Hace tiempo de la aplicación de la nueva ley de protección de datos, el RGPD. Voy a reorganizar en esta entrada lo que necesitas saber para adaptar tu web WordPress al RGPD. Y así tener tu web legal y en orden.

También te contaré al final lo que he averiguado durante este tiempo sobre el funcionamiento de las sanciones debidas al RGPD.

¿Qué es el RGPD?

El RGPD, es el nuevo Reglamento General de Protección de Datos, que entró en vigor el 25 de Mayo de 2018, y afecta a toda empresa y propietario o administrador de una página web que recoja información de los visitantes.

Este reglamento incluye nuevas regulaciones en casi todas las áreas de la ley de protección de datos. Especialmente, las web deben adaptarse a esta normativa.

Puedes leer aquí más información sobre el RGPD.

¿A quién aplica el RGPD?

¿Qué dice la ley?

(18) El presente Reglamento no se aplica al tratamiento de datos de carácter personal por una persona física en el curso de una actividad exclusivamente personal o doméstica y, por tanto, sin conexión alguna con una actividad profesional o comercial. Entre las actividades personales o domésticas cabe incluir la correspondencia y la llevanza de un repertorio de direcciones, o la actividad en las redes sociales y la actividad en línea realizada en el contexto de las citadas actividades. No obstante, el presente Reglamento se aplica a los responsables o encargados del tratamiento que proporcionen los medios para tratar datos personales relacionados con tales actividades
personales o domésticas.

(Fuente: Texto completo del RGPD).

Esto quiere decir…

En principio, como se indica, sólo quedan exentas de cumplir el RGPD aquellas personas físicas que realmente no tengan ningún interés ni económico ni profesional en su página o blog que tengan como hobby.

Claro, hay que tener en cuenta que recoger cierta información, como por ejemplo para montar una lista de correo, ya empieza a salirse del matiz de actividad exclusivamente personal o doméstica.

No es lo mismo guardar los e-mails de tus amigos, que montar y promocionar una lista de suscriptores. No es necesario que sea una actividad comercial ni remunerada.

Condiciones para adaptar tu página al RGPD

Independientemente de que haya o no un beneficio económico, tendrás que adaptar tu web si:

  • Recibes cualquier tipo de ingresos gracias a ella.
  • Te repercute en lo profesional.
  • Creas relaciones comerciales de algún tipo con los usuarios.

Así que tú mismo tendrás que evaluar el uso y finalidad de tu página o blog para determinar si debes adaptarla al RGPD.

Está claro que mucha gente te va a decir que mejor hacerlo, por si acaso. Realmente, en los casos más habituales, sólo tendrás que añadir algunos textos a tu página, así que es la opción más segura. Además, existen numerosos generadores gratuitos que te permiten hacerlo para páginas sencillas.

Nota: En Alemania es recomendable que toda web tenga Impressum. Y obligatorio para empresas o siempre que haya un interés comercial.

¿Cómo se dice RGPD en otros idiomas?

Cómo se denomina al RGPD en otros idiomas:

  • GDPR – General Data Protection Regulation – en inglés.
  • En Alemán se dice DSGVO – Datenschutz-Grundverordnung

Cómo adaptar tu web WordPress al RGPD

Si ya tienes claro que debes adaptar tu página, o prefieres hacerlo igualmente, te cuento lo que tendrías que ver.

Nota: La información aquí plasmada debe considerarse meramente orientativa, y en ningún caso sustituye la asesoría legal.

¿Qué debe tener tu web para cumplir el RGPD?

A nivel general, cualquier sitio web debe cumplir con los siguientes requisitos legales:

  1. Textos legales: Página de Aviso legal y Política de privacidad. (En alemán Impressum y Datenschutzerklärung).
  2. Aviso de Cookies con enlace a la política de privacidad.
  3. Información legal y consentimiento expreso en los formularios en que se recojan datos personales.

Si la página web tuviese funcionalidades adicionales que recojan información (por ejemplo, registro de usuarios o una tienda, gestión de métodos de pago) entonces pueden requerir apartados adicionales.

1 – Páginas legales en una web

Esto es el Aviso legal (Impressum), y la Política de privacidad y Cookies (Datenschutzerklärung). 

Deben estar completas con toda la información actualizada. La adaptación al RGPD implica que deben estar escritas de forma clara. Con información en varias capas cuando sea preciso.

