Iubenda logo
Genera tus documentos

Documentación

Tabla de contenidos

Cómo adaptar un sitio web de WordPress al RGPD

WordPress ha introducido algunos cambios significativos con respecto al RGPD. Estas actualizaciones son parte del esfuerzo de WordPress para facilitar que sus usuarios cumplan con la legislación vigente. Sin embargo, el simple hecho de utilizar estas herramientas no es suficiente para garantizar el cumplimiento del RGPD.

A continuación analizaremos cómo estas funciones pueden ayudarte a cumplir con el RGPD, qué ventajas aportan y qué límites sufren. Profundicemos en todo ello.

Página de la política de privacidad de WordPress

wordpress privacy tool

WordPress ahora hace que sea más fácil para los propietarios de sitios web configurar una página dedicada a la política de privacidad. Simplemente hay que ir a: Ajustes > Privacidad en el panel de WordPress. Desde ahí, puedes seleccionar una página existente o crear una nueva para designarla como tu página de política de privacidad.

Si bien esta función facilita la designación de una página, por otra parte, no proporciona el texto completo y aplicable. Se trata de un “fallo” absolutamente comprensible: para ser compatible, el texto de la política de privacidad debe hacer referencia al caso específico del usuario e incluir información relevante para los datos tratados. Lo que sí proporciona al hacer clic en el botón “Crear nueva página”, es un texto de inicio y una plantilla básica.

Ventajas

Limitaciones y cómo afrontarlas

Limitaciones principales

Como hemos mencionado, la herramienta en realidad no genera una política de privacidad utilizable y compatible. El texto de la plantilla en sí, aunque es un punto de partida para ayudarte a pensar en el tipo de información que debes incluir, está en sí mismo lejos de ser compatible.

En la guía de la política de privacidad, WordPress informa a los usuarios de lo siguiente:

Edita el contenido de tu política de privacidad, asegúrate de eliminar los resúmenes y agrega cualquier información sobre el tema y los plugins. . . Es tu responsabilidad redactar una política de privacidad integral, para asegurarte de que refleje todos los requisitos legales nacionales e internacionales sobre privacidad, y para mantener tu política actualizada y precisa.

Un análisis completo del texto inicial proporcionado requeriría un artículo aparte, pero a primera vista está claro que algunas secciones (por ejemplo, la de los derechos del usuario sobre sus datos) son incorrectas o incompletas si estás tratando datos personales bajo las disposiciones del RGPD.

De acuerdo con el RGPD y la mayoría de las leyes de privacidad, la política de privacidad debe ser accesible desde todas las páginas del sitio web, lo que WordPress no hace automáticamente.

Soluciones

  • Crea una política de privacidad completa y fácil de leer que cumpla con los requisitos legales. Una forma de hacerlo es contratando a un abogado para que se encargue de ello, o simplemente puedes generar una de nuestras políticas de privacidad, que son totalmente personalizables y han sido diseñadas por nuestro equipo de abogados. Empezar es muy sencillo. Introduce el nombre de tu web en nuestro generador de políticas de privacidad y cookies, selecciona el idioma deseado y haz clic en Genera tus documentos.
    Getting started with the generator

    Después, selecciona los servicios que se aplican a tu caso:

    Services

    Personalízalos en base a tus necesidades, guárdalos y listo. Puedes consultar la guía Cómo generar una política aquí.

  • Puedes hacer que tu política sea visible y fácilmente accesible desde todas las páginas de tu sitio web. Esto se puede hacer de varias maneras, como se muestra en la siguiente imagen:
    integration methods

    Pero el método más sencillo es colocar el enlace a tu política en el pie de página (como un elemento del menú o como un widget de texto). Puedes leer la Guía de integración de la política de privacidad y cookies en WordPress aquí.

