GDPR es la legislación de protección de la privacidad de la UE que entró en vigor el 25 de mayo de 2018.
Un par de semanas antes de esa fecha, muchos de nuestros clientes entraron en pánico y nos pidieron ayuda para implementar GDPR en sus blogs de WordPress.
Prometí que escribiría un artículo sobre el RGPD, pero no lo escribí hasta ahora, casi un año después. Eso es porque esperé a ver qué herramientas surgirían para facilitar la implementación. Luego lo documenté e implementé en mis sitios web.
En primer lugar, el RGPD no es motivo de pánico.
Es una ley de sentido común que quiere que los propietarios de sitios sean responsables de los datos personales que recopilan de los visitantes del sitio.
Porque los datos personales pertenecen a estas personas y nosotros, como propietarios del sitio, no podemos hacer lo que queramos con estos datos. Necesitamos su aceptación para recoger y procesar los datos de una forma determinada.
Tengo un blog sencillo, ¿por qué debería cumplir con el RGPD?
Ésta fue la pregunta más frecuente de nuestros clientes, que en su mayoría son pequeñas y medianas editoriales independientes.
Hay que cumplir porque guardas datos personales sin saberlo.
Si inserta un video de Youtube o tiene botones para compartir de Facebook en su sitio, las cookies se guardan en el navegador del visitante.
Estas cookies se consideran datos personales porque pueden identificar a una persona. Pueden rastrear al visitante de un sitio a otro, o crear perfiles demográficos, etc.
El problema es que a veces tu web guarda esos datos personales. Pero es completamente innecesario, usted mismo no utiliza los datos.
Ok, ¿qué hago para cumplir con el RGPD?
Bueno, debe demostrar que comprende y respeta los derechos de las personas cuyos datos personales guarda y procesa.
Al mismo tiempo, usted debe respetar esos derechos, no limitarse a escribir en su política de privacidad que los respeta.
Si una persona solicita la eliminación de sus datos o se da de baja de su newsletter, usted debe respetar su solicitud.
Como dije anteriormente, estas son cosas de sentido común. Si respeta a los visitantes del sitio y a los clientes cuyos datos personales recopila, ya está en el camino correcto.
La forma más sencilla de implementar GDPR en su sitio de WordPress es utilizar una solución externa, un servicio especializado como:
Esta sencilla opción no es gratuita. Pero no hay manera de cumplir con el RGPD sin pagar: o pagas con dinero o pagas con tiempo y esfuerzo.
La implementación es bastante complicada e implica tanto configuraciones o incluso programación como asesoramiento legal por parte de un abogado especializado.
Cómo hice que mi sitio de WordPress cumpliera con el RGPD
A continuación te contaré cómo implementé GDPR en mis sitios web de WordPress. Debo mencionar que no soy un asesor legal y este tutorial no equivale a asesoramiento legal.
Para cumplir con GDPR, necesitamos lo siguiente:
- una página de política de privacidad
- Información de cookies (puede estar incluida en la política de privacidad)
- consentimiento explícito para la recopilación de datos (aviso de banner de cookies)
- la posibilidad de retirar el consentimiento
- herramientas para el ejercicio de derechos (exportación de datos, eliminación de datos)
Las herramientas para el ejercicio de derechos están integradas en WordPress desde la versión 4.9.6. Puede exportar o eliminar datos personales si se le solicita. Hemos incluido información de contacto en nuestra política de privacidad para que cualquier persona que quiera ejercer estos derechos pueda contactarnos.
La política de privacidad
La política de privacidad debe contener la siguiente información:
- la información de contacto del propietario del sitio
- la información de contacto de la autoridad nacional de protección de datos
- los datos que recopilas
- cómo usas los datos
- quién tiene acceso a los datos
- ¿Cómo se protegen los datos?
- información de cookies
- ¿Cuáles son los derechos de las personas cuyos datos recoges?
- ¿Cómo pueden ejercer sus derechos?
Un modelo de política de privacidad se encuentra en la interfaz de administración de WordPress. Vaya a Configuración> Privacidad y luego haga clic en el enlace "Consulte nuestra guía".
He utilizado un modelo de política de privacidad generado por el complemento GDPR Framework que modifiqué con la información relevante para cada uno de mis sitios.
Una vez que haya creado la página de política, deberá agregarla a un menú de navegación, generalmente en el pie de página del sitio.
Qué datos recopilamos y para qué los utilizamos
Como parte de la política de privacidad, también es importante indicar qué datos personales recopila, por lo que necesitamos saber qué información personal recopilamos.
Como mencionamos anteriormente, a veces guardamos datos sin saberlo.
