Hoy quiero hablarte sobre la protección de datos e información en Internet. Descubre qué es la GDPR y cuál es su importancia en el mundo virtual para usuarios y propietarios de sitios web a través de la lectura de este post.
¿Qué es la GDPR?
La GDPR es una normativa legal que vela por la protección de la información de los usuarios en general en Internet.
Esta ley de origen europeo se ha implementado durante el último año e incide sobre la forma en que las empresas con presencia virtual controlan los datos de cada usuario que accede a su sitio web.
La GDPR en España entró en vigor a mediados del año 2018, al igual que en otros países europeos, sustituyendo a la Ley Orgánica de Protección de Datos de Carácter Personal o LOPD, como sus siglas indican.
La GDPR corresponde a las siglas de Reglamento General de Protección de Datos o su traducción en inglés General Data Protection Regulation, una normativa que pretende generar la mayor confianza posible entre usuarios y propietarios de sitios web, en lo que a la protección de datos personales se refiere.
En la actualidad todos los sitios web deberían cumplir con la GDPR, pues de no hacerlo, es posible incurrir en sanciones legales que van desde limitaciones de uso hasta multas y cierres.
En teoría, con la GDPR cada usuario en Internet que proporciona sus datos en un sitio web debe autorizar de forma explícita la cesión de ellos para determinada finalidad en particular, lo que lo convierte en un consentimiento informado.
Sin esta autorización por parte del usuario, no será posible hacer uso de los datos en el sitio web o fuera de él.
¿Por qué es importante?
En principio es importante cumplir con la GDPR para generar confianza entre la empresa y el usuario, de manera que puedan convertirse en clientes y luego fidelizarse con la marca.
Sin embargo, el clima de confianza no es la única razón de peso que existe para que las empresas procuren cumplir con lo establecido en la GDPR, también destaca el hecho de que su incumplimiento puede generar consecuencias catastróficas para cualquier marca.
Estas consecuencias afectan principalmente la estabilidad monetaria de cualquier empresa, ya que las sanciones en forma de multas equivalen a montos por el orden de los millones de euros o incluso un porcentaje de las ganancias anuales del comercio.
Además, los usuarios en la actualidad valoran cada vez más su privacidad. Esto se ha hecho evidente cuando cerca del 80% de las personas consultadas afirman que dejarían de generar interacción con una empresa si esta utilizara sus datos sin su consentimiento.
Finalmente, aunque tu empresa o marca trabaje fuera del mercado de la Unión Europea, igualmente deberá cumplir con otras normativas similares a la GDRP que regulan el uso de datos en diversas partes del mundo, como la Ley de Privacidad del Consumidor de California (CCPA) y la Ley de Protección de Datos Personales (PDPA).
¿A quién afecta?
Esta normativa afecta a todas las personas o empresas alrededor del mundo que manejen datos de internautas de nacionalidad europea y que sean obtenidos a través de Internet.
Esta regulación también incluye el manejo de datos sin distinción de relación con la marca o empresa, es decir que no importa si se trata de clientes, proveedores, empleados u otros, todos se encuentran amparados en dicha ley.
De forma más sencilla, la ley aplica a todas las empresas y marcas de la UE y a aquellas fuera de Europa que venden o prestan servicios a personas de nacionalidad europea.
En tal sentido, una empresa de Latinoamérica cuyo mercado se amplíe hasta Europa debe cumplir con lo establecido en la GDPR.
Prácticamente todas las empresas que gozan de escala internacional y son propietarias de un sitio web deben cumplir con lo establecido en la GDPR, ya que en caso contrario las sanciones pueden llegar a ser gigantescas, como multas millonarias por ejemplo.
El ente encargado de emitir las sanciones (la Oficina del Comisario de Información o ICO), puede aplicar reprimendas por infracciones menores de hasta 10 millones de euros o el equivalente al 2% de los ingresos anuales de la empresa, decantándose por aquello que sea mayor.
¿Cómo cumplir con la GDPR si tienes un sitio web creado con WordPress?
