Si bien a lo largo del mundo hay varias leyes de protección de datos personales, una de las más importantes para el mercado occidental es el llamado Reglamento General de Protección de Datos o RGPD por sus inciales, es una ley de protección de datos de la Unión Europea que ha estado en vigencia desde ya hace algunos años y que afecta el cómo las empresas manejan los datos que recogen de los usuarios en Internet.
Contenido
¿Qué es la ley RGPD?
La ley RGPD es obligatoria a todas las empresas y organizaciones de los países miembros de la Unión Europea, sin embargo, también es aplicable a las empresas que, aunque estén fuera de la Unión Europea ofrecen productos y/o servicios a clientes ubicados dentro de la Unión.
Esto hace que en la práctica todas las empresas con alcance internacional y con clientes dentro de la Unión deben cumplir esta normativa, principalmente debido a que cualquier incumplimiento de la ley puede dar lugar sanciones y multas millonarias y obstruir los negocios de empresas externas con empresas y/o ciudadanos de la union.
Hacer que un sitio de WordPress cumpla con toda la reglamentación RGPD debería ser una prioridad, no solo por las sanciones, sino por un tema de imagen, debido a que los clientes ahora son más conscientes que antes sobre temas de privacidad y por tanto valoran más que nunca la privacidad y seguridad de sus datos personales, existen estudios que indican que un usuario dejaría de visitar un sitio si saben que una empresa o marca, no maneja correctamente sus datos, por tanto, ya se trata de un tema de marketing y no solo de un tema jurídico.
Aunque trabajes fuera de la Unión Europeas siempre debes tener en cuenta que posiblemente tengas que cumplir con otras normativas parecidas al RGPD, como puede ser la Ley de Privacidad del Consumidor de California (CCPA) o la Ley de Protección de Datos Personales (PDPA), en la actualidad es muy común que exista en cada país una ley de Protección de Datos Personales, que si bien pueden no ser tan completas y estrictas como el RGPD, siempre debes revisarlas y asegurarte de cumplirlas.
Para comprender mejor de qué se trata la ley RGPD, existen términos que son fundamentales entender:
- Datos Personales: Son cualquier tipo de dato o información relacionada a una persona y permite identificarla, por ejemplo su nombre, número de identificación, ubicación o identificarlo como parte de un grupo, como puede ser género, nacionalidad, etc.
- Responsable del tratamiento: Es la entidad responsable, puede ser una persona jurídica, un organismo público, una agencia u otra entidad que establece la finalidad de la recolección de esos datos y el tratamiento que le dará a los mismos.
- Encargado del tratamiento: Es la persona física o jurídica que procesa dichos datos y lo hace en nombre del Responsable del tratamiento.
¿Qué requisitos se deben cumplir en WordPress?
Para el cumplimiento de la ley RGPD requiere seguir seis puntos:
- Minimización de los datos: Consiste en que el sitio web sólo debe recopilar la información personal estrictamente necesaria para utilizarla únicamente para fines específicos, explícitos y legítimos, es decir debe existir una justificación real por cada dato que se almacenará y no recopilar datos sin un propósito definido.
- Transparencia: La recopilación de datos y el tratamiento de los mismos siempre debe comunicarse claramente a los usuarios, por ejemplo, siempre indicar qué datos se recopilarán y para qué finalidad.
- Integridad y confidencialidad: Los propietarios del sitio web deben siempre mantener la seguridad de todos los datos personales que le fueron confiados por los usuarios, por ejemplo tomar todas las medidas necesarias para prevenir riesgo de hackeo, fugas de datos o acceso no autorizados, en caso de producirse también se tiene la obligación de realizar notificaciones de violación de datos en caso de incidente y debe hacerse sin demoras.
- Limitación del almacenamiento: Esto significa que los datos personales recopilados nunca deben conservarse más allá del tiempo del necesario para cumplir con su finalidad, la única excepción para almacenarse por más tiempo es que sea de interés público.
- Exactitud: Siempre deben garantizar la completa exactitud de los datos personales y mantenerlos actualizados, por eso deben corregir o borrar los datos personales cuando estos se consideran inexactos.