Comentarios

La nueva función de comentarios ahora permite a los visitantes habilitar o deshabilitar el almacenamiento de datos personales (nombre, correo electrónico, sitio web) en una cookie en su navegador.

wordpress comment cookie checkbox

Puedes habilitar esta opción en Ajustes > Comentarios.

comment cookie settings

Ventajas

  • Con el objetivo de mejorar la experiencia del usuario, esta función te brinda la oportunidad de recopilar un consentimiento granular específico a través de una cookie.
  • Además, te ofrece otra oportunidad para obtener un consentimiento específico, incluso si el usuario se ha negado previamente a permitir las cookies a través del mecanismo de administración principal (suponiendo que el usuario no haya configurado el sistema de administración de cookies por separado para bloquearlas).
  • También ayuda a los usuarios a comprender el propósito de la recopilación.

Limitaciones y cómo afrontarlas

Limitación principal

La nueva función de comentarios solo aborda un tipo de cookie. Según el RGPD y, lo que es más importante, según la Ley de Cookies aún en vigor (se puede pensar que respalda el RGPD), tus usuarios deben ser informados a través de un medio lo suficientemente visible, como un banner, de todos los fines para los cuales tu web utiliza cookies (a excepción de las cookies exentas). Además, los usuarios deben poder dar, rechazar y retirar el consentimiento para su uso.

Solución

Independientemente de que uses o no esta nueva función de comentarios, debes asegurarte de tener una solución de gestión de cookies activa que cumpla con los requisitos legales.

La Cookie Solution de iubenda cumple con todas las disposiciones legales, es personalizable y está optimizada para la recopilación del consentimiento y de las pruebas de las preferencias de los usuarios, incluye métricas del sitio web y mucho más. La configuración de la Cookie Solution es aún más fácil gracias a nuestro plugin de WordPress. Para obtener más información sobre cómo integrar la Cookie Solution con tu web de WordPress, consulta la guía de instalación del plugin.

Tratamiento de datos

Las nuevas funciones de tratamiento de datos te permiten exportar fácilmente un archivo ZIP con datos personales recopilados por WordPress y por los plugins participantes. Al mismo tiempo, puedes eliminar estos datos de forma permanente.

La función de exportación envía una carpeta zip con un “mini sitio web” con una página índice HTML que contiene los datos personales del usuario segmentados en grupos, y ambas funciones también ponen a disposición de los propietarios del sitio web un nuevo método basado en un correo electrónico para confirmar las solicitudes de datos personales, tanto para los usuarios registrados como para los comentaristas.

Ventajas

  • Esta función simplifica el cumplimiento de los requisitos del Derecho de acceso del RGPD (artículo 15) al permitirte exportar y proporcionar los datos del usuario en un formato compatible.
  • Esta función simplifica el cumplimiento de los requisitos del Derecho de supresión del RGPD (artículo 17).
  • Puedes solicitar la confirmación de acciones sensibles, como solicitudes de cancelación de la suscripción, por correo electrónico.

Limitaciones y cómo afrontarlas

Limitaciones principales

Si bien las actualizaciones de tratamiento de datos se encuentran entre las más bienvenidas (especialmente por el tiempo que ahorran), tienen algunas limitaciones críticas que debes conocer. La primera es que exporta automáticamente solo los datos recopilados por los plugins participantes. Esto significa que el funcionamiento de estos depende completamente de si los plugins que estás utilizando están conectados a la nueva función de exportación/cancelación. En otras palabras, esta función no se ejecuta con plugins que no se han adaptado para admitirla, o con versiones obsoletas que podrías estar usando en tu web (en este caso, solo tienes que actualizar esos plugins en concreto a la última versión).

El verdadero problema es que (al momento de escribir este artículo) no existe un repositorio que enumere claramente qué plugins integran esta funcionalidad. Además, no se ha incentivado a los desarrolladores para implementarla, con el resultado de que probablemente muy pocos se hayan tomado la molestia de volver a trabajar en su código para agregar estas funciones.

