WordPress y RGPD es un binomio que casi a menudo debe ir de la mano cuando hablamos de páginas web (cualquiera que sea su naturaleza y titularidad) hechas en esta plataforma, puesto que la mayoría de ellas (si no todas) recogen algún tipo de dato personal de sus usuarios.
En este artículo explicaremos cómo cumplir el RGPD en WordPress, para que tu página web evite cualquier tipo de sanción por infringir la normativa de protección de datos.
En este artículo hablamos de:
¿Cómo afecta el RGPD a las webs WordPress?
El RGPD, y su adaptación a la legislación española en la LOPDGDD, debe cumplirse siempre que se traten datos personales, entendiendo por «tratar» cualquier acción relacionada con ellos, como es su recogida o almacenamiento o su uso para diferentes fines (analíticos, comerciales, etc.). Las páginas web hechas en WordPress no son una excepción y, por tanto, el RGPD es de aplicación en prácticamente cualquiera de ellas.
Tanto si se trata de la web corporativa de la empresa, un blog o una tienda online, siempre que se recojan o registren datos personales (basta con tener activos los comentarios o un botón de redes sociales o publicidad o utilizar cookies), tendremos que asegurarnos de que esta página web en WordPress cumple con el RGPD, si no, podríamos ser denunciados ante la AEPD o cualquier otro ente regulador y ser sancionados con multas que pueden llegar a los 20 millones de euros (o el 4% de la facturación anual).
Adaptar al RGPD una web WordPress, implica cumplir las siguientes obligaciones:
- Identificar al responsable del tratamiento y, cuando proceda, a su representante, encargado o encargados del tratamiento y al Delegado de Protección de Datos.
- Llevar un registro de actividades de tratamiento (cuando así proceda, según el artículo 30.5 del RGPD).
- Informar a los interesados sobre la recogida de datos y la finalidad del tratamiento.
- Informar sobre posibles cesiones o comunicaciones de datos a terceros.
- Informar, si procede, de transferencias internacionales de datos y las garantías adoptadas.
- Indicar el plazo de conservación de los datos.
- Indicar las vías para ejercer los derechos ARSULIPO (acceso, rectificación, supresión, limitación, portabilidad y oposición). Así como mencionar que también pueden hacer la correspondiente reclamación ante la AEPD.
- Adoptar las medidas de seguridad técnicas y organizativas que garanticen la confidencialidad, integridad y disponibilidad de los datos.
- En caso de que se produzcan, notificar las brechas de seguridad que puedan poner en riesgo los derechos y libertades de los interesados.
Y es que la gran mayoría de páginas web WordPress recogen datos de sus usuarios (como pueden ser la dirección IP, el nombre de usuario, la dirección de email o la información del navegador), ya que cuentan con diferentes medios para recabar estos datos, por ejemplo, a través de un sistema de registro de usuarios, a través de formularios o mediante el uso de cookies propias y de terceros, así como de plugins que también pueden recabar datos.
¿Cómo se recogen datos en WordPress?
WordPress es uno de los CMS (sistema de gestión de contenido por sus siglas en inglés) más usados para crear páginas web, desde blogs hasta tiendas online, podemos encontrar todo tipo de páginas web elaboradas en esta plataforma. Y la gran mayoría de esas páginas web, cómo decíamos en el punto anterior, recaban datos personales de sus visitantes.
Para recoger esos datos existen diferentes medios, pero los principales usados en webs en WordPress son los siguientes:
- Datos de registro de los usuarios, cuando estos se suscriben a la web y emplean un nombre de usuario, una contraseña y otros datos, como la dirección de email o sus preferencias.
- Cookies propias y/o de terceros usadas especialmente con fines de mercadotecnia y estadísticos.
- Comentarios, puesto que es necesario, como mínimo, introducir la dirección de email para poder comentar en las webs de WordPress.
- Formularios de contacto; no solo se recogen datos de contacto, como un nombre y un email, sino que estos pasan a formar parte de la base de datos.
- Plugins; hay complementos para WordPress que también recaban datos personales de los usuarios, aparte de los del sitio web, por lo que siempre es imprescindible asegurarse de que los responsables de los plugins que usamos, cumplen con el RGPD.
¿Cómo cumplir con el RGPD en WordPress?
