La necesidad y obligatoriedad de adaptar WordPress al RGPD, ha llevado de cabeza a más de uno.
Desde el 25 de mayo de 2018, se nos exige cumplir con el nuevo Reglamento General de Protección de Datos (RGPD) europeo, que además ha sido especificado en algunos puntos, a nivel español, por la también nueva Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales (de 5 de diciembre de 2018).
Aunque lo hayas dejado todo para el final ¡nos dejaron dos años para ir adaptándonos!
Este RGPD introduce una serie de novedades y cambios en cuanto al tratamiento de la información que obligan a adaptar algunas cosas para poder seguir operando dentro de la Ley.
Por supuesto, estos cambios afectan tanto al mundo físico como al virtual, así que si dispones de una web donde recoges datos de tus clientes y/o usuarios (aunque sólo sea el nombre y el correo-e) o simplemente utilizas en ella algún tipo de tecnología basada en el uso de cookies (es prácticamente imposible tener una que no lo haga), tendrás que adaptarla para no exponerte a sanciones importantes.
Vaya por delante que yo no soy ninguna profesional especializada en derecho tecnólogico o digital ni nada por el estilo. De hecho, no me gusta nada que gente que no es profesional del sector se dedique a meternos el miedo a todos en el cuerpo o a informarnos según su interpretación particular (y generalmente equivocada) de la Ley.
La interpretación de la Ley no es fácil ni para un profesional ¡menos todavía para un profano!
Así que no esperes que yo te dé recetas mágicas para redactar tus textos legales (aunque, bien pensado, LEXblogger, que es la que uso para mí y para mis clientes, es casi mágica).
Mis intenciones son dos:
- Facilitarte el encontrar las referencias legales concretas que necesitas para adaptar tu web al nuevo reglamento (para que no tengas que andar buscando por mil sitios y leyendo un montón de textos legales como me ha tocado hacer a mí, con el tiempo que eso conlleva, ni creerte lo primero que te diga el influencer de turno ¡lo que está escrito en la normativa es lo que vale!).
- Decirte cómo lo voy haciendo yo (como emprendedora online autónoma) y qué herramientas voy utilizando para adaptar técnicamente mi web al RGPD y la de mis clientes ¡que en eso sí creo que puedo ayudarte un poquito! 🙂
¡Así que vamos a ello!
Índice de contenidos
En qué consiste eso de “adaptar tu web al RGPD”
Cuando hablamos de adaptar una web al nuevo Reglamento General de Protección de Datos, hablamos de llevar a cabo actuaciones como:
- Adoptar medidas técnicas para garantizar lo máximo posible la seguridad de la transferencia y del almacenamiento de datos personales en nuestra web (SSL, plugins de seguridad, contraseñas seguras…).
- Crear su Política de privacidad y otros textos legales (o adaptar los que ya tenías).
- Adecuar los formularios (de suscripción, contacto, comentarios, etc.) al derecho de información del usuario.
- Implementar maneras de obtener y probar el consentimiento del usuario a la hora de ceder los datos.
- Adaptar los mecanismos y procedimientos para el ejercicio de derechos por parte del usuario (más adelante veremos cuáles son).
- En el caso de transferir datos a terceros (proveedores de alojamiento web, de pasarelas de pago, de servicios de correo electrónico, etc.), asegurarnos de que cumplen con el RGPD a la hora de tratarlos e informar al usuario.
En definitiva, tenemos el deber de informar adecuadamente al usuario y en todo momento del uso que hacemos de sus datos, tanto en la web como fuera de ella (por ejemplo, cuando les enviamos correos electrónicos desde una plataforma externa) y facilitarle la manera de ejercer sus derechos como usuarios.
Ten en cuenta que no es lo mismo la web de un autónomo que trabaja por cuenta propia que la de una empresa con varios empleados que acceden a la información, porque en este último caso se complica más la cosa. Ni es lo mismo una web de donde vendemos cosas que una web exclusivamente informativa.
