La guía definitiva para el cumplimiento de WordPress y GDPR: todo lo que necesita saber

¿Está confundido por el RGPD y qué impacto tendrá en su sitio de WordPress? GDPR, abreviatura de Reglamento general de protección de datos, es una ley de la Unión Europea de la que probablemente haya oído hablar. Hemos recibido docenas de correos electrónicos de usuarios que nos piden que expliquemos el RGPD en un lenguaje sencillo y compartamos consejos sobre cómo hacer que su sitio de WordPress cumpla con el RGPD. En este artículo, explicaremos todo lo que necesita saber sobre GDPR y WordPress (menos las cuestiones legales complejas).

Descargo de responsabilidad: No somos abogados. Nada en este sitio web debe tomarse como asesoramiento legal.

Para ayudarlo a navegar fácilmente nuestra guía definitiva sobre el cumplimiento de WordPress y GDPR, hemos creado una tabla de contenido a continuación:

Indice

¿Qué es el RGPD?

El Reglamento General de Protección de Datos (RGPD) es una ley de la Unión Europea (UE) que entró en vigor el 25 de mayo de 2018. El objetivo del RGPD es dar a los ciudadanos de la UE control sobre sus datos y cambiar el enfoque de privacidad de datos de las organizaciones de todo el mundo. mundo.

Probablemente haya recibido docenas de correos electrónicos de compañías como Google y otras sobre GDPR, su nueva política de privacidad y muchos otros artículos legales. Esto se debe a que la UE ha impuesto fuertes sanciones a quienes no las cumplen.

Multas

Básicamente, después del 25 de mayo de 2018, las empresas que no cumplan con los requisitos de GDPR pueden enfrentarse a fuertes multas de hasta el 4% de la facturación mundial anual de una empresa O € 20 millones (lo que sea mayor). Esta es razón suficiente para causar un pánico generalizado entre las empresas de todo el mundo.

Esto nos lleva a la gran pregunta en la que puede estar pensando:

¿El RGPD se aplica a mi sitio de WordPress?

La respuesta es sí. Se aplica a todas las empresas, grandes y pequeñas, en el mundo (no solo en la Unión Europea).

Si su sitio web tiene visitantes de países de la Unión Europea, esta ley se aplica a usted.

Pero no entres en pánico, no es el fin del mundo.

Aunque el RGPD tiene el potencial de aumentar a este alto nivel de multas, comenzará con una advertencia, luego una amonestación, luego una suspensión del procesamiento de datos y, si continúa infringiendo la ley, se le impondrán fuertes multas.

La UE no es un gobierno malvado que quiere atraparte. Su objetivo es proteger a los consumidores, a la gente común como usted y como yo, de la manipulación/violación de datos imprudente porque se sale de control.

En nuestra opinión, la mejor parte es en gran medida llamar la atención de grandes empresas como Facebook y Google, por lo que NO se está ignorando esta regulación. Además, anima a las empresas a poner más énfasis en la protección de los derechos de las personas.

Una vez que comprenda lo que exige el RGPD y el espíritu de la ley, se dará cuenta de que nada de esto es demasiado loco. También compartiremos herramientas/consejos para que su sitio de WordPress cumpla con el RGPD.

¿Qué se requiere bajo GDPR?

El propósito del RGPD es proteger la información de identificación personal (PII) del usuario y hacer que las empresas cumplan con un estándar más alto en lo que respecta a cómo recopilan, almacenan y usan estos datos.

Los datos personales incluyen: nombre, correos electrónicos, dirección física, dirección IP, información de salud, ingresos, etc.

Si bien la regulación GDPR tiene 200 páginas, estos son los pilares más importantes que debe conocer:

Consentimiento expreso – si recopila datos personales de un residente de la UE, debe obtener el consentimiento expreso, específico e inequívoco. En otras palabras, no puede simplemente enviar correos electrónicos no solicitados a las personas que le dieron su tarjeta de presentación o completaron el formulario de contacto de su sitio web porque NO HAN optado por recibir su boletín de marketing (eso se llama SPAM, y no debe hacerlo). de todos modos).

Para que se considere un consentimiento expreso, debe solicitar una aceptación positiva (es decir, sin casilla de verificación marcada previamente), contener una redacción clara (sin jerga legal) y estar separado de otros términos y condiciones.

Derechos de datos – debe informar a las personas dónde, por qué y cómo se procesan/almacenan sus datos. Una persona tiene derecho a descargar sus datos personales y también tiene derecho a ser olvidado, lo que significa que puede solicitar la eliminación de sus datos.

