Introducción y disclaimer sobre RGPD WordPress
En esta guía quiero contaros de la forma más sencilla y efectiva posible en qué consiste el Reglamento General de Protección de Datos (RGPD a partir de ahora), y cómo aplicarlo en las páginas web realizadas con WordPress, sea esta un sitio corporativo, un blog o una tienda online. Y sea de una persona particular o una empresa.
Para comenzar, quiero dejar claro que no soy abogado ni tengo ninguna formación legal, y que todo lo que explico lo conozco tras leer otros artículos y guías. Por otro lado, aunque explicaré el reglamento de forma general, me centraré en las acciones y consideraciones relacionadas con WordPress.
Asimismo, no cubriré todos los casos, pero explicaré los conceptos de tal forma que puedas aplicar las soluciones a tu situación concreta, en función de tus necesidades, funcionalidades y plugins instalados. Por otro lado, puedes preguntar o explicar tu caso en los comentarios, e intentaré ayudarte además de que cualquier otro usuario será capaz de responder. Y como no, puedes contratar mi mantenimiento WordPress para que yo me encargue de hacerlo.
¿Estás listo? ¡Vamos allá!
¿Qué es RGPD?
El Reglamento General de Protección de Datos o RGPD es un marco legal común para todos los países de la Unión Europea (también conocido por sus siglas en inglés GDPR, General Data Protection Regulation), que pretende proteger a las personas físicas en lo que respecta al tratamiento de sus datos personales. Está en vigor desde el 25 de mayo de 2016 y es de obligado cumplimiento desde el 25 de mayo de 2018, y por eso el año pasado escuchamos tanto sobre el mismo, sobre todo al acercarse esta última fecha.
Con esta nueva normativa se busca conseguir más transparencia, más protección de los datos y más control para las personas y su información privada.
Nuevas figuras
- Persona interesada o afectada: la persona física a la cual pertenece el dato a procesar
- Controlador de datos: es aquella persona, autoridad pública, agencia u organismo que determina el propósito del tratamiento de datos personales
- Procesador de datos: es una entidad que procesa los datos personales en nombre del controlador
- Delegado de protección de datos: es una persona con conocimiento experto de la legislación, protección de datos, gestión de procesos de TI y seguridad de datos
El RGPD se aplica siempre que el controlador, el procesador o el interesado estén en la UE, y lo hace sobre cualquier dato personal. Los datos personales son cualquier información relacionada con un individuo, ya sea que se refiera a su vida privada, profesional o pública. Puede ser cualquier cosa desde un nombre, domicilio, foto, dirección de correo electrónico, detalles bancarios, publicaciones en sitios web de redes sociales, información médica o la dirección IP de una computadora.
Principios
La normativa RGPD está centrada en las personas y sus derechos, y se establece que se tendrá en cuenta la protección de datos por diseño y por defecto. Además, no solo afecta a webs, sino a toda organización o empresa y todo tipo de dato.
Uno de los principios es la transparencia, por lo que cualquier texto ha de explicarse de forma sencilla y clara, utilizando lenguaje llano, para que lo entienda incluso un niño.
También tenemos la limitación de la finalidad, que nos dice que no debemos solicitar permiso para más fines de los necesarios, y que un dato tratado para un fin no se puede tratar para otro diferente.
Para la minimización de datos, debemos recopilar los datos estrictamente necesarios en relación al fin para el que son tratados. Igualmente debemos seguir el principio de exactitud, para lo que debemos actualizar los datos cuando sea necesario, así como permitir al interesado rectificarlos.
Muy relacionado con lo anterior, existe el principio de limitación del plazo de conservación, que nos indica que no debemos mantener un dato más tiempo del necesario para cumplir su finalidad.
Por último, debemos cumplir con el principio de integridad y confidencialidad, por el que debemos proteger los datos que manejamos frente a cualquier riesgo que amenace su seguridad.
