Cómo hacer que sus sitios web cumplan con GDPR

Se avecinan muchos cambios para WordPress en 2018, y uno de ellos es el Reglamento General de Protección de Datos (RGPD) que la Unión Europea está promulgando a partir del 25 de mayo de 2018. La versión TL;DR es que el RGPD dice que los usuarios tienen control total sobre sus datos y usted debe decirles por qué los necesita. En ese momento, pueden dar el visto bueno o no. En la práctica, sin embargo, es un poco más complicado que eso.

WordPress y el RGPD

Dado que WordPress es el 30% de Internet ahora, tenemos mucho que limpiar. Los datos se escurren y fluyen entre nuestros sitios y los usuarios, y el RGPD dice que depende de nosotros administrar nuestros sitios lo suficientemente bien como para que los usuarios puedan administrar sus datos. Aunque se trata de un reglamento aprobado por la UE, afecta a prácticamente todo el mundo. Porque si recopila un bit o un byte de datos de una persona en la UE (independientemente de su propia ubicación), está sujeto a esta ley porque entonces tiene información propiedad de un ciudadano de la UE. Y si se descubre que ha incumplido, puede ser multado con hasta 20 millones de euros.

Eso es aterrador para mucha gente. Pero no tiene que ser así.

La buena noticia es que hay un equipo dedicado de colaboradores de WordPress Core trabajando en la prueba de GDPR del código Core antes del 25 de mayo. Tienen un sitio web (y un canal Slack asociado) configurado donde los administradores y desarrolladores pueden mantenerse al día con el progreso y para vea lo que necesita hacer para lograr que usted (y sus clientes) cumplan. Aquí está el desglose de lo que eres responsable:

  • Explicar quién es usted, cuánto tiempo conservará los datos, por qué los necesita y quién de su equipo o de forma externa tiene acceso a ellos.
  • Obtener consentimiento explícito y claro para recopilar datos a través de un opt-i
  • Brindar a los usuarios acceso a sus propios datos, la capacidad de descargarlos y eliminarlos de sus registros por completo
  • En caso de un hackeo o una brecha de seguridad, informa a tus usuarios al respecto

Para obtener explicaciones más detalladas sobre el RGPD, puede consultar nuestra descripción general de las regulaciones de datos en 2018 , la infografía oficial de la Comisión Europea sobre el RGPD y la publicación oficial de soporte de Automattic con respecto a WordPress y el RGPD.

Dicho todo esto, necesita saber qué puede hacer para cumplir con el RGPD. Así que aquí hay algunos pasos prácticos específicos que puede tomar para mantenerse (y los datos de su usuario) seguros.

La aceptación del RGPD

El aspecto más importante de todo esto es la aceptación del RGPD. Déjame ser claro en esto. Un  opt-in no es en ningún caso lo mismo que un opt-out . La UE ha dicho que debe «obtener su consentimiento claro para procesar los datos». Eso significa que  los usuarios tienen que decir explícitamente que sí, no solo tienen la opción de decir que no .

Aquí hay un ejemplo: tiene un negocio de dropshipping en línea y tal vez use  WooCommerce . Cuando los usuarios llegan a su página de pago, tiene una casilla de verificación que dice «[x] ¡Sí, quiero suscribirme a su increíble lista de correo electrónico!»

No hay problema, ¿verdad? Si tiene la casilla marcada de forma predeterminada, tiene la culpa. Eso les está dando la oportunidad de optar por no participar. Eso no es lo que dice la regla de inclusión del RGPD. Deben decir explícitamente que elijan compartir su información con usted .

Lo mismo ocurre con las secciones de comentarios que suscriben automáticamente a las personas al hilo de comentarios, o cualquier tipo de contacto automatizado que no sea iniciado directamente por el usuario. (Los cuadros de chat emergentes como Intercom pueden estar bien porque eso no llega a sus datos, pero aún podría verse afectado por la cláusula de seudonimización de GDPR ).

Pero su meta #1 es no tomar  nada por defecto. Y honestamente, tome la menor cantidad posible cuando obtenga un permiso explícito.

Solicite el mínimo de información

Muchos sitios web, formularios, complementos y tiendas solicitan información que realmente no necesitan. En general, una buena regla general es pedir la menor información posible a los usuarios. Si no necesita sus nombres, incluso, no lo tome. O tal vez solo el primero. A veces, todo lo que necesita es su correo electrónico para hacer su trabajo.