Esto garantizará que cuando haga clic en darse de baja o solicite a las empresas que eliminen su perfil, en realidad lo harán (hmm, imagínense). Te estoy viendo Zenefits, sigo esperando que mi cuenta sea eliminada durante 2 años y espero que dejes de enviarme spam solo porque cometí el error de probar tu servicio.

Notificación de infracción – las organizaciones deben informar ciertos tipos de violaciones de datos a las autoridades pertinentes dentro de las 72 horas, a menos que la violación se considere inofensiva y no represente un riesgo para los datos individuales. Sin embargo, si una infracción representa un alto riesgo, la empresa también DEBE notificar a las personas afectadas de inmediato.

Con suerte, esto evitará encubrimientos como Yahoo que no se revelaron antes de la adquisición.

Delegados de protección de datos – si es una empresa pública o procesa grandes cantidades de información personal, debe designar un oficial de protección de datos. Una vez más, esto no es obligatorio para las pequeñas empresas. Consulte a un abogado si tiene dudas.

Para decirlo en un lenguaje sencillo, GDPR garantiza que las empresas no pueden enviar spam a las personas mediante el envío de correos electrónicos que no han solicitado. Las empresas no pueden vender los datos de las personas sin su consentimiento explícito (buena suerte consiguiendo ese consentimiento). Las empresas deben eliminar la cuenta del usuario y cancelar su suscripción a las listas de correo si el usuario se lo solicita. Las empresas deben informar las violaciones de datos y mejorar la protección de datos en general.

Suena bastante bien, al menos en teoría.

Bien, ahora probablemente se esté preguntando qué debe hacer para asegurarse de que su sitio de WordPress cumpla con GDPR.

Bueno, realmente depende de tu sitio web específico (más sobre eso más adelante).

Comencemos respondiendo la pregunta más importante que hemos recibido de los usuarios:

¿Cumple WordPress con el RGPD?

Sí, a partir de WordPress 4.9.6, el software principal de WordPress cumple con el RGPD. El equipo central de WordPress ha agregado varias mejoras de GDPR para garantizar que WordPress cumpla con GDPR. Es importante tener en cuenta que cuando hablamos de WordPress, estamos hablando de WordPress.org autohospedado (ver la diferencia: WordPress.com vs WordPress.org).

Dicho esto, debido a la naturaleza dinámica de los sitios web, ninguna plataforma, complemento o solución puede ofrecer un cumplimiento del RGPD del 100 %. El proceso de cumplimiento de GDPR variará según el tipo de sitio web que tenga, los datos que almacene y cómo procese datos en su sitio.

Ok, quizás te estés preguntando, ¿qué significa eso en inglés simple?

Bueno, de forma predeterminada, WordPress 4.9.6 ahora viene con las siguientes herramientas de mejora de GDPR:

Comentarios Consentimiento

De forma predeterminada, WordPress almacenó el nombre, el correo electrónico y el sitio web de los comentaristas como una cookie en el navegador del usuario. Esto facilitó que los usuarios dejaran comentarios en sus blogs favoritos, ya que estos campos se completaron previamente.

Debido al requisito de consentimiento de GDPR, WordPress ha agregado la casilla de verificación de consentimiento de comentarios. El usuario puede dejar un comentario sin marcar esta casilla. Simplemente significaría que tendrían que ingresar manualmente su nombre, dirección de correo electrónico y sitio web cada vez que dejen un comentario.

Actualización: Si su tema no muestra la casilla de verificación de privacidad de comentarios, asegúrese de haber actualizado a WordPress 4.9.6 y de estar usando la última versión de su tema. También asegúrese de estar desconectado cuando realice la prueba para ver si la casilla de verificación está allí.

Si la casilla de verificación aún no aparece, es probable que su tema esté anulando el formulario de comentarios predeterminado de WordPress. Aquí hay una guía paso a paso sobre cómo agregar una casilla de verificación de privacidad de comentarios GDPR en su tema de WordPress.

Función de exportación y borrado de datos

WordPress ofrece a los propietarios de sitios la oportunidad de cumplir con los requisitos de procesamiento de datos de GDPR y cumplir con la solicitud del usuario para exportar datos personales y eliminar los datos personales del usuario.

Las funciones de procesamiento de datos se pueden encontrar en el menú Herramientas del administrador de WordPress.

