Desde el 25 de mayo de 2018 es obligatorio cumplir con la Regulación General de Protección de Datos (RGPD) de la UE. Esta normativa entró en vigor en el 2016, pero se estipularon dos años de transición para su imposición.
Esta ley protege los derechos de todos los ciudadanos de la UE (28 estados) y sus datos personales. Reemplaza la Directiva 95/46/CE sobre protección de datos del 24 de octubre de 1995 y es mucho más extensa que la Ley de cookies de 2011 (la cual pronto será reemplazada por la nueva regulación de privacidad en la UE que va de la mano con la RGPD).
Intentaré cubrir la parte técnica, indicando que medidas debemos tomar para cumplir con los requisitos de la RGPD en nuestras web.
Los principios básicos de la protección de datos
Además de proteger la privacidad de los datos personales de los ciudadanos de la Unión Europea, la RGPD controla cómo empresas e instituciones procesan, almacenan y utilizan esos datos. Estos son los 5 principios básicos que protege la RGPD:
- Los datos personales recogidos deben procesarse de modo legal, transparente, y no deben ser usados sin consentimiento del usuario.
- Los datos personales solo deben recogerse para un objetivo concreto, por tanto se debe indicar para qué se piden los datos y cuál será su destino.
- Los datos personales deben ser precisos, estar actualizados, y no deben almacenarse más tiempo del necesario para el propósito de su recogida.
- Los ciudadanos de la UE tienen derecho a acceder a sus propios datos. Pueden pedir una copia, su modificación, borrado, restricción o reenvío a otra entidad sin excusas.
- Todos los datos personales deben guardarse con la máxima privacidad y seguridad, y si el tamaño de tu organización o el volumen de los datos que manejas lo requiere, será necesario designar una persona para garantizarlo.
Uno de los principales cambios de la RGPD es la protección por defecto de los datos personales de los usuarios. Ya no está permitido recopilar ningún dato sin consentimiento expreso del usuario.
Implementacion técnica
Todo formulario, software, etc., debe informar al usuario sobre qué datos se quieren recopilar, con qué objeto, durante cuánto tiempo, quién podrá acceder a ellos, dónde estarán almacenados, qué medidas de seguridad y privacidad se aplicarán, y también cómo manipularlos, actualizarlos, borrarlos, etc.. Es obligatorio deben recoger el consentimiento expreso, por tanto, se acabaron las casillas marcadas por defecto.
Y esto hay que hacerlo todo de un modo transparente y en dos capas:
- Primera capa: De manera resumida se debe informar de lo siguiente:
- Responsable del tratamiento de los datos.
- Finalidad de los datos
- Legitimación (la base jurídica)
- Destinatarios de los datos
- Derechos del usuario sobre sus datos
- Procedencia (en el caso de que no procedan del usuario sino de fuentes adicionales)
- Segunda capa: Hay que explicar de manera detallada y ampliada cada uno de los puntos de la primera capa,. Por ejemplo, si en la primera capa se indicar quién es el responsable de los datos, en la segunda capa hay que añadir cómo contactar con él. Y así con todo, de una forma clara, y fácil de entender para cualquier persona.
Adaptar nuestro sitio de WordPress a la RGPD
Desde la versión 4.9.6 el núcleo de WordPress implementa los mecanismos para atender las solicitudes de borrado y exportación de datos y tambien incorpora un asistente que nos guiará en las creación de nuestra politica de privacidad. Finalmente incluye una casilla para obtener el consentimiento de los usuarios al capturar los comentarios.
Aunque estas carácterísiticas pueden ser suficiente para una instalación por defecto, con total seguridad utilizaremos plugins y complementos que recopilen información personal.
Datos proporcionados por el usuario
La mayoría de los datos que obtengamos vendrán de nuestros usuarios. Practicamente todas las webs tienen formularios de contacto y muchas de ellas utiliza algún sistema de subscripción. También, suele ser práctica habitual tener algun complemento para la gestión de comentarios.