Eso no quiere decir que  no pueda pedir la otra información. El RGPD simplemente dice que tienes que decirle a la gente  por qué lo necesitas. Si está preguntando por su nombre y apellido, dígales por qué. Si les pregunta sus cumpleaños, aclare que envía cupones como regalos de cumpleaños, por ejemplo. Debido a GDPR, ya no se pide información «por si acaso» o «para futuros proyectos indeterminados».

Muchos complementos de formularios le permiten incluir una nota debajo o al lado de la etiqueta principal, por lo que si tiene un campo para números de teléfono, puede tener una nota publicitaria que diga «Le pedimos su número de teléfono para que nuestros representantes de servicio al cliente puedan acelerar el proceso de configuración». para sus pedidos personalizados.”

Además, cuando solicita información, la UE dice que debe revelar «quién es usted […], cuánto tiempo se almacenará y quién la recibe». En cuanto a cómo y cuándo debe divulgar estas cosas, eso puede diferir. La primera es que tienes que decir quién  eres en el mismo momento en que solicitas sus datos.

Esto no es diferente de los pies de página requeridos que cada servicio de correo electrónico requiere que proporcione. Solo tenga una oración o comentario que explique quién es usted, una sola línea que diga que «BJ Keeton, el CIO de Awesomesauce International y sus subsidiarias, maneja los datos de este sitio web». O incluso algo como «Los datos enviados por este formulario serán utilizados por Awesomesauce International y nadie más»  funcionará.

Eso significa que su formulario de contacto, formulario de registro, páginas de pago, donde sea que los usuarios le brinden su información, debe identificarlo claramente a usted y a los suyos.

Sus términos de servicio y política de privacidad

En cuanto a las otras partes de las cláusulas de retención de información de GDPR, puede incluir los detalles sobre el  por qué , cómo y quién  de los datos en sus Términos de servicio o Política de privacidad. Y también es una buena idea, porque estos son parte de la aceptación explícita de GDPR.

El paso procesable aquí es doble: primero, asegúrese de que sus Términos de servicio y Política de privacidad cumplan con GDPR. Y segundo, cree campos obligatorios explícitos en cada formulario que indiquen la aceptación de  ambos documentos antes de procesar cualquier cosa. Las casillas de verificación están bien, y los campos de texto donde los usuarios pueden escribir «Estoy de acuerdo» son aún mejores (pero son realmente desagradables).

También tenemos algunos recursos más detallados para usted sobre esto. Puede consultar cómo agregar los acuerdos requeridos a sus formularios aquí . Y si no está seguro de por dónde empezar en su Política de privacidad, también podemos guiarlo .

Sugeriría agregar un párrafo en sus Términos de servicio sobre la aceptación de la Política de privacidad como un término y vincularlo directamente desde los Términos de servicio. Luego, en la Política de privacidad, agregue un párrafo que analice su función en los Términos de servicio, así como  exactamente cómo su sitio administra los datos de conformidad con el RGPD. Específicamente, deberá proporcionar instrucciones detalladas en su Política de privacidad que explique cada uno de los siguientes.

  • Cómo acceder y descargar un registro completo de cualquier dato que tenga sobre ellos
  • El proceso a través del cual los usuarios pueden eliminar por completo sus datos de sus registros (y no simplemente darse de baja, etc.) como parte de las leyes de «derecho al olvido» aprobadas anteriormente en la UE
  • Exactamente cómo informará a los usuarios sobre violaciones de datos si alguna vez ocurren
  • Explicaciones detalladas de quién es usted, para qué usa los datos, quién tiene acceso a ellos y cuánto tiempo los retiene

Ahora es más importante que nunca contar con una Política de privacidad. Antes era bastante importante porque Google quería que tuvieras uno. Y esa importancia se ha disparado.

¿Suena como mucho, verdad?

Y es. Por suerte, probablemente estés usando WordPress. Debido a nuestra fantástica comunidad, los desarrolladores ya están trabajando arduamente en muchas formas de ayudar con la aceptación y el cumplimiento de GDPR. Todavía hay muchos detalles que tendrá que resolver en su negocio, pero en los próximos meses, espero que aparezcan opciones en sus complementos favoritos, o extensiones de GDPR hechas por terceros, que inserten todo lo que mencioné con solo marcar algunas casillas y rellenando algunos campos.

Básicamente, para que su sitio cumpla con el RGPD, todo se reduce a asegurarse de que sea transparente con las personas. Hágales saber lo que está haciendo, no solicite información superflua y permítales optar por dársela, en lugar de que usted la tome de manera predeterminada.

¿Qué pasos ha tomado hacia el cumplimiento de GDPR hasta ahora? ¡Cualquier consejo que puedas compartir en los comentarios sería genial!

Imagen destacada del artículo por Pe3k / shutterstock.com