Legitimidad del tratamiento
RGPD indica que se ha de tener una razón legítima para el tratamiento de los datos, y se contemplan 7 diferentes, entre las que se encuentra el famoso consentimiento informado, del que hablaremos más adelante. Son las siguientes:
- Obligación legal
- Ejecución de un contrato
- Para proteger la vida del individuo o de otra persona física
- Por interés público
- Por tener un contrato legal con la person.
- Interés legítimo para realizar el trabajo
- Consentimiento, probable y demostrable
Derechos
Se amplían los derechos garantizados por la LOPD, que en RGPD quedan tal que así:
- Derecho de acceso: Derecho del titular de datos personales a obtener confirmación de si se están tratando o no datos personales que le conciernen y en caso afirmativo, a obtener entre otra la siguiente información: finalidad del tratamiento, categoría de datos, cesiones de datos, plazos de conservación…
- Derecho de rectificación: Derecho del titular de datos personales a obtener sin dilación indebida la rectificación de los datos personales inexactos que le conciernan.
- Derecho de supresión: Derecho del titular de datos personales a obtener sin dilación indebida la supresión de los datos personales que le conciernan siempre y cuando se den una serie de circunstancias.
- Derecho de oposición: Derecho del titular de datos personales a oponerse a que datos personales que le conciernan sean objeto de un tratamiento basado en intereses legítimos del responsable o en su caso, en la necesidad de cumplir una misión realizada en interés público.
- Derecho de portabilidad: Derecho del titular de datos personales a migrar sus datos de carácter personal de un Responsable del tratamiento a otro, siempre y cuando se den unas características.
- Derecho a no ser objeto de decisiones individuales automatizadas: Derecho del titular de datos personales a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles , que produzca efectos jurídicos en él o le afecte significativamente de modo similar.
- Derecho de limitación: Derecho del titular de datos personales a obtener la limitación del tratamiento de los datos siempre que se den una serie de circunstancias.
- Derecho de información: La Agencia Española de Protección de Datos (AEPD a partir de ahora), añade este octavo derecho en su lista, y no se suele mencionar mucho, ya que cuando se redactan los textos informativos que contienen estos derechos, ya estás informando al usuario por lo que queda redundante y superfluo. Básicamente se trata de ofrecer la información de 2 niveles que explicaremos más adelante.
Fases del proceso en RGPD
Podemos resumir el proceso para cumplir con RGPD, más o menos de forma cronológica, en los siguientes pasos.
También os iba a resumir el proceso desde un punto de vista más exhaustivo, enfocado a todo tipo de tratamiento de datos y no solo a la parte digital, analizando qué datos se recopilan, qué tratamiento se les hace, el flujo de transferencias que sufren… pero creo es es mejor dejaros directamente el artículo dónde lo leí.
Informar
Debemos comunicar siempre que vayamos a recopilar un dato toda la información acerca del proceso. Esta información se ofrece en 2 ‘capas’ o ‘niveles’, una con la información básica, lo que viene llamándose ‘coletilla’, y otra con la información extendida que sería la famosa Política de Privacidad.
Esta es un documento que explica quién es la organización, qué datos recopila y cómo los procesa y almacena. Ha de explicarse de forma sencilla y clara, utilizando lenguaje llano, para que lo entienda incluso un niño. Desde WordPress 4.9.6 disponemos de una funcionalidad integrada que nos permite crear (o seleccionar) una página que será nuestra Política de Privacidad. Además, muchos plugins, como por ejemplo WooCommerce, se integran con esta y al instalarlo permite añadir el texto correspondiente sobre tratamiento de datos personales de forma automática.
En algunos lugares se indica que hay que disponer también de la Política de Cookies y el Aviso Legal, pero no lo he visto en ninguna documentación oficial y yo creo que estas no aplican al RGPD. Al menos la primera, ya que si la cookie está recopilando un dato personal, ya debería estar contemplada en la Política de Privacidad. También he visto mucho indicar que se han de enlazar desde el pie de página, pero lo que tiene sentido es que estén accesibles de una forma sencilla, sobretodo desde la primera capa de información.
