¡Pide presupuesto en 2 min! ✓
LOPDGDD & RGPDPágina web

¿Cómo cumplir el RGPD en WordPress?

WordPress es una de las plataformas más usadas para crear páginas web, desde blogs hasta tiendas online y muchas de estas páginas recogen algún tipo de dato personal de sus usuarios, lo que nos trae a este artículo sobre RGPD y WordPress, en el que explicaremos por qué deben cumplir las webs hechas en esta plataforma la normativa europea de protección de datos y cómo hacerlo.

¿Por qué mi página web en WordPress debe cumplir el RGPD?

El RGPD, y su adaptación a la legislación española en la LOPDGDD, debe cumplirse siempre que se traten datos personales, entendiendo por «tratar» cualquier acción relacionada con ellos, como es su recogida o almacenamiento o su uso para diferentes fines (analíticos, comerciales, etc.). Las páginas web hechas en WordPress no son una excepción.

Tanto si se trata de la web corporativa de la empresa, un blog o una tienda online, siempre que se recojan o registren datos personales (basta con tener activos los comentarios o un botón de redes sociales o publicidad o utilizar cookies), tendremos que asegurarnos de que esta página web en WordPress cumple con el RGPD, si no, podríamos ser denunciados ante la AEPD o cualquier otro ente regulador y ser sancionados con multas que pueden llegar a los 20 millones de euros (o el 4% de la facturación anual).

¿Qué datos personales se recogen en WordPress?

De forma general, las páginas web hechas en WordPress recogen o pueden recoger los siguientes datos personales:

  • Dirección IP
  • Nombre de usuario
  • Dirección de correo electrónico
  • Información del navegador y de seguimiento (a través de las cookies)
  • Número de teléfono

Estos datos se recogen habitualmente a través de:

  • Sistema de registro de usuarios
  • Formularios de contacto
  • Cookies propias y de terceros
  • Herramientas analíticas
  • Diferentes plugins
  • Botones de redes sociales
  • Anuncios

tarifas proteccion datos

Obligaciones RGPD para sitios en WordPress

Para aplicar el RGPD en WordPress debemos asegurarnos de que nuestra página web cumple con los requisitos y obligaciones que veremos a continuación.

Informar al usuario de la recogida de datos personales

El RGPD y la LOPDGDD establecen la obligación de informar a los usuarios siempre que se vayan a recabar y usar sus datos personales; esta información se debe suministrar en dos capas informativas, una primera en la que se da información básica al respecto y una segunda mucho más extensa y detallada, siempre usando un lenguaje claro y fácil de comprender.

La información sobre el tratamiento de datos personales se hace a través de los denominados «textos legales de una página web», que deben ser accesibles desde cualquier sección de la página web y, a través de un enlace, desde los formularios de inscripción, comentarios, venta, etc.

Los textos legales

Los textos legales de una página web que no pueden faltar en tu sitio en WordPress son:

  • El aviso legal, en el que se informa sobre la identidad del responsable del tratamiento de datos (el titular de la web, que puede ser una empresa o un particular):
    • Nombre y dirección (o nombre y apellidos en caso de ser un particular)
    • NIF (o DNI)
    • Datos de contacto
  • La política de privacidad en WordPress informa sobre el tratamiento que se hace de los datos personales:
    • Base legal o legitimidad del tratamiento
    • Identidad del responsable del tratamiento (si procede, del encargado del tratamiento)
    • Finalidad del tratamiento
    • Si se van a realizar, información sobre la cesión de datos a terceros (incluidas las transferencias internacionales de datos)
    • Plazo de conservación de los datos
    • Cómo y dónde ejercer los derechos ARSULIPO (acceso, rectificación, supresión, limitación y portabilidad)
  • La política de cookies en WordPress debe especificar y detallar toda la información referente a las cookies que se emplean en la página web en WordPress; sus titulares, su finalidad, su duración, etc.

Recabar el consentimiento expreso de los usuarios

Otro de los requisitos fundamentales para cumplir con el RGPD en WordPress es recabar el consentimiento explícito de los usuarios para poder tratar sus datos personales. Cuando decimos «explícito», estamos diciendo que es el usuario quien, mediante una acción afirmativa, debe aceptar el tratamiento de sus datos. Esto se hace, habitualmente, recurriendo a una checkbox desmarcada junto a la leyenda «Acepto la política de privacidad» o fórmula similar y un enlace a dicha política de privacidad.