Por ejemplo, si la página es muy compleja o tiene muchos puntos, se puede crear un resumen al inicio, o subdividir en varias páginas enlazadas entre ellas.

Idioma de la política de privacidad

El hecho de que tengan que estar escritas de forma clara y comprensible, implica que tienes que presentar esta información en todos los idiomas en que tengas traducida tu web. La política de privacidad debe estar en el mismo idioma en que estén los contenidos.

Yo personalmente, también suelo añadir la información legal en alemán, ya que resido en Alemania. Por un lado, porque el Impressum es un requisito para residentes en Alemania que tengan una web, y por otro, porque la herramienta que utilizo ya me los da.

¿Cómo crear los textos de aviso legal y política de Privacidad?

Para obtener el texto legal para la política de privacidad, hay distintas formas.

  • Una es obviamente, contratar a un abogado especializado.
  • Otra es utilizar la plantilla que te ofrece WordPress directamente, pero deberás completarla con la información que te indican.
  • La tercera es utilizar generadores que te dan unas políticas de privacidad bastante completas. Estas herramientas tienen opciones para indicar las características de tu web y tu negocio para aplicar la variante adecuada del texto.

Generadores de textos legales para la web

Yo uso para mi servicio de diseño web en Alemania los generadores en Alemán e inglés Premium de e-recht para agencias.

También disponen de generador gratuito, con algunas limitaciones:

  • Generar el Aviso legal (Impressum) aquí.
  • Y la política de privacidad (Datenschutzerklärung) aquí.

Si necesitas un buscador de política de privacidad en español, también hay varios. Puedes buscarlo en Google.

O si quieres ayuda, puedes contactar conmigo.

Textos legales para tiendas online

En el caso de tiendas online, se requiere adicionalmente unos términos y condiciones de compra (AGB, Allgemeine Geschäftsbedingungen en alemán). Además de información adicional de política de privacidad respecto a la información recogida de los clientes.

2 – Aviso de Cookies o privacidad

En principio se le llamó cookies, pero implica cualquier recogida automática de información del usuario.

Se debe avisar al acceder a la web siempre que existan cookies o plugins que recojan información personal, como puedan ser la IP, datos de uso, o que vinculen dicha información con servicios de terceros.

Básicamente, a nada que tengas un servicio de medición de estadísticas o de seguridad, tendrías que tener un mensaje de aviso de privacidad.

Aunque hay algunas propuestas de ley pendientes para regular en mayor detalle este aspecto y dar mayor claridad.

3 – Formularios de contacto, comentarios y suscripción:

Debe quedar claro quién es el responsable del fichero, la finalidad, y el tratamiento que se dará a la información. En principio no se puede realizar tratamientos adicionales a lo especificado sin recoger un consentimiento explícito.

Aquí lo importante es que, si sólo se recoge información con una finalidad, la expresas claramente y le das toda la información necesaria que especifica la ley, yo entiendo que ya te están dando un consentimiento expreso. Puedes leer también mi opinión sobre cuándo es necesario añadir una casilla de consentimiento o no.

Cómo implementar el RGPD en WordPress

1 – Páginas legales

Cómo añadir páginas legales en WordPress

  1. Obtener los textos legales

    El primer paso es como comentaba antes, conseguir los textos para el aviso legal y la política de privacidad. También harán falta condiciones de compra y devoluciones en caso de tienda o venta directa de productos o servicios.

  2. Crear una nueva página en tu web

    Para cada apartado, añade una página nueva en WordPress, y pega el texto.

  3. En caso de tener la web en varios idiomas

    Puedes optar por añadir los textos en páginas separadas para cada idioma. O tener una única política de privacidad con los textos de cada idioma. En este segundo caso, es buena idea incluir al inicio enlaces a cada idioma.Ejemplo de política de privacidad en dos idiomas

  4. Marca como NOINDEX las páginas legales

    Te recomiendo encarecidamente que marques tus páginas legales como Noindex para que no aparezcan en los resultados de búsqueda. Es sencillo hacerlo por ejemplo con Yoast SEO.
    Puedes ver cómo instalar y usar este plugin muy útil en mi curso básico de WordPress.

  5. Añade enlaces a las páginas legales

    Tus páginas legales deberían estar accesibles desde cualquier punto de tu web. Por ello debes crear enlaces a ellas, o bien desde el menú o desde el pie de página. Verifica si las pones al pie, que el Aviso de Cookie no debe tapar los enlaces.