Además, si se comercializan productos y servicios es habitual tener habilitado el registro el registro de usuarios. Para cumplir la normativa de protección de datos, todos estos elementos deben incluir:
- Casilla para recabar el consentimiento expreso del usuario y que no debe estar marcada por defecto.
- La información basica de la primera capa
- Un enlace a la información detallada de la segunda capa.
Todo ellos sin olvidar que debemos implementar los mecanismos necesarios para acreditar la obtención del consentimiento,
Casi seguramente utilizar herramientas para recopilar estadísticas de uso, preferencias de nuestros visititantes, faciitarles la navegación, etc. De esta forma estaremos recopilando información sobre nuestros usuarios sin solicitarla explícitamente.
Debemos comprobar que información se recopila, verificar que estos complementos cumplen con la normativa de protección de datos y mantener informados a nuestros usuarios de todos los detalles.
Cambios en la Política y el Aviso de Cookies.
Usar el consentimiento implícito en la navegación o solo un botón OK para aceptar todas las cookies ya no es no es suficiente según la RGPD.
La nueva normativa de protección de datos nos dice que separar las diferentes categorías de cookies, dándole al usuario la posibilidad de bloquearlas selectivamente. También nos exige ofrecer un enlace a una descripción detallada de todas las cookies usadas.
El usuario tendrá la posibilidad de revocar o modificar en cualquier momento el consentimiento otorgado. Como mínimo debemos implentar esa opción en la págína con la la información detallada sobre nuestra política de cookies.
Lógicamente, debemos implementar la activación y desactivación de las cookies y los scripts que las implementan según las preferecias de los visitantes.
Este seía un ejemplo de una aviso de cookies aceptable segun la RGPD.
Gestión de Cookies con Complianz Privacy Suite
Gestionar las cookies con los cambios impuestos por la nueva normativa de proteccion de datos puede ser complicado. Cualquier ayuda en este sentido es de agradecer. Podemos recurrir a herramientas online como CookieBot o instalar un plugin que nos facilite la vida.
Complianz Privacy Suite cumple perfectamente con esa función. Podemos descargarlo gratuitamente desde el repositorio. Su asistente nos guiará durante todo el proceso, recopilando la información necesaria para generar correctamente la política de cookies
Complianz revisa los plugins analíticos instalados y nos ofrece recomendaciones para configurarlos adecuadamente
Además, escanea nuestra web para determinar las cookies utilizadas. Una vez realizado el análisis podemos, para cada cookie, indicar tipo, propósito, retención y si queremos incluirla en el aviso de cookies. Si son cookies de tercero debemos indicar el enlace a la politica de privacidad correspondiente.
Complianz tiene una base de datos amplia y rellena automáticmanete gran parte de esa información. Solo tenemos que revisarla y completarla segun sea necesario. Una vez hecho esto tendremos el gaviso de cookies y la polñitica de cookies generados.
Cada vez que actualizemos o modifiquemos nuestra instalación (por ejemplo activando o desactivando algun plugin), Complianz nos notificará para realizar un nuevo escaneo y actualizar nuestra política de cookies
La versión de pago permite. entre otras cosas. generar las paginas Aviso Legal y Politica de Privaciodad, gestionar contratos con terceros, generar informes de filtraciones de datos y ofrece soporte para múltiples idiomas. En cualquier caso, la versión gratuita es suficiente para cumplir con la RGPD en la mayoría de los casos.
Además de Complianz hay otros plugins como WP GPDR Compliance y GPDR que realizan esta tarea de forma muy efectiva. Nos toca a cada uno deciidir cual es la que mejor se adapta a sus necesidades
Ajustes de Google Analytics
Casi todo utilizamos Google Analytics para analizar el tráfico de nuestra web. En primer debemos tener en cuenta que Google ha adaptado su política de procesamiento de datos a la RPGD, y por tanto tenemos que acceder a la configuración de nuestra cuenta de Analytics, aceptar la enmienda e introducir la información referente a nuestra organización y al responsable de datos.
