GDPR / RGPD: guía para cumplimiento en WordPress, plugins y aplicaciones de terceros

Por en

¿Qué es el GDPR?

El GDPR (General Data Protection Regulation o Reglamento General de Protección de Datos) es un conjunto de reglas que deben seguir todos aquellos que procesen datos personales de cualquier miembro de la Unión Europea; a través de estas reglas se otorgan diversos derechos a éstos, como por ejemplo el derecho al olvido o bien obtener todos los datos almacenados de su persona en un lugar determinado. El objetivo principal del GDPR es dar control a los ciudadanos y residentes de la UE sobre sus datos personales y simplificar el entorno de los negocios internacionales unificando la regulación dentro de la UE. Entrará en vigor este 25 de mayo del 2018, y como te podrás imaginar, muchos están viendo que hacen para tratar de cumplir con esta GDPR que tantos dolores de cabeza está dando.

¿A quienes aplica el GDPR?

Siendo que el GDPR aplica para todas las empresas y ciudadanos de la Unión Europea, si una empresa fuera de esta EU tiene tratos comerciales con esa región o bien recolecta, transporta o manipula datos personales de algún ciudadano fuera de esa área, tendrá que cumplir con el GDPR. Para acabar pronto, el GDPR incluye a cualquier parte del mundo, si es que tratan con ciudadanos o empresas de la UE en relación a los datos personales. Sin embargo, ya es de cada país la forma de aplicar y convenir con este reglamento, algo que todavía es una zona gris muy grande en el GDPR a mi parecer; aquí en México muchas empresas no están haciendo nada al respecto para cumplir ni siquiera con el mínimo de la GDPR.

Finalidad de esta publicación

Mi intención es que conozcan lo mínimo del GDPR, como configurar WordPress para cumplir con el GDPR, ciertos plugins para ayudar al cumplimiento y también tocar el tema de aplicaciones de terceros que tienen que ver con los datos personales que entran por tu sitio; también incluyo una versión mínima del GDPR que nos servirá como guía para implementar una política de privacidad adecuada a estas disposiciones. Va a ser una mega guía, les aconsejo usar la tabla de contenido para poder moverse más rápido.

Antes de continuar, una advertencia

He destinado un tiempo considerable a investigar y documentarme sobre esto, pero eso no me convierte en un abogado; mi recomendación es que si después de leer esto sienten pasos en la azotea, lo mejor sería contratar a uno antes de que pudieran contraer un problema. Todo lo que aquí lean es mi interpretación (y quizás otra parte sea una media de la interpretación de otros) de la GDPR. Y recuerden que independientemente de que aún no hay un mecanismo claro sobre como se aplicarán, hay unas sanciones bastante fuertes por el incumplimiento (más de esto después).

GDPR mínimo que debes conocer

A continuación va un pequeño resumen de los temas más importantes del GDPR; en total son 99 artículos y una tonelada de páginas para leer, y más si incluimos los considerandos y otros temas adicionales. No está de más que lo leas de todo en tus tiempos libres, pero para todos los demás que no tienen tal tiempo, este es un desglose con las partes clave:

A quién, a qué y donde aplica
¿A quién aplica?

A todo aquel que procese información de un ciudadano de la UE (Unión Europea), independientemente de su ubicación física.

¿Sobre que datos aplica?

Cualquier archivo o base de datos que tenga un ID o nombre de una persona de la UE. Esto significa que debes de empezar a revisar cualquier almacén de datos en tu empresa, en cualquier departamento, y determinar si aplica la GDPR sobre éstos.

¿En donde aplica?

No importa donde esté el archivo o base de datos, si tiene información de un ciudadano de la EU, aplica la GDPR. De nuevo, revisa donde tienes todos los puntos de entrada de información, sean formularios, aplicaciones, correos, etc.

Conceptos fundamentales
Datos personales: ¿qué es considerado como datos personales? cualquier cosa que posiblemente pueda usar para identificar a una persona dentro de un grupo más grande. Esto es probablemente más amplio de lo que crees que consideran que la combinación de datos es personal. Por ejemplo, “persona de cabello negro” no es tan personal, pero que tal “persona zurda de cabello negro con estudios de nivel doctorado, vive en el centro de Guadalajara, gana $100,000 al año”…quizás para algunos eso puedan ser datos personales.

Perfilar: aprender algo sobre las preferencias o inclinaciones de una persona. Parece principalmente encaminado a predecir el comportamiento o acciones futuras.

Controlador: si estás leyendo esto, lo más probable es que esto signifique que eres tu. Es quien decide qué hacer con los datos que se han recopilado. Si ejecuta un sitio web que utiliza servicios de marketing o análisis, eres es un controlador.

Procesador: por lo general, esta es una compañía a la que el controlador le dice que maneje sus datos para cualquier propósito. Si ejecuta un sitio web y utiliza Google Analytics, Google es el procesador, ya que están actuando en su dirección.

Manejo de datos personales
Los datos personales deben mantenerse:

  • Precisos y actualizados
  • Asegurados
  • Transparente en relación a cómo se van a utilizar
  • Restringidos al mínimo necesario para hacer el trabajo

Cuando necesites recolectar datos, debes informar:

  • Información de contacto para la empresa (idealmente para el Oficial de Privacidad de Datos).
  • Describir para que usarás los datos.
  • Enlistar que categorías de datos vas a recolectar.
  • Como contactarte sobre problemas o bien para eliminar los datos.
  • Si la información va a ser usada para perfilar, y la lógica involucrada.

