Es posible que haya oído hablar del término «GDPR» en alguna discusión en internet. Sigue siendo un tema bastante popular, especialmente con todo lo que está ocurriendo con las brechas de datos y seguridad en las noticias. En pocas palabras, la GDPR es una ley de privacidad diseñada para devolver a los ciudadanos el control de sus datos personales. Indiscutiblemente, la GDPR está teniendo gran impacto en el manejo de los datos en internet. La parte aterradora es que hay una fecha límite fue el año pasado (25 de mayo de 2018), y muchas de estas preguntas con respecto a la GDPR siguen atormentando a la gente:

  1. En términos simples, ¿Qué es la GDPR exactamente?
  2. ¿La GDPR me afecta?
  3. ¿Qué debo hacer para cumplir con la GDPR?

Muchos tienden a posponer lo que no entienden. Los impuestos son un buen ejemplo. Para muchos de nosotros, la GDPR ha sido de menor prioridad en nuestros checklists. Pero la fecha límite GDPR ha llegado y se ha ido y se debería tomar un momento para determinar si necesita o no realizar cambios en la forma en que opera su negocio y/o sitio web. Si no lo hace, podría haber multas considerables involucradas.

No se preocupe, trataremos de explicarle todo lo que necesita saber sobre la GDPR a continuación, así como también lo que puede hacer para prepararse. Pero no somos abogados, así que trataremos de no aburrirlo con todos los detalles legales.

GDPR puede parecer confusa! 😫 ¡Sea precavido y no la ignore!

Tenga en cuenta que esta publicación es solo para fines informativos y no debe considerarse como asesoramiento legal.

¿Qué Es la GDPR? En los términos de Layman

GDPR significa General Data Protection Regulation (Regulación General de Protección de Datos). Es una ley de privacidad que fue aprobada el 14 de abril de 2016 por la Comisión Europea para proteger los derechos de todos los ciudadanos de la UE (28 estados) y sus datos personales. Esto reemplaza la Directiva 95/46/CE sobre protección de datos del 24 de octubre de 1995 y es mucho más extensa que la Ley de cookies de 2011 (que pronto será reemplazada por la nueva regulación de privacidad en la UE que va de la mano con la GDPR). El plan de implementación para la regulación se estableció por dos años, y la fecha límite era el 25 de mayo de 2018.

La Regulación General de Protección de Datos de la UE (GDPR) es el cambio más importante en la regulación de la privacidad de datos en 20 añosUE GDPR

Si desea leer los PDF oficiales del reglamento (11 capítulos, 99 artículos), le recomendamos que consulte gdpr-info.eu, ya que tienen todo en un sitio web ordenado.

Si desea leer los extensos archivos PDF oficiales de reglamento (11 capítulos, 99 artículos), le recomendamos consultar gdpr-info.eu, ya que tienen todo en un sitio web y bien organizado.

Hay algunos términos clave para controlar:

  • Un controlador determina los propósitos y medios de procesar datos personales.
  • Un procesador es responsable de procesar los datos personales en nombre de un controlador.
  • Datos personales es cualquier información que se puede utilizar para identificar a una persona, incluso indirectamente combinando esa información con otra información.

¿Qué Es el Procesamiento?

Si acceden a los datos personales, almacenan o los utilizan de alguna manera, eso se considera procesamiento. La definición completa de procesamiento de GDPR incluye todas las siguientes acciones tomadas sobre los datos personales que constituyen el procesamiento de dichos datos: recopilación, registro, organización, estructuración, almacenamiento, adaptación, alteración, recuperación, consulta, uso, transmisión, divulgación, difusión, combinación, alineación, restricción, borrado o destrucción.

Principios Básicos de GDPR

Hay siete principios básicos que se aplican para el controlador bajo GDPR:

  1. Los datos deben procesados de manera legal, justa y transparente. Requiere consentimiento.
  2. Los datos personales deben recopilarse para un propósito específico, explícito y legítimo y solo deben utilizarse para ese propósito.
  3. Los datos personales deben ser adecuados, relevantes y limitar la recopilación solo a lo que sea necesario.
  4. Los datos personales deben ser precisos y actualizados.
  5. Los datos personales solo deben mantenerse en forma identificable durante el período más breve posible.
  6. Los datos personales deben procesarse de tal manera que garantice la seguridad de los datos.
  7. El controlador es responsable de poder demostrar el cumplimiento de estos principios.

