Como Adaptar tu Web al Reglamento General de Protección de Datos (RGPD)

Ha llegado para quedarse la nueva regulación en materia de protección de datos y con ello la fiesta que ha venido provocado en los últimos días debido a a que bastantes profesionales y empresas han dejado la adaptación para la misma ultimísima hora. Y es que el Reglamento fue aprobado por la Unión Europea el 24 de Mayo del 2016 y entró en vigor el pasado 25 de Mayor del 2018. Precisamente porque el legislador europeo dejó 2 años de margen para que las empresas se adaptasen a este nuevo Reglamento General de Protección de Datos (RGDP).

Vamos a desgranar primero los aspectos fundamentales que debes de conocer de la regulación y luego te daremos algunos consejos concretos para adaptar tu web e incluso solucionarlo de forma más sencilla si usas WordPress. ¡Comencemos!

¿A quién afecta el RGPD?


Con anterioridad, con la Ley Orgánica de Protección de Datos (LOPD) los obligados eran los profesionales y empresas que tuviesen su centro de decisiones en el territorio español. Es decir las empresas que tenían su domicilio social en nuestro país y aquellos que sin tenerlo su centro de decisión se encontraba en el mismo. Lo mismo sucedía en el resto de los países europeos, ya que las legislaciones nacionales que existían hasta ahora en la UE eran casi todo fruto de la transposición de la Directiva Europea de Protección de Datos, 95/46/CE.

La situación en la nueva normativa europea ha cambiado, fruto del aprendizaje con la economía digital y las situaciones que recientemente hemos vivido. Así el RGPD obliga no sólo a las empresas que se encuentren establecidas en la Unión Euroea sino también a aquellos que aun estando en otras partes del mundo tratan datos de ciudadanos europeos. Siempre y cuando se cumplan alguno los requisitos del artículo 3 del mismo reglamento que son:composición artística con las palabras: leyes, regulacion, compilance, derecho publicitario

  • Se ofrezcan los bienes o servicios a personas residentes en la Unión Europea, con independencia de que se pague por los mismos o no. Por lo que también se incluyen páginas que no tienen un pago directo por el consumidor; Ejemplo de ello pueden ser las páginas de noticias, las aplicaciones de mensajería gratuitas o los blog cuyo público objetivo sean personas residentes en la UE.
  • El tratamiento de los datos se lleva a cabo en el territorio de la Unión Europea.
  • Que resulte de aplicación en virtud de las normas de derecho internacional público. Es una cláusula tipo que se incluye en multitud de regulaciones para dejar la puerta abierta a que otros se haga obligatoria esta normativa para un tercer país por la firma de un tratado internacional específico.

Las sanciones del RGPD


¿Piensas que por qué deberías cumplir el Reglamento General de Protección de Datos? Lo primero de todo porque los usuarios, fruto de esta normativa van a ir sensibilizándose cada vez más con la protección de sus datos. Igual que sucedió paulatinamente, en el año 1995 con la aprobación de la LOPD, que abrió los ojos a los ciudadanos en la defensa de sus datos.

Lo segundo por lo que debes cumplir la nueva normativa es por las durísimas sanciones que se establecen para los casos de incumplimiento, endureciendo mucho más la multa máxima que establecía la LOPD. El reglamento europeo agrupa las sanciones en:

  • Muy graves: las sanciones tipificadas como muy graves se sancionan con 20 millones de euros o el 4 % de la facturación global de la empresa. El importe que sea mayor de los dos anteriores; es decir 20 millones de euros si la facturación global de la empresa es menor a 500 millones o si facturas menos de dicha cifra la sanción se queda en 20 millones. ¡Si, sí, has leído bien!. Las sanciones son impresionantes, dejando en nada la sanción máxima que imponía la LOPD, que eran unos “modestos” 600.000 €.
  • Graves: las conductas que sean sancionadas como graves son sancionadas con el mayor de los dos importes siguientes: el 2 % de la facturación global de la empresa o 10 millones de euros.

mazo de juez con el soporte

  • Leves: este tipo de sanciones el reglamento europeo de protección de datos los deja abiertas, siendo los estados miembros de la unión quienes posteriormente tienen que desarrollar las mismas en las leyes propias de cada estado. ¿Qué sucede en el caso de España? Pues que como te puedes imaginar la oportuna ley no está aprobada a tiempo, a pesar de los 2 años de margen que había para ello. Lo peor de todo es que no parece que vaya a salir a delante durante esta legislatura, a la vista de como se encuentra el trámite parlamentario. Además en el borrador, con el que trabajan los grupos parlamentarios, no se ha contemplado tal aspecto. A pesar de ser una de las cosas que explícitamente indica la normativa europea que hay que determinar. ¿Alguien lo ve normal? Esto no es un problema “baladí” ya que en la práctica va a generar numerosos problemas de interpretación, que van a dar lugar a que la función sancionadora sea un caos y en muchos casos se impongan multas desorbitadas para infracciones que no son tan graves.