La GDPR en WordPress se refiere a la adecuación de un sitio web creado con esta plataforma para que cumpla con la normativa vigente. Esto implica que debe proteger los datos personales de los usuarios que hacen uso o visitan dicho sitio web.
Existen tres aspectos claves que todo sitio web creado con WordPress debe conocer para cumplir con la GDPR:
- Datos personales: Corresponde a toda la información acerca de una persona, como por ejemplo su nombre, número de identificación, domicilio, ubicación y más.
- Responsable del tratamiento: Es aquella persona jurídica, autoridad pública, agencia, organización u organismo que determina el uso que se le dará a los datos y cuáles se recogerán.
- Encargado del tratamiento: Es la figura que procesa los datos personales obtenidos, en nombre de la empresa o marca responsable del tratamiento.
Una vez que conozcas los términos puedes continuar con la adaptación de tu sitio web elaborado con WordPress para que cumpla con los requisitos de la GDPR, estos son los siguientes:
- Minimización de los datos: La idea es que el sitio web sólo obtenga la información personal puntual que requiera y la use para fines específicos que se den a conocer al usuario. Por ejemplo, el domicilio no es necesario si lo que se pretende es hacer email marketing.
- Transparencia: Tanto la recolección como el manejo de los datos personales debe estar explícito y compartirse con el usuario, usualmente se establece en un acuerdo de procesamiento a través de un aviso de cookies que el internauta acepta o rechaza.
- Integridad y confidencialidad: Los dueños de cada sitio web deben velar por la seguridad en la recolección y manejo de los datos personales de los usuarios, minimizando el riesgo de ser vulnerados por piratas informáticos o pérdidas accidentales, esto incluye avisar cuando la información haya sido comprometida.
- Limitación del almacenamiento: Implica que los datos personales recolectados no deben mantenerse almacenados por más tiempo del necesario, sino únicamente el período indispensable para su utilización.
- Exactitud: Se refiere a que los encargados del manejo de datos velen por la utilización puntual de los mismos para el fin que ha sido autorizado, así como mantenerlos actualizados, corregirlos y borrarlos en caso de estar errados.
- Limitación de la finalidad: Los datos no deben ser usados bajo ninguna circunstancia para fines distintos a los especificados en el aviso de autorización dado a los usuarios, además de que la finalidad requiere un uso explícito y enmarcado en la legalidad.
Formas de cumplir con la GDPR
En este apartado podrás conocer algunos factores que garantizarán que tu sitio web elaborado con WordPress funcione de conformidad con la GDPR.
Actualizar WordPress a la versión 4.9.6 o superior
Actualizar la versión del software de WordPress a la más reciente es, quizá, la forma más sencilla que existe para que tu sitio web funcione de conformidad con la GDPR.
Esta actualización permite tener la opción de cookies para comentarios, exportar y borrar datos y generar páginas de políticas de privacidad.
Además, mantener actualizado WordPress mejora las funcionalidades de seguridad, minimizando el riesgo de vulnerabilidad, ayuda con el rendimiento y ofrece tecnología de punta.
Crear una página para la política de privacidad
Esta es una parte fundamental a la hora de tener un sitio web que cumpla con la normativa de la GDPR, allí debe aparecer la información detallada sobre cómo se recolectan los datos, se almacenan, procesan y utilizan.
Además de permitir el cumplimiento de la ley, algunos servicios como el de Google Analytics requieren de una página de privacidad, de lo contrario no se permite su uso.
En cada página de privacidad se debe especificar el tipo de datos que se recolectan, el por qué de ello y la forma en que se procesan, manejan y almacenan, incluso es necesario indicar si esta información es compartida con terceros.
Una vez que estés seguro de cómo funciona la recolección y el manejo de datos, escríbelos en tu página de política de privacidad.
En la página también debe explicarse cómo puede el usuario denegar la proporción de datos, la fecha de entrada en vigor de la política de privacidad y los datos de contacto a través de los cuales los visitantes pueden comunicarse en caso de dudas respecto al proceso.