Derechos Individuales bajo GDPR

Las personas con protección bajo GDPR (ciudadanos de la UE) tienen siete derechos bajo GDPR que el procesador debe estar preparado para defender:

  1. Derecho a ser informado: le da el derecho para una persona a saber qué información se almacena sobre si mismo.
  2. Derecho de acceso y portabilidad: una persona puede solicitar su información en un formulario fácilmente descargable en cualquier momento, así como usar o transferir los datos a otro servicio. (Art. 20)
  3. El derecho a la rectificación.
  4. Derecho a ser olvidado: le permite a una persona solicitar que su información personal se borre por completo (a menos que exista una razón válida, como un préstamo bancario). (Art. 17).
  5. El derecho a restringir el procesamiento.
  6. El derecho a objetar.
  7. El derecho a un trato justo cuando se someta a la toma de decisiones y perfiles automatizados.

Notas Adicionales de GDPR 

Desafortunadamente, no todo es siempre blanco y negro cuando se trata de cosas como esta, así que cosas adicionales para tener en consideración:

  • Se aplica a cualquier dato personal (PII – cualquier dato que se relacione o se pueda usar para identificar a alguien).
  • Datos personales significa cualquier información relacionada con una persona física identificada o identificable (datos del sujeto); una persona física identificable es aquella que puede identificarse, directa o indirectamente, en particular por referencia a un identificador como un nombre, número de seguro social, datos de ubicación, un identificador en línea (dirección IP o dirección de correo electrónico) o a uno o más factores específicos a la identidad física, fisiológica, genética, mental, económica, cultural o social de esa persona física; También controla qué se puede hacer con la información personal (Art. 4).
  • Se aplica a cualquier dato personal sensible, como raza, origen étnico, orientación sexual y estado de salud. (Recital 51Art. 9)
  • Privacidad por diseño y por defecto: se asegura de que la información personal esté protegida adecuadamente. Los nuevos sistemas deben tener protección diseñada en ellos y el acceso a los datos está estrictamente controlado y solo se da cuando es necesario (Art. 25).
  • Si los datos se pierden, se los roban o se accede sin permiso, las autoridades deben ser notificadas dentro de las primeras 72 horas (Art. 33) junto con las personas afectadas (Art. 34).
  • Los datos solo se pueden usar por el motivo dado en el momento de la recopilación, y se eliminan de forma segura después de que ya no se necesiten.
  • Permite a las autoridades nacionales imponer multas a las empresas que infrinjan la regulación.
  • Se requerirá el consentimiento de los padres para procesar los datos personales de los niños menores de 16 años para los servicios en línea; puede variar según el estado, pero no podrá ser menor de 13 años (Art. 8).

¿A Quién Afecta la GDPR?

Si bien las nuevas regulaciones GDPR fueron diseñadas para proteger los derechos de los ciudadanos de la UE, impactan a todos en la web. ¡Así es, todos! Esto es independientemente de dónde se establezca una empresa o de dónde se lleven a cabo sus actividades en línea. Si su sitio web está procesando o recopilando datos de ciudadanos de la UE, entonces debe cumplir con las regulaciones de la GDPR.

Estos son solo algunos ejemplos de sitios web ubicados fuera de la UE que se ven afectados:

  • Un sitio de la comunidad de WordPress que recopila información personal para cada perfil de usuario.
  • Una tienda de temas de WordPress que hace que los clientes se registren para comprar temas o plugins (datos de ventas y facturación).
  • Un blog de WordPress que tiene un widget de suscripción al boletín o permite que los visitantes comenten.
  • Una tienda ecommerce (WooCommerce o Easy Digital Downloads) que vende productos en línea.
  • Un sitio de WordPress que usa un software de análisis.

Probablemente pueda ver a dónde vamos con esto. A menos que usted esté bloqueando todo el tráfico de la UE, que probablemente la mayoría de ustedes no lo hacen, entonces su sitio cae bajo las regulaciones GDPR.