Como has podido comprobar las razones para cumplir con la normativa europea son bastante importantes sino tener un disgusto épico. La potestad sancionadora la va a seguir ejerciendo la propia Agencia Española de Protección de Datos (AEPD) ya que el reglamento sólo crea una institución de coordinación entre agencias estatales.

La responsabilidad proactiva u objetiva


cartel amarillo donde se marca lo correcto e incorrecto

Sin liarte mucho diremos que el Registro General de Protección de Datos (RGPD) cambia el modelo de cumplimiento de la norma. Si anteriormente, con la Ley Orgánica de Protección de Datos (LOPD) se prohibían acciones concretas y se requerían ciertos procedimientos, con la nueva norma no.

El RGPD establece un principio de responsabilidad proactiva, de tradición anglosajona, por el cual la norma establece unos objetivos abstractos.

Es un cambio muy importante que en países como e nuestro, de tradición jurídica mediterránea es seguramente uno de los cambios más radicales.

La inscripción de ficheros tras el Reglamento General de Protección de Datos (RGPD)


Con la entrada en vigor del Reglamento General de Protección de Datos desaparece la inscripción de ficheros que existía con la Ley Orgánica de Protección de Datos (LOPD). De suerte que desde el 25 de Mayo del 2018 ya no tenemos que preocuparnos por la inscripción de ficheros como antes.

Es precisamente una de las consecuencias de que el RGPD sea una regulación menos formalista que la anterior, la LOPD, y de la aparición del principio de responsabilidad proactiva que explicamos anteriormente.

¡Pero quieto parado! Desaparece esta obligación general de inscripción de los ficheros pero aparece otra nueva de llevar a cabo un registro de actividades del tratamiento. ¿La buena noticia? Sólo tienen que llevar a cabo este registro las empresas se encuentren en alguna de las dos situaciones descritas en el artículo 30 del RGPD. Las cuales son, de manera resumida:

  1. Si tu empresa cuenta con más de 250 trabajadores, es decir es una empresa grande, será siempre necesario realizar el registro de actividades de tratamiento.
  2.  Si tu empresa cuenta con menos de 250 trabajadores sólo tendrá que llevar a cabo este registro si y solo si cumple alguno de los siguientes requisitos:
    1. Los datos que tratas incluyen referencias a infracciones penales o condenas.
    2. Los datos hacen referencia a lo que en la anterior regulación entraba dentro del nivel 3 de seguridad; es decir si son datos acerca de orientación sexual, salud, biométricos, genéticos, afiliación sindical o política, convicciones filosóficas o religiosas y origen racial o étnico.
    3. El tratamiento que se realiza de los datos puede suponer un riesgo para los derechos o libertades del interesado y el mismo no es meramente ocasional en el tiempo.

Como Adaptar tu WordPress al Reglamento General de Protección de Datos


logotipo de wordpress

El aspecto que si que afecta a todas las empresas es adoptar su activos digitales a la nueva normativa para con ello evitar sorpresas innecesarias. De entre todas as medidas que cabe adoptar que duda cabe que la adaptación de la web es una de las principales para las empresas españoles, debido al grado de implantación de la misma entre las empresas. Y que de entre ellas, en España, el grueso de las empresas deben adaptar una web que usa WordPress, ya que aglutina el 60 % de todas las webs.

Hay varios puntos clave que tenemos que cambiar para cumplir el Reglamento General de Protección de Datos: la aceptación y la información de cookies, la política de privacidad de tu web, los formularios de envío de datos y el mecanismo de acceso a los datos del usuario.