Incluye esta información en tu Política de Privacidad, Términos de Servicio y si te es posible una página de comunicación de avances de implementación de GDPR, mejor.

Cuidado, no todos los datos son iguales: a menos que lo exija alguna otra ley (empleo o bienes inmuebles), no recopiles ningún dato sobre raza, política, religión, estado sindical, datos de salud, vida sexual u orientación sexual. Revisa los datos que ya tienes y asegúrate que ninguna de estas categorías especiales pueden ser inferidas de ellos; por ejemplo los “hobbies” de una persona pueden decir mucho de ella.

Sé honesto con tus usuarios, usa lenguaje sencillo para describir que estás haciendo con sus datos al momento de recolectarlos. No te tomes más de 30 días para responder a solicitudes de datos de usuarios; ojo, puedes negarte a cumplir con acciones abusivas, como que una persona haga demasiadas peticiones en poco tiempo. Incluso se puede cobrar si esto llega a pasar. Otra conducta negativa es querer suplantar a alguien, para lo cual está bien pedir otro medio de identificación.

Consentimiento
Las bases legales para el procesamiento se establecen en el Artículo 6 de la GDPR. Al menos uno de estos debe aplicarse cada vez que procese datos personales. Las bases legales que más probablemente se apliquen a los bloggers son:

  1. Consentimiento: la persona ha dado su consentimiento claro para que procese sus datos personales para un propósito específico.
  2. Intereses legítimos: el procesamiento es necesario para sus intereses legítimos o los intereses legítimos de un tercero a menos que haya una buena razón para proteger los datos personales del individuo que anulan esos intereses legítimos.

De nuevo, es vital que determines tu base legal antes de comenzar a procesar los datos personales.

Debes de rastrear cualquier información recopilada y determines un esquema para obtener consentimiento para usarla; igual necesitarás un plan para borrar datos caducados o desactualizados. Para quedar claros, el consentimiento obtenido debe de ser explícito, nada de opciones premarcadas a modo de consentimiento por defecto.

Dile a tus usuarios que vas a hacer con sus datos de manera clara, y no hagas lo contrario. Si tienes personal, edúcalo sobre que deben y no deben de hacer con los datos personales, y ten listo un procedimiento y punto de contacto para que los usuarios puedan reportar una violación a este apartado.

En algún punto necesitarás ofrecer prueba de que un usuario dio su consentimiento para el procesamiento de sus datos, ten a la mano esta información y cualquier procedimiento de comprobación, y respeta el consentimiento del usuario para lo que el accedió. Actualiza tu política de privacidad indicando a que consentirá el usuario.

El consentimiento sólo lo pueden dar personas de 16 años o mayores. Los menores de 16 necesitan de su padre o tutor para poder dar consentimiento. Ahora bien, como lo implementes, esa es una área gris de esta reglamentación. 

Derechos de las personas sobre sus propios datos
En la GDPR se menciona:

  • Tienen derecho a preguntar si tienes sus datos;
  • Tienen derecho a pedirte sus datos personales sobre demanda (si los tienes)
  • Tienen derecho a preguntarte porqué los tienes;
  • Tienen derecho a preguntar quienes en tu organización (o terceras partes) accesaron esos datos (particularmente si fue en otro país);
  • Tienen derecho a saber cuanto tiempo retendrás sus datos;
  • Tienen derecho a solicitar corregir o borrar sus datos;
  • Tienen derecho a saber de donde los obtuviste;
  • Tienen derecho a meter una queja con la comisión de la UE si no están a gusto con tu respuesta; y
  • Tienen derecho a que les proveas una copia electrónica de sus datos.

El caso del borrado de información puede tomar varias formas: uno es cuando retiran su consentimiento y no hay más razón legal para mantenerla, o bien dichos datos han sido procesados de manera ilegal o bien para otro propósito del que fueron pensados. Esto es básicamente el famoso “Derecho al olvido”.

También se te puede solicitar que “pauses” el manejo de los datos personales de un individuo; esto significa que están ahí, no se borran pero tampoco se usan para nada, mientras se soluciona algún problema que los involucra.

Si modificas datos en masa, necesitas notificar a todos los usuarios involucrados.

Los usuarios pueden pedir sus datos en un formato amigable, como CSV, XLS, JSON o XML. Ten en cuenta un procedimiento para dar respuesta a estas peticiones, si es automatizado, mejor.

Controlador y procesador
Controladores

Como controlador, debes documentar todo el proceso para cumplir con el GDPR para así poder probarlo cuando haya necesidad.

En todo el proceso se debe de considerar la “Privacidad por diseño”, es decir, cualquesquiera mecanismos que se usen, que se apliquen procesos pro-privacidad antes y no después. Una forma es seguir los siete principios de la Privacidad por Diseño:

1 – Proactivo, no reactivo.
2 – Privacidad es la configuración por default.
3 – Privacidad empotrada en el diseño.
4 – Funcionalidad completa.
5 – Seguridad de punto a punto.
6 – Visibilidad y transparencia.
7 – Respeto por la privacidad del usuario.

Aquellos interesados en esto investiguen el trabajo de la sra. Ann Cavoukian, que es quien ideó el concepto hace más de 20 años.

Regresando al documento del GDPR, este sugiere usar técnicas como encriptación y pseudo anonimización, aunque no define muy bien como implementarlas.

Procesadores

Los procesadores deben cumplir con la GDPR, sin más. No tienen permitido poner datos personales en un centro de datos que no esté en la UE sin hacerlo de tu conocimiento. Tampoco pueden hacer más de lo que deben con los datos.

Seguridad de datos
Para tener el mínimo de seguridad de datos la GDPR establece que deben cumplir con lo siguiente:

  • Usar cifrado
  • Contar con la capacidad de restaurar y recuperar por causa de algún desastre
  • Pruebas regulares de problemas comunes de seguridad
  • Contar con mecanismos para lidiar con robo de datos y sus consecuencias.

El último punto es importante; si tienes un robo de datos tienes que avisar a tus usuarios en un plazo no mayor a 72 horas.

La seguridad de los datos es un tema que aún lo considero como un área gris; y lo digo pensando en sitios. La gran mayoría de estos no controlan la parte del servidor que genera toneladas de estadísticas del uso y errores de los sitios que alojan, y que sí contienen datos personales; por eso cuando les toque elegir alojamiento web, elijan el mejor hosting para WordPress que puedan pagarse.

Oficial de protección de datos
Es necesario que haya un único punto de contacto dentro de su organización que pueda presentar solicitudes sobre los ítems relacionados con GDPR, por lo que debe designar un Oficial de Privacidad de Datos (DPO, por sus siglas en inglés). Deben ser un profesional competente de seguridad informática que pueda abordar sus inquietudes y tenga las herramientas para actuar según las solicitudes.

Hay tres escenarios mencionados en el GDPR (ver el artículo 37) donde un DPO es obligatorio:

  • las actividades centrales involucran el procesamiento de datos personales por parte de una autoridad pública;
  • las actividades centrales involucran “el monitoreo regular y sistemático de los sujetos de datos a gran escala”; o
  • las actividades centrales requieren un procesamiento a gran escala de datos especiales, por ejemplo, biométricos, genéticos, de ubicación geográfica y más.

El DPO debe involucrarse con las tareas de procesamiento de datos y tomarse en serio. Muchas organizaciones ya tienen un CISO (Director de seguridad de la información) y es probable que los CISO también recojan responsabilidades de DPO. Cualquiera que sea el título, lo importante es que las preocupaciones sobre privacidad y seguridad de los datos se tengan en cuenta en cualquier proyecto que suceda en su organización.

El DPO debe asesorar a la empresa sobre cómo cumplir con el GDPR de forma continua.

Sanciones
Las multas deben ser efectivas, razonables y disuasorias para cada caso individual. Para la decisión de si se pueden evaluar y qué cantidad de sanciones, las autoridades tienen un catálogo legal de criterios que deben utilizarse para tomar una decisión. Entre otras cosas, la infracción intencional, la falta de medidas para mitigar el daño que se produjo o la falta de colaboración con las autoridades pueden aumentar las sanciones. Para las violaciones especialmente graves enumeradas en el art. 83, párr. 5 del GDPR, el marco fino puede ser de hasta 20 millones de euros, o en el caso de una empresa, hasta el 4% de su facturación global total en el año fiscal anterior, el que sea mayor. Pero incluso el catálogo de infracciones menos graves (artículo 83, párrafo 4) establece multas de hasta 10.000.000 de euros o, en el caso de una empresa, hasta el 2% de la facturación total del año fiscal anterior, el que sea más alto.

Ajusta tu Aviso de Privacidad para cumplir con la GDPR

El GDPR dice que la información que proporciones debe ser:

  • Concisa, transparente, inteligible y de fácil acceso;
  • Escrito en un lenguaje claro y claro, particularmente si está dirigido a un niño; y
  • Gratis.

Apóyate en los artículos 12, 13 y 14 para saber con detalle que hay que incluir. Este es un resumen de lo que debe mostrar tu aviso de privacidad para informar suficientemente al sujeto de datos:

  • ¿Quién está recopilando los datos? incluye información exacta de quién y donde está ubicado. Un correo electrónico no está de más.
  • ¿Qué datos se están recopilando? mi sugerencia es que segmentes que datos se recopilan en que acción; por ejemplo, en el formulario de contacto de la página se recopilan nombre, correo electrónico y sitio web.
  • ¿Cuál es la base legal para procesar los datos? este es muy importante; define en que condiciones eres legalmente apto para procesar los datos personales solicitados.
  • ¿Los datos serán compartidos con terceros? indicar claramente si compartirás o no los datos recopilados con terceros.
  • ¿Cómo se usará la información? aquí también vale la pena segmentar acciones para indicar claramente como se hará uso de los datos personales en diversos escenarios.
  • ¿Por cuánto tiempo se almacenarán los datos? establece una política clara y cuantitativa de retención de datos.
  • ¿Qué derechos tiene el interesado? establece claramente que derechos implementarás en tu sitio, de acuerdo al uso que le des a los datos personales en cuestión.
  • ¿Cómo puede el sujeto de datos presentar una queja? indica claramente el proceso a través del cual un individuo puede hacerte llegar una petición. Mi sugerencia es que hagas un correo exclusivamente para temas legales, algo como legal@tusitio.com, y lo proporciones a todos en tu aviso de privacidad.

