumplir con el RGPD, por eso lo más recomendable es ir borrando las copias antiguas regularmente.
Es muy importante que hagas copias de seguridad de forma regular, y más tratándose de una tienda online. El intervalo de tiempo y la cantidad de backups que se guardan depende de tí y de tu tienda.

Backup

Si eres cliente de nuestro Hosting WordPress Administrado, tendrás un total de 42 backups, que corresponden a un backup cada 4 horas que se conservan durante 7 días.

2.9.- Evaluaciones de impacto sobre la privacidad

Si tienes un gran volumen de ventas con cientos o incluso miles de usuarios, es probable que necesites realizar una evaluación de impacto sobre la privacidad. Esta evaluación es un análisis de los posibles riesgos que puede haber en el tratamiento de los datos personales de los usuarios, y listar posibles medidas que puedes implementar para minimizar o eliminar los riesgos de seguridad. Si crees que tienes que hacer el informe, lo mejor es acudir a un profesional que te asesore.

Si por el contrario, no tienes un gran volumen de ventas o muchos usuarios, esto es, que no guardas una gran cantidad de datos, no es necesario que realices esta evaluación.

2.10.- Cookies

Si tu tienda utiliza cookies que guarden información personal, deberás informar de ellas en tu Política de Cookies. Debes poner qué cookies son las que guardan estos datos y para qué se utilizan.

Lista de Cookies

Cookies de www.example.com

Al entrar en la web, deberás mostrar un aviso indicando que tu sitio web tiene cookies y para qué se usan, y el usuario debe ser capaz de aceptar o rechazar esas cookies.
No es necesario añadir el botón de rechazar las cookies, pero sí debes tratar de evitar que se generen cookies que recojan información personal antes de que el usuario acepte la Política de Cookies.

Aviso Cookies

Aviso del uso de cookies en www.example.com

Si quieres más información ve al post sobre cómo adaptar un blog en WordPress al RGPD, apartado 4.8.

2.11.- Derechos del usuario

Ya sabes que para recoger cualquier dato personal de un usuario, éste tiene que darte su consentimiento explícito. Lo que no sabes todavía, es que los usuarios pueden cambiar de opinión en cualquier momento, y que tú debes adaptarte a sus decisiones.
La lista de derechos que tienen los usuarios, que además deberás garantizar, son los siguientes:

  • Derecho de acceso
  • Derecho de rectificación
  • Derecho al olvido
  • Derecho a la limitación del tratamiento
  • Derecho a la portabilidad de los datos
  • Derecho de oposición
  • Derecho a no ser objeto de decisiones individualizadas

Para más información, visita el artículo anterior de la serie: cómo adaptar un blog en WordPress al RGPD, apartado 4.9.

2.12.- Cambiar HTTP por HTTPS

Ya indicamos en la primera parte de la serie que no es obligatorio el uso del protocolo HTTPS, pero sí es recomendable, ya que estás cifrando la conexión entre el navegador del usuario y el servidor web, con lo cuál añades una capa extra de seguridad.

HTTPS

En nuestro Hosting WordPress Administrado, ofrecemos un certificado de Let's Encrypt y habilitamos HTTPS por defecto en todos los planes.

3.- Conclusión

Si ya tienes una tienda online que cumple con la LOPD, los cambios que debes implementar son mínimos. Eso sí, debes comprobar cómo recogiste los datos que tienes almacenados, pues si los recogiste de forma que incumpla con el RGPD (sí, la recolección de datos personales es retroactiva), debes borrar dichos datos.

Si estás pensando en montar una tienda online, o si quieres adaptar una ya existente, debes tener presente que no puedes recoger más datos de los necesarios, sólo puedes recogerlos cuando el cliente dé su consentimiento explícito y además deberás informarle de qué datos recoges, para qué se van a usar (y no pueden usarse para otro fin distindo de éste) y durante cuánto tiempo los vas a almacenar.

También deberás proporcionar herramientas para que los usuarios puedan ejercer sus derechos sobre sus datos. Si no puedes proporcionar ningún automatismo, al menos debes ser capaz de cumplir con las peticiones de los usuarios manualmente, por lo que deberás informar que dichas peticiones se soliciten por correo o cualquier otro medio.
Si un usuario solicita ejercer uno de sus derechos, tienes un plazo de 30 días para contestar al usuario, de lo contrario estarás incumpliendo con el RGPD.

En cuanto a las medidas técnicas que debes implementar en tu tienda, está el cambiar los textos legales, incluir la coletilla legal y check boxes en todos los formularios (u otro método que el cliente pueda aceptar o rechazar), informar de las cookies que recojan datos personales y bloquearlas si el cliente no acepta su uso. WooCommerce ha hecho un esfuerzo para adaptarse al RGPD, y una de las medidas ha sido darte la opción de programar la "caducidad" de los datos personales cuando ocurren ciertos eventos (un carro abandonado, pedido cancelado, etc.).

Proteger los datos de los clientes y tratar de anonimizar aquellos que utilices para un fin concreto (como las métricas).
Si sabes o sospechas que los datos de los clientes han podido ser robados, debes informar a los afectados (y si no sabes exáctamente quienes son los afectados, deberás informar a todos) en un plazo máximo de 72h.

[kkstarratings]

¿Nos ayudas a mejorar la calidad del blog?
Déjanos una valoración sobre este post para poder seguir mejorando
1 estrella2 estrellas3 estrellas4 estrellas5 estrellas (Ninguna valoración todavía)
Cargando...

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *


* Campo obligatorio.