Si se pregunta si su empresa ya cumple con GDPR, el equipo de Mailjet creó una práctica prueba de la GDPR. También recomendamos consultar la Lista de verificación de la GDPR.

Consecuencias de no cumplir con GDPR

Según data.verifiedjoseph, a partir del 20 de marzo de 2019, 1.129 sitios web aún no están disponibles en la Unión Europea después de que GDPR entró en vigor. 😱 Muchos de estos incluyen grandes organizaciones de noticias.

¿Por qué? Porque no han podido cumplir con las implementaciones técnicas de GDPR y, por lo tanto, no quieren enfrentar multas. Así que simplemente han bloqueado el tráfico de la UE por completo.

Si su empresa no cumple con la GDPR, puede recibir una sanción de hasta el 4% de la facturación mundial anual o una multa de hasta €20 millones (la más alta de las dos), por infracción. También hay un enfoque escalonado a las multas. Por ejemplo, una empresa puede recibir una multa del 2% por no tener sus registros en orden, no notificar a la autoridad de supervisión y el sujeto de los datos sobre una infracción, o no llevar a cabo una evaluación de impacto. (Art. 83)

En enero de 2019, el organismo de control de privacidad de datos de Francia sancionó a Google con una multa de $ 57 millones por la GDPR. Y desde febrero de 2019, se han registrado más de 59,000 violaciones de datos y 91 multas.

Cómo Hacer Que Su Sitio WordPress Cumpla con la GDPR

Ahora probablemente todos estén leyendo esta publicación por una razón, y esa es de cómo hacer que su sitio de WordPress sea compatible con la GDPR. Desafortunadamente, a diferencia de nuestros tutoriales normales, no podemos ofrecerle un tutorial paso a paso, ya que las diferentes versiones varían según el sitio. Pero aquí hay sugerencias para seguir el camino correcto, así como otras cosas que debe tener en cuenta.

1. Contrate un Abogado

Si tiene dudas sobre el cumplimiento de la GDPR (que la mayoría de ustedes probablemente haga), recomendamos contratar un abogado, aunque sea de manera temporal. Esta es una de esas áreas que le recomendamos encarecidamente que no trate de resolver por su cuenta. Un abogado puede proporcionarle asesoramiento legal específicamente adaptado a su situación. Si lo hace mal, podría resultar en multas considerables.

2. Revise Su Flujo de Trabajo de Recopilación y Procesamiento de Datos

Recomendamos revisar su sitio de WordPress completo y determinar dónde se produce la recopilación y el procesamiento de datos, así como dónde se almacena esa información y durante cuánto tiempo. Esto incluye cosas como:

  • Recopilación de información personal en una página de ecommerce checkout o en la página de registro de WordPress.
  • Direcciones IP, identificadores de cookies y ubicaciones de GPS.
  • Varios servicios como Google Analytics, Hotjar, etc..

Después de identificar todo, debe confirmar que está solicitando el permiso del visitante, así como también decir cómo se utilizan los datos recopilados.

3. Proyecto GDPR se ha fusionado en WordPress Core para desarrolladores

Dejlig Lama y Peter Suhm originalmente comenzaron a trabajar en un proyecto llamado GDPR para WordPress. Esto proporcionaría a los desarrolladores de plugins una solución simple para que la GDPR valide su plugin y les ofrezca a los administradores del sitio web la información general y las herramientas para manejar las tareas administrativas relacionadas con el cumplimiento de la GDPR. Sin embargo, la gran noticia es que ahora se convertir parte del núcleo de WordPress.

Para ver qué se hizo, puede consultar Entradas GDPR Trac, así como la hoja de ruta para el cumplimiento de la GDPR. Esperan tener todo terminado antes del del 25 de mayo de 2018. Esto fue tan importante para los usuarios de WordPress como para los desarrolladores, ya que el cumplimiento de la GDPR va a ser de doble filo. Los usuarios de WordPress necesitaban nuevas características incorporadas en los plugins que ya estaban usando tales como casillas de verificación, avisos, etc. para asegurarse de que sean compatibles al recopilar datos.

4. Actualizar Todos los Documentos Legales

Con la GDPR es el momento de actualizar los términos y condiciones de sus páginas, páginas de privacidad, términos de afiliado, así como cualquier otro documento o acuerdo legal que pueda tener. Ya no puede tener formularios sin casillas de verificación. En otras palabras, debe haber una manera para que el usuario dé su aprobación específicamente. Los días de solo tirar términos en un enlace en la parte inferior y suponiendo que el usuario los leerá han quedado atrás.

Las condiciones para el consentimiento se han fortalecido, y las empresas ya no podrán usar términos y condiciones largos e ilegibles llenos de jerga legal, ya que la solicitud de consentimiento debe darse en una forma comprensible y de fácil acceso, con el propósito del procesamiento de datos adjunto a ese consentimiento. El consentimiento debe ser claro y distinguible de otros asuntos y proporcionado en una forma inteligible y de fácil acceso, usando un lenguaje claro y sencillo. Debe ser tan fácil retirar el consentimiento como darlo. (Fuente: UE GDPR)

Una vez más, esta es un área que recomendamos contratar un abogado. Si está ejecutando un blog simple nada más, al menos use una herramienta como iubenda o algo similar para generar políticas de privacidad más sólidas.

Una característica nueva – como página de privacidad – fue agregada en WordPress 4.9.6. Ahora puede diseñar una página de privacidad en su sitio y mostrarlo en su página de login y registro. También recomendamos incluirlo en el footer.

5. Cifre sus datos / HTTPS

En términos de cifrado hay partes diferentes: la encriptación del tráfico de su web (HTTPS) y la encriptación donde sus datos son almacenados. Siempre recomendamos la encriptación del tráfico de su web independientemente de la GDPR. Los beneficios de mover a HTTPS superan los cons y allí es adonde la web es dirigida.

El término encriptación en sí es en realidad mencionado algunas veces en GDPR y no es necesariamente mandatorio.

Con el fin de mantener la seguridad y prevenir la infracción de esta Regulación, el controlador o procesador  debería evaluar los riesgos inherentes en el procesamiento e implementación de las medidas para mitigar dichos riesgos, tal como encriptación (Art 83).

Así mientras parece que la encriptación no es legalmente requerida para cumplir con la GDPR, es altamente recomendado ya que usted es responsable por los datos. Si está utilizando un WordPress host como Kinsta -somos potenciados por Google Cloud Platform lo cual significa todo dato es cifrado en reposo. Lea más acerca de la encriptación de la GDPR.

6. Revise Sus Temas de WordPress, Plugins, Servicios, API

Todos los complementos de WordPress o las características específicas del tema que haya instalado que recopilen o almacenen datos personales deben actualizarse para que su sitio sea una queja GDPR. Si eres un desarrollador de WordPress, es de esperar que ya hayas realizado cambios en GDPR para los usuarios. A continuación, incluiremos algunos complementos y configuraciones populares, junto con enlaces directos a cómo manejan GDPR.

Plugins de formularios de contacto

Una de las maneras más fáciles de cumplir con la GDPR es agregar una simple casilla de verificación a su formulario de contacto, lo que le permita al usuario dar su consentimiento para que sus datos enviados sean recopilados y almacenados. Sin embargo la parte importante aquí «más fáciles». No todos los formularios necesitan consentimiento. Esto puede pertenecer a lo que llaman Legalidad del Tratamiento.

Plugin para la GDPR 

A continuación le aconsejamos un plugin útil y fácil de configurar:

  • GDPR Cookie Compliance: Permite a los usuarios dar el consentido por objetivos especiales de cookies con la capacidad de habilitar y deshabilitar cookies a nivel granular.

GDPR Cookie Compliance es mi plugin de cookies favorito para WordPress. ¿Por qué? Porque me permite:

  • Configurar fácilmente las cookies que quieres bloquear, como el script de Google Analytics.
  • Soporta configurar Google Tag Manager, e incluso es capaz de borrar cookies que se han puesto desde allí.
  • Incluye botones muy sencillos para aceptar y rechazar cookies.
  • Opcionalmente, permite incluir un botón para reajustar las preferencias del usuario.
  • ¡No necesita recargar la página! Según aceptas, incluye las cookies al vuelo.

El único pero es la aceptación por scroll, que solo la incluyen en la versión premium (y no es nada barata).

Si quieres, puedes descargar GDPR Cookie Compliance desde el repositorio oficial haciendo clic aquí.