Las cookies y el Reglamento General de Protección de Datos

Las cookies son pequeños archivos que se descargan al acceder a la práctica totalidad de las webs y que se almacenan en nuestros dispositivos de una manera no visible para el usuario medio. Su problemática con el RGPD viene porque son capaces, al menos las más sofisticadas, de perfilar al usuario; es decir de determinar los rasgos del usuario tales como, entre otros: características demográficas (edad, ubicación, sexo, etc..) o comportamiento de navegación.captura de pantalla de programación con candado de privacidad

Por ello, el artículo 30 del RGPD los incluye de forma expresa, dentro de los datos sujetos a la propia norma.

En base al RGPD y a la Directiva Europea de privacidad y comunicaciones electrónicas, que sigue siendo de aplicación, hay que prestar atención a dos aspectos de nuestra web para actualizarlos: el consentimiento de la aceptación de cookies y la propia política de cookies de nuestra web. ¡Bien pues vamos por partes!

El consentimiento de aceptación de cookies, lo que popularmente conocemos como el aviso de cookies, el cual aparece en casi todas las webs actualmente como un pequeño mensaje emergente, debe de cumplir los siguientes requisitos:

  1. El consentimiento debe de ser previo, de forma que no vale que la descarga de las cookies sea realice antes de la aceptación de las cookies. Esto es una de los escollos más importantes a los que hay que adaptarse ya que actualmente el 70% de las webs descargan en nuestro dispositivo las cookies antes de que tengan nuestro consentimiento.
  2. Para que la comunicación se considere válida tiene que ser transparente, inequívoca y entendible para el usuario.
  3. El usuario que accede a nuestra web tiene que tener la opción de aceptar las cookies o bien rechazar su uso. ¡Si, si, tal y como has leído! El visitante tiene que tener la posibilidad de rechazar las cookies y que a pesar de ello pueda acceder a nuestra web. Las únicas que se podrían usar ante el rechazo del usuario son las que sean estrictamente necesarias para que la página web funcione propiamente.
  4. El consentimiento además de dar la opción de aceptar o no, debe recoger el consentimiento positivo de una forma clara. No vale con el típico “ok” o la aceptación si se sigue navegando con un aviso muy pequeño en la parte inferior de la web.bolígrafo y formulario de aceptación de contrato
  5. Tiene que ser un consentimiento revocable. Es decir, el usuario tiene que tener la posibilidad de modificar o retirar el consentimiento del uso de las cookies.
  6. El consentimiento se entiende que caduca al año de haberlo otorgado, por lo que a los 12 meses o antes tiene que volver a aparecer la aceptación de las cookies. No se permite que se acepte una vez y ya se considere aceptada la política de cookies sine die.
  7. Se debe de poder probar la aceptación del uso de mismo, tal y como sucede con el resto de los datos personales. De suerte que, en caso de inspección, tenemos que poder probar, mediante un mecanismo seguro, el consentimiento y sus características.
  8. El usuario posee el derecho al olvido, que es uno de los derechos nuevos que configura el RGPD. ¿Qué supone esto? Que a petición del usuario se tiene que eliminar todos los datos personales que se tengan de él y el seguimiento de cookies se considera uno de ellos.

La adaptación de nuestras cookies al Reglamento General de Protección de Datos no acaba aquí, ya que aún nos quedaría ajustar la política de cookies como tal que mostramos en nuestra web. La mayor novedad viene por la necesidad de establecer dentro de la misma, de forma transparente y comprensible para el usuario: un listado pormenorizado en el que se informe de todas las cookies que usa nuestra web, ya sean propias o de sistemas de terceros, toda la información que recaba cada uno de ellas, la finalidad, el tiempo que se almacena dicha información, la identificación del titular de los datos así como los datos de contacto para ejercitar sus derechos.

El mayor problema que puedes encontrar con ello son las cookies de terceros y sus modificaciones, ya que por mucho que sean cookies de terceros eres igualmente responsable al generarse al acceder en tu web.

pilas de consenstimientos archivadas

El otro problema que puede surgir es el almacenamiento de los consentimientos de aceptación de las cookies, ya que si bien en la contratación de un producto es muy sencillo, en la dinámica de una visita web no lo es tanto. Para integrarlo dentro de la experiencia de usuario y gestionar el almacenamiento, nosotros recomendamos sistemas automáticos que se integran de forma pareja al consentimiento y que almacenan los mismo de forma segura mediante un protocolo, conocido como cifrado de clave inversa.

