El GDPR o Reglamento General de Protección de Datos (conocido por sus siglas en inglés) es una legislación de la Unión Europea que fue creada para incrementar la protección de los datos de los ciudadanos Europeos. Aunque estamos hablando de una legislación europea, el GDPR contiene legislación que afecta a compañías y páginas web a lo largo del mundo.
Si tu sitio de WordPress tiene una audiencia europea, el GDPR te afecta. Entender los fundamentos del GDPR y como implementarlos puede protegerte de repercusiones legales. Incluso si no te preocupa el ámbito legal, entender el cumplimiento de GDPR te ayudará a proteger la información de tus usuarios, lo cual debería ser una de tus mayores prioridades.
En este artículo, hablaremos sobre el GDPR y su historia. También discutiremos los artículos más importantes del reglamento y hablaremos sobre cómo afectan a las páginas web no europeas. Finalmente, te contaremos como ajustar tus proyectos al cumplimiento de GDPR. ¡Comencemos!
¿Qué es el GDPR y Cuál es Su Historia?
El GDPR o “General Data Protection Regulation” es una legislación que entró en vigor en el 2016. El reglamento general de protección sustituyó la Directiva de Protección de Datos de 1995, que para ese momento era la legislación más comprensiva sobre la regulación de datos privados. El principal problema con la Directiva de Protección de Datos es que fue creada en un momento en el cual el internet todavía se encontraba en su infancia.
Este nuevo reglamento aplica a todos los estados miembros de la Unión Europea. A la hora de pasar el reglamento como ley, se les dio dos años a todos los estados miembros para que pudiesen asegurarse de estar en cumplimiento de sus artículos.
¿Cuál es La Importancia del GDPR?
El GDPR es el reglamento general de protección de datos o información privada más integral en el mundo. Aunque estamos hablando de una legislación europea, el reglamento aplica para cualquier página web, blog, y plataforma que recolecte datos de ciudadanos de la Unión Europea.
A menos que tu página web bloquee a usuarios de Europa o no recolecte ningún tipo de información personal, el GDPR también aplica para ti. El reglamento indica que las compañías que incurran en infracciones pueden ser multadas por hasta el 2% de sus ingresos anuales globales.
Las multas altas son uno de los principales motivos por los cuales las compañías se toman el cumplimiento de GDPR en serio, incluso si no están ubicadas en la Unión Europea. Desde la implementación del GDPR en el 2018, ha habido más de 900 instancias de multas por las comisiones de protección de datos de los países miembros. He aquí algunos ejemplos de los infractores más grandes hasta ahora:
- Amazon: En el 2021, Amazon fue multada por $877 millones por infracciones en cuanto al consentimiento del uso de las cookies. Hasta ahora, es la multa más alta por infracciones relacionadas con el GDPR.
- WhatsApp: En el segundo lugar tenemos a WhatsApp con una multa de $255 millones. Irlanda impuso la multa a WhatsApp en el 2021 porque el servicio no explicaba en detalle sus prácticas en cuanto a procesamiento de datos dentro de su política de privacidad.
- Google Irlanda: La autoridad de protección de información de Francia multó a Google Irlanda en el 2022 por $102 millones. La causa de la multa fue que YouTube no ofrecía una manera fácil para que los usuarios rechazaran el uso de cookies de la plataforma.
- Facebook: La autoridad de protección de datos de Francia multó a Facebook por $68 millones en el 2022. Esta multa fue impuesta, ya que Facebook no ofrecía a sus usuarios una manera sencilla de denegar el uso de cookies.
Uno de los problemas más significativos con la mayoría de las regulaciones de protección de datos en el mundo es que, frecuentemente, las multas y penalidades son relativamente bajas. Si manejas una compañía internacional como lo es Amazon o Facebook, una multa de miles de dólares es una cifra insignificante. Eso aplica particularmente cuando lo comparas con el valor de recolectar información privada sobre tus usuarios.
¿Qué Clase de Información Cubre el GDPR?
