miguel angel garrido

Usted está aquí: Inicio / general / La nueva normativa RGPD

por Dejar un comentario

La nueva normativa RGPD

El próximo día 25 de Mayo entrará en vigor el nuevo RGPD (Reglamento General para la Protección de Datos) que pasará a sustituir a la anterior LOPD. De esta manera nos adecuamos a la normativa europea que trata de homogeneizar y armonizar las distintas regulaciones de todos los países de la Unión Europea. Nosotros como usuarios de WordPress tenemos la obligación de, no sólo conocerlo, sino aplicarlo.
Será de obligado cumpliemiento para cualquier negocio online que maneje datos de usuarios, pero ojo, también para cualquier blog que simplemente posea un formulario de contacto o incluso disponga de la posibilidad de dejar comentarios. Vamos que prácticamente va a afectar a cualquiera que tenga una web. Por eso es necesario conocer un poco este nuevo reglamento, saber en qué nos pueda afectar y tomar las medidas necesarias para evitar simplemente estar fuera de la ley y que nos caiga una buena multa.

No soy experto en leyes, ni mucho menos, pero como responsable de datos de usuarios que poseo en mi poder a través de esta web y otras mías y de clientes me he querido informar lo mejor posible acudiendo a las fuentes más fidedignas. Estas son La propia Agencia Española de Protección de Datos (AEPD), el site oficial de la UE sobre este RGPD, y como no, nuestro maravilloso (y peñazo) BOE. Os dejo tambíen la guía en pdf por si queréis echarle un vistazo, que nunca está de más. Todo sea por la causa! Pensemos que este tipo de normativa va a significar más derechos para todos, más transparencia en el manejo de información personal y por tanto más protección para todas y todos.

Qué es el RGPD?

El nuevo reglamento no es más que una ley que regula cómo debemos gestionar los datos personales de los usuarios de nuestra web.

A quién afecta y cómo afecta el RGPD a mi WordPress?

A cualquier persona o empresa responsable de una web que recoja y almacene datos de ciudadanos de la UE.
Podríamos pensar que a aquellos que sólo tenemos un blog donde contamos nuestras cosillas no nos afecta, que eso es sólo para empresas que venden en internet y tal peeeero, por ejemplo, si captas e mails para tu newsletter estás gestionando información personal. Si tienes un formulario de contacto que recoja emails, teléfonos, etc. también estás recabando información personal. Incluso como te decía antes, si permites en tu blog comentarios, estás sujeto a este reglamento. Es decir, cualquier web que de alguna forma interactúe con usuarios lo deberá estar haciéndolo conforme marca la ley.

Cómo nos afecta? Pues en base a tres principios:

Principio de responsabilidad:

debiendo acreditar en nuestra web que hemos adoptado las medidas necesarias para el tratamiento de datos conforme a la ley y hacerlo mediante una responsabilidad PROACTIVA, es decir, no basta con un copia-pega de otra web para salir del paso, sino que debemos tomar las medidas necesarias conforme a las características específicas de nuestro negocio.

Principio de protección:

debemos cumplir con este principio de protección de datos por defecto desde antes de crear nuestra web, tomándonos en serio que vamos a recabar y custodiar datos personales de nuestros usuarios.

Principio de transparencia:

Deberemos contar con avisos legales más sencillos a la vez que completos informando a nuestros usuarios de forma MULTINIVEL, esto es por capas. Lo veremos más adelante pero os adelanto que deberemos disponer dos niveles o capas. Una con la info más esencial en el propio formulario de contacto o banner. Y un segundo nivel con datos más completos a través de la clásica página de “política de privacidad” o “textos legales”.

Qué novedades aporta el RGPD?

Se elimina el requisito de notificar los ficheros a la AEPD

y se sustituye por un registro de operaciones de tratamiento de datos. Para ello la Agencia de Protección de Datos pone a nuestra disposición la herramienta FACILITA RGPD, que en tres simples pasos te dirá si te basta sólo con el registro o si debes ir más allá. Es una herramienta apta sólo para tratamiento de escaso riesgo, es decir, que no implique recogida de datos relativas a militancia política, orientación sexual, datos biométricos, genéticos, etc. En ese caso serían datos especialmente protegidos. Os dejo también un vídeo explicativo:

Consentimiento expreso.

A diferencia de la antigua LOPD el consentimiento del usuario a facilitar sus datos debe ser INEQUÍVOCO, LIBRE y REVOCABLE y este debe ser mediante un ACTO AFIRMATIVO CLARO. O sea que no se admite el consentimiento implícito o “por defecto”. Se acabó eso de “si sigues navegando en la web, lo aceptas todo…”

Mayores requisitos informativos.

La información debe ser lo más completa posible, a la vez que expresada en un lenguaje claro e inteligible. Para ello se definen los dos niveles:

Un primer nivel en el que deberá informar, de modo resumido lo siguiente:

  1. Quién es el responsable del tratamiento de datos
  2. Cuál es la finalidad de esos datos
  3. Qué legitimación (base jurídica) tiene
  4. Quiénes son los destinatarios de esos datos
  5. Cuáles son los derechos de los usuarios de esos datos
  6. Cuál es su procedencia (en caso de que no provengan directamente del usuario)

Un segundo nivel

vendría dado a través de la propia página de “política de privacidad” o “textos legales”. En ellas se debe ampliar la información dada en el primer nivel de forma más detallada y siempre usando un lenguaje claro, sencillo y transparente. Por ejemplo, en el primer nivel debes indicar con tu nombre quién es el responsable del tratamiento de datos. En el segundo debes indicar cómo contactar contigo, tu DNI o CIF, domicilio social, etc.

Especial atención a los colaboradores

con quien se comparte la información, especialmente sin son de países externos a la UE, ya que estos deben adaptarse a esta ley.

Nuevos derechos al olvido, portabilidad y limitación.

Debes facilitar a cualquier usuario del que recabes datos la posibilidad de eliminarlos, rectificarlos y algo fundamental, que dichos datos sean una cesión temporal, no un regalo de por vida, es decir, esos datos deberán obrar en nuestro poder un tiempo determinado. Ese tiempo variará en función de otras legislaciones que puedan afectar a la normativa. Por ejemplo, la fiscalidad, el tiempo que determine hacienda que debes guardar facturas, etc. Y la portabilidad, ofrece a los usuarios la posibilidad de llevarse sus datos a otra entidad, organismo o empresa. Por ejemplo el día que quieras cambiar de operador de móvil no deberás volver a rellenar interminables formularios, sino simplemente pedir a tu operador actual que porte tus datos al nuevo.

Seguridad.

Deber de notificar cualquier brecha de seguridad que se produzca y puedan afectar a los datos. Es decir, si nos hackean la web no podemos guardar silencio, sino que debemos comunicarlo en un plazo máximo de 72h a la autoridad competente, en este caso a la AEPD y por supuesto tomar las medidas oportunas para subsanarlo y siempre, informando al usuario de dicha circunstancia.
Qué hago en mi página de WordPress?
Muy interesante todo y he aprendido una barbaridad, pero qué tengo que hacer yo para

adecuar mi WordPress a este nuevo RGPD?

En primer lugar:

actualizar todos tus textos legales, política de privacidad y cookies para añadir los nuevos elemento informativos:
Identidad de los destinatarios de la información recabada.
Tipo de datos que se están registrando.
Identidad del responsable. Efectivamente ahora debe haber una persona física denominado Delegado de Protección de Datos, identificado con su nombre y contacto.
Derecho a solicitar el acceso, rectificación y/o supresión de los datos.
Finalidad con que se recaban esos datos.
Plazo en que los datos estarán en nuestro poder y cómo nos desharemos de ellos una vez finalizado dicho plazo.
Existencia de decisiones automatizadas, en cuanto a la elaboración de perfiles para segmentación.
La versión 4.9.6 de WordPress incorpora una herramienta para crear una página de política de privacidad básica, que incluso analiza tu tema y plugins instalados por si alguno incluye políticas propias de privacidad. No es gran cosa pero te ayudará a controlar esos plugins que aún no están adecuados a la nueva RGPD. Ojo a Woocommerce, que incluye alguna información importante a tener en cuenta en tu página de política de privacidad.

En segundo lugar reforzar el consentimiento:

  • expreso: no vale tácito, por defecto, el silencio o las casillas premarcadas
  • específico: ligado a la finalidad concreta, no genérico
  • verificable: acreditar que efectivamente se han obtenido los datos

Todo esto va a ser fácilmente visible en nuestros formularios de contacto. La mayoría tienen documentación al respecto que puedes consultar en sus respectivas webs.Mucho ojo a los pop-ups, a las cajas de suscripción de nuestros sidebars y a los banners!!
Deben incluir check boxs para el consentimiento expreso, cláusulas informativas visibles y bien expuesta.
A modo de ejemplo te pongo mi propio formulario de contacto tal y como queda adecuándose a la nueva RGPD.

mi formulario de contacto conforme a directrices RGPD

En tercer lugar Instala un certificado de seguridad.

Actualmente tienes la posibilidad de hacerlo de forma totalmente gratuíta con Lets Encrpyt, un proyecto open source, impulsado por la fundación Linux y tras el que están empresas como el propio Google, Cisco, Automatic o Mozilla.

Por último, no haría falta decirlo pero lo recalco.

Tener siempre instalado, activo y actualizado un buen plugin de seguridad, como Sucuri o Wordfence.

Con todo, la forma más fácil de adecuar tu WordPress a la nueva RGPD es, como no, a través de un plugin. He testado varios y me quedo, sin duda con GDPR. Es el que estoy configurando para mi web, ya que aunque he adecuado el formulario y actualizado la página de privacidad, necesito algo más “profesional” y sin duda que este plugin me lo aporta. Estoy ultimando un tutorial que espero en breve esté a vuestra disposición. Por ahora os adelanto que este plugin no sólo incluye shortcodes y funciones de ayuda con los que generar botones, consentimientos, incluir o excluir códigos y cookies de consentimiento, sino que es capaz de gestionar de forma completa solicitudes y reclamaciones de protección, borrado, rectificación y revisión de datos de los usuarios, identificar de forma automática el envío de datos por parte de WordPress y plugins, con autoborrado, para saber qué plugins o qué de tu instalación envía datos y qué datos envía a servidores externos. Una pasada.

Conclusión

A mi parecer, en principio algo que nos podría suponer un trabajo extra, un handicap a la hora de conseguir suscriptores, clientes, etc. yo lo veo como algo muy positivo. Primero porque, sencillamente, es justo. Nadie debería almacenar nuestros datos de la forma que se ha estado haciendo hasta ahora, sin control. Esto debería garantizarnos que, al menos, tengamos plena conciencia de a quién damos nuestros datos, para qué y tener el control total sobre ellos para que, si lo estimamos oportuno, los cancelemos o rectifiquemos de una forma sencilla. Por otro lado esa transparencia va a hacer que nuestros usuarios confíen más en nosotros, que vean que nos preocupamos aún más si cabe por ellos, por su seguridad y privacidad, que no sólo nos importan sus datos sino ellos y ellas como personas.

Acerca de Miguel Angel Garrido

Interacciones con los lectores

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.