VOLVER AL BLOG

Cumplimiento del GDPR en WordPress: Todo lo que necesitas saber

Por / 28 de diciembre de 2023
Make WordPress site GDPR compliant

Si llevas un tiempo en el mundo de WordPress, sin duda habrás oído hablar de GDPR. Pero, ¿qué significa realmente? ¿A quién afecta? ¿Cuáles son las sanciones por incumplimiento? ¿Y en qué consisten esas notificaciones de cookies? En general, ¿debería preocuparle el GDPR?

En este post, responderemos a estas preguntas y más, además de darte algunas soluciones sencillas para hacer que tu sitio WordPress cumpla con GDPR. Aunque pueda parecer una normativa legal complicada, en realidad es bastante sencillo para la mayoría de los sitios seguir todas las reglas.

Empecemos.

Aviso legal

Este artículo no constituye asesoramiento jurídico. Si tiene alguna pregunta o duda sobre el GDPR, póngase en contacto con un abogado.

Tabla de contenidos
  1. ¿Qué es el GDPR?
  2. ¿Cuáles son los requisitos del GDPR?
  3. ¿Quién está sujeto al RGPD?
  4. Los 8 derechos principales del RGPD
  5. ¿Debe preocuparse por el GDPR?
  6. ¿Qué ocurre si su sitio web no cumple la normativa?
  7. Cómo hacer que su sitio web cumpla el GDPR
  8. ¿Cumple con el GDPR?

¿Qué es el GDPR?

GDPR son las siglas en inglés del Reglamento General de Protección de Datos. Se trata de un reglamento aprobado por la Unión Europea en 2016 y que entró en vigor en 2018.

Tiene más de 200 páginas e incluye numerosas normas sobre el modo en que se recogen y procesan los datos de los usuarios. Puede leer Guía detallada del RGPD en Wikipedia o léalo todo usted mismo en gdprinfo.eu.

Si prefiere leerlo en su propio idioma, puede hacerlo en una de las 23 lenguas restantes en este enlace.

¿Cuáles son los requisitos del GDPR?

GDPR Chapters

Aunque el reglamento completo es bastante complejo, en esencia, obliga a pedir explícitamente el consentimiento de los ciudadanos de la UE antes de recoger o utilizar sus datos personales.

Estos datos incluyen cosas obvias como direcciones de correo electrónico, pero también Google Analytics datos, direcciones IP y otros tipos de información personal. También debe informar inmediatamente de cualquier infracción o hackeo, así como permitir a los usuarios eliminar o exportar sus datos en el momento oportuno.

Principales requisitos del RGPD para los sitios web

  • Indique claramente para qué utilizará los datos (en su política de privacidad)
  • Obtener la aceptación para utilizar cookies
  • Pedir el consentimiento de los ciudadanos de la UE antes de recoger o utilizar sus datos personales.
  • Envíe correos electrónicos sólo a los suscriptores que aceptaron inscribirse en su lista
  • Si los usuarios piden acceda a a sus datos y/o para que usted los suprima, debe cumplir

¿Quién está sujeto al RGPD?

Existen básicamente dos grupos sujetos al GDPR:

  • Organizaciones con sede o presencia en la UE. Incluso si los datos se procesan en la Antártida, sigue siendo responsable del GDPR.
  • Organizaciones que venden o procesan datos de cualquier persona que se encuentre en la UE. Eso significa también no ciudadanos e incluso turistas. La ubicación de su empresa no importa, solo la del cliente.

Los 8 derechos principales del RGPD

En concreto, el RGPD otorga a las personas ocho derechos. Veamos brevemente cada uno de ellos:

  1. Derecho a ser informado. La gente tiene que entender cómo va a recoger y utilizar sus datos. El lugar para hacerlo es su política de privacidad.
  2. Derecho de acceso. Si alguien solicita sus datos, usted tiene que proporcionárselos.
  3. Derecho de rectificación. Esto significa que las personas tienen derecho a corregir o modificar cualquier información que usted tenga sobre ellas.
  4. Derecho de supresión. También llamado "derecho al olvido", significa que si alguien le pide que elimine sus datos, debe hacerlo.
  5. Derecho a restringir el tratamiento. Las personas pueden solicitar que sólo almacene los datos, pero que no los utilice para ningún otro fin.
  6. Derecho a la portabilidad. Los datos personales deben poder exportarse en un formato común, como .xls o .csv. No puedes darles datos formateados de manera extraña o confusa.
  7. Derecho de oposición. Las personas siempre pueden oponerse a que sus datos se utilicen para cualquier fin.
  8. Derechos relacionados con la toma automática de decisiones (como la elaboración de perfiles). Se trata básicamente de una lista de normas sobre cómo se puede utilizar la elaboración de perfiles.

¿Debe preocuparse por el GDPR?

GDPR Logo

Aunque no es algo de lo que "preocuparse", definitivamente debe hacer que su sitio web cumpla con el GDPR. Sobre todo si tiene un gran número de usuarios de la Unión Europea. Si no lo hace, se arriesga a multas importantes y otros quebraderos de cabeza.

Si no tienes usuarios europeos, igual te lo preguntas: ¿Merece la pena? ¿Necesito molestarme con todo esto del GDPR?

La respuesta: sí, debería. Aun así, merece la pena configurar uno de los plugins que mencionamos a continuación. Solo te llevará una hora, como mucho, y no tendrás que preocuparte por futuros conflictos.

Algunos sitios han "resuelto" el problema del GDPR bloqueando todas las IP procedentes de la Unión Europea, pero, como puede imaginar, no es una gran idea, sobre todo si depende del tráfico o del boca a boca. Además, da a sus lectores europeos una muy mala impresión de usted.

Errores comunes

Veamos algunos conceptos erróneos sobre el cumplimiento del GDPR. Hay mucha información errónea circulando por Internet y puede ser difícil determinar qué es realmente legítimo.

¿Tengo que pedir a los abonados que se vuelvan a suscribir?

No, pero sólo si se inscribieron voluntariamente en su lista y dieron su consentimiento para recibir comunicaciones suyas. Si ha añadido suscriptores a su lista sin obtener su consentimiento, debe pedirles que se vuelvan a suscribir. Si no lo hace, estará infringiendo el GDPR.

Dicho esto, no utilizar listas opt-in es, en la mayoría de los casos, una pérdida de tiempo, ya que no es un método para conseguir suscriptores de calidad.

¿Tengo que dejar de coleccionar? direcciones IP personales?

Esto sigue estando permitido, siempre que se establezcan salvaguardias para proteger los datos de los usuarios. Principalmente, esto significa ser abierto y transparente sobre los datos que recopilas, tener una política de privacidad y permitir a los usuarios eliminar sus datos.

En concreto, necesita disponer de un medio para que los usuarios puedan solicitar la eliminación de sus datos. Por ejemplo, un formulario de contacto.

¿Tengo que añadir una casilla de consentimiento a las casillas de comentarios y contacto?

Probablemente no, especialmente si utiliza uno de los plugins de formularios de contacto que mencionamos a continuación.

¿Qué ocurre si su sitio web no cumple la normativa?

EUR Lex law

Las sanciones varían en función del tamaño de la organización, la naturaleza de la infracción y otros factores. En caso de infracción grave, las sanciones pueden alcanzar los 2 millones de euros o el 4% de la facturación global del año anterior. ¡Eso es mucho dinero!

Más información sobre las sanciones del GDPR aquí.

Y por si pensabas que estas multas eran sólo "sugerencias", cuidado. Entre enero de 2020 y el 27 de enero de 2021, la UE repartió casi $200 millones de USD en multas. Entre los infractores figuran Google, H & M, British Airways y Marriott Hotels.

Cómo hacer que su sitio web cumpla el GDPR

¿Cumple su sitio web el GDPR? Depende de la situación y de lo que haga en su sitio web. Habrá diferentes requisitos, dependiendo de si vende productos, envía boletines por correo electrónico o solo publica contenidos.

He aquí algunos requisitos básicos para diferentes casos de uso.

  • Si tiene un sitio de comercio electrónico, debes permitir que los usuarios vean todos los datos que has recopilado sobre ellos, si así lo solicitan. También debes permitir que los usuarios eliminen sus cuentas y/o exporten datos dentro de ella.
  • Si tiene un boletín electrónico, debes sólo envíe correos electrónicos a los suscriptores que aceptaron explícitamente unirse a su lista. No envíe correos electrónicos a suscriptores que no haya añadido de esta forma.
  • Si tiene un sitio web para miembros, necesita permitir a los usuarios eliminar su cuenta y/o sus datos. Esto puede ser tan sencillo como un formulario de "eliminar mi cuenta" en una página específica. También debe permitir a los usuarios cambiar estos datos si hay errores.
  • Si tienes un blog con comentarios, debes permitir que los usuarios borren sus comentarios.
  • Si utiliza cookies (y prácticamente todos los sitios lo hacen), instale uno de los plugins de cookies que mencionamos a continuación.

Además, para todos debe tener una política de privacidad. Más información a continuación.

Ahora vamos a ver otras cosas que puedes hacer para asegurarte de que no tendrás ningún problema.

Mantenga WordPress siempre actualizado

Keep WordPress upto date

En primer lugar, siempre debe mantener su sitio de WordPress actualizado a la versión más reciente. Las versiones más recientes de WordPress incluyen actualizaciones que afectan directamente a la protección de los datos de los usuarios.

Desde WordPress 4.9.6, el propio software de WordPress.org cumple con el GDPR. Los cambios introducidos en esa actualización incluyen modificaciones en los comentarios, la configuración de privacidad y mucho más. Lea el informe completo aquí.

Recopilación de correos electrónicos

Si recopila las direcciones de correo electrónico de sus usuarios, podrá definitivamente necesita tener una casilla de verificación en su formulario de registro. Afortunadamente, esto está incluido en casi todos los plugins de marketing por correo electrónico y formularios de contacto:

  • MailPoet tiene una extensa guía para asegurarse de que cumple el GDPR en sus formularios y correos electrónicos.
  • ConvertPro le ayuda a cumplir la normativa GDPR al suscribir usuarios a su boletín de noticias y otras listas.
  • MailChimp facilita la recopilación de direcciones de correo electrónico y el envío seguro de mensajes.

Aunque no es estrictamente necesario, también es una muy buena idea habilitar doble opt-in para sus boletines electrónicos. Esto significa que los suscriptores tendrán que confirmar su suscripción antes de que usted les envíe cualquier correo electrónico, y como puede imaginar, esto hace que su caso para el consentimiento sea mucho más fuerte.

WooCommerce / Comercio electrónico

WooCommerce homepage

WooCommerce ofrece una breve descripción del GDPR para usuarios de comercio electrónico y otras guías para temas específicos. Recomiendan dar tres pasos básicos:

Aunque WooCommerce en sí no almacena ningún dato personal, muchas de sus extensiones sí lo hacen. Consulte esta página para obtener más información sobre las extensiones concretas que lo hacen.

Añadir una política de privacidad

Siempre debe tener una política de privacidad en su sitio web. Esto deja claro qué datos recopila y cómo los recopila.

Por defecto, WordPress incorpora un generador de políticas de privacidad. Para utilizarlo, vaya a Configuración > Privacidad y haga clic en Cree para hacer una página de política de privacidad. Fácil.

WordPress privacy policy page

WP AutoTerms es otro útil plugin gratuito que te ayuda a generar una variedad de acuerdos legales para regulaciones como CCPA, GDPR o divulgación de enlaces de afiliados de Amazon Associates.

Google Analytics / Otros análisis

Google analytics

Google Analytics realiza un seguimiento de diferentes puntos de datos personales, por lo que es importante entender y utilizar un plugin que los recopile de forma responsable. El propio Google ha implementado muchos requisitos dentro del ecosistema publicitario. El año pasado lanzaron Modo de consentimiento, que permite ajustar dinámicamente la configuración en función del nivel de consentimiento del usuario.

MonsterInsights es uno de los plugins de análisis más populares para WordPress. Disponen de una extensa guía sobre el uso de su plugin en línea con la normativa GDPR y su paquete premium también incluye una Complemento de cumplimiento del GDPR de la UE para facilitar el proceso.

Permitir a los usuarios exportar y borrar sus datos

Si recopila datos de usuarios como parte de su sitio web, es esencial que permita a los usuarios eliminar sus datos. Esto incluye cosas como información personal, imágenes, comentarios u otros detalles.

Existen varios plugins que añaden esta funcionalidad. Pruebe uno de los dos que se indican a continuación. Si no desea utilizar un plugin, debe crear un formulario de contacto que permita a los usuarios ponerse en contacto con usted y solicitar la eliminación de datos.

WP Eliminar Cuentas de Usuario

Este plugin añade un botón de "eliminar" a la página de perfil de usuario. También puedes añadirlo a cualquier otra página usando un shortcode.

Borrarme

Este sencillo plugin permite a ciertos tipos de usuarios eliminar sus propias cuentas. Lo hace creando una página de borrado, que pide confirmación antes de borrar la cuenta. Aunque un poco anticuado, Delete Me debería seguir funcionando para la mayoría de la gente.

Utilizar un plugin para aceptar cookies de consentimiento GDPR

No importa qué tipo de sitio tengas, deberías utilizar un plugin para pedir el consentimiento para utilizar cookies. Por suerte, hay varios plugins gratuitos que facilitan esta tarea.

Cumplimiento de las cookies GDPR de Moove

Un plugin completamente gratuito que permite a los usuarios de un sitio web habilitar o deshabilitar cualquier cookie. También puede personalizar los colores de la plantilla y el texto.

CookieSí

Este plugin gratuito crea un aviso de cookies con opciones de Aceptar y Rechazar. Por defecto, las cookies no se habilitarán hasta que se pulse el botón Aceptar.