Generador de políticas de privacidad

WordPress ahora viene con un generador de políticas de privacidad incorporado. Ofrece una plantilla de política de privacidad prefabricada y le brinda orientación sobre qué más agregar, para que pueda ser más transparente con los usuarios sobre qué datos almacena y cómo administra sus datos.

Estas tres cosas son suficientes para que un blog de WordPress predeterminado cumpla con el RGPD. Sin embargo, es muy probable que su sitio web tenga características adicionales que también deberán cumplir.

Áreas de su sitio web afectadas por el RGPD

Como propietario de un sitio web, puede estar utilizando varios complementos de WordPress que almacenan o procesan datos, como formularios de contacto, análisis, marketing por correo electrónico, tienda en línea, sitios de membresía, etc.

Dependiendo de los complementos de WordPress que use en su sitio web, deberá actuar en consecuencia para asegurarse de que su sitio web cumpla con GDPR.

Muchos de los mejores complementos de WordPress ya se han adelantado y han agregado funciones de mejora de GDPR. Echemos un vistazo a algunas de las áreas comunes que necesitaría abordar:

Google analitico

Como la mayoría de los propietarios de sitios web, probablemente utilice Google Analytics para las estadísticas del sitio web. Esto significa que puede recopilar o rastrear datos personales, como direcciones IP, ID de usuario, cookies y otros datos para la creación de perfiles de comportamiento. Para cumplir con el RGPD, debe realizar una de las siguientes acciones:

1. Anonimice los datos antes de que comience el almacenamiento y el procesamiento
2. Agregue una superposición al sitio que marque las cookies y solicite el consentimiento de los usuarios antes de realizar el seguimiento.

Ambas operaciones son bastante difíciles de lograr si solo está pegando manualmente el código de Google Analytics en su sitio. Sin embargo, si usa MonsterInsightsel plugin de Google Analytics más popular para WordPress, entonces estás de suerte.

lanzaron un Suplemento de cumplimiento de la UE que ayuda a automatizar el proceso anterior. MonsterInsights también tiene una excelente publicación de blog sobre todo lo que necesita saber sobre RGPD y Google Analytics (esta es una lectura obligada si utiliza Google Analytics en su sitio).

formularios de contacto

Si usa un formulario de contacto en WordPress, es posible que deba agregar medidas de transparencia adicionales, especialmente si almacena entradas de formulario o usa los datos con fines de marketing.

A continuación se detallan las cosas a considerar para que sus formularios de WordPress cumplan con GDPR:

• Obtener el consentimiento explícito de los usuarios para almacenar su información.
• Obtenga el consentimiento explícito de los usuarios si planea usar sus datos con fines de marketing (es decir, agregarlos a su lista de correo).
• Deshabilite las cookies, el agente de usuario y el seguimiento de IP para formularios.
• Asegúrese de tener un acuerdo de procesamiento de datos con sus proveedores de formularios si está utilizando una solución de formulario SaaS.
• Cumplir con las solicitudes de eliminación de datos.
• Deshabilite el almacenamiento de todas las entradas de formulario (un poco extremo y no requerido por GDPR). Probablemente no deberías hacer esto a menos que sepas exactamente lo que estás haciendo.

Lo bueno es que si usa complementos de WordPress como WPForms, Gravity Forms, Ninja Forms, Contact Form 7, etc., no necesita un Acuerdo de procesamiento de datos ya que estos complementos NO almacenan las entradas de su formulario en su sitio. Las entradas de su formulario se almacenan en su base de datos de WordPress.

Simplemente agregar una casilla de verificación de consentimiento requerido con una explicación clara debería ser suficiente para que sus formularios de WordPress cumplan con GDPR.

WPFormsel complemento del formulario de contacto que usamos en AprenderWP, agregado varias mejoras de GDPR para permitirle agregar fácilmente un campo de consentimiento de GDPR, deshabilitar las cookies del usuario, deshabilitar la recopilación de la dirección IP del usuario y deshabilitar las entradas con un solo clic.

Nota: Hemos creado una guía paso a paso sobre cómo crear formularios compatibles con GDPR en WordPress.

Formularios de registro de marketing por correo electrónico

Al igual que los formularios de contacto, si tiene formularios de registro de marketing por correo electrónico, como ventanas emergentes, barras flotantes, formularios en línea y otros, debe asegurarse de obtener el consentimiento explícito de los usuarios antes de agregarlos a su lista.