Para identificar qué datos personales recopilamos, debe auditar su sitio para comprender cómo funciona y cómo almacena los datos. Cada sitio web es diferente, utiliza diferentes temas y complementos y tiene varias implementaciones.
En un blog simple, recopilas datos a través de:
- el formulario de comentarios de WordPress
- cookies colocadas por complementos
Los datos recopilados por el formulario de comentarios son el comentarista (nombre, dirección de correo electrónico, sitio web), así como la dirección IP y un agente de usuario. Estos datos se utilizan para combatir el spam.
Las cookies predeterminadas de WordPress son las de los comentarios (nombre, correo electrónico, sitio web) y para cumplir con el RGPD. Se ha insertado una marca de verificación en la versión 4.9.6 para permitir al comentarista aceptar si desea que estas cookies se guarden en su navegador.
Datos para tiendas online
Si tienes una tienda online, también recopilas datos a través del formulario de pedido de los productos/servicios del sitio. Podrás utilizar estos datos únicamente para la tramitación del pedido: facturación, entrega, etc.
Otros sitios pueden recopilar datos a través de complementos de marketing, formularios de contacto o formularios de suscripción a boletines. La gente necesita saber qué hace usted con los datos que recopila. No puede enviar un boletín a quienes no se hayan suscrito explícitamente a ese boletín.
Un truco que estaban haciendo algunas tiendas era colocar una casilla previamente marcada en la página de pago y el cliente se suscribía automáticamente al boletín. Esto ya no es legal. Puedes quedarte con la caja si la quieres. Pero no se puede comprobar previamente, el visitante debe comprobarlo si quiere suscribirse a la newsletter.
Varios complementos de WordPress pueden recopilar otros datos (cookies): botones de redes sociales, códigos de seguimiento como Google Analytics o incrustaciones de otros sitios (vídeos de Youtube, por ejemplo).
Es necesario identificar todo esto y, una vez que hayamos determinado qué datos recopilamos y cómo los recopilamos, debemos decidir si realmente los necesitamos o no.
Identificando cookies
La forma más sencilla de identificar qué cookies guarda su sitio es utilizar una prueba gratuita de uno de los servicios enumerados anteriormente (OneTrust, por ejemplo). Escanearán todas las páginas de su sitio, enumerarán todas las cookies y las clasificarán.
El método manual
El método difícil es identificar las cookies manualmente.
Si utiliza el navegador Google Chrome, elimine las cookies y el caché del navegador, luego navegue a su sitio web, haga clic derecho en la página, luego haga clic en Inspeccionar, vaya a la sección Aplicación, luego haga clic en Almacenamiento y luego en Cookies (en Safari es Inspeccionar elemento > Almacenamiento > Cookies).
Tienes que revisar todas las páginas del sitio para identificar las cookies, lo cual es difícil de hacer a mano.
Algunas páginas son similares, por lo que valdría la pena consultarlas:
- primera pagina
- archivos (categorías, etiquetas, búsqueda, etc.)
- página de publicación única
- páginas que tienen incrustaciones de otros sitios
- página de suscripción al boletín
- página del formulario de contacto
- páginas con otros formularios o cosas que guardan datos (encuesta, etc.)
Como puede ver, es difícil comprobarlo manualmente, por lo que es mejor utilizar un servicio especializado que escanea automáticamente todas las páginas del sitio.
El método automático
Una vez identificadas, las cookies deben dividirse en categorías:
- esencial (el sitio web no puede funcionar sin él)
- estadísticas (Google Analytics, por ejemplo)
- redes sociales (facebook, youtube, etc.)
- publicidad (retargeting, remarketing, etc.)
Según GDPR, cuando los visitantes ingresan al sitio, se les debe informar que está guardando cookies, debe informarles qué cookies guarda y ellos deben darle su consentimiento para guardar estas cookies.
No está bien configurar todas las cookies como esenciales y tener solo un botón de aceptación; Las cookies deben aceptarse o rechazarse para cada categoría.
Al mismo tiempo, también debe disponer de una página de configuración de cookies desde donde el visitante pueda retirar su aceptación si se la ha dado en el pasado o aceptar si la ha rechazado en el pasado y ahora ha cambiado de opinión.
Si un visitante rechazó la categoría de cookies de redes sociales, por ejemplo, al visitar el sitio, los scripts de redes sociales deben bloquearse.
Complicado, ¿verdad?
Sí, no encontré un complemento de WordPress que haga todo automáticamente.
Complementos que he probado
Los complementos que he probado son:
En el momento de mis pruebas, ninguno de ellos parecía completo, necesitaban implementaciones adicionales, algunas bastante complejas para un usuario promedio.
Por eso recomiendo soluciones externas especializadas, especialmente para sitios que necesitan guardar cookies. Me refiero a sitios que realizan retargeting, remarketing, optimización de la tasa de conversión, etc.
Pero la mayoría de los sitios web no necesitan guardar todas esas cookies y podrían funcionar bien.
Según la ley GDPR, si no recopilamos cookies que se consideran datos personales, no es obligatorio solicitar el consentimiento del visitante para guardar cookies.
Por lo tanto, si solo guardamos las cookies esenciales, no estamos obligados a mostrar ese aviso de cookies y también nos deshacemos de las complejas implementaciones de scripts de bloqueo y configuraciones de cookies.
Eliminemos el aviso del banner de cookies
Me parece absurdo arruinar el diseño de su sitio y la experiencia del usuario mostrando una ventana emergente pidiendo a los visitantes que le den permiso para guardar cookies que ni siquiera necesita ni usa.
Así que eliminemos las cookies no esenciales, esto es precisamente en el espíritu de la ley, es decir, no guardar datos personales a menos que tengamos un motivo legítimo para hacerlo.
Ya he identificado las cookies en mi sitio web, y las problemáticas (datos personales) son:
- Cookies de Google Analytics
- cookies del botón compartir (Facebook)
- galletas de youtube
Cómo deshacerse de las cookies de Google Analytics
No uso datos demográficos ni remarketing en Google Analytics/Adsense/Adwords, por lo que no los necesito.
Básicamente, debes hacer 4 cosas en tu cuenta de Google Analytics:
- aceptar la modificación del tratamiento de datos
- desactivar el intercambio de datos
- desactivar la recopilación de datos para funciones publicitarias
- desactivar ID de usuario
Este es el tutorial que seguí para configurar todo lo anterior. Está escrito por el desarrollador del complemento CAOS.
Después de eso, el último paso es anonimizar las IP de los visitantes.
Dejé el complemento de Google Analytics que usaba y copié manualmente el código de seguimiento al que agregué el siguiente código.
ga('set', 'anonymizeIp', verdadero);Si no se siente cómodo trabajando con código, otra opción es utilizar el complemento de Google Analytics llamado CAOS ; tiene una marca de verificación Anonimizar IP en la configuración.
Bien, nos hemos deshecho de las cookies de Google Analytics que son datos personales; Google Analytics funcionará bien sin él.
Cómo deshacerse de las cookies de Facebook
Bill Erickson y Jared Atchinson han creado un complemento de botón para compartir que cumple con GDPR, lo que significa que no guarda cookies, scripts de seguimiento ni absolutamente nada que sean datos personales.
El complemento se llama Recuentos compartidos .
Reemplacé el complemento del botón de compartir con este complemento compatible con GDPR y, por lo tanto, eliminé las cookies de Facebook.
Cómo deshacerse de las cookies de Youtube
He incrustado vídeos en algunas páginas del sitio y, afortunadamente, no hay muchos, así que puedo cambiarlos manualmente. Si tiene más, puede buscar y reemplazar con un complemento de WordPress o directamente en la base de datos.
Reemplacé la URL youtube.com en el código de inserción con la URL youtube-nocookie.com.
Eso es todo.
He identificado qué cookies se guardan y eliminé las que no necesitaba, dejando sólo las estrictamente necesarias, para las que no necesito el consentimiento del visitante porque no se consideran datos personales.
Esto ha eliminado la necesidad de tener una cookie de aviso publicitario en mi sitio web.
Tenga en cuenta que lo que hice anteriormente fue específicamente para mis sitios web; Es posible que tenga otras cookies en su sitio web, cada sitio es diferente.
Otras consideraciones
Intenté hacer que este tutorial de GDPR sea lo más fácil posible, pero es un asunto muy complicado.
Lo que he descrito en este artículo generalmente se adapta a la mayoría de los sitios web simples, como mi blog o mi negocio, pero para tiendas u otros negocios en línea, no es suficiente simplemente implementar algunas cosas en el sitio, también se necesitan algunas implementaciones administrativas.
Por ejemplo, hemos hecho lo siguiente:
- designamos un DPO (delegado de protección de datos)
- solicitamos un DPA (acuerdo de procesamiento de datos) a todos los socios donde almacenamos datos
- Estamos redactando un DPA que podemos ofrecer a nuestros clientes.
- Hemos realizado formación a nuestros empleados sobre protección de datos.
Espero que esto te haya ayudado a hacer que tu sitio web de WordPress cumpla con el RGPD. Si me perdí algo, no dudes en dejar un comentario, intentaré responder preguntas o dirigirte a los recursos relevantes.
Deja un comentario