Es importante tener en cuenta que según las condiciones del servicio de Google Analytics, no se puede enviar información personal a Google. Por información personal en términos de Google Analytics se entienden datos como nombre y apellidos, email, teléfono, DNI, dirección, etc. y por defecto Google no recopila esta onformación.
Sin embargo, aunque las direcciones IP, pueden identificar a un usario y por tanto, están protegidas por la RGPD, son recopiladas por Google, aunque no se muestran en los informes. Es posible indicar a Google que no recoplie las IP personalizando el código de seguimiento. En ese caso el último número de la IP se establece a 0.
Si tenemos implementado el seguimiento usando alguna opción del tema o hemos incrustado directamente el código de seguimiento ofrecido por Google, no podremos personalizarlo. Google seguirá recopilando las IPs y tendremos que informar de ello a nuestros usuarios segun las nueva normativa de ptotección de datos..
Google Analytics Dashboard for WP
Yo uso este plugin que cumple a la perfección con su comentido. Se puede descargar directamente del repositorio oficial.
Lo primero que haremos al activarlo será autorizarlo en nuestra cuenta de Google Analitycs y a continuación configuramos el Código de seguimiento.
Para ellos vamos a la pestaña Ajustes Avanzados y activamos las tres primeras opciones.
Anonimizar IPs durante el seguimiento se encarga de notificar a Google que no recopile las direcciones IP de nuestros visitantes.
Activar la compatibilidad con la aceptación del usuario es una característica interesante. Si la activamos, se incluira codigo javascript que permitirá anuestros visitantes podrán decidir si desean ser rastreados por Google Analytics. Para ello debemos insertar un enlace como este:
<a href="javascript:gaOptout()">Click aquí para no ser rastrado por Google Analytics</a>
tambien tendremos a nuestra disposición un shortcode, que nos permitirá incluir un botón en cualquier página de nuestra web:
[gadwp_useroptout html_tag="button"]Deshabilitar Google Analytics[/gadwp_useroptout]
si omitimos el parámetro html_tag, en ñujar de un botón se generará un enlace.
Finalmente podemos excluir de seguimiento a los usuarios que utilicen Do Not Track. Así, respetaremos el desdeo de los los usuarios que tengan activada esta preferencia en su navegador.
El resto de opciones dependerá de nuestras necesidades específicas. He indicado solo las opciones que deben ser activadas para cumplir con la RGPD.
Consideraciones de seguridad
Debemos tomar medidas para proteger la integridad de nuestra web y la información que contiene. Entre ellas tenemos:
- Instalar un certificado SSL, por ejemplo Let's Encrypt.
- Usa un buen plugin de seguridad como All in One WordPress Security. Es importante que se actualice automáticamente, que mantenga un registro de actividad y nos avise de las posibles incidencias
- Usa contraseñas fuertes y evita los nombre de usuarios por defecto
- Mantener actualizado el software y realiza copias de seguridad periódicas
Logicamente debemos estar pendientes y procesar en tiempo y forma las peticiones de nuestros usuarios. WordPress incorpora en Herramientas los mecanismos adecuados para ello.
Por otra parte, Google ha desarrollado un complemento que intalado en el navegador permite al usuario bloquear el seguimiento por Google Analytics. Dicha extensión puede ser instalada desde este enlace. Casi seguro que nuestros usuarios agradezcan que les informemos para que puedan tomar la decisión que consideren más oportuna.
Como hemos visto, tenemos a nuestra disposición las herramientas necesarias para cumplir con las exigencias de la nueva normativa de protección de datos en nuestro WordPress.
Finalmente, es importante recalcar que esta esta guía solo cubre la implementación técnica general. Es recomendable tener una buena asesoría legal y dependiendo de como esté implementada nuestra web es posible que se necesiten medidas adicionales,