WordPress permite a los propietarios crear una página de políticas de privacidad de forma manual, empleando una función integrada en el panel de administración.
Para hacerlo, solo debes acceder a la opción de "Ajustes" y luego hacer clic en "Privacidad".
A continuación, pulsa "Crea" y redacta el texto con las especificaciones anteriores, al finalizar sólo debes pulsar el botón "Publicar" y listo.
Si no deseas hacerlo de forma manual puedes optar por el plugin WP AutoTerms, lo que creará en el panel de administración una nueva opción. Es posible encontrarlo en versión gratuita y de pago.
Habilitar HTTPS
Con el incremento de la actividad comercial online también aumentaron los casos de ciberdelincuencia, donde los hackers intervienen en la transferencia de datos entre el sitio y los usuarios.
Habilitar el protocolo HTTPS en tu sitio web de WordPress es fundamental para evitar la ciberdelincuencia y cumplir con la normativa de la GDPR, ya que funciona junto con una capa de conexión segura o SSL que encripta los datos durante la transferencia.
Además, proporciona una capa adicional de protección que es la autenticación.
Los certificados SSL suelen incluirse en los paquetes de alojamiento de dominio y muchos son gratuitos, incluso algunos notifican al usuario cuando se accede a un sitio que no cuenta con protección HTTPS.
Los HTTPS también mejoran el rendimiento de la optimización para motores de búsqueda de WordPress o SEO, ya que gigantes de la industria como Google lo consideran fundamental a la hora de clasificar los puestos en los resultados.
Evaluar cómo se recogen los datos de los usuarios
Es necesario que conozcas cómo se recogen los datos y la manera en que se procesan, incluyendo los servicios que empleas en tu sitio web.
La política de privacidad que se proporciona por defecto en WordPress incluye información sobre la recopilación y el procesamiento de datos del software principal. Sin embargo, los servicios de terceros como Google Analytics, los plugins y algunos temas o plantillas requieren que se añadan manualmente ciertos aspectos o que se cree una página nueva por separado.
Los datos que se recogen suelen variar, dependiendo del tipo de sitio web de WordPress que se tenga y de los servicios adicionales que se instalen.
Sin embargo, las tres políticas de uso de datos más habituales incluyen herramientas de análisis, formularios de contacto e información relacionada con la publicidad.
Revisar los plugins
Considerando que varios elementos dentro de un sitio web requieren la recolección de datos y el procesamiento de los mismos, es necesario tener claro su funcionamiento para que cumpla con la GDPR.
Estos servicios que debes revisar incluyen formularios de contacto, plugins de comentarios, plugins de comercio electrónico y pasarelas de pago, plugins de email marketing, plugin de foros y membresías, cookies y consentimiento, fuente de la imagen, analítica y API de terceros.
Utilizar el manejo de datos
Las funciones de recolección y manejo de información de la nueva versión de WordPress ayudan con el cumplimiento de la GDPR, proporcionando a los usuarios derecho de acceso y borrado. Además, incluyen la posibilidad de responder a las solicitudes de datos personales por parte de los interesados.
En el panel de control de WordPress podrás ver la opción de exportar y borrar los datos de los usuarios de la base de datos del sitio web. Para ello deberás acceder al menú en la pestaña "Herramientas", y allí elegir "Exportar datos personales" o "Borrar datos personales", según sea el caso.
En el menú se muestra un listado con los usuarios que solicitan una copia de sus datos recolectados o desean borrarlos de la base de datos, por lo que deberás enviar un correo de confirmación automatizado al usuario, pulsando el botón "Enviar solicitud".
Una vez confirmada la solicitud, WordPress tomará la información y la exportará en forma de un archivo ZIP descargable, igualmente para el borrado de datos, solo que como último paso se eliminan los mismos de la base del sitio web.
Puede que, si no eres experto en la materia, esto de optimizar tu sitio web para cumplir con la GDPR te resulte abrumador. Sin embargo, en caso de necesitar ayuda para adaptar tu web a la normativa, cuentas con mi servicio de soporte técnico por horas a tu disposición.
