El nuevo Reglamento General de protección de Datos (RGPD) está a la vuelta de la esquina. Y empezará a ser de aplicación el próximo 25 de mayo de 2018. Si quieres entrar en detalle en el GDPR mira este artículo.
Este nuevo reglamento afecta a todas las empresas.Actualmente se está elaborando el Anteproyecto de Ley Orgánica de Protección de Datos que introduce las novedades del RGPD con respecto a la normativa anterior, promoviendo procesos más exigentes en materia de protección de datos.
Para que tu sitio web con Wordpress no se vea afectado por esta nueva regulación en materia de protección de datos te damos a continuación una serie de consejos prácticos.
Revisa tu política de privacidad y términos y condiciones
Lo primero que se va a revisar en las inspecciones que se harán a las webs es que cumplen con este requisito. Tu web debe mostrar un aviso claro y sencillo de política de privacidad y términos y condiciones. Estos avisos con el cambio de ley deben cambiar de clausulado y debes mostrar claramente quien es el responsable de los datos.
Para ver ejemplos bien redactados, te recomendamos los textos que CYSAE abogados han realizado:
Estos textos hay que actualizarlos en todas las páginas web. El clausulado cambia y tienes que adecuarlo a la realidad de tu empresa.
Formulario de contacto y cumplir con el #GDPR
El punto de entrada más frágil que puedes tener en tu página web es el formulario de contacto ya que vas a recibir muchos datos personales de usuarios que tendrás que tratar de forma correcta.
Lo que busca el nuevo reglamento se puede resumir en los derechos ARCO:
- Acceso. Si yo te mando datos vía un formulario de contacto, te puedo exigir que me enseñes mi información y debes responder a ello en un plazo de 1 mes.
- Rectificación. Cualquier usuario te puede exigir actualizar sus datos personales. Cambios en los datos actuales para poder cambiar cosas.
- Cancelación. El usuario te puede pedir que dejes de utilizar su información para cualquier fin que no sea el indicado. Es decir, si yo te contacto no debes enviarme una newsletter no solicitada.
- Oposición. En este caso, el usuario pide que no uses sus datos bajo ningún concepto. Si un usuario nos contacta, podemos responder a su consulta, pero sus datos no podrán estar incluidos en ningún tratamiento que hagas.
Para dar cumplimiento al GDPR desde tu web debes tener como mínimo:
- Que tu formulario de contacto tenga un check sin marcar de aceptar política de privacidad y términos y condiciones si es necesario.
- Que todos esos datos enviados por el usuario se guarden en la base de datos. El formulario debe guardar también el dato del check. Es decir, hay que guardar de formar fehaciente el consentimiento del usurario.
- Que esa base de datos esté accesible por el dueño de la web para poder editar, cambiar, enviar o borrar datos.
- El acceso a esa base de datos debe ser nominal y registrado.
Aquí puedes ver un ejemplo de este tipo de formulario de contacto y como se gestionan los datos.
Este es el caso más común que debes atender de forma rápida antes del 25 de mayo. No dar cumplimiento a este tipo de obligaciones puede acarrear multas y sanciones muy graves.
Todas las empresas de envío de correos, mailchimp, slack, acumbamail, han actualizado sus sistemas para dar cumplimiento a este tipo de procesos. A ti también te toca. Hacerlo con tiempo y preparación te ayudará a que esta oportunidad de mejorar tus sistemas sea una oportunidad de mejorar tu web y no un dolor de cabeza.
Formulario para recibir curriculums por la web
Otro caso bastante común es recibir curriculums por la web.
Si es tu caso, es muy importante que tengas implementado el sistema de gestión de contenido indicado anteriormente. Por otro lado, es muy importante que delimites el acceso a esta base de datos a un grupo de usuarios determinados y ellos serán los responsables de gestionar los derechos ARCO de los usuarios. Es muy importante que como desarrollador dejes todo esto muy claro.
Los curriculums contienen mucha información muy sensible. Edad de nacimiento, nacionalidad, género, estado civil, formación, posibles temas médicos… en general, información muy sensible y que nos puede comprometer.
Para este caso, lo mejor es indicar claramente a los usuarios el procedimiento de envío de formularios, indicar que cualquier curriculum recibido por email o formulario de contacto general será eliminado inmediatamente y que deben utilizar el formulario indicado.
Ese formulario la recomendación es que evites que adjuntes documentos. Sobre un documento adjunto no tienes control y el usuario puede poner cualquier cosa en el mismo y lo tienes que gestionar.
Lo mejor es poner campos en un formulario y pedir al usuario que lo rellene. De esa forma puedes validar la información introducida y evitar problemas con datos que no necesitas.
En este formulario igualmente recuerda poner claramente un check de aceptar política de privacidad y términos y condiciones para dejar claro el uso del documento.
Formulario de presupuestos por la web
Otro uso muy popular de formularios y captura de datos por la web es que los usuarios nos puedan solicitar un presupuesto por la web.
Si es tu caso, igualmente haz lo siguiente:
- Define un formulario específico para este caso. Evita utilizar un formulario para todo ya que no podrás delimitar el acceso a la información y por tanto la responsabilidad de la gestión.
- En ese formulario pide la información personal mínima Si no necesitas el nombre del cliente no lo pidas, si no necesitas su edad no la pidas… es mejor pedir que te indiquen si son mayores de edad y no su fecha de nacimiento.
- En esos datos, aplica ARCO. Guarda todo en una base de datos y designa un responsable de esos datos dentro de la empresa. Si son empresas pequeñas, será una única persona, pero separa las bases de datos de tal forma que no se mezclen datos.
- Intenta automatizar todo el proceso de flujo de ese presupuesto dentro del mismo formulario. Es decir que un responsable dentro de la empresa pueda responder al presupuesto dentro de la misma base de datos, que puedan aprobar el presupuesto, que el cliente lo pueda aceptar. Intenta diseñar un flujo de aprobación dentro del mismo formulario para evitar el mantenimiento de dos bases de datos.
Estas son las medidas básicas para dar cumplimiento al GDPR. Para que esto sea algo operativo y no te suponga un problema y sobre todo sea una oportunidad de mejorar la web en la que trabajas, planifica y define bien la mejor solución para tus formularios.
Me encantan este tipo de artículos para ponernos al día con la LOPD. Muchos estamos perdidos si no contratamos un asesor en estos temas.
A estas alturas, en mi caso, lo tengo todo claro salvo la redacción del documento de seguridad. ¿Hay previsto algún artículo sobre esto?
Un saludo
Hola César, excelente material, muchas gracias. Te hago una consulta, si es posible. Estoy desarrollando una web que incluye venta de servicios. Usaré WooCommerce e incluiré un checkbox de términos y condiciones que el cliente deberá clickear para poder pagar. ¿Hay manera de almacenar esa acción en una base de datos? (previendo alguna acción legal). Te cuento que soy muy nueva en esto y no manejo código. Mil gracias desde ya. Un saludo!
Me encantan este tipo de artículos para ponernos al día con la LOPD. Muchos estamos perdidos si no contratamos un asesor en estos temas.
A estas alturas, en mi caso, lo tengo todo claro salvo la redacción del documento de seguridad. ¿Hay previsto algún artículo sobre esto?
Un saludo
Hemos puesto unos ejemplos de textos en este mismo artículo.
Hola Diego, ¿a que te refieres con el documento de seguridad?
En principio los documentos que necesitas tener son:
– Cookies.
– Política de privacidad.
– Condiciones de uso.
– Aviso Legal
– Términos y condiciones de contratación (este último te aplica si vas a vender un servicio online tipo SaaS).
De Seguridad puedes poner algo tipo SLA, pero por lo general debería estar incluido en «Términos y condiciones de contratación».
Hola César, excelente material, muchas gracias. Te hago una consulta, si es posible. Estoy desarrollando una web que incluye venta de servicios. Usaré WooCommerce e incluiré un checkbox de términos y condiciones que el cliente deberá clickear para poder pagar. ¿Hay manera de almacenar esa acción en una base de datos? (previendo alguna acción legal). Te cuento que soy muy nueva en esto y no manejo código. Mil gracias desde ya. Un saludo!
Hola Alejandra, para el formulario de contacto recomendamos usar el plugin de Docxpresso.
https://wordpress.org/plugins/document-data-automation/
Este creemos que es de los pocos plugins que te guarda en base de datos las opciones de los check que selecciona el usuario. Ese dato se debe guardar en base de datos para permitir que en caso de conflicto puedas demostrar al usuario que el seleccionó esa opción.
Si tienes alguna duda más escríbenos en docxpresso.com