WordPress 4.9.6 y tu aviso de privacidad

Desde la versión 4.9.6 puedes decirle a WordPress cual es tu página de Aviso de privacidad, de modo que ponga los enlaces a ella en lugares estratégicos, así como si no lo tienes poder crear uno genérico que si bien no estará completo, si te puede servir como una base. Vamos a hacerlo visitando a la nueva pantalla de configuración de WordPress 4.9.6, la cual encontrarás en Ajustes > Privacidad: 

Ajustando el aviso de privacidad en WordPress 4.9.6

Para establecer tu página de Aviso de Privacidad haz lo siguiente:

  • Si ya tienes una página de Aviso de privacidad (o algo similar), entonces
    1. Selecciona en el desplegable que página contiene tu Aviso.
    2. Para seleccionarla haz clic en Usar esta página.
  • Si no tienes, entonces:
    • Haz clic en el botón Crear nueva página, lo que te llevará al editor pero en vez de encontrarte con el editor en blanco verás contenido, que no es más que una propuesta de aviso de privacidad al que le hace falta mucho para estar completo…pero a no tener nada, creo que es mejor este humilde inicio.
    • En la parte superior hay un aviso como este:Ejemplo de aviso de privacidad en WordPress 4.9.6
    • Te sugiero que veas ese enlace que ves ahí; es un texto largo con ayudas sobre cada sección que deberías incluir, e incluso tiene un botón de Copiar al final del texto que lo copia todo en el clipboard para que puedas pegarlo si gustas en tu editor de contenido y empezar a trabajar en ese documento.

Como configurar WordPress para cumplir con la GDPR

Para irnos con más orden en como ajustar tu sitio para la GDPR, voy a agrupar las modificaciones por tema de este reglamento, es decir “Consentimiento”, “Derechos del usuario”, etc. Vamos a empezar con el consentimiento:

Como cumplir con el consentimiento

Consentimiento en comentarios de WordPress 4.9.5 y menores

Requisitos:

Como ya sabes, debes pedir consentimiento para cualquier dato personal que recabes, así de fácil. De entrada tenemos uno que son los comentarios de WordPress, así que vamos a ver como cumplir con la GDPR en comentarios de WordPress. Lo tradicional es añadir una casilla de verificación en algún lugar del formulario. WP GDPR Compliance hace justamente eso, así que vamos a habilitarlo; en tu dashboard de WordPress ve a Herramientas > WP GDPR Compliance, donde verás algo como esto:

Como añadir consentimiento a comentarios WordPress para cumplir GDPR

  1. Haz clic en la pestaña Ajustes.
  2. Selecciona tu página de Aviso de privacidad.
  3. Si lo deseas, puedes cambiar el texto que se mostrará donde uses el comodín %privacy_policy%, que puedes usar en las cadenas que se muestran en las casillas de selección.
  4. ¡No olvides guardar tus cambios!

Con esto ya le indicamos a WP GDPR Compliance que tenemos una página de aviso de privacidad, ahora si podemos continuar configurándolo, el siguiente paso es como sigue:

  1. Haz clic en la pestaña Integración.
  2. Activa el switch de “Comentarios de WordPress”.
  3. Cambia la redacción del texto que se mostrará en la casilla de verificación; puedes usar el comodín %privacy_policy% si tienes una política de privacidad definida (como lo hicimos hace un momento).
  4. Modifica el texto que se mostrará en caso de no aceptar.
  5. Por último, guarda tus cambios.

Ahora, la cuando veas tu formulario de comentarios, se verá parecido a esto:

Formulario de comentarios con consentimiento

Como puedes ver aparece una casilla de verificación en la parte inferior, antes del botón de publicar comentario. Recuerda que para que esto sea válido tiene que cumplir varios requisitos:

  • Debe indicar claramente para que es el consentimiento; en la redacción de la casilla de verificación establece sin tapujos para que estás recopilando esa información. Recuerda ser transparente en tus acciones.
  • Incluir un enlace a tu aviso de privacidad no me parece nada mal.
  • La casilla de verificación NO debe de estar habilitada por default, recuerda que el consentimiento tiene que ser EXPRESO.

Consentimiento en comentarios de WordPress 4.9.6 y superiores

Requisitos:

  • Obviamente, estar actualizado a WordPress 4.9.6

WordPress 4.9.6 trae varios controles integrados para cumplir con la GDPR; siendo sinceros, están bastante crudos aún – pero lo mismo se puede decir de todos los plugins que hay al respecto de cumplir la GDPR; son características que todavía nadie sabe como implementar con certeza, y todos estamos haciendo lo mejor que podemos. Pero regresemos al tema; primero que nada, establece cual es tu página de Aviso de privacidad en la nueva sección Privacidad como lo vimos hace un momento.

