Marketing Digital

GDPR y WordPress | La guía definitiva para el cumplimiento de GDPR con WordPress

23 mayo 2018

GDPR y WordPress | ¿Estas confundido por el famoso GDPR, y cómo afectará a tu sitio realizado WordPress? GDPR, abreviatura de Reglamento General de Protección de Datos, es una ley de la Unión Europea de la que probablemente hayas oído hablar. Voy a tratar de resumir un poco de que se trata GDPR en un lenguaje sencillo y compartir consejos sobre cómo hacer que tu sitio WordPress sea compatible con GDPR. En este artículo, te explicaré todo lo que necesitas saber sobre GDPR y WordPress (sin las complejas cuestiones legales).

¿Qué es GDPR?

El Reglamento General de Protección de Datos (GDPR) es una ley de la Unión Europea (UE) que entrará en vigor el 25 de mayo de 2018. El objetivo de GDPR es dar a los ciudadanos de la UE el control sobre sus datos personales y cambiar el enfoque de privacidad de datos de las organizaciones de todo el mundo.

Es probable que hayas recibido docenas de correos electrónicos de empresas como Google sobre su nueva política de privacidad, y un montón de otras cosas legales. Esto se debe a que la UE ha impuesto fuertes sanciones a los que no cumplan estas normas.

Multas

Básicamente después del 25 de mayo de 2018, las empresas que no cumplan con los requisitos de GDPR pueden enfrentarse a grandes multas de hasta el 4% de los ingresos globales anuales de la empresa ó 20 millones de euros (lo que sea mayor). Esta es razón suficiente para causar pánico generalizado entre las empresas de todo el mundo.

Esto nos lleva a la gran pregunta:

¿Se aplica GDPR a mi sitio de WordPress?

La respuesta es SÍ. Se aplica a todas las empresas, grandes y pequeñas, de todo el mundo (no sólo de la Unión Europea).

Si tu sitio web tiene visitantes de países de la Unión Europea, entonces esta ley se aplica a tu sitio. Pero no te asustes, esto no es el fin del mundo. Mientras que GDPR tiene el potencial de escalar a esos altos niveles de multas, comenzará con una advertencia, luego una reprimenda, luego una suspensión del procesamiento de datos, y bue… si continúas violando la ley, entonces quizas puedas llegar a ser multado.

La UE tiene como objetivo proteger a los consumidores, la gente promedio como vos y yo, de la manipulación imprudente de los datos.

La multa es en gran medida para llamar la atención de las grandes empresas como Facebook y Google. Además, esto anima a las empresas a hacer más hincapié en la protección de los derechos de las personas.

Una vez que entiendas lo que requiere GDPR y el espíritu de la ley, entonces te darás cuenta de que nada de esto es demasiado loco. Vamos a ver unas cuantas herramientas y consejos para hacer que nuestro sitio de WordPress sea compatible con GDPR.

GDPR y WordPress ¿Qué se requiere bajo GDPR?

El objetivo de GDPR es proteger la información personal del usuario y controlar a las empresas cuando se trata de cómo recopilar, almacenar y utilizar estos datos.

Los datos personales incluyen: nombre, correos electrónicos, dirección física, dirección IP, información de salud, ingresos, etc.

Mientras que la regulación GDPR tiene 200 páginas, aquí están los pilares más importantes que debemos tener en cuenta:

Consentimiento explícito: si está recopilando datos personales de un residente de la UE, debe obtener un consentimiento explícito que sea específico e inequívoco. En otras palabras, usted no puede simplemente enviar correos electrónicos no solicitados a las personas que le dieron su tarjeta de presentación o llenaron el formulario de contacto de su sitio web porque NO optaron por su boletín de marketing (a eso se le llama SPAM por cierto, y usted no debería estar haciendo eso de todos modos).

Para que sea considerado como consentimiento explícito, usted debe requerir una opción positiva (es decir, sin casillas premarcadas), contener una redacción clara (sin términos legales) y estar separado de otros términos y condiciones.

Derechos a los datos: debe informar a las personas dónde, por qué y cómo se procesan o almacenan sus datos. Una persona tiene derecho a descargar sus datos personales y otra a ser olvidada, lo que significa que puede solicitar que sus datos sean borrados.

Esto se asegurará de que cuando haga clic en Darse de baja o pedir a las empresas que eliminen su perfil, entonces realmente lo hacen.

Notificación de violación: las organizaciones deben informar de ciertos tipos de violación de datos a las autoridades pertinentes en un plazo de 72 horas, a menos que la violación se considere inofensiva y no represente ningún riesgo para los datos individuales. Sin embargo, si una violación es de alto riesgo, entonces la compañía también DEBE informar de inmediato a las personas afectadas.