Cada tipo de web y de negocio requieren cumplimientos diferentes (no olvides que la web es sólo una parte, importante, eso sí, de tu negocio).
Aquí te dejo las referencias de dos profesionales del derecho digital o técnológico en los que confío, por si necesitas consultar alguna cosa sobre la legalidad de tu negocio digital:
Qué es el deber de informar y cuándo y dónde hacerlo
La esencia de todo este cambio legal es establecer y defender el derecho del usuario a ser informado sobre el uso que se hace de sus datos y a no perder su poder sobre ellos.
Por eso, a todos los que tratamos con datos personales, se nos impone el deber de informar al usuario y facilitarle el ejercicio de sus derechos.
Si nos paramos un poquito a pensar, y por mucho que nos incomode el tener que estar haciendo cambios y adaptando cosas, es lo más justo para el usuario ¿no?
Y hay que tener en cuenta que los que tratamos con datos también somos objeto de tratamiento de datos en muchas ocasiones. Así que, aunque nos cueste ¡en el fondo esto es bueno para todos!
Para conocer más a fondo qué es eso del deber de informar y cómo y dónde hay que hacerlo, te recomiendo echarle un vistazo a la Guía para el cumplimiento del deber de informar de la AEPD, donde además encontrarás ejemplos de algunos textos.
Los derechos del usuario respecto a sus datos personales
En cuanto a los derechos de los usuarios, se tratan en el capítulo III del RGPD.
El usuario tiene derecho a:
- Información sobre lo que ocurre con sus datos cuando los facilita (secc. 2 – art. 13).
- Acceso a sus datos personales (secc. 2 – art. 15).
- Rectificación de sus datos cuando no sean correctos (secc. 3-art. 16).
- Supresión (secc. 3 – art. 17).
- Limitación del tratamiento (secc. 3 – art. 18).
- Portabilidad (secc. 3 – art. 20).
- Oposición (secc. 4 – art. 21).
(En la web de la Comisión Europea puedes encontrar información sobre los derechos de los ciudadanos en materia de protección de datos en un lenguaje menos especializado y más comprensible.)
Ante esto, debemos “facilitar procedimientos y formas visibles, accesibles y sencillos” para que el usuario pueda ejercerlos, especialmente por medio electrónico.
Conviene tener en cuenta también que, como indica la ley, “el ejercicio de los derechos será gratuito para el interesado”, salvo algunas excepciones.
Además, no hay que olvidar que casi todos los que tenemos una web usamos algún servicio de tratamiento de datos de terceros (ya sea de alojamiento web, facturación, pasarela de pago, email marketing…) y muchas veces se trata de servicios que conllevan una transferencia internacional de datos fuera de la Unión Europea.
Así que vamos a ver cómo se come eso…
Transferencia Internacional de datos fuera del Espacio Económico Europeo (EEE)
Con el RGPD, este tipo de transferencia de datos sigue los mismos criterios que el establecido por la LOPD, es decir…
“Los datos sólo podrán ser comunicados fuera del Espacio Económico Europeo:
- A países, territorios o sectores específicos (el RGPD incluye también organizaciones internacionales) sobre los que la Comisión Europea haya adoptado una decisión reconociendo que ofrecen un nivel de protección adecuado.
- Cuando se hayan ofrecido garantías adecuadas sobre la protección que los datos recibirán en su destino.
- Cuando se aplique alguna de las excepciones que permiten transferir los datos sin garantías de protección adecuada por razones de necesidad vinculadas al propio interés del titular de los datos o a intereses generales.”
A nivel práctico, esto supone que si decides exportar (o transferir) los datos de tus clientes, usuarios o suscriptores fuera del EEE, serás tú quien asumas la responsabilidad del cumplimiento del RGPD y las consecuencias que se pueden derivar si no lo cumples (si hasta ahora ya lo hacías y cumplías, no entres en pánico, porque todo sigue igual).
Si la exportación o transferencia de datos se realiza entre países del Espacio Económico Europeo, esto no se aplica, con lo que si la empresa de alojamiento de tu web, la plataforma de email marketing que utilizas o las pasarelas de pago o de facturación que tienes contratadas tienen sede en Europa y almacenan los datos de tus usuarios dentro del EEE, no tienes que preocuparte.
Si por el contrario, realizas alguna transferencia de datos fuera de Europa, ten en cuenta que existen algunos acuerdos internacionales que pueden respaldarlas, como es el caso del acuerdo del Escudo de la Privacidad UE – EE.UU (o EU-US Privacy Shield).
Eso sí, recuerda que en cualquier caso, tú siempre tienes el deber de informar y el interesado o usuario tiene el derecho a ser informado de que compartes sus datos con terceros y de las condiciones y la finalidad con la que lo haces.
¡Ah! Y otra cosa importante…
Siempre debes conservar una prueba de cuándo y con qué condiciones te dio su consentimiento el usuario para tratar sus datos personales (al suscribirse a tu lista de correo, al contratarte algún servicio…), porque la puedes necesitar en el caso de que tu web sea objeto de inspección.
Si te interesa informarte y aprender más sobre el tema, aquí tienes otras entradas sobre la adaptación de una web al RGPD:
- Cómo crear o adaptar los textos legales de tu web al RGPD.
- Cómo crear al aviso de Cookies en WordPress y cumplir con el RGPD.
- Cómo cumplir con el RGPD en los comentarios de WordPress.
- Formularios de contacto y RGPD en WordPress.
- Adaptar los formularios de suscripción al RGPD en WordPress.
- Cómo instalar un certificado SSL en WordPress para cumplir con el RGPD.
SI NO TIENES CLARO SI TU WEB CUMPLE O NO CON EL RGPD, O EN QUÉ MEDIDA LO HACE O NO, PUEDES CONTRATAR MI SERVICIO DE AUDITORÍA RGPD DE WEB WORDPRESS Y SALIR DE DUDAS.
Pedazo de curro que te has dado, y cómo te esfuerzas en compartirlo de forma comprensible, práctica y ordenada. Reconozco que he estado leyendo unos pocos posts y aún no me aclaro, pero leyéndote y con todas las referencias que incluyes en estos posts, espero poder tener lista alguna de mis webs en un par de días. Me daba una pereza enorme ponerme con esto…
Mil gracias por semejante aporte, guapi! Pienso compartirlo con mis suscriptores, seguro que les resulta práctico.
¡Hey, Dan!
¡Qué alegría verte por aquí!
Me alegro de que te sea útil. Aún faltan unos cuantos posts sobre el tema, porque hay cosas que tienen más miga de lo que parece a nivel técnico también 😉
Un abrazo
Hola Dan Guerrero,
Si aún estás con dudas o si no has conseguido centralizar todo la información, yo ya lo he hecho y he adaptado mis webs personalmente y de forma completamente gratuita. Porque aunque diga mucha gente que hay que rascarse el bolsillo, eso no es verdad y me sabe mal que la gente pague una pasta por algo que pueden hacer ellos mismos si supieran como.
Solo espero que no te haya costado mucho dinero si ya lo has hecho.
Saludos
Hola, Juanmi.
Claro, eso es como todo: si te lo sabes hacer tú, te ahorras una pasta 🙂
Aunque en este caso, además de la parte técnica, también entra la parte legal y eso ya es más peliagudo. A veces no basta con seguir un videotutorial: hay que estar familiarizado y al día con muchas cosas.
Pero en fin, a ver si entre todos ponemos un poquito de luz y al menos que la gente entienda y sepa de qué se habla y lo que implica cada cosa ¿verdad?
Saludos y gracias por pasarte 😉
Hola Tesacu,
esperemos que todo se vaya calmando y lo que tu dices, todos familiarizando con este RGPD.
Saludos