Hasta ahora, solamente hemos hablado sobre información privada y datos en términos generales. El GDPR es específico sobre qué clase de datos regula y cómo las compañías deben protegerla. Cuando nos referimos a “datos”, estamos hablando sobre la siguiente información personal:
- Nombre
- Dirección
- Información sobre documentos de identidad
- Información sobre tus ingresos
- Datos demográficos o culturales
- Tu dirección de IP
- Datos médicos
Es importante aclarar que la recolección de esta clase de datos es sumamente normal entre las páginas web. Si usas un Sistema de Gestión de Contenido (CMS) como WordPress o un servicio de Analytics, es altamente probable que recolectes muchos de los datos previamente mencionados, incluso sin saberlo.
El GDPR no prohíbe la recolección de datos personales. Lo que hace es restringir su uso, establecer reglas para su almacenamiento, definir límites de tiempo para su uso y darte la opción de optar por no ser identificado (opt-out). Como usuario, también tienes el derecho de pedir que las páginas web te muestren qué información han recolectado sobre ti y que la borren.
Aparte de esos identificadores, existen algunas categorías de datos contempladas como especiales por el GDPR. Entre esas categorías, se encuentran los datos personales que tienen que ver con raza, orientación sexual o política, convicciones religiosas, afiliaciones sindicales, datos biométricos, e información sobre antecedentes penales.
Bajo el GDPR, se prohíbe explícitamente la recolección de datos que caigan bajo esas categorías de información sensible. Las únicas excepciones a esa regla son si das tu consentimiento explícito para la recolección de información o el procesamiento de los datos es necesario por motivos legales, si la información ya es pública y en otras situaciones muy puntuales.
Si administras un sitio de WordPress, o cualquier página web, la mejor manera de garantizar el cumplimiento del GDPR es limitando la cantidad de información privada que recolectas y pidiendo el consentimiento del usuario para hacerlo. No pedir consentimiento para recolectar información significa que estás infringiendo el GDPR y que puedes estar expuesto a multas.
¿Cuáles Son los Artículos Más Importantes del GDPR?
El GDPR es una legislación masiva con once capítulos que incluyen 99 artículos en total. La idea de leer la legislación completa no es práctica para la mayoría de las personas que manejan una página web, particularmente si no estamos hablando de una compañía de un tamaño considerable.
Si gestionas un sitio de WordPress, es importante que entiendas el cumplimiento GDPR o ‘GDPR compliance’ lo mejor posible, en particular los siguientes artículos.
Artículo 6: Los Derechos de Los Individuos
El artículo seis del GDPR gobierna los derechos de los usuarios en cuanto a su información personal se refiere. Según el artículo 6, las páginas web solo tienen derecho a recolectar información privada en las siguientes situaciones, asumiendo que el usuario haya dado su consentimiento explícito:
- La recolección de datos personales es necesaria para los propósitos de un contrato. Por ejemplo, si guardas la dirección de un usuario o los detalles de la transacción luego de que haga una compra, para poder procesarla.
- Necesitas recolectar datos por obligaciones legales. Un buen ejemplo sería si tienes que reportar ventas por motivos de impuestos.
- Necesitas recolectar datos para proteger los intereses del usuario.
- Se recolectan los datos para labores que benefician el bienestar público. Un ejemplo sería una organización gubernamental obteniendo datos demográficos.
- Si la recolección de datos personales es necesaria para proveer servicios, a menos que infrinjas de alguna manera los derechos del usuario. Un ejemplo de una infracción sería recolectar información sensible sin su consentimiento.
Todo tipo de recolección de datos personales solo es válida si obtienes el consentimiento explícito de los usuarios. Por eso es que se ha vuelto tan normal ver mensajes que te preguntan si accedes a compartir datos personales cuando visitas una página web:
El artículo 6 del GDPR es importante porque establece que el consentimiento de los usuarios no te da carta blanca para recolectar toda la información que quieras. Incluso con consentimiento, debes tener un motivo válido para recolectar los datos.
Artículo 15: Derechos de Acceso a la Información de Los Individuos
Como mencionamos antes, el GDPR establece que los usuarios tienen derecho a saber qué información recolectas y a obtener copias de esos datos. Bajo el GDPR, si un usuario te pide una copia de la información que poseen sobre él, estás en la obligación de proporcionarla dentro los siguientes 30 o 60 días (dependiendo de la complejidad de la operación).
