Seguridad

Cómo adaptar un blog en WordPress al RGPD

25/05/2018

Como ya sabes, ya se está aplicando el Reglamento General de Protección de Datos, o RGPD (GDPR, en inglés).
A estas alturas ya deberías tener tu negocio online o blog adaptado a la nueva normativa, así que hazlo rápido si no es tu caso.
La nueva normativa, que entró en vigor el 25 de mayo de 2018, es de obligado cumplimiento, y el incumplimiento del RGPD supondrá sanciones importantes.

Esta es la primera parte de la serie de artículos que tratan sobre el RGPD y cómo adaptar distintos tipos de webs en WordPress a él.
A continuación vamos a explicarte qué debes cambiar en tu blog para adaptarlo al RGPD. Este artículo está orientado a un blog, pero te puede ayudar con cualquier otro tipo de web.

1.- ¿Qué es el RGPD y cuándo entra en vigor?

El Reglamento General de Protección de Datos es la normativa europea que regula la protección y el correcto tratamiento de los datos del consumidor. Esta normativa se aprobó en 2016, y durante 2 años ha estado conviviendo con la Ley Orgánica de Protección de Datos (LOPD) hasta su aplicación el 25 de Mayo de 2018.
Con esta normativa los usuarios tendrán mayor control sobre el tratamiento de sus datos personales.

2.- ¿A quién afecta?

El RGPD afecta a cualquier entidad (incluyendo a personas físicas) que trate datos de carácter personal, tanto dentro como fuera de Europa. Esto incluye cualquier tipo de web, como por ejemplo una tienda online o un blog. Aunque creas que no te afecta, más vale que te asegures, pues simplemente con ofrecer un servicio de envío de una newsletter, ya estás tratando datos de carácter personal.

Si tu web ofrece servicios fuera de Europa, pero dichos servicios pueden aplicarse a ciudadanos europeos, tienes la obligación de adaptar tu web al RGPD. Si éste es tu caso, trata de aplicar las medidas necesarias para que se beneficien de ella todos los usuarios, vengan de donde vengan.

3.- ¿Qué tipos de sanciones hay?

No hay datos en los que se indique qué sanción se aplica a cada infracción, lo que sí se ha dicho, y es por esta razón por la que mucha gente entra en pánico, es que si no se cumples con el RGPD puedes ser sancionado con multas considerables.
En el caso de las sanciones graves, estas multas pueden llegar a ser de hasta 10 millones de euros o un 2% de los ingresos anuales, y en el caso de las muy graves, de hasta 20 millones de euros o un 4% de la facturación anual, aplicándose en ambos casos la multa de mayor cuantía.

4.- ¿Qué debo corregir en mi blog para cumplir con el RGPD?

Si eres dueño de un blog, tienes la obligación de saber qué datos recoges y cómo lo haces, dónde los almacenas, durante cuánto tiempo y con qué objetivo.
Debes informar a los usuarios qué datos almacenas de ellos, durante cuánto tiempo y con qué objetivo. Los usuarios tienen, entre otros, el derecho de ver, modificar, borrar o traspasar sus datos en cualquier momento.

Es importante que sepas que los datos que recoges de los usuarios no son tuyos, sino que son de los usuarios, por lo que debes protegerlos y usarlos para fines legítimos, informando siempre a los usuarios de qué vas a hacer con sus datos.

En este apartado vamos a explicar qué cambios debes hacer en tu blog para cumplir con el RGPD. Durante las explicaciones, vamos a mostrar ejemplos de los cambios aplicados en un blog para ayudar a que te orientes. Antes de comenzar debes saber que la mejor forma de saber si cumples con el RGPD es contratando un abogado que te asesore en el proceso.
Dicho esto, vamos a comenzar.

4.1.- Textos legales

Las páginas donde se encuentran los textos legales, que son la Política de Privacidad, que sustituye y amplía el Aviso Legal, y la Política de Cookies, deben ser accesibles desde TODAS las páginas de nuestra web. La solución más sencilla es meter enlaces a dichas páginas en el footer.
Si no utilizas cookies o éstas no recogen datos personales, puedes indicarlo en la Política de Privacidad y omitir la Política de Cookies.

La redacción de estos textos debe ser sencilla e inteligible. Puedes descargar los textos legales personalizados para tu web en guardatum.com.

4.2.- Formularios

Los formularios deberán tener una check box (hay más métodos, pero éste es el más sencillo) para que el usuario indique claramente que está de acuerdo con la Política de Privacidad. Esa check box no debe estar marcada por defecto bajo ningún concepto, por lo que debe ser el usuario el que la marque de forma explícita.

Otro detalle que debes saber es que no se podrán recoger datos hasta que el usuario dé su consentimiento explícito, es decir, hasta que el usuario no marque la check box.
Además de la check box, se deberá incluir un extracto de la Política de Privacidad en los formularios, indicando al menos qué datos recoges, para qué los vas a usar, durante cuánto tiempo los vas a guardar, y si un tercero gestiona los datos, también deberás indicarlo; a esto se le conoce como coletilla legal. También debes poner un enlace a la Política de Privacidad de tu web.

En las siguientes capturas podrás ver la diferencia entre el formulario que hay en los comentarios antes y después de ser adaptados al RGPD.

Comentar en un post

Comentarios antes de preparar los cambios para el RGPD.

Comentar en un post

Comentarios después de preparar los cambios para el RGPD.

Como puedes ver en la segunda captura, hay dos check boxes nuevas.

La primera la inserta WordPress, y sirve para guardar una cookie en el navegador del usuario con el nombre y el correo electrónico (el sitio web no, debido a que no lo pedimos). Si no se marca, no se guarda la cookie, aunque haciendo esto no verás tu comentario hasta que el administrador del sitio lo apruebe (si se marca sí lo verás, pero el resto de usuarios no hasta que se apruebe). Este cambio se implementó en la actualización de WordPress 4.9.6 (adaptación al RGPD).

La segunda, es una check box que requiere de la aceptación de la Política de Privacidad, y además incluye la coletilla en la que se indica qué datos se recogen (nombre y correo), para qué se van a usar (diferenciar entre los usuarios), y durante cuánto tiempo se van a almacenar (hasta que el usuario ejerza sus derechos sobre sus datos).

4.3.- Boletines

Debes saber que no se permite enviar correos, SMS ni ningún otro tipo de mensaje si el usuario no ha solicitado dichos mensajes de forma explícita, es decir, que haya marcado un check box, por ejemplo, indicando que quiere recibir dichos mensajes. Además esa check box (o el método que se utilice), al igual que en los formularios, no debe estar marcada por defecto bajo ningún concepto.

A continuación te mostramos un ejemplo para que veas la diferencia entre dos formularios antes y después de ser adaptados al RGPD. Los formularios del ejemplo son los formularios de suscripción a una newsletter.

Newsletter

Suscripción antes de aplicar los cambios del RGPD.

Newsletter

Suscripción tras aplicar los cambios del RGPD.

Al margen del cambio de diseño que hay de por medio, la diferencia entre ambos es en la segunda captura, el formulario pide que se acepte la Política de Privacidad y e incluye la coletilla legal.

Newsletter

Suscripción antes de aplicar los cambios del RGPD.

Newsletter

Suscripción tras aplicar los cambios del RGPD.

La diferencia, al igual que en el primer formulario, es que en la segunda captura se pide que se acepte la Política de Privacidad y se incluye la coletilla legal.

4.4.- Plugins

Este es un tema importante, pues debes cumplir con el RGPD. pero también debes asegurarte que lo cumplen las empresas con las que te asocies. Y esto incluye los plugins. Debes comprobar si todos los plugins que utilizas cumplen con el RGPD.

Una buena forma es analizar las bases de datos que tienes, ver qué guardan e identificar las bases de datos problemáticas con el plugin asociado. También es recomendable ver las configuraciones de los plugins para ver si te permiten modificar qué datos se recogen, el tiempo que se almacenan o si se pueden anonimizar.

Hay ciertos plugins que puedes configurarlos de forma que cumplan con el RGPD, a pesar de que por defecto no lo hagan. Y otros plugins no permiten esa configuración, por lo que lo recomendable es eliminar esos plugins. Muchos plugins guardan en base de datos muchos datos personales, como la IP, nombre, email, etc. por lo que debes tener cuidado, pues un plugin que a primera vista parece inofensivo puede ser el causante de que no cumplas con el RGPD.

Hemos probado el plugin WP Comment Policy Checkbox que sirve para meter la check box en los comentarios, aunque no lo recomendamos ya que no ayuda a cumplir con el RGPD debido a que no permite de ningún modo incluir la coletilla legal. Se puede hacer hardcodeando la coletilla en el código del plugin, pero al actualizar el plugin se pierden los cambios.
Para los formularios, se puede incluir la check box y la coletilla legal en el formulario del plugin Contact Form 7.

Un plugin bastante útil que te puede servir es WP GDPR Compliance. Con él puedes insertar una check box en los formularios y en los comentarios indicando que deben aceptar la Política de Privacidad.

WP GDPR Compliance

Plugin para integrar check box en formularios y comentarios.

En la imagen anterior puedes ver cómo meter las check boxes en los formularios y en los comentarios, junto al mensaje que quieres que tenga la check box.
En el Texto de la casilla de selección debes poner que se acepta la Política de Privacidad e incluir la coletilla legal, es decir, qué datos recoges, para que los vas a usar, durante cuánto tiempo los vas a almacenar, y si hay un tercero que vaya a gestinar los datos (Como Mailchimp, por ejemplo), debes indicarlo.
En Mensaje de error debes poner el mensaje que se le mostrará al usuario si trata de enviar el formulario sin aceptar la Política de Privacidad.

Este plugin no permite introducir directamente código html en el mensaje de los formularios (en los comentarios sí), por lo que para introducir un enlace a la página de Política de Privacidad, deberás ponerlo directamente en el formulario del plugin Contact Form 7.

WP GDPR Compliance

Check list para comprobar si una web cumple con el RGPD.

En la imagen anterior puedes ver una check list que te ayudará con tu objetivo de cumplir con el RGPD. Esta check list no hace nada, simplemente te informa que debes hacer que los usuarios acepten la Politica de Privacidad dependiendo de las funciones que tiene tu web.

4.5.- Bases de datos

Si utilizas los datos de los usuarios para algún fin, los usuarios deben darte su consentimiento explícito. Si no todos los usuarios de tu blog quieren que sus datos sean tratados para algún fin, deberás llevar la cuenta de qué usuarios sí han accedido y qué usuarios no. Recuerda que los usuarios pueden cambiar esta decisión en cualquier momento.
Un ejemplo que te ayudará a entender esto es: tienes un blog en el que se pueden registrar los usuarios, por lo que tendrás los datos de todos los usuarios registrados. Si quieres utilizar esos datos para otro fin, pongamos un sorteo entre los usuarios registrados (se cogen todos los emails de los usuarios y de ahí se saca el ganador), deberás pedir el consentimiento a los usuarios de utilizar sus datos, y sólo podrás utilizar aquellos que hayan dado su consentimiento (como ya hemos comentado, debes registrar ese consentimiento).
Otra regla es que no debes almacenar más datos de los estrictamente necesarios para llevar a cabo la actividad en cuestión. Si los datos dejan de tener utilidad en algún momento, deberás borrarlos.

Para cumplir con esto, debes ser tú quien audite qué datos recoges y cómo lo haces. Como ya hemos comentado en el apartado anterior, hay muchos plugins que guardan más datos de los necesarios, por lo que deberás configurar los plugins para que no guarden en base de datos más de lo necesario y eliminar aquellos plugins que no cumplan con el RGPD y que además que no permitan configurar lo que guardan.

Bases de datos

Lo ideal sería cifrar los datos sensibles en las bases de datos, pero WordPress no lo permite de forma nativa, aunque hay ciertos plugins que permiten anonimizar algún dato.

4.5.1.- Estadísticas

Hay muchos plugins que guardan datos relacionados con las visitas, principalmente la IP. Hay mucha controversia con respecto a si se pueden almacenar las IPs o no. Bien, según el RGPD, se considera que las IPs son información personal en el momento en que pueden ser utilizadas para identificar al propietario de dicha IP.

Podrías almacenar las IPs siempre que el usuario dé su consentimiento, pero el problema es que estos datos se recogen ANTES de que el usuario pueda dar su consentimiento. Una solución es anonimizar la ip. WordPress no permite anonimizar las IPs por defecto, pero algunos plugins pueden ofrecer esta opción. Anonimizar la IP significa básicamente ignorar el último octeto de la IP del usuario y sustituirlo por 0. Vamos a ver un ejemplo que lo explica mejor.
Pongamos que el usuario tiene la ip 15.10.10.85. Al anonimizar las IPs con el plugin, lo que se consigue es que la IP que se le envía a Google Analytics es la 15.10.10.0, por lo que en este caso no puedes identificar al usuario con la IP que se guarda y no hay problema en guardar esta información.
El problema principal viene cuando otro usuario, con IP 15.10.10.13, por ejemplo, se conecta a tu blog. En este caso, la IP que se le envía a Google Analytics es la misma que en el caso anterior, por lo que en las estadísticas se interpretará como que 1 usuario se ha conectado dos veces, en lugar lo que pasa en realidad, esto es, que 2 usuarios se han conectado una vez.

Para anonimizar las IP, debemos descargar un plugin que lo permita, como por ejemplo Google Analytics Dashboard for WP (GADWP). Este plugin permite integrar tu blog con Google Analytics.
Una vez descargado, integrado con Google Analytics y configurado, ve a Google Analytics > Código de seguimiento > Ajustes avanzados y selecciona la opción anonimizar IPs durante el seguimiento.

Anonimizar ip

Anonimizar IP en Google Analytics

A partir de este momento, todas las IPs que se recojan estarán anonimizadas.

Hasta ahora, otra forma de sacar estadísticas era analizando los logs del servidor web, pero como esto podría interpretarse como que se utilizan los datos recogidos para otro propósito distinto del original, es mejor no arriesgarse y no analizar los logs para sacar estadísticas, a menos claro que puedas anonimizar las IPs que se guardan en los logs.

Awstats

Visitas diarias vistas en awstats, sacadas de los logs

4.5.2.- Ataques a las bases de datos

Debes asegurar en la medida de lo posible las bases de datos frente a ataques de terceros.
Si atacan las bases de datos y consiguen acceder a ellas, parcialmente o en su totalidad, se deberá informar a los afectados, así como a las autoridades competentes, como la Agencia Española de Protección de Datos (AEPD), la Autoritat Catalana de Protecció de Dades (APDCAT) y la Agencia Vasca de Protección de Datos (AVPD) en un plazo máximo de 72 horas.

Para defender los datos de los usuarios deberás implementar las medidas oportunas, que pueden ser instalar plugins creados para ese fin (asegúrate que cumplen con el RGPD), limitación de permisos en los ficheros, cifrar los datos sensibles, etc.

4.6.- Copias de seguridad

Es recomendable que hagas copias de seguridad constantemente para poder restaurar el estado de tu blog si ocurre un desastre. Pero esto podría llegar a ser un problema en cuanto al RGPD. Los backups contienen información de los usuarios, así que tendrás que asegurarte de ir borrando los backups antiguos.
La cantidad de backups que haces, y durante cuánto tiempo los guardas dependerá de tu web. Siendo un blog, no es necesario que sean demasiado seguidos, y con conservar los backups durante unos días en principio debería ser suficiente.

Si eres cliente de nuestro Hosting WordPress Administrado, no deberás preocuparte por ese punto, pues nos encargamos de realizar backups cada 4 horas y los mantenemos durante 7 días.

4.7.- Evaluaciones de impacto sobre la privacidad

Si guardas una gran cantidad de datos de usuarios (por ejemplo tienes un blog con miles de comentarios), es necesario que realices evaluaciones de impacto sobre la privacidad, es decir, un análisis de los posibles riesgos que pudiera haber en el tratamiento de los datos personales, y posibles medidas para minimizar o eliminar dichos riesgos. Si es tu caso, lo mejor que puedes hacer es acudir a un profesional que te asesore.

Si no guardas una gran cantidad de datos, no es necesario que realices esta evaluación de impacto sobre la privacidad.

4.8.- Cookies

En tu Política de Cookies debes indicar qué cookies hay en tu blog y para qué sirve cada una. Hay muchos plugins que meten muchas cookies sin que te enteres, por lo que deberás comprobar qué cookies tienes en tu blog, informar de las que quieras mantener, y eliminar aquellas que no quieras mantener.
La forma más sencilla, aunque algo pesada, es abrir un navegador que no sea el que uses habitualmente, borrar todas las cookies y abrir dos pestañas, una para tu blog y otra con la lista de cookies del navegador. La idea es visitar tu blog y ver qué cookies hay en el navegador e identificar esas cookies. Luego ir navegando entre las distintas páginas de tu blog y ver qué cookies aparecen y en qué circunstancias. Cuando termines, loguéate como un usuario más y repite el proceso. Así hasta que tengas la lista completa de cookies. Luego elimina de tu blog las que no quieras tener y pon todas las cookies que tengas en tu blog y qué hace cada una en tu Política de Cookies.

Lista cookies

Cookies vistas en el navegador

Cuando lo tengas todo, puedes añadir una cookie, o simplemente mostrar un mensaje, que se encargue de mostrar a los usuarios en términos generales para qué utilizas las cookies.

Otra forma de listar las cookies de tu blog es visualizarlas con el navegador. Para verlas con Google Chrome, abre el navegador, ve a la página en la que quieres ver las cookies y abre las herramientas de desarrollados (F12). Cuando hayas abierto las herramientas de desarrollador de Google, ve a Application > Storage > Cookies y pulsa en el dominio en el que quieras ver las cookies.

Cookies lista

Cookies vistas en las herramientas de desarrollador de Google

Las cookies críticas son las que guardan información de los usuarios, las que no almacenan ningún dato no son relevantes. Aun así, es una buena práctica limitar la cantidad de cookies que hay en tu web.

Recuerda que con la versión 4.9.6 de WordPress (adaptación al RGPD), se ha añadido una check box que sirve para aceptar o rechazar las cookies que guardan tu nombre, tu correo y tu página web.

En la siguiente captura puedes ver un aviso que se muestra en un blog que informa del uso de cookies y enlaza a la Política de Cookies.

Cookies

Aviso del uso de cookies en una web.

Como ya hemos indicado en el apartado de textos legales, si no utilizas cookies en tu blog, o éstas no recogen datos personales, puedes omitir el mensaje e indicarlo en la Política de Privacidad.

4.9.- Derechos del usuario

Los usuarios que accedan a tu web deben ser capaces de ejercer sus derechos en cualquier momento. Estos derechos son:

  • Derecho de acceso
  • Derecho de rectificación
  • Derecho al olvido
  • Derecho a la limitación del tratamiento
  • Derecho a la portabilidad de los datos
  • Derecho de oposición
  • Derecho a no ser objeto de decisiones individualizadas

Puedes ver una explicación más detallada en la web de la AGPD.

Si no puedes implementar herramientas para cumplir con todos estos derechos, es recomendable que pongas en la Política de Privacidad que los usuarios pueden ejercer sus derechos sobre sus datos enviando un correo. Una vez lo recibas, debes ejercer esos derechos (borrar sus datos, exportar sus datos, etc.), y cuando lo hagas es recomendable enviarle un correo diciendo que ya se ha cumplido lo que pedían.
La versión 4.9.6 de WordPress ha implementado dos herramientas para ayudar a cumplir esto. Estas herramientas permiten exportar los datos del usuario en cuestión o de borrar sus datos, además de ofrecer la oportunidad de enviar emails desde esa misma herramienta.

Exportar datos personales

Herramienta Para Exportar datos personales

Tienes más información en el artículo de la actualización de WordPress 4.9.6 (adaptación al RGPD).

Cuando un usuario ejerza algúno de sus derechos por el medio que sea, tienes un plazo máximo para responder de 30 días.

El responsable deberá informar al interesado sobre las actuaciones derivadas de su petición dentro del plazo de un mes, que podrá extenderse dos meses más cuando se trate de solicitudes especialmente complejas. Esa ampliación del plazo debe notificarse dentro del primer mes. Si el responsable decide no atender la solicitud, deberá informar de ello, motivando su negativa, dentro del plazo de un mes desde su presentación.

4.10.- Cambiar HTTP por HTTPS

Hay dos formas de cifrar los datos que recoges de los usuarios. Una es cifrar la conexión entre el usuario y el servidor, y otra es cifrar los datos que se almacenan en base de datos. Ya hemos comentado que WordPress no permite cifrar los datos, así que vamos a ver la forma de cifrar las transmisiones.
No es obligatorio, pero sí recomendable el uso del protocolo HTTPS en lugar de HTTP, y esto es debido a, como ya hemos mencionado, que el protocolo HTTPS cifra la transmisión de datos entre el navegador del usuario y el servidor web, y HTTP lo envía todo por texto plano.

HTTPS

En nuestro Hosting WordPress Administrado ofrecemos la opción de utilizar HTTPS de forma gratuita.

5.- Resumiendo

Para adaptar tu blog al RGPD debes hacer que tu blog no recoja ningún dato personal a menos que el usuario acceda a ello explícitamente; como ya hemos comentado, lo más sencillo es una check box en cada formulario. Deberás crear los textos legales en función de tu web, aunque para ello puedes coger plantillas y modificarlas para que se adapten a tu web.
Debes comprobar tus plugins, cookies y demás y adaptarlos para que recojan la información justa. Como ya hemos comentado, no puedes recoger más datos de los necesarios, y los datos que recojas deben ser utilizados para el fin por el que fueron recogidos.
Tambiés debes garantizar a los usuarios ejercer sus derechos sobre sus datos en cualquier momento.
Si los datos de algún usuario han podido ser vulnerados de algún modo, tienes la obligación de informarle en un plazo máximo de 72h.

El RGPD es un reglamento necesario cuyo objetivo es proteger los datos de los usuarios y castigar el uso ilegítimo que le puedan dar a éstos las compañías. Adaptar un blog al RGPD es sencillo, aunque deberás comprobar los datos que guardas y cómo los recoges para saber qué cambios debes hacer en tu blog.

Si quieres ampliar lo visto en este artículo, échale un vistazo a los siguientes enlaces:

¿Nos ayudas a mejorar la calidad del blog?
Déjanos una valoración sobre este post para poder seguir mejorando
1 estrella2 estrellas3 estrellas4 estrellas5 estrellas (1 votos, promedio: 5,00 de 5)
Cargando...

1 Comentario

  1. Fran

    Buenas!
    El plugin WP Comment Policy Checkbox en su última versión permite añadir el texto de la primera capa de información y además guarda, exporta y elimina el consentimiento de la base datos.
    Saludos.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *


* Campo obligatorio.