Sólo por el hecho de instalar o actualizar a WordPress 4.9.6, este ya incluye el soporte de consentimiento en los formularios de comentario, por lo que ahora verás algo como esto:

Comentarios con consentimiento en WordPress 4.9.6

Consentimiento en registro de WooCommerce 3.3.x y menores

Requisitos:

  • Instalar plugin GDPR
  • Contar con un Aviso de privacidad de la tienda

WooCommerce puede tener dos puntos de entrada de registro de usuarios; el primero es si tienes habilitado el registro en la página Mi cuenta (puedes revisarlo en WooCommerce >Ajustes >Cuentas), y el otro es desde la página de Finalizar compra, así que necesitamos consentimiento en ambos puntos. Aquí ayuda mucho el módulo de consentimientos del plugin GDPR, un plugin que me parece es el mejor del momento, aunque a decir verdad hay ciertas características (como esta misma de consentimientos) que me parece no están bien implementadas. Pero bueno, por ahora sirve para el propósito. Ve al menú RGPD > Ajustes, y verás esta pantalla:

Ajustes de plugin RGPD

Asegúrate de seleccionar tu página donde está tu Aviso de privacidad. Después ve a RGPD > Ajustes > Consentimientos:

Ajuste de consentimientos en plugin RGPD

Tal como dice la imagen, edita los textos que ves ahí; cámbialos por algo más ad-hoc a lo que pretendes hacer en realidad con esos datos. Donde dice <a href="" pon tu URL de tu aviso de privacidad entre las comillas, y por último no olvides Guardar cambios. Sólo con estos simples ajustes ya tienes una casilla de verificación en los registros de usuario que hayan en WooCommerce, tanto en la página Mi cuenta (si es que está habilitado el registro en esa página) como en Finalizar pago.

Consentimiento en comentarios de productos en WooCommerce 3.3.x y menores

Para este consentimiento sólo vamos a configurar un par de cosas en WooCoomerce. La primera de ellas es que las reseñas sólo las pueden dejar propietarios verificados, como se ve a continuación:

Configurar WooCommerce para recibir críticas sólo de compradores verificados

La siguiente modificación es evitar el “guest checkout”, o compra sin cuenta, es decir, poder comprar sin que te registres. Se modifica como se ve a continuación:

Deshabilitar comprar como invitado en WooCommerce

¿Cuál es el razonamiento detrás de esto? bueno, si eres un cliente verificado eso quiere decir que ya aceptaste el aviso de privacidad, donde se puede describir que se hace con los datos en el caso de registro, reseñas de productos y de cualquier otra cosa que se ocurra.

Consentimiento para uso de listas de distribución de correo

Requisitos:

Aquí hay una gran diversidad de manejadores de listas de distribución; a mi en lo particular me gusta MailChimp, y para en mi opinión MailChimp for WordPress es de los mejores plugins que hay para este fin, en particular porque se integra muy bien con WordPress y con los principales plugins de ecommerce y formularios de contacto, y tiene controles que hacen simple el respetar algunos aspectos de los consentimientos de la GDPR. Pero más allá de cual sea tu elección, recuerda que cuando quieras capturar algún email para tus listas debes hacer dos cosas: la primera es pedir consentimiento, y la segunda es usar el double opt-in, es decir con doble confirmación, pues ese será tu comprobante de consentimiento si es que algún día te llegara a hacer falta.

Cómo cumplir la GDPR en WooCommerce 3.4

Requisitos:

  • Estar actualizado a WordPress 4.9.6
WooCommerce 3.4 salió el 23 de mayo, y entre las mejoras que trae está justamente ser más apto para cumplir con la GDPR. Ahora en WooCommerce > Ajustes se muestra una pestaña Cuentas y Privacidad, en la cual se centralizan las propiedades que tienen que ver la GDPR. Una de las secciones nuevas es Peticiones de borrado de datos, que es una sección que “complementa” a la que tiene WordPress 4.9.6, puesto que responde a la acción iniciada en WordPress; esta sección muestra dos opciones:

Borrado de datos en WooCommerce 3.4 GDPR

Como puedes ver, las casillas responden a que acción tomar después de llevar a cabo un borrado de datos. Por default no están marcadas, y para cumplir con el GDPR se recomienda que sigan así. El siguiente bloque que nos atañe es el de Privacidad:

Como se puede apreciar, puedes definir tu política de privacidad; si lo haces, se mostrarán casillas de verificación en registro y finalización de compra respectivamente con la redacción que tu indiques. Finalmente, está el bloque de retención de datos:

Tal como su nombre lo dice, sirve para indicar que días se mantendrá la información que ahí se menciona, categorizada por su uso. ¡No olvides guardar tus cambios!

Como cumplir con derechos de usuario

Llegamos al meollo del asunto, esta parte es de suma importancia porque es donde debemos responder como propietarios de un sitio cuando nos hagan alguna petición, sea de borrado, modificación, exportación de datos u otra.

