Evaluando la actualización WordPress 4.9.6 frente al RGPD

A lo largo de esta semana hemos conocido la esperada actualización de WordPress.Org al RGPD o Reglamento General de Protección de Datos. Con esa actualización y las que los distintos plugins venían realizando, parece que es más sencillo adaptarse a la nueva normativa que está, literalmente, a la vuelta de la esquina. Pero ¿es la actualización de WordPress suficiente para cumplir el RGPD? Hoy analizamos la actualización WordPress 4.9.6 frente al RGPD.

 


Contenido

Claves de la actualización de WordPress

La Política de Privacidad automática de WordPress

Exportando y borrando datos personales de nuestra web

Adaptar mi empresa al RGPD

Conclusiones sobre la actualización de WordPress


 

Claves de la actualización de WordPress 4.9.6

De la actualización de WordPress 4.9.6 se han destacado sobre todo dos cosas: que permite borrar selectivamente los datos personales recabados y que además genera automáticamente una Política de Privacidad acorde al Reglamento.

Entre otros cambios, también es interesante la posibilidad que se da a los usuarios de nuestra web de elegir por sí mismos qué datos van a quedar almacenados en las cookies. Además, se establece un sistema de envío automático de correos electrónicos para confirmar el consentimiento sobre la recogida de datos personales.

A grandes rasgos, parece que, si las cosas están bien hechas desde WordPress, todo debería estar más o menos listo. A fin de cuentas, estamos hablando de una gran marca en el mundo digital.

Pues bien, quizá no sea oro todo lo que reluce, especialmente si somos novatos en el mundo online, por un lado, o no conocemos bien el RGPD, por el otro. Sigamos viendo.

(si quieres saltarte la explicación sobre la actualización y quieres saber directamente si te beneficia o no como autónomo o PYME, pulsa aquí).

 

La Política de Privacidad automática de WordPress 4.9.6

La estrella de esta actualización, desde el punto de vista de los problemas que genera a los marketeros del mundo digital la adaptación al RGPD, es sin duda la Política de Privacidad. En la web de WordPress se explica que el contenido de esta Política de Privacidad incluirá:

 

Política de Privacidad automática WP 4.9.6

Política de Privacidad automática WP 4.9.6

Ahora bien, aunque la mayoría de esas categorías son designadas por el RGPD como contenido obligatorio de la segunda capa de información sobre protección de datos que se debe facilitar a los usuarios, puede ser que parte de esa información no sea recogida por nuestros plugins.

Por lo tanto, habrá que prestar mucha atención a los plugins que tenemos instalados y que recaban datos personales y enterarnos bien de cómo lo hacen si queremos tener una web realmente adaptada al RGPD.

 

Exportando y borrando datos personales de nuestra web

Otra herramienta estrella que incorpora la actualización de WordPress es el Personal Data Exporter, que permite obtener un archivo comprimido con toda la información de un usuario, ya sea porque el usuario lo solicita, o porque los responsables de la web así lo quieren.

Así, podremos obtener la información de cada persona que ha interactuado en nuestra web a través de un proceso de identificación (poniendo su email, por ejemplo), como ocurre con los comentarios.

Por otro lado, también se ofrece la posibilidad de que los usuarios o los responsables borren datos personales, a través de otra opción que se puede añadir a los plugins: el Personal Data Eraser.

Ambas herramientas funcionan de manera similar, y requieren confirmación por parte del administrador de la página: el Exporter por si hubiera datos sensibles que exportar, y el Eraser por si la solicitud hubiera sido accidental.

Data Protection Exporter VS Eraser

Herramientas de la actualización WordPress 9.4.6

Adaptar mi empresa al RGPD

Hasta este momento en este artículo hemos hablado exclusivamente del procedimiento para tener nuestra web adaptada al RGPD y cómo la actualización WordPress 4.9.6 puede servirnos en esta tarea.

Sin embargo, es imprescindible recordar que nuestra página web corporativa es solamente una parte de nuestro negocio, y que la Política de Privacidad generada automáticamente por la actualización de WordPress está únicamente destinada a los usuarios de nuestra web.

