Cómo cumplir con el RGPD en WordPress

En mayo de 2016 se presentó en la UE el RGPD, Reglamento General de Protección de Datos, cuya entrada en vigor se produjo el 25 de mayo de 2018. Desde entonces se controla su cumplimiento sancionando a las empresas que no lo hagan con multas millonarias. Por eso es importante saber cómo hacer cumplir el RGPD en WordPress.

Qué es el RGPD

El RGPD o Reglamento General de Protección de Datos es una normativa europea creada para regular los derechos de privacidad de los ciudadanos de la Unión Europea. Su finalidad principal es que los usuarios tengan el control de los datos que comparten en Internet, aumentando su confianza.

Esta nueva normativa afecta a todas las empresas y sitios web que recojan cualquier tipo de dato personal de sus usuarios. Es decir, cualquier tecnología, plugin o campo que conlleve el tratamiento de datos personales como nombre, dirección, e-mail, teléfono, dirección IP, identificador en línea, perfil cultural, ingresos, sexo, etc.

En el caso de WordPress, existen diferentes formas de recopilar estos datos.

Qué datos se recogen de los usuarios en WordPress

Para cumplir el RGPD en WordPress es necesario entender previamente a través de qué mecanismos se recogen los datos:

  • Sistema de registro de usuarios
  • Formulario de contacto
  • Sistema de comentarios
  • Formulario de suscripción a newsletter
  • Cookies propias y de terceros
  • Sistema de analítica
  • Herramientas y plugins de seguridad
  • Comercio electrónico
  • Proveedor de e-mail
  • PÍxel de Facebook
  • Anuncios de Google AdSense
  • Servicio Cloudflare
  • Logs del proveedor de hosting

Adicionalmente, existen plugins de WordPress que también recopilan datos. Entre los más populares están Google Fonts, Yoast Seo Star Rating, pero existen muchos otros que también los almacenan.

Cuestiones fundamentales del RGPD en WordPress

A continuación, veremos los aspectos más relevantes para cumplir con el RGPD en una web en WordPress.

Notificar al usuario de la recogida de datos

Según el RGPD, los datos personales recogidos en una web deben ser procesados de manera transparente y legal, no pudiendo obtenerse ni utilizarse sin el consentimiento expreso del usuario. Por tal motivo, es obligatorio informar al usuario de forma clara y concisa de que debe dar su consentimiento antes de almacenar cualquier dato, aclarando además que puede revocarlo en cualquier momento.

En la notificación se especificarán cuestiones como quién es el responsable de su tratamiento, qué datos y por qué se van a recolectar, quién y cómo los van a utilizar, cuánto tiempo quedarán almacenados, etc. Es importante enlazar este consentimiento a la página completa de la Política de Privacidad del WordPress.

Obtener consentimiento explícito del usuario

Como hemos dicho antes, no se puede recoger ningún dato del usuario sin un consentimiento explícito. La ley específica claramente que debe ser el usuario quien debe realizar las acciones necesarias para dar su consentimiento, no pudiendo utilizarse aceptaciones por omisión ni casillas premarcadas.

Impedir la recogida de datos por parte de terceros no autorizados

El propietario de un sitio web es el responsable legal de la recogida y uso de los datos, incluida la efectuada por los plugin de terceros instalados en el WordPress. Esto implica que debe asegurarse de evitar la recogida de datos no autorizada, garantizando su privacidad y seguridad.

Para poder evitarlo es necesario mantener un registro de las interacciones con los usuarios y la recogida de datos personales. Este registro servirá para demostrar el cumplimiento de la legislación vigente en materia de protección de datos.

Mantener los datos accesibles y organizados

Dentro del RGPD se recoge el derecho al olvido, que permite al usuario borrar sus datos personales e impedir que se sigan recogiendo. Por otra parte, la cláusula de portabilidad de datos permite descargar los datos personales recopilados.

Estas dos importantes cuestiones obligan a los responsables del sitio en WordPress a organizar y mantener accesibles los datos recogidos de cada usuario, ya que en cualquier momento puede solicitar que se le envíen o que se borren, respetando los plazos legalmente disponibles.

Tu página web con WordPress debe contar con un formulario a través del cual los usuarios puedan solicitar la visualización o retirada de los datos recogidos de una manera sencilla.

Notificar las brechas de seguridad

Otro de los requerimientos del RGPD en WordPress es comunicar a los usuarios y a la Agencia Española de Protección de Datos cualquier brecha de seguridad detectada en el sitio en un plazo máximo de 72 horas desde su detección. Existen plugins específicos que se configuran para monitorizar los registros del servidor y el tráfico web, evitando posibles fallos de seguridad.

Consentimiento en WooCommerce

Por último, los WordPress que cuenten con WooCommerce o cualquier otra plataforma de comercio electrónico, deberán contar como opción predeterminada opt-in, en lugar de opt-out.

Pasos a seguir para cumplir el RGPD en WordPress

Ahora que los conceptos sobre la protección de los datos han quedado más claros, solo queda adaptar el WordPress para cumplir con la normativa.

  1. Textos legales. Primeramente, debes revisar e incluir los apartados de textos legales. Cerciórate de que tu WordPress dispone de los apartados de Aviso LegalPolítica de Cookies, Términos y Condiciones, Formulario de contacto y comentarios, con la información requerida en cada punto.
  2. Adapta tus formularios. Una vez que tengas los textos legales en orden, debes adaptar todos los formularios al RGPD, para garantizar su cumplimiento (suscripción, comentarios, contacto, etc.).
  3. Pide consentimiento. Si dispones de una lista de suscriptores, deberás enviar un e-mail o comunicado para conseguir la aceptación del tratamiento de datos o su desistimiento en caso de no estar de acuerdo. Recuerda que carecer de este consentimiento implica no poder recoger ni utilizar los datos de los suscriptores.
  4. Plugins cumplidores. Finalmente, revisa que todos los plugins que tienes instalados en tu WordPress cumplen con la normativa en materia de recogida y tratamiento de datos.

Recuerda que si estás pensando desarrollar tu proyecto en WordPress, en Arsys tenemos diferentes packs de Hosting WP que podrían adaptarse a tus necesidades.