Rectificación, reclamo, borrado y exportación de datos en WordPress 4.9.5 y menores

Requisitos:

  • Instalar plugin GDPR
  • Contar con un Aviso de privacidad

El plugin GDPR ofrece cuatro shortcodes que sirven para mostrar formularios de procesamiento de los derechos de usuario, y son los siguientes:

  • Rectificación: [gdpr_request_form type="rectify"]
  • Reclamo: [gdpr_request_form type="complaint"]
  • Borrado: [gdpr_request_form type="delete"]
  • Exportación: [gdpr_request_form type="export-data"]

Cada formulario requiere de un correo electrónico para procesar los datos, y al iniciar una solicitud se hace el siguiente flujo de comunicación:

  1. Se inicia una solicitud.
  2. Se le envía un correo al solicitante; este correo incluye un enlace para confirmar la acción, de modo que alguien no podría suplantarte a menos que se robe tu cuenta de correo.
  3. El solicitante hace clic en la solicitud para confirmarla.
  4. El admin del sitio recibe una notificación de que tiene una petición pendiente, la cual o cancela o marca como atendida. Las notificaciones las puedes ver haciendo clic en el menú en RGPD > Solicitudes, y ahí en cada una de las pestañas verás las solicitudes pendientes de rectificar datos, reclamación y borrado.

La excepción a lo anterior es la solicitud de exportación de datos, que en el correo que envía ya incluye la descarga de tus datos en dos formatos, XML y JSON.

Con éstos a la mano podemos incrustarlos en algún lugar donde quieras que se muestren los formularios correspondientes; en lo personal creo que el Aviso de privacidad es el lugar idóneo para ubicarlos, pues está a la mano de todos y alcanzables con mínimo de esfuerzo. Como nota adicional debo decir que es muy probable que tengas que meterle mano al CSS de los formularios generados, pues sus controles están un poco amontonados, pero en cuanto a funcionalidad están a punto.

Advertencia: al incrustar los formularios quedas expuesto a que te llegue spam; pero afortunadamente el plugin GDPR tiene integrado soporte de reCAPTCHA de Google, para lo cual sólo necesitas activarlo y sacar un juego de claves para poder usarlo. Encontrarás estos valores en RGPD > Ajustes > General, sección “reCAPTCHA en formularios de solicitud”. Sólo tienes que activar la casilla “Activar reCAPTCHA”, pegar tu clave del sitio, tu clave secreta, y con eso tendrás activada la protección anti-spam de reCAPTCHA.

Rectificación, reclamo, borrado y exportación de datos en WordPress 4.9.6 y superiores

WordPress 4.9.6 trae integrados controles para borrado y exportación de datos; son bastante rudimentarios, debo decir. Pero hacen su trabajo y por ahora no podemos ponernos tan exigentes. Tanto el borrado como la exportación se usan igual; los encontrarás en Herramientas > Borrar datos personales y Herramientas > Exportar datos personales, respectivamente, y el flujo de trabajo de ambos es muy parecido:

  • Para exportar datos personales (Herramientas > Exportar datos personales)
    • Recibes una solicitud por algún medio, sea un formulario de contacto, un correo, etc.
    • Inicias el proceso introduciendo el correo electrónico del solicitante, y haciendo clic en “Enviar petición”
    • La solicitud se crea y aparece como pendiente
    • Se le envía un correo de confirmación al solicitante, que incluye un enlace sobre el que debe de hacer clic para confirmar. Al hacerlo, la solicitud pasa al estado “Confirmada”.
    • En el listado de las peticiones verás que aparece un botón al final del renglón que dice “Enviar datos”, haz clic sobre el para enviar un nuevo correo al solicitante, donde se incluye un enlace a un archivo ZIP con su información personal, la cual viene en formato HTML.
    • Si te preguntas cuando una solicitud cambia al estado “Completada”, es cuando descargas el archivo de datos.
  • Para borrar datos personales (Herramientas > Borrar datos personales)
    • Recibes una solicitud por algún medio, sea un formulario de contacto, un correo, etc.
    • Inicias el proceso introduciendo el correo electrónico del solicitante, y haciendo clic en “Enviar petición”.
    • La solicitud se crea y aparece como pendiente.
    • Se le envía un correo de confirmación al solicitante, que incluye un enlace sobre el que debe de hacer clic para confirmar. Al hacerlo, la solicitud pasa al estado “Confirmada”.
    • En el listado de las peticiones verás que aparece un botón al final del renglón que dice “Borrar datos personales”, haz clic sobre el para proceder al borrado, y la petición entonces cambia a “Completada”

Los demás derechos se pueden implementar con el plugin GDPR como vimos hace un momento, o bien implementar el cumplimiento sólo con el plugin GDPR para que se vea homogéneo; en lo personal creo que la experiencia es mucho mejor con el plugin GDPR.

Como cumplir con seguridad de datos personales

Cumplir con la seguridad de datos personales puede estar entre lo más complicado de implementar, tanto por su naturaleza técnica como por la poca definición de la GDPR en este aspecto; pero vamos a intentar cumplir hasta donde sea posible.

Acepta la Adenda sobre Tratamiento de Datos de Google Analytics

Es necesario que aceptes esta adenda, pues está ligada con el GDPR / RGPD en el sentido que te permite registrar detalles como el Oficial de protección de datos y otros más que son vinculantes con tu sitio. Para hacerlo, lleva a cabo estos pasos:

Pasos para aceptar Adenda de Tratamiento de Datos de Google RGPD

Uso de User-ID y Client-ID en Google Analytics

Para que Google Analytics determine que dos hits diferentes pertenecen al mismo usuario, con cada hit se debe enviar un identificador único asociado a ese usuario.