La política de Privacidad Web para  tu Web WordPress

Tu web ya tendrá un apartado de política de privacidad como la mayoría de páginas web de España, debido al gran mayoría a que era un requisito indispensable para especificarla en herramientas de publicidad online como Facebook o herramientas de inbound marketing. Pero debes comprobar que cumpla los siguientes nuevos requisitos:

  1. Especificar los datos de la entidad titular de los datos así como del delegado del tratamiento si es una tercera empresa. Le exigencia de determinar los datos del propietario del proyecto ya existía por exigencia de la Ley de a Sociedad de la Información (LSI). Pero hasta ahora se incluían estos datos solamente en el apartado de aviso lega. Ahora hay que incluirlo también necesariamente en este apartado.fotografía de ajustes de política de privacidad en wordpress
  2. Debes listar todas las empresas, distinta de la tuya, que obtengan acceso de los datos que recibes. Esto por muy raro que te parezca es extremadamente frecuente en todos los proyectos. Por ejemplo: Google, Facebook, Mailchimp, Mailrelay, Zendesk, o cualquier herramienta de automatización del marketing y retargeting.
  3. Hacer un listado completo en el que se detalle toda la información que recoges mediante la web de los usuarios, la finalidad de cada una de ellas y el tiempo que se almacenan. ¿Piensas que recoges pocos datos? Pues nada más lejos de la realidad. Aunque depende del proyecto, lo normal es que recojas al final una cantidad importante de datos como, entre otros: direcciones IP, nombres, apellidos, correo electrónico, empresa de contacto, teléfono, etc…
  4. Indicar el mecanismo o los datos para que se pongan en contacto a fin de ejercitar los derechos de acceso, modificación, supresión, limitación, olvido y portabilidad.
  5. Si realizas algún proceso automático con los datos que tenga consecuencias jurídicas debes de comunicarlo. Esto que parece tan raro no lo es para nada. Imagina que incluyes a determinados usuarios o IP en una app de retargeting. Lo que estás haciendo al fin y al cabo es un listado de usuarios o IP a los que te vas a volver a dirigir por lo que tiene consecuencias jurídicas. Otros ejemplos que entrarían dentro de este supuesto serían casi todas las herramientas de automatización del marketing, inbound marketing, segmentación o personalización de contenido, adsense, etc..

La actualización de esta política de privacidad no acaba aquí ya que el RGPD establece la política de privacidad multicapa o multinivel. Pero esto vamos a ver como adoptarlo en la actualización de los formularios ya que tiene mejor imbricación.

Adaptación de los formularios de tu web WordPress al RGPD

La información de privacidad que aparezca en tus formularios, ya no puede ser un mero enlace a la política de privacidad, de forma que evites tener que desarrollar nada en la propia pantalla de recogida de los datos. Ahora la información principal, más esencial de la política de privacidad debe de estar visible en el propio formulario en el que se recogen los datos.

Que haya que indicar la información esencial en el propio formulario no supone que  no podamos poner ese enlace a la política de privacidad,. De hecho habrá que hacerlo. Pero será siempre porque lo pongamos como el complemento a la información esencial.logo de formulario con check en color azul

Es lo que la normativa ha denominado la primera capa de información y debe de aparecer, por imperativo legal, en la propia pantalla en la que se recoge la información, es decir en el propio formulario. Además de ello debe de aparecer también el enlace a la segunda capa; es decir un enlace a la política de privacidad completa. Como antes pero con la información esencial ya visible en el formulario de recogida.

El otro punto más importante que debes tener en cuenta es que ya no puedes tener de ningún modo los opt-ins. Nada de poner las casillas de aceptación premarcadas para que el usuario sólo tenga que dar a enviar. La casilla tiene que estar obligatoriamente desmarcada y el propio usuario debe de hacer el marcado de la misma, en signo de aceptación, a fin de que se considere que el consentimiento es unívoco y transparente.

Forma de acceso a los datos que almacenamos

Si eres una plataforma, con una estructura medianamente considerable, y tienes un número de usuarios mediano o grande debes de tener una zona de acceso en la que el usuario pueda consultar los datos que tenemos almacenados suyos. Es lo que verás que está sucediendo con Whatsapp, Facebook o Google.

