Formularios de contacto en WordPress y #GDPR

El nuevo Reglamento General de protección de Datos (RGPD) está a la vuelta de la esquina. Y empezará a ser de aplicación el próximo 25 de mayo de 2018. Si quieres entrar en detalle en el GDPR mira este artículo.

Este nuevo reglamento afecta a todas las empresas.Actualmente se está elaborando el Anteproyecto de Ley Orgánica de Protección de Datos que introduce las novedades del RGPD con respecto a la normativa anterior, promoviendo procesos más exigentes en materia de protección de datos.

Para que tu sitio web con WordPress no se vea afectado por esta nueva regulación en materia de protección de datos te damos a continuación una serie de consejos prácticos.

Revisa tu política de privacidad y términos y condiciones

Lo primero que se va a revisar en las inspecciones que se harán a las webs es que cumplen con este requisito. Tu web debe mostrar un aviso claro y sencillo de política de privacidad y términos y condiciones. Estos avisos con el cambio de ley deben cambiar de clausulado y debes mostrar claramente quien es el responsable de los datos.

Para ver ejemplos bien redactados, te recomendamos los textos que CYSAE abogados han realizado:

Estos textos hay que actualizarlos en todas las páginas web. El clausulado cambia y tienes que adecuarlo a la realidad de tu empresa.

Formulario de contacto y cumplir con el #GDPR

El punto de entrada más frágil que puedes tener en tu página web es el formulario de contacto ya que vas a recibir muchos datos personales de usuarios que tendrás que tratar de forma correcta.

Lo que busca el nuevo reglamento se puede resumir en los derechos ARCO:

  • Acceso. Si yo te mando datos vía un formulario de contacto, te puedo exigir que me enseñes mi información y debes responder a ello en un plazo de 1 mes.
  • Rectificación. Cualquier usuario te puede exigir actualizar sus datos personales. Cambios en los datos actuales para poder cambiar cosas.
  • Cancelación. El usuario te puede pedir que dejes de utilizar su información para cualquier fin que no sea el indicado. Es decir, si yo te contacto no debes enviarme una newsletter no solicitada.
  • Oposición. En este caso, el usuario pide que no uses sus datos bajo ningún concepto. Si un usuario nos contacta, podemos responder a su consulta, pero sus datos no podrán estar incluidos en ningún tratamiento que hagas.

Para dar cumplimiento al GDPR desde tu web debes tener como mínimo:

  1. Que tu formulario de contacto tenga un check sin marcar de aceptar política de privacidad y términos y condiciones si es necesario.
  2. Que todos esos datos enviados por el usuario se guarden en la base de datos. El formulario debe guardar también el dato del check. Es decir, hay que guardar de formar fehaciente el consentimiento del usurario.
  3. Que esa base de datos esté accesible por el dueño de la web para poder editar, cambiar, enviar o borrar datos.
  4. El acceso a esa base de datos debe ser nominal y registrado.

Aquí puedes ver un ejemplo de este tipo de formulario de contacto y como se gestionan los datos.

Este es el caso más común que debes atender de forma rápida antes del 25 de mayo. No dar cumplimiento a este tipo de obligaciones puede acarrear multas y sanciones muy graves.

Todas las empresas de envío de correos, mailchimp, slack, acumbamail, han actualizado sus sistemas para dar cumplimiento a este tipo de procesos. A ti también te toca. Hacerlo con tiempo y preparación te ayudará a que esta oportunidad de mejorar tus sistemas sea una oportunidad de mejorar tu web y no un dolor de cabeza.

Formulario para recibir curriculums por la web

Otro caso bastante común es recibir curriculums por la web.

Si es tu caso, es muy importante que tengas implementado el sistema de gestión de contenido indicado anteriormente. Por otro lado, es muy importante que delimites el acceso a esta base de datos a un grupo de usuarios determinados y ellos serán los responsables de gestionar los derechos ARCO de los usuarios. Es muy importante que como desarrollador dejes todo esto muy claro.

Los curriculums contienen mucha información muy sensible. Edad de nacimiento, nacionalidad, género, estado civil, formación, posibles temas médicos… en general, información muy sensible y que nos puede comprometer.

Para este caso, lo mejor es indicar claramente a los usuarios el procedimiento de envío de formularios, indicar que cualquier curriculum recibido por email o formulario de contacto general será eliminado inmediatamente y que deben utilizar el formulario indicado.

Ese formulario la recomendación es que evites que adjuntes documentos. Sobre un documento adjunto no tienes control y el usuario puede poner cualquier cosa en el mismo y lo tienes que gestionar.

Lo mejor es poner campos en un formulario y pedir al usuario que lo rellene. De esa forma puedes validar la información introducida y evitar problemas con datos que no necesitas.

En este formulario igualmente recuerda poner claramente un check de aceptar política de privacidad y términos y condiciones para dejar claro el uso del documento.

Formulario de presupuestos por la web

Otro uso muy popular de formularios y captura de datos por la web es que los usuarios nos puedan solicitar un presupuesto por la web.

Si es tu caso, igualmente haz lo siguiente:

  1. Define un formulario específico para este caso. Evita utilizar un formulario para todo ya que no podrás delimitar el acceso a la información y por tanto la responsabilidad de la gestión.
  2. En ese formulario pide la información personal mínima Si no necesitas el nombre del cliente no lo pidas, si no necesitas su edad no la pidas… es mejor pedir que te indiquen si son mayores de edad y no su fecha de nacimiento.
  3. En esos datos, aplica ARCO. Guarda todo en una base de datos y designa un responsable de esos datos dentro de la empresa. Si son empresas pequeñas, será una única persona, pero separa las bases de datos de tal forma que no se mezclen datos.
  4. Intenta automatizar todo el proceso de flujo de ese presupuesto dentro del mismo formulario. Es decir que un responsable dentro de la empresa pueda responder al presupuesto dentro de la misma base de datos, que puedan aprobar el presupuesto, que el cliente lo pueda aceptar. Intenta diseñar un flujo de aprobación dentro del mismo formulario para evitar el mantenimiento de dos bases de datos.

Estas son las medidas básicas para dar cumplimiento al GDPR. Para que esto sea algo operativo y no te suponga un problema y sobre todo sea una oportunidad de mejorar la web en la que trabajas, planifica y define bien la mejor solución para tus formularios.