Para ello, la biblioteca analytics.js utiliza el campo ID de cliente (o Client-ID), una cadena única generada aleatoriamente que se almacena en las cookies del navegador. De este modo, las visitas posteriores al mismo sitio web se pueden asociar al mismo usuario.

El uso de cookies permite a analytics.js identificar a los usuarios únicos en diferentes sesiones de navegación, pero no en diferentes navegadores o dispositivos. Si tu sitio web dispone de un sistema de autenticación propio, puedes usar la función User ID, además del ID de cliente, para identificar a un usuario de un modo más preciso en todos los dispositivos que usa para acceder a tu sitio web. Como te podrás imaginar, este User-ID y la GDPR no van a ser muy buenos amigos. Para deshabilitarlo en Google Analytics ve a Administrar > Configuración de la cuenta > User ID y haz lo siguiente:

Deshabilitar User-ID de Google Analytics RGPD

Configura la retención de datos en Google Analytics

Recuerda que una de las disposiciones de la GDPR es que debes retener los datos para procesarlos como lo informaste al usuario, y cuando se termine ese procesamiento borrar esos datos. Al igual que muchos temas, no es un área muy bien definida en la GDPR y muchos estamos especulando al respecto. Pero por lo pronto, Google Analytics da una opción para que configures la retención de datos en su plataforma. Para configurar la retención en Google Analytics ve a Administración > Configuración de la propiedad > Información de seguimiento > Retención de datos, y llegarás a una pantalla como esta:

Retención de datos en Google Analytics RGPD

Como puedes ver, es cuestión de que uses el desplegable para indicar el tiempo de retención. El siguiente switch (“Restablecer con cada actividad nueva”) déjalo en desactivado por ahora, y no olvides presionar el botón Guardar.

Anonimizar IPs de Google Analytics con cambio en código de seguimiento

De acuerdo con la documentación de Google Analytics, puedes incluir el parámetro anonymizeIp en tu código de seguimiento y esto hará que las IP’s sean anónimas; lo que en realidad hace es poner a cero el último octeto:

Hacer esto es sencillo; basta con modificar tu código de rastreo para que quede como se ve a continuación:

Para el código de Analytics universal:

<script>

(function(i,s,o,g,r,a,m){i['GoogleAnalyticsObject']=r;i[r]=i[r]||function(){
(i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o),
m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m)
})(window,document,'script','//www.google-analytics.com/analytics.js','ga');

ga('create', 'UA-XXXXXXX-X', 'website.de');
ga('set', 'anonymizeIp', true);
ga('send', 'pageview');

</script>

Para el código de Analytics clásico:

<script type="text/javascript">

  var _gaq = _gaq || [];
  _gaq.push(['_setAccount', 'UA-XXXXXXX-YY']);
  _gaq.push(['_gat._anonymizeIp']);
  _gaq.push(['_trackPageview']);

  (function() {
    var ga = document.createElement('script'); ga.type = 'text/javascript'; ga.async = true;
    ga.src = ('https:' == document.location.protocol ? 'https://ssl' : 'http://www') + '.google-analytics.com/ga.js';
    var s = document.getElementsByTagName('script')[0]; s.parentNode.insertBefore(ga, s);
  })();

</script>

Anonimizar IPs de Google Analytics con un plugin

Requisitos:

GADWP (por cierto ahora se llamará ExactMetrics) es un plugin bastante completo para tener del lado de tu blog la información capturada por Google Analytics y presentártela en gráficas y reportes que te hagan entender mejor dichos datos. En tu dashboard de WordPress ve a Google Analytics > Código de seguimiento, y verás una pantalla como la siguiente, ya con los valores de configuración recomendados:

Configuración RGPD de GADWP

Con eso tendrás soporte de IP’s anónimas, compatibilidad con opt-out (“salirse”) de Google Analytics y hacerle caso al Do Not Track.

Implementación del opt-out  para Google Analytics

Continuando con el uso de GADWP, vamos a ver como implementar la salida del seguimiento de Google Analytics. Para empezar, tienes que habilitar las opciones que mencioné hace un momento, en particular la segunda (“activa la compatibilidad con la aceptación del usuario“). Cuando hagas eso, GADWP hará unos ajustes y de ahora en adelante puedes incluir en algún punto el siguiente código HTML y se convertirá en un enlace para salirse del seguimiento de Google Analytics:

<a href="javascript:gaOptout()">Clic aquí para deshabilitar el seguimiento de Google Analytics</a>

También hay un shortcode disponible, que puedes usar como se ve a continuación:

[gadwp_useroptout html_tag="button"]Google Analytics opt-out[/gadwp_useroptout]

Puedes incrustarlos donde desees en tu sitio, y ya de esta forma los usuarios podrán optar por no ser seguidos por Google Analytics.

Instalar un certificado SSL

Como luce un sitio con SSL en la barra de dirección

Un certificado SSL te permite encriptar la comunicación entre los clientes y tu sitio; hoy en día es común que los mejores proveedores de hosting que ofrecen certificados totalmente gratuitos y de muy buena calidad (como los de Let’s Encrypt), y no olvidemos que contar con un certificado SSL hoy en día ya no es un lujo, sino una necesidad, pues es una de las señales que toma en cuenta Google tanto para la confianza del sitio como para el posicionamiento.