Responsables de la protección de datos: si usted es una empresa pública o procesa grandes cantidades de información personal, debe designar a un responsable de la protección de datos. Una vez más, esto no es necesario para las pequeñas empresas. Consulte a un abogado si tiene dudas.

En términos sencillos, GDPR se asegura de que las empresas no puedan andar por ahí enviando correos electrónicos no solicitados. Las empresas no pueden vender los datos de las personas sin su consentimiento explícito (buena suerte para obtener este consentimiento).

¿Es WordPress compatible con GDPR?

Sí, a partir de WordPress 4.9.6, el «Core» central de WordPress es compatible con GDPR. El equipo de WordPress ha añadido varias mejoras sobre GDPR para asegurarse que WordPress sea compatible con GDPR. Es importante notar que cuando hablamos de WordPress, estamos hablando de WordPress.org.

Dicho esto, debido a la naturaleza dinámica de los sitios web, ninguna plataforma, plugin o solución puede ofrecer el 100% de cumplimiento de GDPR. El proceso de cumplimiento de GDPR variará según el tipo de sitio web que tengas, los datos que almacenes y cómo proceses los datos en tu sitio.

Por defecto WordPress 4.9.6 ahora viene con las siguientes herramientas de mejora de GDPR:

WordPress almacena el nombre de la persona que hace un comentario, correo electrónico y sitio web como una cookie en el navegador del usuario o persona. Esto facilita a los usuarios dejar comentarios en sus blogs favoritos porque esos campos estaban pre-poblados.

Debido al requisito de consentimiento de GDPR, WordPress ha añadido la casilla de verificación de consentimiento de comentarios. El usuario puede dejar un comentario sin marcar esta casilla. Significaría que tendrían que ingresar manualmente su nombre, correo electrónico y sitio web cada vez que dejan un comentario.

Función de exportación y borrado de datos

WordPress ofrece a los propietarios de sitios la posibilidad de cumplir con los requisitos de manejo de datos de GDPR y cumplir con la solicitud del usuario para la exportación de datos personales, así como la eliminación de los mismos.

Las características de manejo de datos se pueden encontrar en el menú Herramientas dentro del panel de administracion de WordPress.

Generador de políticas de privacidad

WordPress ahora viene con un generador de políticas de privacidad incorporado. Ofrece una plantilla de política de privacidad preestablecida y le ofrece orientación sobre qué más añadir, para que podamos ser más transparente con los usuarios en cuanto a qué datos se almacenan y cómo gestionamos esos datos.

Estas tres cosas son suficientes para hacer un blog en WordPress por defecto compatible con GDPR. Sin embargo, es muy probable que nuestro sitio web tenga características adicionales que también tendrán que estar en conformidad…

Áreas de nuestro sitio web que son impactadas por GDPR

Como propietario o administrador de un sitio web, es posible que estes utilizando varios plugins de WordPress que almacenan o procesan datos como formularios de contacto, analytics, email marketing, online store, membership sites, etc.

Dependiendo de qué plugins de WordPress estes utilizando en tu sitio web, tendrías que actuar en consecuencia para asegurarse de que es compatible con GDPR.

Muchos de los mejores plugins de WordPress ya se han adelantado y han añadido funciones de mejora sobre GDPR. Echemos un vistazo a algunas de las áreas comunes que se tendrían que abordar:

Google Analytics

Como la mayoría de los propietarios de sitios web, es probable que utilices Google Analytics para obtener estadísticas del sitio web. Esto significa que es posible que estes recopilando o rastreando datos personales como direcciones IP, ID de usuario, cookies y otros datos para la creación de perfiles de comportamiento. Para cumplir con los requisitos de GDPR, deberías realizar una de las siguientes acciones:

Anonimizar los datos antes de que comiencen el almacenamiento y el procesamiento.
Agregar una sobreimpresión a modo de mensaje al sitio que avise de la existencia de cookies y que pida a los visitantes su consentimiento antes de realizar el seguimiento.

Ambos requerimientos son bastante difíciles de hacer si sólo pegaste código de Google Analytics manualmente en tu sitio. Sin embargo, si estás usando MonsterInsights, el plugin de Google Analytics más popular para WordPress, entonces estás de suerte!!!

Los muchachos de MonsterInsights han lanzado un complemento que ayuda a automatizar el proceso anterior. MonsterInsights también tiene una muy buena entrada en su blog sobre todo lo que necesitas saber acerca de GDPR y Google Analytics (esto es algo que debe leerse, si estas usando Google Analytics en tu sitio).

Formularios de contacto

Si estás utilizando un formulario de contacto en WordPress, es posible que tengas que añadir medidas adicionales de transparencia, especialmente si estás almacenando de alguna manera las entradas del formulario o utilizando estos datos con fines de marketing.

Detallo a continuación algunas cuestiones a tener en cuenta:

Obtener el consentimiento explícito de los usuarios para almacenar su información.
Obtener el consentimiento explícito de los usuarios si planeamos utilizar sus datos con fines de marketing (es decir, añadirlos a su lista de correo electrónico).
Asegurarnos de tener un acuerdo de procesamiento de datos con nuestros proveedores de formularios si utilizamos una solución de formularios SaaS.
Cumplir con las solicitudes de eliminación de datos.
Deshabilitar el almacenamiento de todas las entradas de formulario (un poco extremo y no requerido por GDPR). Probablemente no deberías hacer esto a menos que sepas exactamente lo que estás haciendo.

Lo bueno es que si estás usando plugins de WordPress como WPForms, Gravity Forms, Ninja Forms, Contact Form 7, etc, entonces no necesitas un Contrato de Procesamiento de Datos porque estos plugins NO almacenan tus entradas de formulario en su sitio. Sus entradas de formulario se almacenan en su base de datos WordPress. El simple hecho de añadir una casilla de verificación de consentimiento requerida con una explicación clara debería ser suficiente para que nuestros formularios de WordPress sean compatibles con GDPR.

Formularios para hacer Email Marketing

Al igual que los formularios de contacto, si tenes cualquier formulario de email marketing como popups, barras flotantes, formularios en línea, y otros, entonces es importante asegurarnos de que tenemos el consentimiento explícito de los usuarios antes de añadirlos a nuestra lista.

podriamos contemplar lo siguiente:

Adición de una casilla de verificación en la que el usuario debe hacer clic antes de optar por la inclusión a nuestra lista.
Simplemente requiriendo double-optin.

Las mejores soluciones de generación de prospectos, como OptinMonster, han agregado casillas de verificación de consentimiento de GDPR y otras características necesarias para hacer que nuestros formularios sean compatibles. puedes leer más sobre las estrategias de GDPR para Marketers en el blog de OptinMonster.

WooCommerce / Ecommerce

Si está utilizando WooCommerce, el plugin de eCommerce más popular para WordPress, entonces es muy importante que tu sitio cumple con GDPR.

El equipo de WooCommerce ha preparado una guía completa para los propietarios de tiendas para ayudarles a ser compatibles con GDPR.

Anuncios de retargeting

Si su sitio web está ejecutando píxeles de retargeting o anuncios de retargeting, entonces necesitará obtener el consentimiento del usuario. Puede hacerlo utilizando un plugin como Cookie Notice.

Los mejores plugins de WordPress para el cumplimiento de GDPR

Hay varios plugins de WordPress que pueden ayudarnos a automatizar algunos aspectos del cumplimiento de GDPR. Sin embargo, ningún plugin puede ofrecer una conformidad del 100% debido a la naturaleza dinámica de cada unos de nuestros sitios webs.

Debemos tener cuidado con cualquier plugin de WordPress que afirme ofrecer un 100% de cumplimiento con GDPR.

La siguiente es una lista con algunos plugins recomendados para facilitar el cumplimiento de GDPR:

MonsterInsights – Si utilizas Google Analytics, este plugin te ayudará
WPForms – El plugin de formulario de contacto de WordPress más fácil de usar. Ofrecen campos GDPR y otras características.
Cookies Notice – Popular plugin gratuito para añadir un aviso de cookies de la UE. Se integra bien con los mejores plugins como MonsterInsights y otros.
Delete Me – plugin gratuito que permite a los usuarios eliminar automáticamente su perfil en nuestro sitio.
OptinMonster – software avanzado de generación de prospectos que ofrece funciones de segmentación inteligentes para aumentar las conversiones y, al mismo tiempo, cumplir con los requisitos de GDPR.
Shared Counts

Independientemente de si está listo o no, GDPR entrará en vigor el 25 de mayo de 2018. Si tu sitio web no es compatible antes de ese momento, no te asustes. Simplemente tenemos que seguir trabajando para lograr el cumplimiento y si dudas tenemos que hacerlo lo antes posible.

El sitio web de la Unión Europea afirma que primero se recibirá una advertencia, luego una reprimenda y que las multas son el último paso si no se cumple e ignora la ley a sabiendas.