Guía práctica de adaptación legal RGPD de un blog
Introducción
Lee los siguientes artículos con información acerca de la adaptación legal de un sitio web.
- ¿Qué es la LSSI?
- Cómo crear la política de privacidad en WordPress
- Cómo añadir el banner de cookies a WordPress
Y, por supuesto, lee cómo lo hicimos en Blogpocket:
Pasos para implementar la Solución Blogpocket de adaptación RGPD de un blog
1. Generación de los documentos legales (Aviso legal, Política de privacidad y Política de cookies)
Si el sitio web posee una tienda (ecommerce) habrá que generar también el documento de Condiciones de contratación. En principio, vamos a suponer en esta guía práctica que el sitio no tiene carrito de compra ni propósito comercial y los únicos documentos legales que vamos a generar son:
- Aviso legal
- Política de privacidad
- Política de cookies
- Declaración de cookies (adicionalmente, crearemos este documento que contendrá la lista de las cookies descargadas y un enlace para modificar las preferencias en cuanto al consentimiento de las mismas)
De entre todos estos documentos destaca especialmente (aunque todos son importantes) el de política de privacidad.
- La política de privacidad debe personalizarse y hacer constar los datos del responsable, finalidad, plazo de conservación de datos, legitimación, destinatarios y derechos.
La forma más fácil de generar los documentos legales Aviso legal, Política de privacidad y Política de cookies es con el plugin Adapta RGPD. Los documentos se generan automáticamente sobre las páginas correspondientes, creadas en vacío previamente.
El plugin se configura con los datos de la web y la casuística concreta: si usa o no Google Analytics, el servicio de email marketing utilizado, etc.
El documento Declaración de cookies se genera automáticamente mediante Cookiebot, servicio del que hablaremos un poco más adelante.
- Estos textos (y el de Condiciones de contratación, en su caso) deben mostrarse por separado y en un sitio bien visible; por ejemplo en el pie de todas las páginas.
2. Creación de un documento "Información legal"
El plugin Adapta RGPD genera los documentos legales automáticamente y, aunque es un plugin que -hasta el momento- se actualiza constantemente, probablemente se necesite explicar los detalles de cumplimiento legal para el sitio web en cuestión.
Por esta razón, es recomendable crear el documento Información legal que sea el que se enlace, bien visible, en todas las páginas del sitio web. Y, dentro de este nuevo documento, además de las aclaraciones pertinentes, es donde irán (también fácilmente localizables) los links a los tres documentos legales generados con Adapta RGPD más la Declaración de cookies.
Observa, a continuación, un ejemplo, de cómo se puede implementar esto al pie de cada página de un sitio web.
El contenido del documento Información legal:
Leyes que cumple la web
A fecha 16 de abril de 2020, estas son las leyes que se deben cumplir y que deben figurar en este apartado (el plugin Adapta RGPD lo mantiene actualizado):
- Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).
- El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas (RGPD),
- La Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y Comercio Electrónico (LSSICE o LSSI).
Datos web
- Titular:
- NIF:
- Domicilio:
- Correo electrónico:
- Sitio Web:
Características de la web
Aquí debe ir un resumen de las características de la web:
- Qué plataforma y qué servicio de alojamiento web se usa.
- Si se usan cookies y el procedimiento para que el usuario exprese su consentimiento explícito, antes de su carga.
- Si se usa Google Analytics, con visitas anonimizadas y si la visita no se registra en caso de utilizar el procedimiento de bloqueo de las mismas.
- Si se muestran vídeos u otros recursos multimedia u de otra índole (botones o widgets de redes sociales), pertenecientes a plataformas de terceros que pueden descargar cookies. Si existe un sistema de bloqueo de cookies para que el usuario pueda otorgar su consentimiento y entonces puede que no se visualicen dichos recursos hasta que el usuario exprese su consentimiento explícito.
- Si existen formularios de contacto, comentarios y/o suscripción a la newsletter. Y, en ese caso, qué servicio de terceros se utiliza (MailChimp, MailPoet, etc.). Qué tipo de datos se recopilan y si el servicio de terceros que va a almacenar y tratar los datos posee sus servidores dentro de la Unión Europea. En caso contrario, el servicio debe cumplir con el Privacy Shield, acuerdo para transmisiones de datos entre U.E. y EE.UU. (donde, por ej. se encuentran los servidores de MailChimp). Y si se registran los consentimientos a la política de privacidad y se otorga a los usuarios el cumplimiento de sus derechos legales (baja, modificación de preferencias, etc.)
- Si se están implementados todos los procedimientos de seguridad que garantizan la integridad de los datos de los usuarios. Si se realiza una copia de seguridad de los datos almacenados en los servidores del hosting, y si se usa el protocolo HTTPS y la web está conectada al firewall y proxy inverso de un CDN (por ej. Cloudflare).
- La dirección de correo para resolver cualquier cuestión que solicite el usuario.
Este debe ser un resumen breve y específico. Todos los detalles se encuentran en los documentos generados por Adapta RGPD.
Documentos legales
Aquí se debe incluir los enlaces a los documentos legales Aviso legal, Política de privacidad, Política de cookies y Declaración de cookies.
¿Se deben indexar las páginas con los documentos legales? Nuestra recomendación es "no". Pero lee este artículo de los autores del plugin Adapta RGPD: Indexar o no indexar los textos legales.
3. Descargo de responsabilidad
Ningún procedimiento que se utilice para crear los documentos legales te garantiza que cumplas las normativas establecidas. Solamente una revisión final por parte de un consultor en la materia podría asegurarte al 100 % que todo está correcto.
Esta guía práctica es una aproximación bastante efectiva pero el resultado de aplicar todos estos pasos debe ser también revisada por un consultor experto en leyes digitales.
El siguiente es el aviso de descargo de responsabilidad del plugin Adapta RGPD.
El uso del plugin Adapta RGPD sirve para crear los textos legales de tu sitio web adecuados a las regulaciones europeas de privacidad conocidas como RGPD, sin embargo NO garantiza el cumplimiento de RGPD o cualquier otra disposición legal. Considera que es tu responsabilidad usar estos recursos correctamente, para ofrecer la información que requiera tu Política de Privacidad y para asegurar que la información es actual y precisa. Expresamente declinamos toda responsabilidad con respecto al uso de este plugin. Para obtener ayuda adicional contacta con profesionales legales. Como cada negocio y situación es único, es posible que tengas que modificar, agregar o eliminar información en estas plantillas.
4. Adaptación de formularios de comentarios y contacto
El problema de utilizar formularios donde se recoge datos privados del usuario viene por el deber de informarle y obtener su consentimiento explícito a la política de privacidad. Los autores del plugin Adapta RGPD lo explican muy bien en Guía para cumplir el Deber de Informar.
En los formularios se debe cumplir dos requisitos fundamentales:
- Incluir un checkbox de conformado obligatorio, por parte del usuario, a la política de privacidad (con un enlace al documento Política de privacidad)
- Una primera capa informativa que informe perfectamente al usuario sobre el propósito de la recogida de los datos.
De nuevo, te remito a los autores del plugin Adapta RGPD para que sepas la manera correcta de implementarlo: Cómo adecuar los formularios de tu web al RGPD.
Obsérvese en la imagen anterior, los campos que hay que habilitar en la configuración del plugin Adapta RGPD si existe formularios de comentarios y contacto. El formulario de suscripción a la newsletter requiere explicación aparte (más adelante en esta guía).
En cuanto a la primera capa informativa, este es el modelo:
Modelo de primera capa informativa para formularios de comentarios y contacto
Dentro del apartado "Finalidad" figurará "Moderar los comentarios" siempre y cuando se haya activado la casilla "Comentarios" en la configuración del plugin Adapta RGPD (sección "Integración"). Y aparecerá "Responder las consultas" cuando se haya activado la casilla "Formularios" dentro de la misma configuración de Adapta RGPD. Para que pueda verse la primera capa informativa debes añadir el shortcode argpd_deber_de_informar (entre [ de apertura y ] de cierre) (gracias a Adapta RGPD) y para que se vea el checkbox de aceptación del consentimiento depende del sistema que emplees para implementar el formulario, tal y como se explica en el punto siguiente: "Implementación de la primera capa informativa". Contact Form 7 incluye un shortcode para ello: [acceptance your-consent] (apertura) y [/acceptance] (cierre).
Implementación de la primera capa informativa
- Comentarios. Es automático si has activado la casilla "Comentarios" en la configuración del plugin Adapta RGPD (pestaña "Integración").
- Formulario de contacto. Debes activar la casilla "Formularios" en la configuración del plugin Adapta RGPD (pestaña "Integración") y, además, añadir los dos siguientes shortcodes. El primer shortcode [argpd_deber_de_informar] debe ir dentro después del formulario (si utilizas Contact Form 7 esto es muy sencillo, editando el formulario e incluyendo dicho shortcode tras el correspondiente al del propio formulario por ejemplo en la página "Contactar"). El segundo shortcode es el de la casilla de aceptación del consentimiento y que Contact Form incorpora desde las últimas versiones. En realidad son dos: [acceptance your-consent] como apertura y [/acceptance] como cierre. Y entre medias el literal informativo: "He leído y acepto la política de privacidad", conteniendo éste el correspondiente enlace al documento de la política de privacidad. Si no usas Contact Form 7 tendrás que averiguar la manera de mostrar la casilla de consentimiento.