Adaptar WooCommerce al RGPD

Para adaptar tu tienda al RGPD

Hay un plugin premium muy interesante para ayudarte a adaptar tu web WordPress con WooCommerce al RGPD en Alemania: WooCommerce Germanized. La versión gratis añade ya ciertas funcionalidades interesantes, y en las versiones premium incluye incluso generación del AGB.

2 – Cómo añadir el aviso de Cookies en WordPress

Para implementar el aviso de Cookies, el método más sencillo es con un plugin para WordPress.

Yo te puedo recomendar uno sencillo que utilizo: Cookie Notice for GDPR.

Tiene opción de poner botón de aceptar y de cancelar, y tiene un apartado donde incluir código que no deberá ejecutarse si no se aceptasen las cookies.

Plugin gratis para añadir aviso de cookie en WordPress

Lo ideal será utilizar este plugin para gestionar toda conexión con sitios externos que te implique añadir código a tu web. Para ello, tendrás que incluir estos códigos en los campos correspondientes de Head o Body que te facilita el plugin.

Debes tener en cuenta que en caso de una web en varios idiomas tendrás que adaptar y traducirla, o ponerla en varios idiomas.

3 – Consentimiento expreso en los formularios

Envío de comentarios en WordPress adaptado al RGPD

Este es uno de los puntos un poco conflictivos a la hora de adaptar una web WordPress al RGPD. ¿Hace realmente falta añadir una casilla? Bajo mi punto de vista no sería necesario. Quien va a mandar un comentario, ya sabe que el comentario aparecerá en la web, y que sus datos se guardarán. Si acaso se usa algún sistema anti-spam que valide los datos del comentario fuera, si que podría ser necesario informarlo.

Y obviamente, tampoco puedes suscribir al boletín ni mandarles emails sobre sus comentarios a la gente que comenta sin darles una opción adicional para ello.

Si fuera necesario añadir una casilla de «acepto la política de privacidad» en los comentarios, estoy bastante convencida de que WordPress la habría añadido. Y lo único que pusieron fue una opción para guardar los datos que usaste en una cookie por si quieres volver a comentar.

Igualmente, también hay varios plugins que te permiten hacerlo. Como por ejemplo este que añade la casilla solo en comentarios o plugins que cubren la RGPD completa como este otro.

Aparte de poder hacerlo por código, sin plugins. Claro está.

Formularios de contacto

Para crear formularios de contacto con casilla para aceptar la política de privacidad en WordPress tienes distintas opciones.

  • La más sencilla, si no vas a hacer un tratamiento adicional de los datos que recibas, sería simplemente añadir un texto con la información legal junto al formulario, y si quieres el enlace a la política de privacidad.
  • Para añadir una casilla de aceptación de la Política de Privacidad, puedes hacerlo con un plugin o funciones de los temas. Simplemente tendrás que añadir un campo tipo casilla, checkbox o botón de radio (los redondos) que sea obligatorio, y un enlace a la política de privacidad.
    Por ejemplo:
Añadir casilla de política de privacidad a formulario de Divi Builder.
Formulario de contacto con casilla de política de privacidad creado con Divi Builder.

Formularios de suscripción y Email Marketing con RGPD

Para los formularios de suscripción a e-mail marketing, es especialmente importante que se recoja el consentimiento expreso de pertenecer a la lista, y especialmente evitar que haya confusión sobre la finalidad de la recogida de datos: Tienes que especificar expresamente que añadirás los datos a una lista, dónde está dicha lista, si les enviarás emails y qué tipo de información recibirán.

A día de hoy casi todas las plataformas de e-mail marketing y plugins permiten hacer esto de un modo u otro.

Actualizaré y ampliaré esta información en breve en base a las mejoras introducidas recientemente.

Otros formularios

Cualquier otro formulario que recoja información también debe incluir la información legal, enlace a la política de privacidad y un consentimiento separado para cada tipo de tratamiento que vayas a realizar con la información.

¿Qué funcionalidades incluye WordPress para el RGPD?

Cambios en WordPress para adaptarse al RGPD

Cuando salió la nueva legislación de protección de datos, desde el equipo de WordPress sacaron varias funcionalidades para ayudar al cumplimiento del RGPD y que sea más fácil para cualquier persona cumplir con los requisitos legales en su web o blog.