Si por el contrario tu proyecto tiene un tamaño modesto, y realizas un tratamiento de datos menos intensivo, valdrá con que especifiques un mecanismo para ejercer este derecho. Por ejemplo: especificar el correo electrónico, dirección postal y el departamento de contacto. con indicarlo en nuestra política de privacidad sería suficiente, incluso podemos aprovechar y incluir esta información junto con la referida al derecho de olvido, rectificación, olvido o portabilidad.

El plugin que te ayuda a cumplir con el nuevo RGPD en WordPress

El plugin que te vamos a recomendar se llama GDPR y está desarrollado por Trew Knowledge. Lo puedes encontrar en el repositorio de plugins oficial de WordPress. Lo tiene todo para ser el que elijas para tu proyecto: tiene unas funciones muy completas, está bien optimizado en cuanto al rendimiento de tu web y encima es gratuito.

Vamos a enumerar algunas de las funcionalidades que te serán más útiles y que nos han llevado a recomendártelo:

  1. Lo primero de todo y más interesante son las grandes posibilidades de integración dentro de nuestra web, de una forma muy fácil gracias a que incorpora: shortcodes, opciones mediante las que generar botones, excluir determinas páginas o incluir otras y consentimientos diferenciados.icono de ordenador con diferentes palabras sobre programación
  2. Incorpora una herramienta para almacenar los propios datos, buscar dentro de ellos, revisar y realizar cambios en alguno de ellos o incluso exportarlos de una forma rápida en un fichero *.XML.
  3. Auditoría de la trazabilidad de datos: registra que datos está almacenando tu web y se están quedando en tu servidor así como también todos los datos que están registrando herramientas de terceros, como los propios plugins instalados y si estos datos se están guardando en servidores externos.
  4. Control de eventuales brechas de seguridad: el propio plugin audita tu web para detectar si en algún momento existe una brecha de seguridad que ponga en peligro los datos de tus usuarios. Esta funcionalidad además te viene como anillo al dedo para cumplir con las obligaciones del RGPD, que requiere que ante cualquier eventual brecha de seguridad, en la que se pudiera comprometer los datos de tus usuarios, deberás notificarlos inmediatamente. Precisamente eso es lo que también se puede hacer desde el propio plugin, informando a los usuarios de: el tiempo durante el que se han visto sus datos afectados, los datos concretos que se han visto comprometidos, el origen de tal causa, las medidas tomadas para solucionarlo así como la recomendación para protegerse la exposición de los mismos.
  5. Herramienta interna para tramitar todas la solicitudes de los usuarios en materia de sus derechos de acceso, rectificación, revisión u olvido. Nos va permitir incluso integrar botones desde los cuales el solicitante pueda hacerlo, generando un código de confirmación y automáticamente también un correo de confirmación.
  6. Revisión continua y permanente de nuestra política de privacidad y cookies, para que si hacemos algún cambio en la misma, el visitante recurrente sea notificado automáticamente para requerir de nuevo su autorización y por lo tanto seguir manteniendo un consentimiento válido.
  7. Creación del consentimiento de cookies, haciendo hasta la propia ventana emergente que aparece cuando accede el visitante y con la opción de: aceptar todas las cookies, sólo las esenciales o ninguna de ellas.

¡Pruébalo! Ya veras que fácil es configurarlo y además la cantidad de opciones que presenta.

La ubicación de la política de privacidad y de la política de cookies


Como corolario del análisis que hemos hecho de los cambios en la política de cookies y en la política de privacidad nos gustaría recordar que ambas deben de estar disponibles en todas las partes de nuestra web. Por lo tanto ubicar los enlaces, a ambos, en el footer de nuestra web lo soluciona fácilmente

Conclusiones


Como has podido ver los cambios en la normativa de protección de datos no son pocos, sin dejar de considerar que el Reglamento General de Protección de Datos no deroga las anteriores normativas, salvo en aquellas cuestiones en las que las contradice de forma expresa, por lo que tendremos que seguir prestando atención a lo que nos indica la LOPD, así como las interpretaciones realizadas por la Agencia Española de Protección de Datos y los tribunales españoles.

El marco de regulación cada vez va siendo más complejo en la UE al respecto por lo que no es de extrañar que proyectos con tamaños importantes como medios de comunicación americanos o el popular servicio Whois hayan restringido el servicio ya que no contaban con la adaptación precisa. Siempre puedes acudir a un profesional al respecto, especializado en derecho publicitario y protección de datos. Si quieres podemos asesorarte al respecto y analizar tu proyecto sin ningún compromiso.