En ambos formularios (Contacto y comentarios) se añadirá automáticamente tanto la casilla aceptación como la coletilla legal de la primera capa informativa, cumpliendo los preceptos de la nueva normativa RGPD. Si no activas la casilla "Formularios" en la configuración del plugin Adapta RGPD (pestaña "Integración"), solo cambia el contenido de la primera capa informativa; pero si has usado los shortcodes descritos anteriormente, seguirá apareciendo tanto el checkbox de consentimiento como la primera capa informativa.
Consulta el post Cómo adaptar los formularios al RGPD y cumplir la ley para más información sobre la adaptación legal de los formularios. Pero el método, mediante el plugin Adapta RGPD, descrito en esta guía práctica es la manera más fácil y eficaz de hacerlo.
5. Adaptación del formulario de la newsletter
El formulario de captación de suscriptores para la newsletter merece atención especial. En primer lugar porque va a depender del sistema de email marketing que se utilice. Nosotros recomendamos estos dos sistemas:
- MailChimp
- MailPoet
En el caso de MailChimp, en Blogpocket llegamos a la conclusión de que es mejor enviar a tus posibles suscriptores a una página de aterrizaje propia de ese sistema de email marketing. Es allí donde debes añadir el checkbox y la primera capa informativa. Es realmente fácil tal y como se explica en Cómo lanzar una campaña de email marketing con Mailchimp (Checklist).
Si tus preferencias pasan por MailPoet (integración plena en WordPress, lo que significa que tu centro de operaciones permanece dentro del mismo sitio desde donde publicas contenidos), entonces solo debes editar el formulario e incluir un nuevo campo personalizado de tipo HTML o texto donde incluyas el modelo de primera capa informativa. También puedes emplear el shortcode de Adapta RGPD [argpd_deber_de_informar] pero, en ese caso, la finalidad será "Responder las consultas, si se activó la casilla "Formularios", en la configuración de Adapta RGPD; junto a "Moderar los comentarios" si es que se activó la casilla "Comentarios".
El checkbox viene incluido en las opciones de MailPoet y debes hacerlo obligatorio, claro está. En el modelo de primera capa informativa, por lo tanto, solo se ve afectado el apartado "Finalidad" (Ver imagen siguiente, con un ejemplo en el que se ha optado por utilizar un campo personalizado de tipo HTML o un simple texto.
6. Cumplimiento legal respecto a las cookies
En este artículo de Blogpocket encontrarás la solución que recomendamos: Cookiebot: la ayuda más fácil para legalizar el uso de cookies en una página web.
En este caso, Cookiebot es la gran herramienta que automatiza:
- La detección de todas las cookies en toda la web, con rastreo manual siempre que se solicite y automático (mensual).
- La creación del faldón de aviso con un mecanismo para aceptar y rechazar las cookies. Si el usuario rechaza las cookies, no se puede cargar ninguna, solo las estrictamente necesarias. Pero no se cargará ninguna del estilo de las de Google Analytics, Redes sociales, YouTube, etc. Este aviso puede tener distintas formas, dependiendo de la herramienta adoptada. Puede ser un pop-up al pie de las páginas, asociado al proceso que suspende la carga completa de la página hasta la aceptación e incluyendo un enlace a la política de cookies.
- El mecanismo de bloqueo de cookies. No se carga ninguna hasta que el usuario exprese su consentimiento explícito.
- Un mecanismo para el cambio de preferencias, en cuanto al consentimiento, por parte del usuario.
- El registro de los consentimientos a efectos de auditoria.
- Informe estadístico.
El documento Declaración de cookies se crea añadiendo en él, el código javascript obtenido en Cookiebot. Contendrá la lista completa de cookies y el enlace para el cambio de preferencias en cuanto al consentimiento para usarlas en la web.
En link a la Declaración de cookies, como hemos visto, deberá ir -junto con el resto de links a documentos legales- en el documento Información legal.
- Es muy importante, por lo tanto, informar al usuario sobre el tipo de cookies que se van a cargar, para que pueda decidir si otorga el consentimiento. Y, por supuesto, el usuario debe disponer de la posibilidad de activar y desactivar las cookies (cambio de preferencias). En el método que se desprende de esta guía, Cookiebot proporciona un enlace para llevar a cabo el cambio de preferencias en cuanto al consentimiento, junto a la lista de cookies que se usan en el sitio web. Ese enlace iría en la Declaración de cookies.
- Otra cuestión importante y que debe informarse es que si se rechaza todas las cookies salvo las estrictamente necesarias, el usuario podrá acceder al sitio web pero sin ciertas funcinalidades.
7. Coletillas legales en mails y campañas de email marketing
A partir de que un suscriptor pertenece a tu lista de correo, solo puedes enviarle campañas de email marketing (boletín de noticias, comunicaciones, etc.):
- Con el propósito y finalidad descrita en tu política de privacidad.