Página de política de privacidad en WordPress

Se puede seleccionar una página especial para la política de privacidad. Puedes elegir una existente, o crear una nueva. Incluye una plantilla muy básica, aunque recoge información sobre protección de datos de los plugins que tengas instalados.

Elegir Página de política de privacidad en WordPress

Exportar y borrar datos personales

Existen dos herramientas que te permiten respectivamente generar un fichero con los datos personales o eliminar los datos de alguien que lo solicite.

Gestión, acceso y borrado de datos personales en WordPress

Futuras mejoras en protección de datos en WordPress

Como ya comentaba en el resumen de cambios en WordPress 5.3, se está empezando a trabajar en un panel de control que permitiría a los visitantes y usuarios tomar más control sobre los datos que una web gestiona.

Esta herramienta les permitiría directamente decidir qué recogidas de datos aceptan y cuáles no, además de tener acceso a su información.

Sanciones y multas por incumplimiento del RGPD

Está claro que uno de los motivos que hicieron que todos perdiésemos el culo adaptando nuestras webs al RGPD fue el miedo a las posibles sanciones. Y más por los números desorbitados que se planteaban.

Hasta donde yo sé, pocas sanciones se han puesto. Y las que se han puesto ha sido por total omisión de adaptación de la web o por falta de datos. Por ejemplo, por la falta de Impressum en Alemania, de datos de contacto o de información de Política de privacidad por ejemplo.

Así que yo creo que si tienes tu web con los puntos mencionados anteriormente, podrás dormir relativamente tranquilo en este aspecto.

Proceso de reclamación por protección de datos

Lo que también he leído, es que para que se llegase a aplicar una sanción, no sería de forma directa.

El primer punto, es que alguien debería abrir una reclamación alegando que tu web no cumple con lo acordado con la ley de protección de datos. O sobre todo, si alguien reclama que has cedido sus datos a un tercero sin su consentimiento. Salvo en inspecciones a grandes empresas, en España al menos no hay nadie revisando quién cumple o no. (En Alemania es otro cantar, ya que sí que hay despachos de abogados que se dedican a buscar infracciones).

En ese caso, en principio la comisión de privacidad verificaría y te darían un aviso para que rectificases con un plazo para ello. Y en caso de no hacerlo, entonces ya podría llegarse a las sanciones.

¿Ha habido ya multas por no cumplir el RGPD?

En principio sí, ha habido bastantes reclamaciones y algunas multas. Pero en lo general, han sido a grandes empresas y por neglicencias graves.

Por ejemplo:

  • Tener cámaras de vigilancia en espacios públicos.
  • No mantener los datos privados de forma segura y verse comprometidos.
  • No controlar el acceso a información privada confidencial, como datos médicos (que además son de nivel alto).

También sé de algún caso en Alemania en que se han puesto multas incluso a pequeños autónomos. Aunque sobre todo por la particularidad alemana de obligación a tener un Impressum en la web con datos de contacto.

Ojo con el Copyright

Es mucho más fácil tener una sanción por infracción de copyright que por protección de datos, yendo de buena fé.

Esto sí que suele ser motivo de multas. Así que asegúrate de utilizar siempre imágenes propias o de bancos que permitan su uso para fines comerciales. Y siempre respetando si requieren de mención al autor.

¿Cuáles eran los objetivos del RGPD / GDPR / DSGVO?

Uno de los principales objetivos es hacer a los ciudadanos más conscientes del uso de sus datos. Y este objetivo parece haberse cumplido. Se estima que más de la mitad de los habitantes de Europa han oído hablar del RGPD y saben que hay una autoridad encargada de la protección de sus datos.

Puedes ver aquí la infografía con las estadísticas.

Preguntas frecuentes sobre la adaptación de una web al RGPD

¿Quién debe adaptar su web al RGPD?

Toda aquella web cuyo uso no sea exclusivamente privado y personal, independientemente de si tiene fin comercial y beneficios o no.

¿Qué debe tener una web para cumplir el RGPD?

Debe tener textos legales, aviso de cookies y solicitar consentimiento expreso en todos los formularios que pidan y registren datos personales.

¿Qué textos legales debe tener una web?

Tiene que tener aviso legal, política de privacidad y en caso de tiendas también las condiciones de compra y devoluciones.

¿En qué idioma debe estar la política de privacidad?

Debe estar en el mismo idioma que los contenidos. Si tienes tu web traducida a varios idiomas, también debe estarlo la política de privacidad.