- Limitación de la finalidad: Los Responsables y los encargados del tratamiento no deben utilizar los para otros fines que los especificados, explícitos y legítimos, es decir, que no se pueden utilizar los para otros fines diferentes para lo que fueron solicitados y que el propietario de los datos otorgó permiso.
Todos los responsables de sitios web sujetos a cumplir con RGPD deben seguir estos principios, de otra manera tendran que rendir cuentas por el incumplimiento de las mismas.
Publicar la política de privacidad
Se trata de un documento clave que debe ser incluido en el sitio y ser fácilmente accesible en todo momento, en dicha página se debe incluir toda la información de forma detallada sobre qué datos se recoge, del tipo de datos, de cómo se almacenan, como se procesan y todos los actores involucrados.
Este punto no es solo importante para cumplir con los requisitos de RGPD, sino que también es un requisito para servicio como Google Analytics o las Apps para Facebook, Instagram y WhatsApp entre otras que también requieren el sitio contenga una página de política clara de privacidad y que se apegue a la ley de protección de datos personales de su jurisdicción, que son bastante similares al RGPD al menos en este punto.
En cada página de privacidad debe especificar como mínimo el tipo de dato que se recolecta, como por ejemplo el nombre, la fecha de nacimiento, el sexo, así como el correo electrónico y las direcciones IP son datos personales, siempre se debe explicar por qué se recoge y procesas datos, ya que tiene que tener una justificación como vimos antes.
En los casos que se utilicen servicios de terceros, para por ejemplo, llevar estadísticas o como herramientas de marketing con los que se compartan datos, también debe estar especificado en la política de privacidad cuáles son esos datos, cómo se comparten, cuando y porque, además se debe explicar de forma clara cómo se va a mantener el almacenamiento de datos, por cuánto tiempo y describir cómo se protegerán.
También es importante incluir un procedimiento para excluirse de la recogida y el tratamiento de datos, en el documento se debe incluir fecha de entrada en vigencia de la política de privacidad, ya que puede manejarse varias versiones a lo largo del tiempo, hacerle cambios para agregar nuevos datos o modificar la política o dejar sin efecto otras, además se debe incluir los datos de contacto, en caso de que los usuarios tengan alguna consulta respecto a la política o a los datos.
¿Cómo se crea la página de privacidad?
Si bien es un documento legal y dependiendo del negocio sería lo más recomendable buscar asesoramiento profesional, bien puede hacerse usando textos genéricos, para ello existen dos formas muy útiles de generar una página para las políticas de privacidad.
WordPress incorpora un asistente que permite a sus usuarios generar una política de privacidad de forma manual directamente desde el panel de administración, yendo a Ajustes > Privacidad.
Para publicar es tan sencillo como pulsar el botón Crea para generar una nueva página con política de privacidad personalizada, en la pestaña Guia de la Política tendremos muchos más textos que podemos ir agregando (copiando) a la política que estemos escribiendo, incluso según los plguins que tengamos instalados nos sugiriera el texto que respalde el uso de datos recogidos por de esos plugins empleados.
El otro camino para generar la página es utilizando algun plugin como por ejemplo WP AutoTerms. Se descarga e instala como cualquier plugin y es sencillo de utilizar mediante la nueva opción en el administrador de WordPress.
Este plugin tiene tanto una versión gratuita que permite generar política de privacidad básica que incluye términos y condiciones, además una página legal personalizada, en su versión premium (paga) ofrece algunas funciones adicionales como por ejemplo la creación de una política de privacidad más completa y un banner de aviso de cookies.
Evaluar cómo recoges los datos de los usuarios
Dentro de cualquier sitio WordPress hay diferentes plugins que para funcionar necesitan si o si recopilar algunos datos protegidos por RGPD y por eso es sumamente importante tener en cuenta estos plugins, de manera que tu sitio cumpla con la ley al cien por ciento.
Por ejemplo, el plugin más común es el de formularios de contacto que se empleara para que el usuario puede enviar un mensaje; sin embargo, este solicita datos como nombres, mail y/o teléfonos, entre otros, todos estos datos deben estar claramente especificados en la política y se debe ser claro y transparente en su uso.
También hay que saber que se tienen limitaciones, por ejemplo, aunque el usuario haya brindado su mail, está prohibido enviar correos de marketing sino otorgó autorización explícitamente para eso, si el mail se solicitó como contacto por una consulta solo se puede utilizar para responder a esa consulta.
En el caso de querer enviarles correos de marketing, no solo se le debe pedir autorización para eso, sino que cuando se le pida, la casilla no debe estar marcada por defecto, el usuario tiene que seleccionar manualmente que otorga permisos para enviarles correo, eso es para evitar que el usuario otorgue permisos por omisión al quedar tildado sin que se diera cuenta.
Otra de las funciones principales y afectadas por RGPD es sin duda la sección de comentarios, especialmente para los sitios de los blogs, si bien son bastante similares a los formularios de contacto, los formularios de comentario suele usar cookies para marcar al usuario y esto también es afectado por el RGPD.
Para los comentarios a partir de la versión WordPress 4.9.6 y posteriores ya se incluye una casilla de consentimiento, también es posible desactivar la recopilación de ciertos datos como la IP de los usuarios cuando los usuarios dejen un comentario, en cualquier caso la política de privacidad debe reflejar la recopilación que se realice.
Dentro de la categoría de plugins para tiendas, sin dudas WooCommerce es de los plugins más populares de eCommerce para WordPress, este ya incluye varias características que contribuye a cumplir con el RGPD, ya desde WooCommerce 3.4 se comenzó a incorporar características relacionadas con el tratamiento de los datos.
Un tema aparte son las pasarelas de pago, generalmente los servicios como PayPal ya cumplen con la ley RGPD y protegen los datos de los clientes pertenecientes a la Unión Europea, lo mismo con las pasarelas de las tarjetas, sin embargo, la política de privacidad debe dejar en claro la responsabilidad de cada quien por los datos brindados.
Por ejemplo, PayPal ha actualizado su política de privacidad y sus procedimientos internos para cumplir el reglamento. Como controlador y procesador de datos, PayPal también se asegura de que las autoridades pertinentes aprueben sus protocolos de transferencia de datos.
Así mismo, también es posible utilizar una serie de APIs de terceros como pueden ser sistemas de estadísticas, mapas, etc, todos los cuales recopilan datos de los usuarios, por lo que es necesario revisar cada uno por separado e incluirlos en la política de privacidad.
Exportar datos y derecho al olvido
Dentro de las obligaciones de la ley RGPD es la de brindarle al usuario un informe de todos los datos que se tienen de él, para ello en WordPress se incluye dos herramientas fundamentales para cumplir con la reglamentación de una forma realmente sencilla
La primera es la de exportar todos los datos, esta opción la encontraremos en el administrador de WordPress dentro de Herramientas y bajo Exportar datos personales, desde allí se puede hacer una “solicitud” a partir del nombre de usuario o del mail, esta herramienta brindará un enlace de descarga de un archivo comprimido conteniendo todos los datos relativos al usuario.
La segunda opción, también dentro de Herramientas se tiene la opcion Borrar los datos personales que se encargará de borrar en un solo paso todos los datos relacionados al usuario solicitante si es pedido por el usuario mismo.
También existen plugins que permiten agregar un formulario en la web para solicitud de datos de RGPD, que facilitan la tarea sin necesidad de que el administrador deba tramitar manualmente las solicitudes.
Conclusión
El Reglamento General de Protección de Datos Europeo al igual que las otras reglamentaciones similares que le otorgan derechos a los usuarios, han creado obligaciones a los dueños de los sitios, obligación cuya omisión puede generar serios problemas legales, en especial a los sitios que manejan datos personales de sus usuarios, por eso es importante prestar mucha atención a cumplir completamente con esta reglamentación y ser completamente transparente con el manejo de los datos y brindar a los usuarios la información acerca cómo se manejaran y almacenaran sus datos, así como los mecanismos para acceder, actualizar y eliminar sus datos.