Finalmente, incluso si todos los plugins de sitios web de WordPress admitieran estas funciones, no todos los datos de usuario procesados ​​serían necesariamente administrados por plugins. Por ejemplo, si estás utilizando un servicio en la nube o un sistema externo de gestión de listas de correos, los datos que ellos gestionan no se incluirán automáticamente en el nuevo sistema de gestión de datos de WordPress. Este es un punto muy importante a tener en cuenta, ya que los derechos de acceso y supresión se aplican a todos los datos de usuario aplicables, no solo a algunos. Depender de un mecanismo incompleto, o proporcionar solo algunos de los datos, simplemente significa que no se cumple con las normas.

Dicho esto, estas nuevas funciones probablemente serán suficientes si eres el único que trata los datos personales de los usuarios a través de las funciones integradas en la propia plataforma de WordPress. De esta manera, tu conformidad no dependerá de si los plugins de terceros se han integrado o no con la nueva funcionalidad.

Soluciones:

Actualmente, la mejor opción para abordar estos problemas es doble e implica principalmente medidas preliminares y esfuerzo manual.

Medidas preliminares

  • Elige socios con conocimiento del RGPD: asegúrate de que los encargados del tratamiento de datos con los que trabajas cumplen con el RGPD y cuentan con los medios necesarios para facilitar las solicitudes de los usuarios, como las solicitudes de acceso o cancelación. Esta información se debe incluir en el Acuerdo de Tratamiento de Datos que firmarás con ellos.
  • Sé consciente de tus procesos: evalúa tus ciclos y tus sistemas de tratamiento de datos e intenta configurarlos para facilitar el cumplimiento de estas solicitudes. Aquí tienes algunas preguntas que deberías plantearte, por ejemplo,
    • ¿Cómo puedo exportar fácilmente los datos de un usuario en concreto desde mis bases de datos? Este problema se soluciona de alguna manera con la actualización de WordPress, ya que se relaciona con los datos almacenados en sus bases de datos.
    • ¿Cómo puedo acceder fácilmente a los datos de un usuario en concreto y eliminarlos por completo (también gracias a la nueva función de tratamiento de datos)?
    • ¿Qué datos concretos cedo a terceros para su tratamiento? ¿Se consideran datos personales?
  • Ten en cuenta qué datos tratas: implementa el principio del RGPD de minimización de datos. Aquí tienes algunas preguntas que deberías plantearte, por ejemplo,
    • ¿Qué datos estoy tratando?
    • ¿Se consideran datos personales?
    • ¿Son estrictamente necesarios para la prestación del servicio?

Esfuerzo manual
Con el sistema actual, si utilizas servicios de terceros para el tratamiento de datos personales, fuera de lo que cubren las herramientas de gestión de datos de WordPress, se requiere un esfuerzo manual para identificar, exportar desde las bases de datos y hacer que los datos estén disponibles (o eliminarlos) si así lo solicita el usuario. Con algunas excepciones, normalmente tienes un mes para cumplir con estas solicitudes.

Nota: cuando cumples con la solicitud de acceso de un usuario, tienes que proporcionarle los datos en un formato común y de fácil acceso (como una hoja de cálculo).

Además, en el caso de una solicitud de cancelación, es útil informar claramente al usuario con anticipación que para satisfacer su solicitud, se eliminarán todos sus datos y que le será imposible ejercer más derechos sobre los mismos, ya que ya no estarán presentes en tus sistemas (a menos que los vuelva a agregar).

Para obtener más información sobre estas funciones de WordPress, lee la sección “Privacidad” de la Guía de plugins de WordPress aquí.


Estas nuevas incorporaciones de WordPress indican el reconocimiento de la importancia del cumplimiento y la voluntad de la empresa de ayudar a sus usuarios a cumplir con los requisitos legales. Sin embargo, en última instancia, el cumplimiento es una cuestión personal y es responsabilidad tuya y de los responsables de tratamiento de datos evaluar tus actividades y garantizar el cumplimiento.

Procedimientos como llevar un registro del tratamiento y realizar una Evaluación de Impacto de Protección de Datos pueden ser de gran utilidad para comprender estos aspectos.

Por esta razón, basándonos en nuestro trabajo sobre el RGPD de los últimos meses, hemos compilado una lista de recursos y artículos para ayudarte a cumplir con la ley.

Más información