Hace unos días me estrenaba dando una charla corta en WordCamp Zaragoza 2020 hablando sobre RGPD técnico para tu web en WordPress.
Si te perdiste la charla o quieres ampliar información sobre estos temas legales para tu web, te invito a que sigas leyendo.
También puedes ahorrarte el post y ver el vídeo ? ? ?
[toc]
634 días… y contando
Estamos en enero de 2020 cuando escribo este artículo. Han pasado más de 630 días desde que entrara en vigor el Reglamento General de protección de datos, en mayo de 2018.
Después de casi 2 años, lo lógico sería pensar que lo tenemos todo superadísimos, que sabemos implementar el RPGD a la perfección y que esta charla tenía muy poco sentido darla.
Lo del RGPD me instalas tú el plugin… ¿no?
La realidad es que me encuentro muchos clientes aún con frases como estas:
Lo del RGPD me lo haces tú que has hecho la web… ¿verdad?
Eso de las cookies me pones el plugin y listo
Y el aviso legal… ¿no se lo puedo copiar a la competencia?
Y uno, que además de zurdo es humano, llora desconsoladamente.
El RGPD nos importa un pimiento
Antes de que alguno me diga que la culpa es mía por no saber elegir clientes… os cuento:
Según los datos de Google Trends, el interés por el RGPD nos duró 3 meses.
Después, pasamos olímpicamente de él.
Y eso genera un problema
Estamos ignorando el RGPD… pero el RGPD no nos está ignorando a nosotros
Cada semana salen nuevas sanciones de 3.000€ o más a pequeñas y medianas empresas como la tuya o la mía.
A ti no sé; pero si a mí me caen 3.000€ de multa me destrozan mucho.
RGPD legal + RGPD técnico
De la parte legal del RGPD no tengo yo mucha idea para ponerme a hablar. Eso se lo dejo a Marina Brocca que es un crack en esos temas.
Pero me da mucha rabia ver que hay proyectos con una implementación legal adecuada pero que cojean enormemente en la parte técnica.
Dándole vueltas a todo esto, Marina y yo hemos decidido lanzar una formación sobre RGPD técnico, para que desarrolladores y administradores aprendan todo lo relacionado con la adaptación técnica de sitios web.
Pero eso es una historia que os cuento otro día.
El objetivo de hoy es analizar los 7 puntos técnicos del RGPD que yo repaso antes de poner en producción una página web. O cuando tengo que hacer una auditoría técnica de RGPD.
7 puntos RGPD a revisar en tu página web
Los textos legales
Empezamos con la parte fácil.
Lo primero que compruebo es que las páginas de textos legales están correctamente publicadas y no se ha desmaquetado nada al copiar los textos legales que me ha pasado Marina.
Además, me aseguro de que esas páginas estén marcadas como no indexables por Google, porque me interesa bastante poco que se pase por ahí o muestre esos resultados en el buscador.
Cada proyecto es un mundo. Pero, como mínimo, todas las webs necesitarán 3 textos legales:
- Aviso legal
- Política de privacidad
- Política de cookies
Enlaces visibles (incluso en móviles)
Los enlaces a los textos legales deben ser siempre legibles y accesibles desde cualquier dispositivo.
En ordenador no suele haber problema: tenemos un menú en el footer de la web donde consultar el aviso legal.
En móviles, sin embargo, se desata el caos…
Debemos intentar que el diseño se parezca más a la opción de la derecha. Y que los usuarios puedan acceder siempre a nuestras páginas legales.
Las cookies claras
Muchos se empeñan en tener una lista de cookies con nombres y apellidos, como si eso importara al usuario.
Lo que tenemos que tener claro, por respeto al menos con nuestros clientes, es:
- Qué cookies estamos usando.
- Quién es el proveedor (o el script) que las genera.
- De qué tipo son.
Para comprobarlo, yo utilizo una herramienta gratuita que se llama www.cookieserve.com.
¡Ah! Y para evitar sustos siempre compruebo varias páginas diferentes dentro de la web, por si aparece alguna cookie oculta por ahí…
Un plugin de cookies que funcione de verdad
Ahora que sabemos qué cookies usamos, llegamos al punto más maravilloso, el que más nos gusta y del que más hablamos: el plugin de cookies.
Hace unas semanas analicé 14 plugins de cookies para WordPress, buscando el mejor, y me topé con auténticas locuras:
Hay plugins en el repositorio de WordPress con más de 600.000 instalaciones activas que no hacen absolutamente nada.
Lo fundamental es saber que no podemos poner cookies en el ordenador del usuario hasta tener su consentimiento.
A día de hoy, el plugin que mejor cumple eso es GDPR Cookie Compliance.
1ª capa de privacidad en los formularios
Superado el trauma de las cookies, nos centramos en los formularios
Todos los formularios de la web (incluidos los de comentarios del blog, los de la newsletter o los de WooCommerce si tenemos tienda online) deben incluir una primera capa de privacidad.
Aunque suene muy pomposo, no es más que un resumen breve de quién es el responsable, qué datos quiere recabar, dónde los va a dejar y qué pretende hacer con ellos. Fácil, ¿no?
Pues hay cientos de webs que no lo implementan porque les rompe el diseño y queda muy feo.
Una solución para esto es implementarlo con un acordeón: el contenido está visible pero plegado inicialmente, no rompe la estética de tu web y cumple la ley.
Casillas de consentimiento en formularios
Además de la capa de privacidad, todos los formularios deben incluir una casilla de consentimiento.
Esta casilla puede ser obligatoria. Pero nunca nunca nunca puede ir marcada por defecto.
Además, tenemos que tener una para cada tratamiento de datos diferente que hagamos.
Por ejemplo, si en el formulario de pedido también tenemos intención de enviar publicidad… debemos indicar dos casillas diferentes.
Ejercicio de derechos fácil para los usuarios
Venga, que llegamos al último punto, seguimos vivos y el RGPD no nos ha comido.
Debemos ponerle fácil al usuario que ejerza los derechos que tiene con sus datos y cómo los tratamos.
Las plataformas de mailing ya incluyen casi por defecto un enlace para darte de baja de los envíos.
Para el resto de casos, utilizaremos los formularios que ofrece la unión europea y que nos pueden enviar los usuarios por e-mail para que borremos sus datos.
Aquí, me fijo básicamente en el e-mail que aparezca en la política de privacidad para comprobar que:
- El mail es de un dominio nuestro.
- Existe en el servidor.
- Recibe correo sin problemas
- Hay alguien responsable para consultarlo.
Os sorprendería la de veces que han fallado uno o varios de esos puntos…
En resumen
¿Cumplimos los 7 puntos? ¡Enhorabuena, prueba superada!
A nivel técnico, podemos resumir el RGPD en 7 puntos y 3 grandes bloques: textos legales, cookies y formularios.
El proceso no es tan complicado y, para la mayoría de páginas webs corporativas resulta muy sencillo e implementar en WordPress.
Te dejo también las diapositivas que utilicé en la charla:
Un comentario
Genial artículo. Me ha ayudado a aclarar cosas como la primera capa que no llegaba a comprender. Gracias.