¿Qué hay de las bases de datos existentes?

¿Tienes una base de datos de correos existente? te diré que hacer con ella, y quizás te sorprenda mi respuesta: deséchala y empieza desde cero. Para ser sinceros, con anticipación te hubiera dado tiempo de mandar un correo a toda tu lista para que te den consentimiento y así cumplir, pero…hay que decirlo, somos muy desidiosos a veces. Hoy ya no hay tiempo de eso, y el 25 de mayo, sin consentimiento tu base de datos será tan válida como los billetes de Turista Internacional.  Bueno, eso y que a duras penas pasamos de un 12 o 13 % de apertura de correos. La realidad es que para la gran mayoría de las personas, las listas de correo que han estado haciendo año tras año honestamente son poco más que basura. Esta es la oportunidad de empezar con una lista que verdaderamente sirva para tus propósitos, sea un negocio o cualquier otra labor informativa (y legal claro).

Así que lo que yo te sugiero es crear un formulario para solicitar a la gente que se una a tu newsletter o a cualquier otra publicación que hagas, obvio con sus casillas de verificación para tener consentimiento de procesar esos correos, y así, poco a poco, construir una lista de correo a la cual le puedas enviar un mail y que sea abierto por, digamos un 80%, contra a un paupérrimo 10% o 12% (si acaso) donde andamos muchos…recuerda: pide consentimiento, y habilita el double opt-in.

Un caso difícil: las bitácoras de los servidores

Algo de lo que casi nadie habla es que pasa con las bitácoras que hay en los servidores; estas recopilan información y datos personales antes que tu sitio, y lo preocupante es que  muchos no tienen acceso a estos logs para poder gestionarlos de manera adecuada: por ejemplo, todos los que tienen un hosting compartido, y aquí si se dificulta mucho cumplir la GDPR / RGPD. Sin embargo, hay que leer lo que dice el Considerando 49 (subrayado mío):

El procesamiento de datos personales en la medida estrictamente necesaria y proporcionada para garantizar la seguridad de la red y de la información, es decir, la capacidad de una red o de un sistema de información para resistir, en un determinado nivel de confianza, eventos accidentales o acciones ilícitas o maliciosas que comprometer la disponibilidad, autenticidad, integridad y confidencialidad de los datos personales almacenados o transmitidos, y la seguridad de los servicios relacionados ofrecidos por, o accesibles a través de, esas redes y sistemas, por autoridades públicas, equipos de respuesta de emergencia (CERT), seguridad informática los equipos de respuesta a incidentes (CSIRT), los proveedores de redes y servicios de comunicaciones electrónicas y los proveedores de tecnologías y servicios de seguridad constituyen un interés legítimo del responsable del tratamiento. Esto podría incluir, por ejemplo, impedir el acceso no autorizado a redes de comunicaciones electrónicas y la distribución de códigos maliciosos y detener los ataques de “denegación de servicio” y los daños a los sistemas informáticos y de comunicaciones electrónicas.

La parte subrayada quizás se podría usar como argumento del procesamiento, y ajustando el tiempo de retención de datos, quizás se podría cubrir con esta parte de la GDPR, pero para ser franco, aún no me queda claro como cumplir bien con los requisitos de esta parte.

Queda fuera del alcance de este artículo profundizar sobre técnicas a implantar como por ejemplo rotación y cifrado de logs; pero les dejo un par de enlaces para que lean al respecto y puedan extraer algunas ideas para atacar este problema:

Me encantaría conocer su opinión en los comentarios.

Palabras finales

La GDPR / RGPD finalmente ya está a punto de entrar en acción, y a pesar de que no me gusta del todo la forma, creo que el fondo es lo importante. Al final del día, una forma de GDPR quizás más laxa debería de ser la norma, y no como hemos vivido hasta hoy en día, permitiendo que se haga lo que se quiera con los datos de los usuarios. Creo que es un buen inicio, en mi comprensión de todo esto creo que de entrada no va a ser tan severo el reglamento en su aplicación dada la complejidad que requiere su cumplimiento, y creo que todavía vienen tiempos interesantes en los que se cambiará la forma de hacer muchos procesos. Éxito a todos los lectores que quieran implementar estas medidas que aquí describo, y por supuesto me encantaría saber como les va en los comentarios.

Si encuentran errores en el artículo, les agradeceré se mantengan civilizados al reportarlos; es un texto largo (abajo de las 6,500 palabras y todavía le falta crecer) y es muy probable que pueda haber cometido errores. Agradeceré cualquier reporte sobre estos para que pueda corregirlo. ¡Gracias de antemano!

Revisión del post

  • 24/05/2018: se incluyó WooCommerce 3.4
  • 23/05/2018: primera edición

Orlando es un ingeniero en sistemas de 43 años de edad, apasionado del desarrollo de software y con un cariño especial por WordPress. Le encantan los libros, la música, la fotografía, los cómics y es un AFOL. De último pero no menos, esposo y padre de dos trolls.

Deja un comentario

A %d blogueros les gusta esto: