WordPress ha introducido algunos cambios significativos con respecto al RGPD. Estas actualizaciones son parte del esfuerzo de WordPress para facilitar que sus usuarios cumplan con la legislación vigente. Sin embargo, el simple hecho de utilizar estas herramientas no es suficiente para garantizar el cumplimiento del RGPD.
A continuación analizaremos cómo estas funciones pueden ayudarte a cumplir con el RGPD, qué ventajas aportan y qué límites sufren. Profundicemos en todo ello.
WordPress ahora hace que sea más fácil para los propietarios de sitios web configurar una página dedicada a la política de privacidad. Simplemente hay que ir a: Ajustes > Privacidad en el panel de WordPress. Desde ahí, puedes seleccionar una página existente o crear una nueva para designarla como tu página de política de privacidad.
Si bien esta función facilita la designación de una página, por otra parte, no proporciona el texto completo y aplicable. Se trata de un “fallo” absolutamente comprensible: para ser compatible, el texto de la política de privacidad debe hacer referencia al caso específico del usuario e incluir información relevante para los datos tratados. Lo que sí proporciona al hacer clic en el botón “Crear nueva página”, es un texto de inicio y una plantilla básica.
Como hemos mencionado, la herramienta en realidad no genera una política de privacidad utilizable y compatible. El texto de la plantilla en sí, aunque es un punto de partida para ayudarte a pensar en el tipo de información que debes incluir, está en sí mismo lejos de ser compatible.
En la guía de la política de privacidad, WordPress informa a los usuarios de lo siguiente:
Edita el contenido de tu política de privacidad, asegúrate de eliminar los resúmenes y agrega cualquier información sobre el tema y los plugins. . . Es tu responsabilidad redactar una política de privacidad integral, para asegurarte de que refleje todos los requisitos legales nacionales e internacionales sobre privacidad, y para mantener tu política actualizada y precisa.
Un análisis completo del texto inicial proporcionado requeriría un artículo aparte, pero a primera vista está claro que algunas secciones (por ejemplo, la de los derechos del usuario sobre sus datos) son incorrectas o incompletas si estás tratando datos personales bajo las disposiciones del RGPD.
De acuerdo con el RGPD y la mayoría de las leyes de privacidad, la política de privacidad debe ser accesible desde todas las páginas del sitio web, lo que WordPress no hace automáticamente.
Después, selecciona los servicios que se aplican a tu caso:
Personalízalos en base a tus necesidades, guárdalos y listo. Puedes consultar la guía Cómo generar una política aquí.
Pero el método más sencillo es colocar el enlace a tu política en el pie de página (como un elemento del menú o como un widget de texto). Puedes leer la Guía de integración de la política de privacidad y cookies en WordPress aquí.
La nueva función de comentarios ahora permite a los visitantes habilitar o deshabilitar el almacenamiento de datos personales (nombre, correo electrónico, sitio web) en una cookie en su navegador.
Puedes habilitar esta opción en Ajustes > Comentarios.
La nueva función de comentarios solo aborda un tipo de cookie. Según el RGPD y, lo que es más importante, según la Ley de Cookies aún en vigor (se puede pensar que respalda el RGPD), tus usuarios deben ser informados a través de un medio lo suficientemente visible, como un banner, de todos los fines para los cuales tu web utiliza cookies (a excepción de las cookies exentas). Además, los usuarios deben poder dar, rechazar y retirar el consentimiento para su uso.
Independientemente de que uses o no esta nueva función de comentarios, debes asegurarte de tener una solución de gestión de cookies activa que cumpla con los requisitos legales.
Privacy Controls and Cookie Solution de iubenda cumple con todas las disposiciones legales, es personalizable y está optimizada para la recopilación del consentimiento y de las pruebas de las preferencias de los usuarios, incluye métricas del sitio web y mucho más. La configuración de Privacy Controls and Cookie Solution es aún más fácil gracias a nuestro plugin de WordPress. Para obtener más información sobre cómo integrar Privacy Controls and Cookie Solution con tu web de WordPress, consulta la guía de instalación del plugin.
Las nuevas funciones de tratamiento de datos te permiten exportar fácilmente un archivo ZIP con datos personales recopilados por WordPress y por los plugins participantes. Al mismo tiempo, puedes eliminar estos datos de forma permanente.
La función de exportación envía una carpeta zip con un “mini sitio web” con una página índice HTML que contiene los datos personales del usuario segmentados en grupos, y ambas funciones también ponen a disposición de los propietarios del sitio web un nuevo método basado en un correo electrónico para confirmar las solicitudes de datos personales, tanto para los usuarios registrados como para los comentaristas.
Si bien las actualizaciones de tratamiento de datos se encuentran entre las más bienvenidas (especialmente por el tiempo que ahorran), tienen algunas limitaciones críticas que debes conocer. La primera es que exporta automáticamente solo los datos recopilados por los plugins participantes. Esto significa que el funcionamiento de estos depende completamente de si los plugins que estás utilizando están conectados a la nueva función de exportación/cancelación. En otras palabras, esta función no se ejecuta con plugins que no se han adaptado para admitirla, o con versiones obsoletas que podrías estar usando en tu web (en este caso, solo tienes que actualizar esos plugins en concreto a la última versión).
El verdadero problema es que (al momento de escribir este artículo) no existe un repositorio que enumere claramente qué plugins integran esta funcionalidad. Además, no se ha incentivado a los desarrolladores para implementarla, con el resultado de que probablemente muy pocos se hayan tomado la molestia de volver a trabajar en su código para agregar estas funciones.
Finalmente, incluso si todos los plugins de sitios web de WordPress admitieran estas funciones, no todos los datos de usuario procesados serían necesariamente administrados por plugins. Por ejemplo, si estás utilizando un servicio en la nube o un sistema externo de gestión de listas de correos, los datos que ellos gestionan no se incluirán automáticamente en el nuevo sistema de gestión de datos de WordPress. Este es un punto muy importante a tener en cuenta, ya que los derechos de acceso y supresión se aplican a todos los datos de usuario aplicables, no solo a algunos. Depender de un mecanismo incompleto, o proporcionar solo algunos de los datos, simplemente significa que no se cumple con las normas.
Dicho esto, estas nuevas funciones probablemente serán suficientes si eres el único que trata los datos personales de los usuarios a través de las funciones integradas en la propia plataforma de WordPress. De esta manera, tu conformidad no dependerá de si los plugins de terceros se han integrado o no con la nueva funcionalidad.
Actualmente, la mejor opción para abordar estos problemas es doble e implica principalmente medidas preliminares y esfuerzo manual.
Medidas preliminares
Esfuerzo manual
Con el sistema actual, si utilizas servicios de terceros para el tratamiento de datos personales, fuera de lo que cubren las herramientas de gestión de datos de WordPress, se requiere un esfuerzo manual para identificar, exportar desde las bases de datos y hacer que los datos estén disponibles (o eliminarlos) si así lo solicita el usuario. Con algunas excepciones, normalmente tienes un mes para cumplir con estas solicitudes.
Nota: cuando cumples con la solicitud de acceso de un usuario, tienes que proporcionarle los datos en un formato común y de fácil acceso (como una hoja de cálculo).
Además, en el caso de una solicitud de cancelación, es útil informar claramente al usuario con anticipación que para satisfacer su solicitud, se eliminarán todos sus datos y que le será imposible ejercer más derechos sobre los mismos, ya que ya no estarán presentes en tus sistemas (a menos que los vuelva a agregar).
Para obtener más información sobre estas funciones de WordPress, lee la sección “Privacidad” de la Guía de plugins de WordPress aquí.
Estas nuevas incorporaciones de WordPress indican el reconocimiento de la importancia del cumplimiento y la voluntad de la empresa de ayudar a sus usuarios a cumplir con los requisitos legales. Sin embargo, en última instancia, el cumplimiento es una cuestión personal y es responsabilidad tuya y de los responsables de tratamiento de datos evaluar tus actividades y garantizar el cumplimiento.
Procedimientos como llevar un registro del tratamiento y realizar una Evaluación de Impacto de Protección de Datos pueden ser de gran utilidad para comprender estos aspectos.
Por esta razón, basándonos en nuestro trabajo sobre el RGPD de los últimos meses, hemos compilado una lista de recursos y artículos para ayudarte a cumplir con la ley.