- Siempre y cuando mantenga su preferencia de aceptación de la política de privacidad.
Eso significa que si, por cualquier motivo o medio, ha denegado su consentimiento, no puede recibir ningún email de tu parte.
Lo primero, por lo tanto, es añadir una coletilla legal al pie de todas tus campañas con el siguiente modelo.
Modelo de coletilla legal a incluir en todas las campañas
Recibes este boletín porque en su día, te has suscrito en mi lista de correo en: [pon aquí la URL de tu web]
Podrás ejercer tus derechos de acceso, rectificación, limitación y suprimir los datos en [pon aquí tu dirección de email] así como el derecho a presentar una reclamación ante una autoridad de control.
Si no deseas seguir recibiendo este boletín, puedes darte de baja de forma automática en este enlace: [pon aquí el enlace a la página para darse de baja]
Puedes consultar la información adicional y detallada sobre Protección de Datos en mi Política de privacidad: [pon aquí la URL del documento legal Política de privacidad]
Después, es preciso establecer un mecanismo que impida enviar mails a aquellos suscriptores que no tengan el valor "He leído y acepto la política de privacidad" activo.
En MailChimp, es sencillo mediante una segmentación en el campo destinatario.
En MailPoet, si partimos de la base de que el campo con el checkbox de consentimiento es obligatorio (tanto en la página de alta como en la de modificación de preferencias), nunca será posible que exista un suscriptor en la base de datos con consentimiento negativo y al que no se le puede enviar mails. Lee, por favor, el siguiente artículo para aprender a añadir el campo de checkbox en MailPoet: How to Add a Checkbox Field to MailPoet Form.
8. Prueba de consentimiento en la lista de correo
Este es un aspecto importante por lo que debes poner en marcha un procedimiento de demostración de los consentimientos a la política de privacidad.
Si usas MailChimp esto se resuelve fácilmente, tal y como se describe en Cómo lanzar una campaña de email marketing con Mailchimp (Checklist).
Pero en resumen, se trata de -si usas Gmail- guardar con Takeout todos los mensajes que has recibido desde MailChimp con las altas y bajas en tu lista de correo. Previamente puedes crear un filtro para asignar una etiqueta (por ej. "Consentimiento") a todos los mensajes que llegan de MailChimp con un determinado valor en el campo "Asunto".
En MailPoet, se supone que todos los suscriptores lo son porque han aceptado el checkbox de consentimiento (para estar seguros de esto, no puede existir ningún formulario en el que se pueda cambiar las preferencias). Dicho esto, en WordPress existe la exportación de datos (Herramientas > Exportar los datos personales). Esto puede funcionar como una copia de seguridad y, sobre todo, una salvaguarda para una posible prueba de consentimiento.
Para ello, primero hay que solicitar al usuario la descarga de los datos personales almacenados en WordPress. Eso se hace en Herramientas > Exportar los datos personales dentro del apartado «Añadir petición de exportación de datos». Se rellena el campo «Nombre de usuario o correo electrónico» y se envía la petición. El usuario recibe en su email la petición de autorización para la descarga de sus datos y hace clic en el link correspondiente, situado en el interior de dicho email.
Si el usuario hace clic, en la lista de solicitantes de Herramientas > Exportar los datos personales, aparecerá el mail del usuario y solo hay que hacer clic en «Descargar de nuevo los datos personales» (este link se ve debajo del mail del usuario si se pone el cursor encima).
Entonces, se descarga automáticamente un archivo zip con los datos. Si se descomprime, se podrá justificar la suscripción, ya que se incluye toda la información e historia de uso dentro de MailPoet (apertura de campañas, etc.). Y, por supuesto, IP, fecha y hora de suscripción; y el valor del campo RGPD con un "1" si se aceptó la política de privacidad en el checkbox.
9. Prueba de consentimiento en formularios de contacto y comentarios
El plugin Adapta RGPD no guarda en la base de datos de comentarios el valor del campo de consentimiento. Pero no se puede comentar sin aprobar la política de privacidad expresamente.
Lo mismo sucede para los formularios de contacto. Por lo tanto, no existirá ningún comentario de nadie sin el consentimiento; como tampoco recibirás ningún email de contacto de nadie que no haya activado la casilla del checkbox con la aceptación de la política de privacidad. Por ello, es conveniente tener un formulario de contacto en tu web porque poner el mail de contacto, sin más, supone que te puedan enviar mails sin conocer tu política de privacidad.
Por lo tanto, no procede una prueba de consentimiento como tal. A efectos de solicitud de datos personales o baja de la base de datos de comentarios, servirá los datos almacenados en la tabla de la base de datos de WordPress que mediante la herramienta phpMyAdmin se puede gestionar.
Para los formularios de contacto, deberías implementar un sistema de copia de seguridad, mediante Takeout, de todos los mensajes que recibas a través de ellos.