Siguiendo con el deber de informar, algunas empresas deben disponer de un Registro de Actividades de Tratamiento, que consiste en un registro de los tratamientos de los datos y su consentimiento. Las empresas obligadas son las que se encuentren en uno de estos 3 casos: empresas con más de 250 empleados, que incluyan categorías especiales de datos personales, o que guarden datos relativos a condenas e infracciones penales.
Recabar consentimiento
Se entiende por consentimiento del afectado toda manifestación de voluntad libre, específica, informada e inequívoca por la que este acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen. Es decir, ya no valen casillas premarcadas y tendremos que poder demostrar que el usuario realizó alguna acción para aceptar.
En el caso de que se pida consentimiento para varias finalidades, deberá constar con claridad que el consentimiento se otorga para todas ellas.
A la hora de recabar el consentimiento, debemos ofrecer la primera capa de información, que consiste en un texto explicativo de 5 puntos principales acerca de los datos que trataremos:
- Responsable: Identidad del Responsable del tratamiento.
- Finalidad: Descripción sencilla de los fines del tratamiento, incluso elaboración de perfiles.
- Legitimación: Base jurídica del tratamiento.
- Destinatarios (de cesiones o transferencias): Previsión o no de cesiones así como previsión de transferencias, o no, a terceros países.
- Derechos: Los derechos que tiene el usuario, como hemos visto anteriormente.
Si el dato no se obtiene directamente del interesado, debemos también informar sobre las categorías de datos y la procedencia.
La segunda parte sería recopilar el consentimiento como tal, a través de una casilla de verificación, que deberá estar desmarcada, y cuya opción ha de guardarse en la base de datos para futuras consultas y para que sirva como prueba del consentimiento.
Tratar los datos adecuadamente
A la hora de tratar los datos personales de los usuarios debemos tener en cuenta los principios anteriormente explicados, como son la minimización, exactitud, o integridad y confidencialidad, por mencionar algunos.
Respetar derechos
Dejando de lado el derecho a estar informado, que debemos cumplir de forma previa al tratamiento de los datos, debemos ser capaces de responder ante el ejercicio del resto de derechos explicados anteriormente.
Debemos también explicar en nuestra Política de Privacidad los procedimientos a llevar a cabo para responder ante el ejercicio de derechos de los usuarios. No es necesario utilizar procedimientos automáticos, podemos realizarlo de forma manual. Por ejemplo, si un usuario desea borrar sus datos, no hace falta que tenga una opción en un área privada, podemos establecer que se nos notifique por email y borrarlo nosotros de forma manual
Avisar de brechas de seguridad
La última fase prevista en RGPD, que todos esperamos no necesitar cumplir, es la obligatoriedad de notificar una brecha de seguridad en caso de que esta suceda. Deberemos avisar a la Autoridad de Supervisión en un máximo de 72 h, y en el caso de que el incidente de seguridad entrañe un alto riesgo para los derechos y libertades de los titulares de los datos, debemos notificar también a los interesados.
Al parecer esto último viene a significar, que si hemos tomado las medidas para encriptar los datos, por ejemplo mediante el protocolo SSL, no estamos obligados a notificar a los usuarios, ya que los datos personales como tal no se habrían visto expuestos o revelados.
¿Cuándo se recopilan o tratan datos personales?
Como ya habréis comprobado, una de las partes más importantes es recabar el consentimiento en todos los casos que no estemos cubiertos por ninguna otra razón legítima. Pero, ¿cuáles son?
El más evidente son los formularios web, en los que el propio usuario rellenará sus datos personales, donde tenemos: los de contacto, que son los más habituales; los de compras, el famoso checkout o caja de una tienda online; los de registro de cuenta de usuario, donde evidentemente se introducen datos personales; los de suscripción a newsletter, donde se coloca el email e incluso el nombre; etc.
A través de las cookies, esos ficheros de texto que almacenan información para guardar un carrito de la compra, mantener la sesión iniciada, y como no, para rastrearnos.
Debemos tener en cuenta también la transmisión a terceros, que pueda hacer un plugin, una integración, una programación a medida… El caso más claro es el de Google Analytics: en el momento que instalamos un plugin y configuramos nuestra cuenta, este servicio recopila datos y los envía fuera de nuestro sitio.
Y por último, en cualquier proceso offline que pidamos datos a nuestros usuarios: abrir una ficha, rellenar un contrato, emitir un recibo (y quedarnos la copia)… Pero ya que nos centramos en lo digital, esto no lo cubriremos en este artículo.
¡Ah! Y hay gente que dice que también hay que poner una coletilla en la firma del email. Yo creo que no es necesario ya que el hecho de enviar un correo no implica necesariamente que recopiles sus datos (solo sucede si te responden, y en todo caso la dirección de email del destinatario ya la has recopilado previamente), aunque sí se puede informar sobre el origen de los datos (la dirección de email del destinatario por ejemplo), así como de los derechos sobre los mismos. Eso sí, siempre como cortesía y no como obligación.
Formularios web
Nos ponemos manos a la obra, y paso a explicaros como recabar el consentimiento en base a RGPD en los tipos de formularios más habituales.
Formulario de contacto
El primer paso es añadir la primera capa de información, para lo que podemos usar un campo de HTML que casi todos los plugins ya tienen, para poder añadir el enlace a la Política de Privacidad. Os dejo un ejemplo de cómo podría quedar:
Responsable: Elías Gómez | Finalidad: Responder a tu mensaje | Legitimación: Tu consentimiento | Destinatario: Servidores de SiteGround España | Derechos: Acceso, supresión, rectificación, oposición, portabilidad, limitación. Ver Política de Privacidad
En muchos sitios lo formatean como una lista, pero algo así queda más compacto y sirve igualmente.
Iba a explicaros también como se hace a través de un plugin, pero resulta que no permite meter HTML en el texto, y para lo único que tenemos que usar este lenguaje, que es insertar el enlace, os dejo un ejemplo y listo:
Ver <a rel="nofollow" href="/politica-privacidad/">Política de Privacidad</a>.La segunda parte consiste en colocar la casilla de aceptación, lo que podemos hacer insertando un campo de tipo checkbox en nuestro formulario. Recordad que tenemos que hacer que la casilla esté desmarcada por defecto, y que esta sea obligatoria para que no se pueda enviar el formulario sin activarla. También podríamos utilizar la lógica condicional para esto último, o bien usar un campo de tipo Acceptance como el que incluye Contact Form 7, sin olvidar desmarcar el parámetro Opcional.
Email marketing
Para el formulario de suscripción al newsletter o boletín de noticias tendríamos que hacer básicamente el mismo proceso que antes. Os lo explico con un formulario de registro de Mailchimp por ser uno de los proveedores más populares, pero sería similar con cualquier otro servicio.
Por ejemplo con el plugin Mailchimp for WordPress de Ibericode, que es el primero que sale al buscar Mailchimp en la zona de plugins, es muy sencillo ya que el editor del formulario de suscripción es directamente un editor de código, y tiene un botón específico para el consentimiento llamado Aceptación de los términos, que es una casilla de verificación que a su vez nos permite establecer la URL a la Política de Privacidad.
En el caso de que el email recolectado vaya a usarse para varias finalidades, como por ejemplo envío de noticias y envío de ofertas comerciales, podemos incluir una sola casilla de aceptación o varias. En el primer caso será más sencillo para el usuario aceptar, pero si queremos darle libertad será mejor permitirle elegir a qué tipo de contenido se suscribe.
Por último, quiero dejar claro que no es necesario reconfirmar toda tu lista de correo obligatoriamente. Si puedes demostrar que tienes el consentimiento no hay problema, lo cual ya funcionaba así con la LOPD, y en caso contrario será cuando tienes que pedirlo.
Comentarios de WordPress
Hacerlos compatibles con RGPD
Para los comentarios nativos de WordPress lo más sencillo es utilizar algún plugin como WP GDPR Compliance que nos permite colocar la casilla de aceptación, Advanced Comment Form para la primera capa de información, o aún mejor, GDPR Comments que nos permite hacer ambas cosas. Además, este plugin permite anonimizar IPs, tanto de los comentarios futuros como de los existentes.
Anonimizarlos
Otra opción sería la de directamente no recopilar datos, haciendo los comentarios totalmente anónimos. Lo primero que debemos hacer es desactivar la obligatoriedad de introducir el nombre y el correo electrónico, desde Ajustes > Comentarios > Otros ajustes de comentarios.
El problema es que los campos se siguen mostrando, y puede que algún usuario los rellene, por lo que tendríamos que ocultarlos con un código como este. Por otro lado, WordPress también guarda la IP del autor, y para ocultarla podemos usar un código similar al anterior, o un plugin que hace básicamente lo mismo.
Disqus
Mucha gente utiliza este servicio como medio para permitir comentarios en su web. Actualmente Disqus permite establecer la información de la primera capa, y aunque la longitud es muy escasa, al menos puedes poner la URL de tu Política de Privacidad y la enlaza automáticamente a la página establecida en WordPress. No obstante, no cumpliría totalmente con el RGPD porque no permite colocar la casilla de verificación para el consentimiento.
Registro de usuario
Para este formulario podemos recurrir de nuevo al plugin WP GDPR Compliance, aunque sólo sirve para colocar la casilla de aceptación, y no para el texto informativo de la primera capa. No he visto a nadie que explique cómo hacerlo, aunque se me ocurren un par de opciones: hacer un registro de usuario personalizado en el frontend, donde podemos colocar lo que queramos; utilizar un hook para modificar el aspecto del formulario, aunque no sé si existe alguno que nos lo permita. Investigaré y actualizaré este apartado.
Pues dicho y hecho, haciendo uso del hook register_form, podemos añadir el texto que queramos. Os dejo el snippet para que lo añadáis a vuestro plugin de funciones.
<?php
add_action( 'register_form', 'eg_primera_capa_RGPD_registro' );
function eg_primera_capa_RGPD_registro() { ?>
<p>
<strong>Responsable</strong>: Elías Gómez | <strong>Finalidad</strong>: Crear tu cuenta y permitir el acceso | <strong>Legitimación</strong>: Tu consentimiento | <strong>Destinatario</strong>: Servidores de SiteGround España | <strong>Derechos</strong>: Acceso, supresión, rectificación, oposición, portabilidad, limitación. | Ver <a rel="nofollow" href="/politica-privacidad/">Política de Privacidad</a>.
</p>
</br>
<?php
}Cookies en RGPD
Para las cookies el plugin que más se recomienda es GDPR Cookie Consent. Dado que es el apartado en el que menos he profundizado, no os cuento más y lo ampliaré en el futuro.
Tiendas online
Ya que WooCommerce es el estándar de facto en WordPress, me centraré en este plugin de comercio electrónico.
WooCommerce nos permite establecer una página de privacidad (que por cierto, este ajuste se sincroniza con la funcionalidad equivalente de WordPress), y mostrar 2 avisos independientes para las páginas de Registro y Caja (checkout), con posibilidad de enlazar a la Política de Privacidad, por lo que ya tenemos cubierto el primer punto a la hora de recabar el consentimiento en estos 2 formularios: la información de la primera capa.
Para la parte del consentimiento y la casilla de verificación, podemos usar de nuevo el plugin WP GDPR Compliance, simplemente activando la casilla correspondiente en Integraciones y personalizando el texto si así lo deseamos.
WooCommerce también añade textos de muestra en la guía de ejemplos que se puede consultar desde Ajustes > Privacidad, para que si quieres, los utilices en tu Política de Privacidad.
Google Analytics
Vamos con el caso por excelencia en el que se envían datos fuera de nuestra web, ya que este servicio lo tienen instalado la gran mayoría de sitios web.
Por defecto, Google Analytics no recopila ningún dato personal, ya que lo prohibe en sus condiciones. Bueno, salvo por las direcciones IP, que también están protegidas en RGPD.
Podemos anonimizarlas si usamos algunos plugins para integrar este servicio, como son Google Analytics Dashboard for WP o Google Analytics de MonsterInsights. Si además quieres poder respetar la opción de Do Not Track del navegador del usuario, o utilizar un sistema de opt out, sólo podrás hacerlo con el primero.
Publicidad en RGPD
Otro factor a tener en cuenta es el de la publicidad, que me llamó la atención revisando los artículos sobre RGPD de Ayuda WordPress. Como te puedes imaginar a estas alturas, debes informar de los datos que recopilan tus scripts de publicidad en tu Política de Privacidad.
También debes obtener el consentimiento del usuario, como en todos los demás casos. Para ello me voy a centrar, como en el apartado anterior, en el servicio más usado, también de Google: Google AdSense. De hecho, la primera opción que tenemos es no personalizar los anuncios para cada usuario, por lo que no necesitaremos recopilar sus datos personales.
No creo que esto lo quiera hacer mucha gente, y la verdad es que los que quieren recabar el consentimiento lo tienen un poco crudo, porque el enlace a la herramienta para obtenerlo en páginas web que el propio Google enlaza en este artículo no funciona, aunque si usas AMP dispones de un nuevo componente a tal efecto, pero te tocaría remangarte y meter mano al código…
En el artículo de Ayuda WordPress sobre este tema explicaban que a través del plugin Italy Cookie Choices se podría obtener el consentimiento, pero ni leyéndolo varias veces he entendido, ni la relación que tiene con Google Analytics, ni las explicaciones al respecto.
Otros casos
Google Fonts
Si cargas fuentes gratuitas de Google desde sus servidores, se recopila la IP del usuario que visita la web, por lo que no cumplirías el RGPD. Si no las utilizas en tu sitio (por ejemplo porque las traiga tu tema como algo opcional), puedes deshabilitarlas por completo, ya sea a través de snippets de código, o bien mediante plugins como Disable Google Fonts o el propio Autoptimize. Este último también te permite cargarlas localmente, que sería la otra opción.
bbPress y BuddyPress
Ya que estos plugins no los usa un gran porcentaje de usuarios, simplemente os dejo las correspondientes guías:
Otros plugins o servicios
Como ya hemos comentado, cualquier plugin, servicio o integración conectado a nuestro sitio web que recolecte o reciba datos personales, debemos tenerlo controlado para informar y recabar el consentimiento antes de procesar los datos.
Respetar los derechos de los usuarios
Derecho de acceso, rectificación y oposición
La mayoría de las acciones garantizadas por estos derechos se pueden realizar con un simple email, y no he visto ningún plugin que te permita disponer, por ejemplo, de una lista de los datos recopilados de un usuario para mostrarlo en su cuenta de usuario.
La AEPD proporciona formularios para cada uno de los derechos, y ayuda a que de esta forma el usuario no olvide ningún dato a la hora de realizar su solicitud.
También se menciona en el primer punto la opción de descargar una copia de los datos, pero lo explicaré en más detalle en el punto del derecho a la portabilidad.
Derecho de supresión
Siempre que no haya otra razón para mantener los datos personales del afectado, como pueden ser motivos fiscales, este tiene derecho a solicitar su borrado.
Desde la versión 4.9.6 de WordPress hay disponibles de 2 nuevos apartados relacionados con datos personales en el menú Herramientas, siendo uno de ellos de de «Borrado de datos personales«, que nos permite gestionar las peticiones de borrado de datos.
Una vez que el usuario nos lo solicita, mediante el procedimiento explicado en nuestra política de privacidad, añadiremos el email del usuario para enviar una petición de que autorice el proceso. La herramienta nos permite reenviar el email, filtrar las solicitudes según el estado, eliminar la solicitud, y forzar el borrado de datos personales.
Plugins compatibles con la función nativa de WordPress
Hay algunos plugins que por defecto se integran con esta característica, como es el caso de WooCommerce. En en el apartado de Cuenta y privacidad dentro de la configuración, podemos marcar 2 opciones para borrar datos personales a través del sistema nativo:
- Borrar datos personales contenidos en los pedidos
- Borrar acceso a ficheros descargables y limpiar el registro de descargas
Adicionalmente, tiene una opción para añadir al menú de edición en lote de los pedidos una acción para borrar datos personales de los mismos. Por último, permite establecer un periodo tras el que se elimina la información personal de los pedidos (pendientes, cancelados, fallidos y completados; un valor para cada uno), así como eliminar cuentas inactivas.
Otro tipo de plugin muy habitual que también guarda datos personales es el de formularios de contacto. Tanto Gravity Forms como Ninja Forms disponen de una opción en cada formulario para que esté integrado con la funcionalidad nativa.
Pensando en plugins muy utilizados que interactúen con el usuario se me ocurrió Restrict Content Pro. Pero resulta que no recopila ningún dato, más allá de los datos que WordPress necesita para crear la cuenta, por lo que no necesita integrarse con la herramienta nativa. Eso sí, en el artículo de ayuda avisan de que tendremos que borrar el historial de pagos manualmente, en el que figura el email del usuario.
Si os interesa saber si algún plugin o tipo de plugin concreto está integrado y conocer cómo funciona, dejadlo en los comentarios.
Derecho a la limitación del tratamiento
Este nuevo derecho consiste en que obtengas la limitación del tratamiento de tus datos que realiza el responsable, ya sea solicitando la suspensión en el tratamiento de tus datos o la conservación de los mismos.
De igual forma puedes obtener un formulario en la web de la AEPD.
Derecho a la portabilidad
Este derecho garantiza que el usuario pueda realizar una solicitud para obtener sus datos en un formato estructurado e interoperable, que pueda ser leído desde otro sistema preparado a tal efecto.
Al igual que en el caso del derecho al borrado, en WordPress disponemos del apartado «Exportar datos personales« en el menú Herramientas, que funciona de forma similar.
Una vez el usuario confirma la solicitud, podemos generar el email que le enviaremos desde el que podrá descargar un archivo .zip que contendrá un fichero HTML con:
- información sobre el sitio web
- información sobre el usuario
- comentarios realizados
- archivos de medios subidos
Plugins compatibles con la función nativa de WordPress
Uno de los grandes, WooCommerce, está muy bien integrado con esta funcionalidad. Al exportar el archivo de datos se incluye la información de los pedidos: número, fecha, importe total, listado de productos y cantidades, y el email.
Por otro lado, al igual que con la herramienta de borrado, Gravity Forms y Ninja Forms disponen de opciones para integrarse con la herramienta nativa de WordPress.
¿Y qué pasa con los datos ya recopilados?
Podemos disponer de datos personales ya almacenados previamente, donde los casos más comunes son: suscriptores del newsletter, datos de comentarios, y entradas de formularios de contacto.
«Si el consentimiento no se encontraba claramente identificado o se basó en formas tácitas o por omisión, deberá volverse a solicitar.»
Precoin Prevención
Así que ya sabéis, debéis llevar a cabo una campaña de regularización para acreditar los consentimientos obtenidos de forma tácita o que no cumplan con las exigencias del RGPD. O, por supuesto, directamente borrar los datos que hayan sido procesados sin autorización, como tendréis que hacer con los que no confirmen su consentimiento.
Espero que esta guía te haya servido para entender mejor RGPD, y saber las acciones a realizar en tu WordPress para cumplir con el mismo. Si lo prefieres, puedes contratar uno de mis planes de mantenimiento WordPress para que yo mismo adecue tu página web.