Esto se puede hacer con:

1. Se agregó una casilla de verificación en la que el usuario debe hacer clic antes de registrarse
2. Simplemente requiere una suscripción doble para su lista de correo

Las mejores soluciones de generación de leads como OptinMonster Se agregaron casillas de verificación de consentimiento de GDPR y otras características necesarias para ayudar a que sus formularios de registro de correo electrónico cumplan con los requisitos. Puede obtener más información sobre el Políticas del RGPD para vendedores en el blog de OptinMonster.

WooCommerce / Comercio electrónico

Si está utilizando WooCommerce, el complemento de comercio electrónico más popular para WordPress, debe asegurarse de que su sitio web cumpla con GDPR.

El equipo de WooCommerce ha preparado un guía completa para los propietarios de tiendas para ayudarlos a cumplir con GDPR.

Anuncios de retargeting

Si su sitio web ejecuta píxeles de reorientación o anuncios de reorientación, deberá obtener el consentimiento del usuario. Puedes hacer esto usando un complemento como Aviso de cookies.

Los mejores complementos de WordPress para el cumplimiento de GDPR

Existen varios complementos de WordPress que pueden ayudarlo a automatizar ciertos aspectos del cumplimiento de GDPR. Sin embargo, ningún complemento puede ofrecer un cumplimiento del 100 % debido a la naturaleza dinámica de los sitios web.

Tenga cuidado con cualquier complemento de WordPress que afirme ofrecer un cumplimiento del RGPD del 100 %. Probablemente no sepan de lo que están hablando, y es mejor que los evites por completo.

A continuación se muestra nuestra lista de complementos recomendados para ayudar con el cumplimiento de GDPR:

• MonsterInsights - si usa Google Analytics, debe usar su complemento de cumplimiento de la UE.
• WPForms – con mucho, el complemento de formulario de contacto de WordPress más fácil de usar. Ofrecen campos GDPR y otras características.
• Aviso de cookies - Complemento gratuito popular para agregar el aviso de cookies de la UE. Se integra bien con los principales complementos como MonsterInsights y otros.
• Borra me – complemento gratuito que permite a los usuarios eliminar automáticamente su perfil en su sitio.
• OptinMonster – software avanzado de generación de prospectos que ofrece funciones de orientación inteligente para impulsar las conversiones mientras cumple con GDPR.
• cuentas compartidas - en lugar de cargar los botones de compartir predeterminados que agregan cookies de seguimiento, este complemento carga botones de compartir estáticos mientras muestra la cantidad de acciones.

Continuaremos monitoreando el ecosistema de complementos para ver si otro complemento de WordPress se destaca y ofrece características sustanciales de cumplimiento de GDPR.

Pensamientos finales

Ya sea que esté listo o no, el RGPD entrará en vigencia el 25 de mayo de 2018. Si su sitio web no cumple para entonces, no entre en pánico. Siga trabajando para lograr el cumplimiento y hágalo lo antes posible.

La probabilidad de que te multen el día después de que esta regla entre en vigor es casi nula, ya que el sitio web de la Unión Europea dice que primero recibirás una advertencia, luego una reprimenda y las multas son el último paso si no cumples. e ignorando a sabiendas la ley.

La UE no está aquí para atraparte. Lo hacen para proteger los datos de los usuarios y restaurar la confianza de las personas en los negocios en línea. A medida que el mundo se vuelve digital, necesitamos estos estándares. Con las recientes filtraciones de datos de grandes empresas, es importante que estos estándares sean globalmente apropiados.

Será bueno para todos los participantes. Estas nuevas reglas ayudarán a generar confianza en el consumidor y, a su vez, ayudarán a que su negocio crezca.

Esperamos que este artículo le haya ayudado a aprender más sobre WordPress y el cumplimiento de GDPR. Haremos todo lo posible para mantenerlo actualizado a medida que se publique nueva información o herramientas.

Si te ha gustado este artículo, suscríbete a nuestro Canal de Youtube para tutoriales en vídeo de WordPress. También puedes encontrarnos en Gorjeo y Facebook.

Recursos adicionales

Legal / Divulgación

No somos abogados. Nada en este sitio web debe tomarse como asesoramiento legal. Debido a la naturaleza dinámica de los sitios web, ningún complemento o plataforma puede ofrecer un cumplimiento legal del 100 %. En caso de duda, es mejor consultar a un abogado especializado en derecho de Internet para determinar si cumple con todas las leyes aplicables para sus jurisdicciones y casos de uso.

El fundador de AprenderWP, Syed Balkhi, también es cofundador de OptinMonster, WPFormsy MonsterInsights.