Más arriba hemos enumerado las principales obligaciones en materia de protección de datos que deben cumplir el titular o titulares de una web en WordPress, puesto que ellos son los responsables del tratamiento, quienes recaban y deciden para qué y cómo usar los datos personales de sus usuarios. Para cumplir estas obligaciones RGPD en WordPress, aparte de documentar los tratamientos de datos que se realizan, hay que llevar a cabo las siguientes acciones o actividades:
Textos legales
Cómo hemos visto, una de las obligaciones que establece el RGPD para los responsables del tratamiento, es la de informar a los interesados sobre todo lo relacionado con el tratamiento de sus datos. Esta información en páginas web se facilita a través de los denominados «textos legales de una página web».
Para hacerlos más prácticos, la normativa permite que la información de los textos legales se suministre en dos capas informativas, una primera en la que se da información básica al respecto (y que podemos encontrar en los formularios de contacto o comentarios) y una segunda mucho más extensa y detallada, que se habilita en una subpágina que depende del dominio principal y que debe ser accesible desde cualquier sección de la página web y, a través de un enlace, desde los formularios de inscripción, comentarios, venta, etc.
Así mismo, los textos legales deben estar escritos en un lenguaje claro y fácil de comprender.
Los textos legales de una página web que no pueden faltar en tu sitio de WordPress para cumplir el RGPD son:
- El aviso legal para webs con fines comerciales, corporativas o que contengan publicidad en el que se informa sobre la identidad del responsable del tratamiento de datos (el titular de la web, que puede ser una empresa o un particular):
- Nombre y dirección (o nombre y apellidos en caso de ser un particular)
- NIF (o DNI)
- Datos de contacto
- La política de privacidad en WordPress informa sobre el tratamiento que se hace de los datos personales:
- Base legal o legitimidad del tratamiento
- Identidad del responsable del tratamiento (si procede, del encargado del tratamiento)
- Finalidad del tratamiento
- Si se van a realizar, información sobre la cesión de datos a terceros (incluidas las transferencias internacionales de datos)
- Plazo de conservación de los datos
- Cómo y dónde ejercer los derechos ARSULIPO
- La política de cookies en WordPress debe especificar y detallar toda la información referente a las cookies que se emplean en la página web en WordPress; sus titulares, su finalidad, su duración, etc.
Gestión del consentimiento
Otro de los requisitos fundamentales para cumplir con el RGPD en WordPress es recabar el consentimiento explícito de los usuarios para poder tratar sus datos personales. Cuando decimos «explícito», estamos diciendo que es el usuario quien, mediante una acción afirmativa, debe aceptar el tratamiento de sus datos. Esto se hace, habitualmente, recurriendo a una checkbox desmarcada junto a la leyenda «Acepto la política de privacidad» o fórmula similar y un enlace a dicha política de privacidad.
Debemos tener en cuenta que es obligatorio recabar el consentimiento RGPD de los usuarios siempre que se puedan recabar datos personales, como ocurre, por ejemplo, con los formularios de suscripción o comerciales, y que también debemos adaptar los comentarios en WordPress al RGPD, puesto que, como mínimo, se está recabando la dirección IP (considerada dato personal) y una dirección de email.
Además, el consentimiento también es aplicable a las cookies, ya que para poder usar estas en nuestro sitio WordPress de acuerdo tanto al RGPD y la LOPDGDD como la LSSI, debemos recabar el consentimiento expreso del usuario. Para ello deberemos incluir un aviso de cookies.
El aviso de cookies, que suele ser un pop-up, tiene una doble función; por un lado, informa al usuario en una primera capa de información de las cookies que emplea el sitio web (puede ser más o menos exhaustivo, lo normal es que diga que se utilizan cookies técnicas o necesarias, cookies analíticas y cookies de terceros) y permitir su configuración, es decir, aceptar o no su uso, salvo las necesarias, en las que el consentimiento no es necesario. Y, por otro lado, bloquea la instalación de las cookies en el navegador del usuario hasta que este las acepta (o no, en cuyo caso, no permite su instalación). Además, el aviso de cookies incluye un enlace a la política de cookies (segunda capa de información).
Así mismo, el aviso de cookies debe aparecer siempre que un nuevo usuario entre en la página web o cuando haya borrado las cookies de su navegador o las que use el sitio hayan caducado y vuelvan a generarse.
En caso de tener habilitados los comentarios en la página o blog en WordPress, también es necesario asegurarnos de que estos cumplen con el RGPD, ya que como decíamos más arriba, a través de ellos se recaban datos personales. Así, para adaptar los comentarios de WordPress al RGPD, habrá que habilitar una casilla de aceptación desmarcada y un enlace a la política de privacidad, algo que puede hacerse mediante código, si se cuenta con los conocimientos para ello, o utilizando uno de los plugins para WordPress y cumplimiento RGPD creados específicamente para esta función (esta es la opción más sencilla).
Cabe señalar que el consentimiento dado por los usuarios solo es válido para la finalidad que se haya especificado a la hora de recabarlo y que debemos facilitar una vía para que los usuarios puedan revocarlo en cualquier momento.
Derechos de los usuarios
Cualquier página web hecha en WordPress debe facilitar a los usuarios que puedan ejercer sus derechos ARSULIPO, de manera que se deben especificar de manera clara las vías para poder solicitar estos derechos, cómo dijimos, esto figurará en la política de privacidad, pero también estará presente en las comunicaciones que puedan tenerse con los usuarios, por ejemplo, añadiendo un enlace en el pie de los emails.
El plazo general para responder a las solicitudes de derechos es de un mes y es obligatorio que los responsables respondan a los usuarios, tanto si la respuesta es afirmativa como si no lo es, en cuyo caso se debe justificar por qué se deniega la solicitud del derecho ejercido.
Seguridad en WordPress
El responsable del tratamiento de una web en WordPress es el responsable también de impedir que terceros no autorizados puedan acceder a los datos personales que se recaban y tratan en la propia página web. Para ello debe aplicar las medidas necesarias para garantizar la seguridad en WordPress de los datos personales recabados y almacenados.
Entre esas medidas está comprobar la política de privacidad de los plugins y otros complementos que se usen en la página web en WordPress y que puedan acceder a datos personales. Adoptar técnicas de seudonimización de los datos personales, cifrado, uso de certificados SSL, minimizar el número de personas autorizadas para acceder a los datos personales almacenados, etc.
Así mismo, en el caso de que se produjeran brechas de seguridad que pudieran dejar expuestos los datos personales de los usuarios (como un ciberataque en el que se exfiltren datos como direcciones de emails, nombres de usuarios, números de teléfono o contraseñas), el responsable de tratamiento de la página web deberá informar de ello en un plazo no superior a 72 horas a la AEPD u otra autoridad de control pertinente y a los propios usuarios.
Plugins para cumplir el RGPD en WordPress
Después de leer todas las obligaciones y requisitos necesarios para cumplir el RGPD en WordPress, puede que estés pensando que es una tarea complicada y, en cierto modo, lo es (especialmente para empresas que traten con grandes volúmenes de datos personales), pero es posible encontrar diferentes plugins RGPD para WordPress con los que poder gestionar la política de privacidad, la política de cookies y el aviso de cookies.
Algunos de estos plugins son:
- RGPD Cookie Consent WordPress es un plugin enfocado al uso y gestión de cookies de acuerdo al RGPD.
- Adapta RGPD plugin WordPress es una herramienta para cumplir con la normativa que incluye desde la creación de los textos legales, al aviso de cookies o las casillas de consentimiento.
- WordFence es una solución de seguridad para WordPress que nos avisará de posibles brechas o incidentes de seguridad.
- Delete Me es un plugin para WordPress que facilitará a los usuarios ejercer su derecho al olvido en la página web de WordPress donde esté habilitado.
- GDPR Comments es un plugin específico para cumplir el RGPD en los comentarios de WordPress, que permite introducir la casilla de aceptación y el enlace a la política de privacidad, además de anonimizar las IP de los comentarios, tanto los nuevos como aquellos que ya estuvieran en la base de datos.
Te recomendamos descargar un solo plugin WordPress RGPD que permita adaptar de manera íntegra tu web a la ley de protección de datos. Recuerda que un exceso de plugins puede empeorar el rendimiento de tu página y hacer que se cargue más lentamente.
Finalmente, en la sección de soporte y RGPD de WordPress, podéis encontrar más información sobre cómo adaptar vuestra página web al Reglamento de Protección de Datos.
En definitiva, cumplir el RGPD en WordPress es una tarea ineludible para cualquier titular de una página web hecha en esta plataforma, puesto que la gran mayoría de estos sitios recaban y tratan datos personales, aunque solo sea por tener habilitados botones de compartir en redes sociales y los comentarios.
Así que evita posibles sanciones adaptando tu web WordPress al RGPD y, si tienes dudas, puedes ponerte en contacto con Grupo Atico34 para saber cómo podemos ayudarte a cumplir con la normativa de manera sencilla y sin preocupaciones.