Debemos tener en cuenta que es obligatorio recabar el consentimiento de los usuarios siempre que se puedan recabar datos personales, como ocurre, por ejemplo, con los formularios de suscripción o comerciales, y que también debemos adaptar los comentarios en WordPress al RGPD, puesto que, como mínimo, se está recabando la dirección IP (considerada dato personal) y una dirección de email.

Además, el consentimiento dado por los usuarios solo es válido para la finalidad que se haya especificado en este, por lo que si queremos usar sus datos con otro fin (por ejemplo, los recabamos para los comentarios, pero queremos usarlos para enviar nuestro newsletter), deberemos volver a solicitar el consentimiento especificando esta nueva finalidad.

No te olvides de las cookies

Para poder usar cookies en nuestro sitio en WordPress de acuerdo con el RGPD y la LOPDGDD, también debemos recabar el consentimiento expreso del usuario. Para ello deberemos incluir un aviso de cookies.

El aviso de cookies, que suele ser un pop-up, tiene una doble función; por un lado, informa al usuario en una primera capa de información de las cookies que emplea el sitio web (puede ser más o menos exhaustivo, lo normal es que diga que se utilizan cookies técnicas o necesarias, cookies analíticas y cookies de terceros) y permitir su configuración, es decir, aceptar o no su uso, salvo las necesarias, en las que el consentimiento no es necesario.

Y, por otro lado, bloquea la instalación de las cookies en el navegador del usuario hasta que este las acepta (o no, en cuyo caso, no permite su instalación).

Además, el aviso de cookies incluye un enlace a la política de cookies (segunda capa de información).

El aviso de cookies debe aparecer siempre que un nuevo usuario entre en la página web o cuando haya borrado las cookies de su navegador o las que use el sitio hayan caducado y vuelvan a generarse.

Evitar la recogida o acceso a datos personales por parte de terceros no autorizados

El responsable del tratamiento, es decir, el titular de la web, es el responsable también de impedir que terceros no autorizados puedan acceder a los datos personales que se recaban y tratan en la página web en WordPress. Para ello debe aplicar las medidas necesarias para garantizar la seguridad en WordPress de los datos personales recabados y almacenados.

Entre esas medidas está comprobar la política de privacidad de los plugins y otros complementos que se usen en la página web en WordPress y que puedan acceder a datos personales. Adoptar técnicas de seudonimización de los datos personales, cifrado, uso de certificados SSL, minimizar el número de personas autorizadas para acceder a los datos personales almacenados, etc.

Informar a los usuarios de sus derechos

Cualquier página web hecha en WordPress debe facilitar a los usuarios que puedan ejercer sus derechos ARSULIPO, de manera que se deben especificar de manera clara las vías para poder solicitar estos derechos (como dijimos, esto figurará en la política de privacidad, pero también estará presente en las comunicaciones que puedan tenerse con los usuarios).

El plazo general para responder a las solicitudes de derechos es de un mes y es obligatorio que los responsables respondan a los usuarios.

Notificar las brechas de seguridad

En el caso de que se produjeran brechas de seguridad que pudieran dejar expuestos los datos personales de los usuarios (como un ciberataque en el que se exfiltren datos como direcciones de emails, nombres de usuarios, números de teléfono o contraseñas), el responsable de tratamiento de la página web deberá informar de ello en un plazo no superior a 72 horas a la AEPD u otra autoridad de control pertinente y a los propios usuarios.

Plugins rgpd wordpress

Plugins para cumplir el RGPD en WordPress

Después de leer todas las obligaciones y requisitos necesarios para que sitio en WordPress cumpla con el RGPD, puede que estés pensando que es una tarea complicada y, en cierto modo lo es (especialmente para empresas que traten con grandes volúmenes de datos personales), pero es posible encontrar diferentes plugins RGPD para WordPress con los que poder gestionar la política de privacidad, la política de cookies y el aviso de cookies.

Algunos de estos plugins son:

  • RGPD Cookie Consent WordPress es un plugin enfocado al uso y gestión de cookies de acuerdo al RGPD.
  • Adapta RGPD es un plugin de WordPress para cumplir con la normativa que incluye desde la creación de los textos legales, al aviso de cookies o las casillas de consentimiento.
  • WordFence es una solución de seguridad para WordPress que nos avisará de posibles brechas o incidentes de seguridad.
  • Delete Me es un plugin para WordPress que facilitará a los usuarios ejercer su derecho al olvido en la página web de WordPress donde esté habilitado.

Finalmente, en la sección de soporte y RGPD de WordPress.com, podéis encontrar más información sobre cómo adaptar vuestra página web al Reglamento de Protección de Datos.

¿Necesitas un presupuesto? Escríbenos o llámanos al 914 896 419

He leído y acepto la política de privacidad.