Pero es que nuestra empresa no tiene por qué conservar únicamente datos de las personas que navegan por la web. Muy al contrario, las categorías de personas sobre las que una empresa puede tener información personal son bastantes más: clientes, proveedores, empleados…

Teniendo esto claro, ¿quién querría tener una página web corporativa cuya Política de Privacidad fuera solamente útil para los usuarios de la web, pero no ofreciera información relevante desde la perspectiva del cliente? Probablemente, nadie.

Ninguna empresa crea una página web “por tenerla”, ¿no? O, bueno, al menos, no debería.

 

Una Política de Privacidad completa

Como ya he dicho en otras ocasiones, una buena Política de Privacidad puede llegar a convertirse en un elemento diferenciador para nuestra empresa, ofreciendo una imagen honesta y transparente que vaya por delante de la competencia del sector.

Por esta razón, la Política de Privacidad automáticamente generada en WordPress se nos puede quedar corta, sobre todo si, teniendo en cuenta la Guía para el cumplimiento del deber de informar de la Agencia Española de Protección de Datos, optamos por utilizar nuestra web como canal para informar a nuestros clientes en materia de protección de datos.

La alternativa a hacerlo en la web es decírselo físicamente, por teléfono, email personalizado o en una carta, así que, si de eficiencia se trata, tú me dirás si prefieres remitirles al enlace de tu web, o emplear otros recursos.

 

Cumplir con el RGPD: la web y ya

A lo largo de estas semanas, cuando hemos hablado del RGPD nos hemos centrado especialmente en cubrir las exigencias del Reglamento en cuanto al deber de informar a los interesados que tienen las entidades que manejan datos personales.

Dado que en la actualidad la evaluación de una empresa por parte de los inspectores de la Agencia no requiere de su desplazamiento físico a la entidad, sino que un análisis de su presencia online y su cumplimiento del deber de informar puede ser suficiente para disparar las alarmas, es posible que ciertas empresas den prioridad a la adaptación de su presencia digital en detrimento de lo demás.

Sin embargo, no debemos olvidar que el RGPD establece obligaciones específicas que van mucho más allá del deber de informar, como son la revisión de la base legal que legitima el tratamiento de datos personales, la adecuación del consentimiento, la reelaboración de los contratos con las entidades a las que cedemos datos -y/o que nos los ceden-…

Mientras para autónomos y PYMES la adaptación al RGPD puede ser ciertamente costosa, especialmente si su actividad empresarial implica tratamientos de alto riesgo, sería un error pasar por alto que el cumplimiento de la normativa incluye todos estos otros trámites. A fin de cuentas, tener una web adaptada al RGPD está bien, pero en ningún caso abarca el cumplimiento total de la normativa.

7 pasos mínimos adaptación RGPD

7 pasos (mínimos) para adaptar tu empresa al RGPD

Conclusiones y riesgos tras la actualización de WordPress 4.9.6

Si bien las herramientas añadidas a WordPress en esta actualización pueden ser decididamente útiles, es posible que en algunos casos sean insuficientes.

Como no es lo mismo tener un blog que una página corporativa con comercio electrónico, al final lo más importante es siempre ser consciente de lo que implica nuestra actividad desde la perspectiva de los datos personales, aplicando el principio de protección de datos desde el diseño y por defecto.

Esto puede llegar a implicar una revisión más exhaustiva de cómo funcionan nuestras webs, particularmente a la hora de recabar el consentimiento, y sobre todo en el caso del envío de newsletters comerciales.

Dado que la mayoría de gestores de listas de correo electrónico comúnmente utilizados son ajenos a WordPress, tendremos que asegurarnos por ejemplo de que estos gestores permiten confirmar con doble opt-in que nuestros suscritos conocen nuestra política de privacidad (completa), y que quieren recibir comunicaciones comerciales.

O deberemos asegurarnos asimismo de que la información básica sobre protección de datos está incluida en los formularios, cerca del botón de enviar, como recomienda la Agencia.

 

En definitiva, esta actualización es un paso adelante a la hora de facilitar la adaptación, pero no la cubre enteramente. Espero que este artículo te haya sido de utilidad, ¡te deseo la mejor de las suertes en esta cuenta atrás hasta el día 25!

Por supuesto, como siempre, si tienes alguna duda puedes contactarme en twitter y en mi correo electrónico: contacto@noemicarro.es

Añadir comentario

Your email address will not be published. Required fields are marked *

A %d blogueros les gusta esto: