WordPress y RGPD es un binomio que casi siempre debe ir de la mano cuando hablamos de páginas web (cualquiera que sea su naturaleza y titularidad) hechas en esta plataforma, puesto que la mayoría de ellas (sino todas) recogen algún tipo de dato personal de sus usuarios.
En este artículo explicaremos cómo cumplir el RGPD en WordPress, para que tu página web evite cualquier tipo de sanción por infringir la normativa de protección de datos.
En este artículo hablamos de:
¿Cómo afecta a las webs en WordPress el RGPD?
El RGPD, y su adaptación a la legislación española en la LOPDGDD, debe cumplirse siempre que se traten datos personales, entendiendo por «tratar» cualquier acción relacionada con ellos, como es su recogida o almacenamiento o su uso para diferentes fines (analíticos, comerciales, etc.). Las páginas web hechas en WordPress no son una excepción.
Tanto si se trata de la web corporativa de la empresa, un blog o una tienda online, siempre que se recojan o registren datos personales (basta con tener activos los comentarios o un botón de redes sociales o publicidad o utilizar cookies), tendremos que asegurarnos de que esta página web en WordPress cumple con el RGPD, si no, podríamos ser denunciados ante la AEPD o cualquier otro ente regulador y ser sancionados con multas que pueden llegar a los 20 millones de euros (o el 4% de la facturación anual).
En resumen, aunque más adelante detallaremos estas obligaciones, cumplir en WordPress con el RGPD supone:
- Identificar al responsable del tratamiento y, cuando proceda, a su representante, encargado o encargados del tratamiento y al Delegado de Protección de Datos.
- Llevar un registro de actividades de tratamiento (cuando así proceda, según el artículo 30.5 del RGPD).
- Informar a los interesados sobre la recogida de datos y la finalidad del tratamiento.
- Informar sobre posibles cesiones o comunicaciones de datos a terceros.
- Informar, si procede, de transferencias internacionales de datos y las garantías adoptadas.
- Indicar el plazo de conservación de los datos.
- Indicar las vías para ejercer los derechos ARSULIPO (acceso, rectificación, supresión, limitación, portabilidad y oposición).
- Adoptar las medidas de seguridad técnicas y organizativas que garanticen la confidencialidad, integridad y disponibilidad de los datos.
- En caso de que se produzcan, notificar las brechas de seguridad que puedan poner en riesgo los derechos y libertades de los interesados.
¿Qué datos personales se recogen en WordPress?
De forma general, las páginas web hechas en WordPress recogen o pueden recoger los siguientes datos personales:
- Dirección IP
- Nombre de usuario
- Dirección de correo electrónico
- Información del navegador y de seguimiento (a través de las cookies)
- Número de teléfono
Estos datos se recogen habitualmente a través de:
- Sistema de registro de usuarios
- Formularios de contacto
- Cookies propias y de terceros
- Herramientas analíticas
- Diferentes plugins
- Botones de redes sociales
- Anuncios
Cómo cumplir las obligaciones RGPD en WordPress
Para aplicar el RGPD en WordPress debemos asegurarnos de que nuestra página web cumple con los requisitos y obligaciones que veremos a continuación.
Informar al usuario: Textos legales para webs en WordPress
El RGPD y la LOPDGDD establecen la obligación de informar a los usuarios siempre que se vayan a recabar y usar sus datos personales; esta información se debe suministrar en dos capas informativas, una primera en la que se da información básica al respecto y una segunda mucho más extensa y detallada, siempre usando un lenguaje claro y fácil de comprender.
La información sobre el tratamiento de datos personales se hace a través de los denominados «textos legales de una página web», que deben ser accesibles desde cualquier sección de la página web y, a través de un enlace, desde los formularios de inscripción, comentarios, venta, etc.
Los textos legales de una página web que no pueden faltar en tu sitio de WordPress para cumplir el RGPD son:
- El aviso legal para webs con fines comerciales, corporativas o que contengan publicidad en el que se informa sobre la identidad del responsable del tratamiento de datos (el titular de la web, que puede ser una empresa o un particular):
- Nombre y dirección (o nombre y apellidos en caso de ser un particular)
- NIF (o DNI)
- Datos de contacto
- La política de privacidad en WordPress informa sobre el tratamiento que se hace de los datos personales:
- Base legal o legitimidad del tratamiento
- Identidad del responsable del tratamiento (si procede, del encargado del tratamiento)
- Finalidad del tratamiento
- Si se van a realizar, información sobre la cesión de datos a terceros (incluidas las transferencias internacionales de datos)
- Plazo de conservación de los datos
- Cómo y dónde ejercer los derechos ARSULIPO
- La política de cookies en WordPress debe especificar y detallar toda la información referente a las cookies que se emplean en la página web en WordPress; sus titulares, su finalidad, su duración, etc.
Gestionar el consentimiento RGPD en WordPress
Otro de los requisitos fundamentales para cumplir con el RGPD en WordPress.com es recabar el consentimiento explícito de los usuarios para poder tratar sus datos personales. Cuando decimos «explícito», estamos diciendo que es el usuario quien, mediante una acción afirmativa, debe aceptar el tratamiento de sus datos. Esto se hace, habitualmente, recurriendo a una checkbox desmarcada junto a la leyenda «Acepto la política de privacidad» o fórmula similar y un enlace a dicha política de privacidad.
Debemos tener en cuenta que es obligatorio recabar el consentimiento RGPD de los usuarios siempre que se puedan recabar datos personales, como ocurre, por ejemplo, con los formularios de suscripción o comerciales, y que también debemos adaptar los comentarios en WordPress al RGPD, puesto que, como mínimo, se está recabando la dirección IP (considerada dato personal) y una dirección de email.
Además, el consentimiento dado por los usuarios solo es válido para la finalidad que se haya especificado en este, por lo que si queremos usar sus datos con otro fin (por ejemplo, los recabamos para los comentarios, pero queremos usarlos también para enviar nuestro newsletter), deberemos volver a solicitar el consentimiento especificando esta nueva finalidad.
Para poder usar cookies en nuestro sitio en WordPress de acuerdo con el RGPD y la LOPDGDD, también debemos recabar el consentimiento expreso del usuario. Para ello deberemos incluir un aviso de cookies.
El aviso de cookies, que suele ser un pop-up, tiene una doble función; por un lado, informa al usuario en una primera capa de información de las cookies que emplea el sitio web (puede ser más o menos exhaustivo, lo normal es que diga que se utilizan cookies técnicas o necesarias, cookies analíticas y cookies de terceros) y permitir su configuración, es decir, aceptar o no su uso, salvo las necesarias, en las que el consentimiento no es necesario.
Y, por otro lado, bloquea la instalación de las cookies en el navegador del usuario hasta que este las acepta (o no, en cuyo caso, no permite su instalación).
Además, el aviso de cookies incluye un enlace a la política de cookies (segunda capa de información).
El aviso de cookies debe aparecer siempre que un nuevo usuario entre en la página web o cuando haya borrado las cookies de su navegador o las que use el sitio hayan caducado y vuelvan a generarse.
Aplicar medidas de seguridad en WordPress
El responsable del tratamiento, es decir, el titular de la web, es el responsable también de impedir que terceros no autorizados puedan acceder a los datos personales que se recaban y tratan en la página web en WordPress. Para ello debe aplicar las medidas necesarias para garantizar la seguridad en WordPress de los datos personales recabados y almacenados.
Entre esas medidas está comprobar la política de privacidad de los plugins y otros complementos que se usen en la página web en WordPress y que puedan acceder a datos personales. Adoptar técnicas de seudonimización de los datos personales, cifrado, uso de certificados SSL, minimizar el número de personas autorizadas para acceder a los datos personales almacenados, etc.
Informar a los usuarios de sus derechos
Cualquier página web hecha en WordPress debe facilitar a los usuarios que puedan ejercer sus derechos ARSULIPO, de manera que se deben especificar de manera clara las vías para poder solicitar estos derechos (como dijimos, esto figurará en la política de privacidad, pero también estará presente en las comunicaciones que puedan tenerse con los usuarios).
El plazo general para responder a las solicitudes de derechos es de un mes y es obligatorio que los responsables respondan a los usuarios.
Notificar las brechas de seguridad
En el caso de que se produjeran brechas de seguridad que pudieran dejar expuestos los datos personales de los usuarios (como un ciberataque en el que se exfiltren datos como direcciones de emails, nombres de usuarios, números de teléfono o contraseñas), el responsable de tratamiento de la página web deberá informar de ello en un plazo no superior a 72 horas a la AEPD u otra autoridad de control pertinente y a los propios usuarios.
¿Cómo adaptar los comentarios WordPress al RGPD?
Si en tu página o blog en WordPress tienes activados los comentarios, también deberás asegurarte de que estos estén adaptados al RGPD, puesto que como mínimo, cuando un usuario deja un comentario, se registra su dirección IP y, en algunos casos, el nombre y el correo electrónico.
Así, para que los comentarios en WordPress estén adaptados al RGPD de manera adecuada, bajo el campo de texto, deberá aparecer una casilla desmarcada para que el usuario acepte la política de privacidad y se incluirá una primera capa informativa con la información básica de la política de privacidad y un enlace ella, para que el usuario pueda consultarla de forma sencilla y rápida.
La inclusión de esta casilla de aceptación, la primera capa informativa y el enlace a la política de privacidad se puede hacer mediante código, si cuentas con los conocimientos para ello, o utilizando uno de los plugins para WordPress y cumplimiento RGPD creados específicamente para esta función. Es importante asegurarse que el plugin que has escogido cumple también con el RGPD.
La opción de los plugins es la más sencilla y no exige tener grandes conocimientos técnicos para implementarlo. Aunque en el siguiente punto os recomendamos varios plugins para el cumplimiento del RGPD en WordPress, un plugin en concreto para comentarios y muy bien valorado es GDPR Comments, que permite introducir la casilla de aceptación y el enlace a la política de privacidad, además de anonimizar las IP de los comentarios, tanto los nuevos como aquellos que ya estuvieran en la base de datos.
Plugins RGPD para WordPress
Después de leer todas las obligaciones y requisitos necesarios para cumplir el RGPD en WordPress, puede que estés pensando que es una tarea complicada y, en cierto modo, lo es (especialmente para empresas que traten con grandes volúmenes de datos personales), pero es posible encontrar diferentes plugins RGPD para WordPress con los que poder gestionar la política de privacidad, la política de cookies y el aviso de cookies.
Algunos de estos plugins son:
- RGPD Cookie Consent WordPress es un plugin enfocado al uso y gestión de cookies de acuerdo al RGPD.
- Adapta RGPD plugin WordPress es una herramienta para cumplir con la normativa que incluye desde la creación de los textos legales, al aviso de cookies o las casillas de consentimiento.
- WordFence es una solución de seguridad para WordPress que nos avisará de posibles brechas o incidentes de seguridad.
- Delete Me es un plugin para WordPress que facilitará a los usuarios ejercer su derecho al olvido en la página web de WordPress donde esté habilitado.
Te recomendamos descargar un solo plugin RGPD WordPress que permita adaptar de manera íntegra tu web a la ley de protección de datos. Recuerda que un exceso de plugins puede empeorar el rendimiento de tu página y hacer que se cargue más lentamente.
Finalmente, en la sección de soporte y RGPD de WordPress.com, podéis encontrar más información sobre cómo adaptar vuestra página web al Reglamento de Protección de Datos.