Además de estar en derecho de solicitar la información que has recaudado sobre ellos, el GDPR establece que los usuarios también pueden solicitar información sobre las siguientes cuestiones:
- Los motivos por los cuales guardan su información personal
- Qué tipo de datos guardan sobre ellos
- Quiénes son los terceros con los que comparten su información personal. El GDPR hace un énfasis especial en avisar a los usuarios si comparten su información privada con terceros en otros países u organizaciones internacionales
- Por cuanto tiempo planean guardar su información o el criterio bajo el cual deciden guardarla en un primer lugar
El artículo 15 del GDPR no solo está diseñado para darle a los usuarios acceso a la información que recolectan sobre ellos. Su otro propósito es disminuir los incentivos para que las compañías guarden data que no es necesaria para sus operaciones. Mientras más información irrelevante proceses, mayor es la dificultad a la hora de gestionar solicitudes para compartirla.
Artículo 16: El Derecho a La Rectificación
Según el artículo 16 del GDPR, los usuarios tienen derecho a rectificar errores con los datos que recolectas. En otras palabras, si procesas información de los usuarios, tienes que proporcionarles una manera para corregirla en caso de que esta sea incorrecta o esté incompleta. Muchas páginas web logran esto ofreciendo a cada usuario la opción de modificar sus datos personales:
En caso de que los usuarios no tengan acceso a herramientas que les permitan editar sus datos personales, tendrías que procesar las solicitudes manualmente. Eso podría involucrar usar formularios de contacto o procesar las solicitudes por correo electrónico.
Artículo 17: El Derecho al Olvido
El derecho de los usuarios para solicitar que borren su información privada ya estaba contemplado dentro de la Directiva de Protección de Datos de 1995. El GDPR amplió esa protección, que ahora es conocida como el “derecho al olvido”.
El artículo 17 del GDPR indica que los usuarios pueden pedirle a las organizaciones que controlan su información que la borren. Además, el artículo especifica que las compañías están en la obligación de borrar la información lo más pronto posible si se cumple una de las siguientes condiciones:
- Si ya no necesitan la información para proveer servicios solicitados por el usuario
- Cuando el usuario retira su consentimiento para el almacenamiento de su información
- Si la información del usuario fue recolectada sin cumplir con las condiciones del artículo seis, que establece las circunstancias en las que se puede procesar información privada
- Si es necesario borrar la información para cumplir con obligaciones legales
En líneas generales, el artículo 17 establece que debes cumplir con las solicitudes de borrar información personal, excepto por motivos de fuerza mayor; como lo son, situaciones de derecho de libre expresión, regulaciones legales, o por razones de interés público, entre otros.
Artículos 18: El Derecho a Restringir el Uso de datos personales
El artículo 18 es uno de los más importantes dentro del GDPR. Este artículo establece que los usuarios tienen derecho a solicitar que las compañías dejen de procesar su información privada.
Según el artículo 18, los usuarios tienen derecho a solicitar que “restrinjas” la recolección de datos en las siguientes circunstancias:
- Si los datos recolectados son incorrectos
- En caso de que la recolección de información no cumpla con los requisitos del artículo seis del GDPR. En otras palabras, si no estás autorizado para recolectar sus datos en un primer lugar
- Si ya no necesitas guardar los datos para proveer servicios
- Si el individuo objeta contra la recolección de sus datos
Es importante aclarar que los artículos 17 y 18 contemplan derechos diferentes. Según el artículo 17 del GDPR, los usuarios tienen derecho a solicitar que toda la información recaudada sobre ellos sea eliminada. El artículo 18 simplemente restringe la recolección adicional de datos hasta que se resuelva la solicitud por parte del usuario.
Artículo 20: Derecho a la Portabilidad de Datos
El artículo 20 del GDPR es uno de los más interesantes y controversiales del reglamento. El artículo establece que los usuarios tienen derecho a solicitar que transfieras su información a otras compañías o controladores, incluso si son tus competidores.
Según este artículo, estás en la obligación de transferir los datos de los usuarios en un formato bien estructurado y “legible por máquinas”. Los usuarios también tienen el derecho de solicitar una copia de toda la información guardada sobre ellos en ese mismo formato.
La controversia alrededor del artículo 20 viene del hecho que, en la mayoría de los casos, es difícil compartir información entre plataformas debido a las maneras diferentes en las que es almacenada. Por ejemplo, si quieres descargar una copia de tu información de Facebook, la plataforma te permite escoger en que formato obtenerla:
Los formatos que Facebook ofrece no son necesariamente compatibles con otras plataformas, como tampoco lo es toda la información que guardan. Es decir, si intentas importar un archivo HTML o JSON con tu información a otra red social como Pinterest, es posible que no puedan procesar toda la información.
Algunas plataformas, como Facebook, ofrecen transferencias pre-configuradas de información para otros servicios. En caso de que quieras transferir tus datos a una plataforma o servicio que tal vez no pueda procesar toda esa información, la compañía inicial tal vez no pueda procesar la solicitud.
Para resumir, transferir datos de usuarios entre organizaciones puede ser altamente complicado debido a la falta de estándares de almacenamiento de datos. Independientemente, el artículo 20 te da el derecho de solicitar una copia de tus datos de cualquier plataforma que los almacene. Lo que quieras hacer con esos datos depende de ti.
Recital 58: El Principio de La Transparencia
Los “recitales” son sumarios o adendos a regulaciones específicas. Además de los 99 artículos que forman parte del GDPR, el reglamento también incluye 173 recitales. El recital 58 gobierna el principio de la transparencia.
Este principio indica que estás en la obligación de informar a los usuarios sobre como usas su información personal. Esa obligación cubre los siguientes puntos:
- Qué información recolectas
- Cuál es la finalidad de la recolección de dicha información
- Cómo procesas la información y con que terceros la compartes
- Por cuánto tiempo almacenas la información
- Cómo procesas solicitudes de portabilidad o borrado de información
Tradicionalmente, las páginas web incluyen toda esta información dentro de sus políticas de privacidad. Eso facilita para los usuarios conseguir los detalles sobre el procesamiento de sus datos que les interesan.
Las políticas de privacidad varían de servicio en servicio y generalmente, es buena idea optar por asistencia legal para asegurarte que tus políticas no infrinjan los derechos de los usuarios.
Según el recital 58, toda la información que proveas a los usuarios sobre el procesamiento de sus datos debe ser fácil de entender. Eso significa que tus políticas de privacidad no pueden estar diseñadas para que solo pueda entenderlas un abogado.
3 Maneras de Asegurar el Cumplimiento GDPR con WordPress
Si usas WordPress, tu sitio web recolecta algunos datos sobre tus visitantes de manera automática. El nivel de información que guardes dependerá de los plugins y las herramientas que utilices con WordPress. En esta sección hablaremos sobre cómo asegurarte que tu página web cumpla con el GDPR.
1. Crea Una Política de Privacidad
WordPress incluye una herramienta que te permite crear y publicar una política de privacidad para tu página web. Para acceder a esta herramienta, entra al panel de control de WordPress y navega a ‘Ajustes > Privacidad’. Aquí encontrarás la opción para crear una página de política de privacidad nueva o designar una página ya existente:
Si haces clic en ‘Crea’, WordPress lanzará el editor y te mostrará un modelo de política de privacidad que puedes editar para ajustar a tus necesidades:
Idealmente, deberías contar con asistencia legal para asegurarte que tu política de privacidad cumpla con los requisitos del GDPR. Copiar y pegar una política de privacidad genérica puede traerte problemas si tu página web procesa mucha información privada. En ese caso, aumentan las probabilidades de que tengas que responder ante un controlador de privacidad en nombre de tus usuarios.
2. Considera Cuál Servicio de Analytics Usar
Debido a su naturaleza, la mayoría de los servicios de Analytics recolectan tanta información sobre los usuarios como es posible. Si usas Google Analytics, por ejemplo, la plataforma recauda información demográfica como la edad y los intereses de tus visitantes.
En principio, esto hace mucho más fácil entender a tu audiencia. Sin embargo, esto te expone al incumplimiento del GDPR. Debido a eso, muchas personas recomiendan no usar Google Analytics para proteger la privacidad de sus usuarios.
Google Analytics es la opción gratis más popular para recolectar analíticas sobre tus visitantes. Si prefieres no cambiar de plataforma, siempre puedes cambiar la configuración de privacidad de Google Analytics para restringir qué datos pueden recaudar sobre tus visitantes.
3. Usa Un Plugin de Cookies
Según el GDPR, debes obtener el consentimiento de tus usuarios para recaudar información personal sobre ellos. Cuando usas WordPress, la manera más sencilla de obtener el consentimiento de tus visitantes es con un plugin que muestre una notificación donde puedan aceptar o negarse a que guardes sus datos.
Los plugin de cookies te permiten configurar el estilo de estas notificaciones y controlar cuándo aparecen. También te ofrecen control sobre qué opciones mostrar a los visitantes. Uno de los mejores plugins para configurar notificaciones de cookies es Complianz.
Si decides utilizar este plugin de WordPress, después de instalarlo, Desde tu panel de WordPress, navega a ‘Complianz > Asistente’ para empezar. En esta sección, puedes configurar qué ley de privacidad deseas priorizar a la hora de ofrecer notificaciones de cookies. El GDPR es la primera opción.
Una vez escojas la opción de GDPR, procede a la siguiente página. Aquí podrás indicar si quieres emplear una política de cookies predeterminada o crear una propia. También puedes configurar qué página utilizar para mostrar tu política de privacidad.
Luego, guarda la configuración y en la siguiente página. Complianz te pedirá información sobre quién es el dueño de la página web y tu dirección. Esto es por motivos legales si eliges la opción para que Complianz genere tu política de cookies.
En la siguiente sección, Complianz analizará tu página web para detectar qué cookies se encuentran activas. Desde este menú, podrás configurar las cookies que deseas permitir y cuáles bloquear:
Finalmente, Complianz te preguntará si tu página web utiliza servicios de terceros, como lo son Google Analytics, herramientas de social sharing, o banners de publicidad:
Una vez termines de configurar el plugin, puedes ir a la sección de ‘Complianz > Banner’ de cookies. Aquí podrás modificar la apariencia del banner de notificaciones. Por defecto, el banner se verá bastante similar a este:
Una vez estés feliz con la apariencia de tu banner, guarda la configuración del plugin y listo. Ahora, cuando los usuarios visiten tu página web por primera vez, podrán decidir si permitir que guardes información sobre ellos o no. También podrán acceder al banner de nuevo cuando quieran si deciden retirar su consentimiento.
Protege La Privacidad De Tus Usuarios
El GDPR es la legislación más importante en cuanto a privacidad de los datos de los usuarios durante los últimos años. No solo protege la información de los usuarios dentro de la Unión Europea, sino que aplica para cualquier plataforma y página web que recolecte información sobre usuarios europeos. El impacto del GDPR ha sido tan grande que la mayoría de los gigantes web se han ajustado a sus artículos para evitar multas.
Si estás interesado en configurar tu sitio de WordPress para que se ajuste a los lineamientos del GDPR, aquí tienes tres recomendaciones sencillas a seguir:
- Crea una política de privacidad.
- Considera cuál servicio de Analytics usar.
- Utiliza un plugin de cookies.
¿Tienes alguna pregunta sobre cómo ajustar tu página web de WordPress a los requisitos del GDPR? Si necesitas un poco de ayuda para implementar esta medida en tu sitio web, nuestro equipo de Servicios Profesionales aquí en DreamHost tiene la experiencia que necesitas para asegurar que cumplas con lo requerido por el GDPR.
Tu Lo Sueñas, Nosotros Lo Codificamos
Aprovecha más de 20 años de experiencia en codificación adquiriendo el servicio de Desarrollo Web. Solo déjanos saber qué quieres para tu sitio — nosotros nos encargamos del resto.
Conoce Más