Complianz - GDPR/CCPA Consentimiento de cookies

Complianz es un plugin de consentimiento de cookies que soporta GDPR, California Consumer Privacy Act (CCPA) y otras políticas globales. Puede configurar la aceptación de cookies por motivos particulares, como EE.UU., Canadá o Europa. La versión gratuita está limitada a una región a la vez, mientras que la versión de pago viene con características adicionales.

Surbma | Barra de aviso y consentimiento de cookies a prueba de GDPR

Este plugin pide a los usuarios que acepten o rechacen las cookies. Si las rechazan, los scripts de seguimiento como Google Analytics y Facebook Pixel no se cargarán.

Utilice únicamente plugins y temas compatibles con el GDPR

WordPress plugins

Hay más de 50.000 plugins de WordPress disponibles. Aunque la mayoría de los mejores han implementado políticas respetuosas con el GDPR, no todos lo han hecho. Esto es especialmente cierto si los desarrolladores del plugin no tienen su sede en la Unión Europea.

Por ello, debes asegurarte siempre de que los plugins o temas que utilices cumplen la normativa GDPR. Asegúrate de que no recopilan datos de una forma considerada ilegal por la normativa o te enfrentarás a multas muy elevadas.

Obtenga permiso antes de compartir o utilizar datos

Si piensas utilizar los datos de tus usuarios de alguna manera, tienes que pedirles permiso primero. Esto incluye vender el acceso a los datos, vender los datos en sí o utilizarlos de una forma no prevista en el acuerdo inicial aceptado por los visitantes.

Por ejemplo, supongamos que tiene un blog de cocina. Los suscriptores se unen voluntariamente a tu lista para recibir contenidos tuyos. Si vendes tu sitio web y con él la lista de correo electrónico, tendrás que reconfirmar a todos los suscriptores.

Notificar a los usuarios en caso de hackeo/infracción

Si usted es la desafortunada víctima de un pirateo informático o de una violación de seguridad, está obligado a notificarlo a todos los usuarios lo antes posible. Según la normativa oficial, tiene 72 horas para notificar una infracción desde el momento en que tenga conocimiento de ella.

Si utilizas un sitio web optimizado para WordPress, es probable que primero debas ponerte en contacto con tu proveedor de alojamiento. Ellos podrán ayudarte a gestionar el hackeo.

Utilice una herramienta de pruebas

Por último, como nivel adicional de seguridad, pruebe a utilizar una herramienta que compruebe si su sitio cumple la normativa GDPR. Aunque no se garantiza su exactitud, el proceso puede resultar útil.

Prueba una de las siguientes herramientas:

¿Cumple con el GDPR?

Esperamos que esta guía le haya ayudado a adaptar su sitio web al GDPR. Aunque la larga lista de regulaciones puede parecer desalentadora, es bastante sencillo de configurar.

Como resumen final rápido, para cumplir con el GDPR, necesitará:

  • Notificar las cookies a todos los usuarios y obtener su consentimiento
  • Ofrecer mecanismos que permitan a los usuarios borrar o exportar sus datos en un formato común.
  • Envíe correos electrónicos sólo a los suscriptores que se hayan registrado explícitamente
  • No utilice los datos de un cliente si éste se opone a ello.
  • Mantenga su WordPress y plugins/temas actualizados

¿Tiene dificultades para comprender los requisitos del RGPD? ¿Necesita ayuda con algún aspecto concreto del proceso? Háganoslo saber en los comentarios y elaboraremos una guía al respecto.

Divulgación: Este blog puede contener enlaces de afiliados. Si realiza una compra a través de uno de estos enlaces, es posible que recibamos una pequeña comisión. Leer información. Tenga la seguridad de que sólo recomendamos productos que hemos utilizado personalmente y que creemos que aportarán valor a nuestros lectores. Gracias por su apoyo.

Artículos recomendados
1 comentarios
  1. Georgia Butterfield Profile Pic
    Georgia Butterfield

    ¡Gran guía! De los plugins que mencionas, ¿alguno de ellos proporciona un mecanismo para permitir a los usuarios descargar sus datos? Gracias.

    Responder
Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Astra es gratis. Ahora y siempre.

Creemos que crear sitios web atractivos no debería ser caro. Por eso Astra es gratis para todos. Empieza gratis y amplía con paquetes asequibles.

Descargar ahora

REWIND

RESUMEN DEL AÑO

La descarga está a un solo clic

Introduce tu dirección de correo electrónico y sé el primero en enterarte de las actualizaciones y novedades.

Descargar gratis Astra Theme - Modal Popup Form
Scroll al inicio