Se avecinan un montón de cambios para WordPress en 2018 y, de entre todos ellos, no menos importante es la Regulación General de Protección de Datos (GDPR: General Data Protection Regulation) que está promulgando la Unión Europea. Te voy a dar una serie de consejos para que puedas comenzar a adaptar tu web a la GDPR.
La GDPR se pone en marcha el 25 de Mayo de 2018.
En resumen, la GDPR dice que los usuarios deberán tener el control completo sobre sus datos y que nosotros tendremos que explicarles detalladamente por qué necesitamos los datos que les pedimos. En este punto el usuario podrá dar el visto bueno o no.
Sin embargo, es un poco más complicado cuando se trata de ponerlo en práctica.
WordPress y la GDPR
Desde que WordPress representa el 30% de las páginas web de Interneta fecha de hoy, tenemos pendiente hacer una gran limpieza. Los datos se filtran entre nuestros sitios web y los usuarios, mientras que la GDPR indica que depende de nosotros gestionar nuestras web de forma correcta para que los usuarios puedan administrar la privacidad de sus datos personales.
Aunque se trata de una normativa aprobada por la UE, afecta prácticamente a todo el mundo. Si recogemos un solo bit de información de una persona que resida en la UE (independientemente de tu ubicación o la del alojamiento de tu web) estás sujeto a esta ley ya que tienes información de un ciudadano de la UE.
Si se determina que no cumples con los requisitos puedes ser sancionado con una multa de hasta 20 millones de euros.
Tras el microinfarto que acabas de sufrir leyendo la última línea quiero tranquilizarte: todos los que nos dedicamos a esto estamos trabajando duro para evitarlo.
Parte de las buenas noticias es que hay un equipo de contribuidores de WordPress Core dedicado exclusivamente a que el CMS sea “a prueba de GDPR” antes del 25 de Mayo. Hay una web (y un canal en Slack asociado a la misma) en la que tanto administradores como desarrolladores podemos estar al tabnto de los progresos y determinar qué necesitamos para adaptarlo a nuestras necesidades particulares (o las de nuestros clientes).
Aquí te dejo un pequeño resumen de lo que TÚ eres responsable en tu web:
- Explicar quién eres, cuánto tiempo vas a mantener guardada la información que recoges, por qué la necesitas y quiénes (de tu equipo, empresa o terceros externos) tienen acceso a dicha información.
- Obtener el consentimiento claro y explícito, por parte del usuario, para recoger sus datos personales mediante un formulario de registro, formulario de suscripción, formulario de contacto o cualquier otro medio opt-in.
- Permitir a los usuarios acceder a su información, la posibilidad de descargar toda la información de la web y eliminar de forma sencilla todos sus datos de tus registros, por completo.
- En caso de que se diese una vulneración de la seguridad, hackeo de tus bases de datos o robo de información, comunicarlo a los usuarios.
Si necesitas una explicación más detallada sobre la GDPR puedes revisar los siguientes artículos:
A Quick Guide to Data Protection Regulations in 2018
Data protection – Better rules for small business
Publicación oficial de Automattic / WordPress sobre la GDPR
Dicho todo esto, es importante que sepas qué puedes hacer para que tu web cumpla con la GDPR, así que aquí te comento algunas medidas específicas que puedes tomar para protegerte (y para proteger los datos de tus usuarios).
¿Cómo adaptar tu web a la GDPR?
La GDPR y las suscripciones
El aspecto más importante de todo esto es la voluntariedad explícita por parte del usuario en la cesión de datos mediante un formulario de suscripción.
Permíteme que sea claro con este detalle: La opción de suscripción voluntaria no es bajo ninguna circunstancia lo mismo que la opción de baja voluntaria de dicha suscripción.
Tal y como indica la UE se debe “obtener el consentimiento claro y explícito por parte del usuario para procesar sus datos”. Esto significa que el usuario tiene que decir explícitamente que sí y no únicamente la opción de decir que no posteriormente.
Esto puede parecer un poco enrevesado. Para aclarártelo te pongo un ejemplo:
Tienes una tienda online y funcionas mediante dropshipping con uno o varios proveedores. Probablemente estarás usando WooCommerce, o quizá Prestashop…, bien. Cuando tus usuarios llegan a la página para finalizar la compra has puesto una casilla tras los datos de envío que dice “[x] Sí, quiero suscribirme a tu maravillosa newsletter para recibir ofertas y novedades.”
¡Genial y perfecto! Espera… en tu web esa casilla viene marcada de forma predeterminada… vaya, estás incumpliendo la ley. Al estar la casilla marcada estás dando al usuario la opción de NO ceder sus datos. Según la normativa específica de la GDPR opt-in (suscripciones) los usuarios deben indicar específicamente que desean compartir sus datos contigo.
Esto mismo se aplica a las secciones de comentarios que suscriben automáticamente al hilo para recibir notificaciones, o cualquier contacto automatizado que no esté directamente iniciado por el usuario voluntariamente.
Los chat emergentes como Intercom o Tawk pueden estar permitidos porque no recopilan información del usuario, aunque pueden verse afectados por la cláusula de seudonimización de la GDPR.
El objetivo principal es no recopilar nada de forma predeterminada.
Solicitar la información estríctamente necesaria e imprescindible
Una cantidad enorme de webs, formularios, plugins, tiendas… solicitan información que en realidad no necesitan. En general, la forma correcta de hacer esto es solicitar el mínimo de información a tus usuarios como sea posible. Si no necesitas sus nombres…, no los pidas. O quizá te baste sólo con el nombre de pila. A veces sobrará con que te faciliten su correo electrónico para que tu sistema funcione correctamente.
Esto no quiere decir que no puedas preguntar por el resto de sus datos. La GDPR indica que tienes que explicar a los usuarios por qué necesitas los datos que les pides. Si, por ejemplo, les estás solicitando la fecha de su cumpleaños será necesario que les dejes claro que envías cupones de descuento a modo de regalo de cumpleaños. Tal y como se especifica en la GDPR ya no vale pedir información extra “por si acaso” o para “proyectos futuros que aún no están definidos”.
Muchos de los plugins de formularios te permiten incluir una nota junto a la etiqueta del campo, así que si tienes un campo para recopilar números de teléfono podrás indicar mediante un globo de información “Te pedimos tu número de teléfono para que nuestro departamento de atención al cliente pueda agilizar el proceso de su pedido o tramitar cualquier incidencia”.
Además, la UE especifica que, cuando solicitas la información tienes que indicar al usuario “quién eres, cuánto tiempo almacenarás la información y quiénes tendrán acceso a ella”. En cuanto al cómo y cuándo tendrás que informar de cada una de estas partes será diferente según el caso. El primer paso ineludible es que tienes que informar de quién eres al tiempo que solicitas los datos.
Esto, efectivamente, no difiere de los pies obligatorios en los correos que cualquier servicio de email te exige incluir. Basta con incluir una línea (o un globo de información) explicando quién eres, como por ejemplo “La información que recopila esta web es administrada por Juan José Díaz, director de Crealogic Servicios Online”, o bien algo como “Los datos enviados mediante este formulario serán usados por Crealogic Servicios Online y no serán cedidos a ningún tercero”. Con esto será suficiente.
En resumen: Todos tus formularios, cajas de suscripción, páginas de finalización de compra o cualquier otro sistema en el que los usuarios te faciliten sus datos personales debe identificarte claramente a ti y a los que puedan tener acceso a la misma.
Los Términos y Condiciones de Servicio y la Política de Privacidad
En cuanto al resto de cláusulas sobre retención de información dispuestas en la GDPR, puedes incluir detalles sobre el por qué, el cómo y el quién tanto en tus Términos y Condiciones de Servicio así como en tu Política de Privacidad. Considero que es una buena práctica, ya que estos dos documentos son parte de la voluntariedad explícita indicada en la GDPR.
El paso a dar aquí es doble: En primer lugar es importante que te asegure de que tus “Términos y Condiciones” y tu “Política de Privacidad” son compatibles con la GDPR.
A continuación es imprescindible crear campos obligatorios explícitos en cualquier formulario o sistema de recogida de datos que indique la aceptación por parte del usuario de ambos documentos ANTES de procesar nada.
Las casillas de verificación de toda la vida siguen siendo muy apropiadas. También podría valer un campo de texto donde el usuario tenga que escribir “ACEPTO”, lo cual sería mejor en términos legales, pero estropearían la experiencia de navegación del usuario.
Si te resulta complicado configurar tus formularios puedo echarte una mano. Ponte en contacto con Crealogic Servicios Online y veremos qué podemos hacer para darte una solución con la adaptación a la GDPR de tus sistemas de recogida de datos.
De igual modo contamos con un equipo legal especializado en materia digital para revisar y adaptar todos los textos legales de tu web.
Personalmente te recomendaría incluir un párrafo en tus Términos y Condiciones de Servicio sobre la aceptación de la Política de Privacidad como cláusula y enlazarla directamente desde este documento/página.
Después, en la Política de Privacidad, añadir un párrafo explicando su rol dentro de los Términos y Condiciones de Servicio, así como la forma exacta en la que tu sitio web gestiona la información recogida cumpliendo con la GDPR. Será necesario que incluyas instrucciones detalladas en la Política de Privacidad que expliquen:
- Cómo acceder y descargar un registro completo de toda la información que almacenas de ese usuario.
- El proceso mediante el cual los usuarios pueden eliminar completamente toda su información (no sólo “darse de baja”) como parte de las leyes del “derecho al olvido” promulgadas anteriormente en la UE.
- Explicaciones detalladas de quién eres, para qué usas los datos, quién tiene acceso a ellos y por cuánto tiempo los vas a conservar.
Ahora se hace más importante que nunca disponer de una Política de Privacidad bien redactada y adecuada en tu página web. En realidad siempre lo había sido ya que Google exigía que esta información existiese en tu sitio web para evitar penalizaciones en posicionamiento. La importancia de diponer esta información “sólo” se ha elevado hasta el infinito y más allá.
Parece que tenemos un montón de trabajo que hacer con esto de la GDPR, ¿no?
Así es. Con un poco de fortuna tu web probablemente estará basada en WordPress. Gracias a esta gran comunidad, todos los que desarrollamos WordPress estamos picando tecla a destajo para que el sistema cumpla con todas las especificaciones de la GDPR.
No obstante, hay muchos detalles que tendrás que trabajar en tu caso en particular, especialmente en la adaptación de tus formularios, plantillas y documentos. En cualquier caso, para los próximos meses irán apareciendo las actualizaciones de tus plugins favoritos (o incluso plugins específicos GDPR desarrollados por terceros) que incluirán todo lo que hemos comentado anteriormente marcando unas pocas casillas y rellenando algún que otro campo de formulario.
Básicamente, que tu web esté adaptada a la GDPR se reduce a que seas completamente transparente con tus visitantes y usuarios. Permíteles saber qué estás haciendo, no les pidas información extraña e innecesaria y déjales elegir el compartir contigo su información en vez de cogerla sin consultarlo de forma predeterminada.
Y ahora, cuéntame: ¿Qué pasos has dado para cumplir con la GDPR? ¡Cualquier consejo que puedas compartir con nosotros será bienvenido!
Imágen del Artículo por Pe3k / shutterstock.com