En este post repasaré los pasos seguidos para adaptar tu blog al RGPD (Reglamento General de Protección de Datos). Así es como se ha hecho en Blogpocket.
Este reglamento en materia de protección de datos, y de obligado cumplimiento para bloggers y dueños de webs con registro de datos privados de usuarios, entró en vigor el 25 de mayo de 2018.
Cómo adaptar tu blog al RGPD: aquí te lo explico
Aunque no seas una empresa, si tu blog captura datos personales por medio de un formulario, y aunque no sean datos de riesgo, debes cumplir una serie de requisitos. En pocas palabras, si solicitas el e-mail para dar de alta a un suscriptor en tu lista de correo, estás obligado a seguir las normas del RGPD. Incluso, si posees un sistema de comentarios, como puede ser el típico de WordPress (o uno externo como Disqus), también debes ceñirte a lo que dice la nueva protección de datos.
La problemática de los cambios técnicos que implica el RGPD fueron esbozados en mi blog de Medium, mucho antes de que se pusiera en marcha: Blogs vs RGPD.
Noches de Blogging: legaliza tu blog en un clic
En Noches de Blogging hay varios episodios donde se explica cómo legalizar tu página web o blog.
¿Cuáles son los documentos legales que hay que generar?
La documentación Web necesaria para adaptar tu blog al RGPD, y cumplir la ley, consta de los siguientes informes.
- Aviso legal. Se trata de información general relativa a los términos y condiciones legales que definen las relaciones entre los usuarios y el responsable del sitio Web. El usuario debe conocer dicha información antes de continuar navegando.
- Política de privacidad. En este documento se explica qué datos personales se recopilo de los usuarios y cómo se utilizan. El usuario debe leer los términos descritos antes de facilitar sus datos personales en el sitio Web.
- Cookies. En la política de privacidad se indica cómo se recopila y utiliza la información. Una de esas formas es a través de las cookies. El usuario debe conocer qué tipos de cookies se usan en el sitio Web y con qué fines. Las cookies que es obligatorio declarar son las denominadas de terceros. Por ejemplo, las de Google Analytics, Adsense y similares.
- Coletilla legal al pie de los e-mail. En cada e-mail que enviemos a nuestros usuarios debemos añadir un resumen con la información básica relacionada con la protección de datos. Si usas MailChimp, esta coletilla se añade a nivel de configuración de la lista -ver
Cómo usar MailChimp y WordPress para hacer una newsletter (y cumplir el RGPD)– - Autorización para el tratamiento de datos. El RGPD exige que el consentimiento a la política de privacidad sea explícito y no tácito como hasta ahora. Eso implica que no se posea dicho consentimiento si la lista de correo es antigua. Para regularizar la situación, existen dos opciones: volver a crear la lista de correo bajo la normativa RGPD o enviar una autorización para el tratamiento de datos con los detalles de nuestra política de privacidad para que se devuelva firmado. En Blogpocket he optado por iniciar la lista de correo de nuevo.
Herramientas para adaptar tu blog al RGPD
Ahora ¡pongámonos manos a la obra!
La primera pregunta a contestar es: ¿existe alguna herramienta, en la que podamos confiar, para realizar la adaptación legal al RGPD de nuestro blog; es decir, generar los documentos legales y realizar todos aquellos ajustes técnicos necesarios?
Afortunadamente sí. Y son las siguientes.
1. LexBlogger.
La herramienta FACILITA RGPD, que se ha comentado al principio, puede resultar suficiente, a la hora de adaptar tu blog al RGPD, pero carece de un canal de soporte con el fin de resolver dudas tanto técnicas como legales.
Por eso, otro tipo de recursos (generalmente, de pago) pueden estar bien si el propósito es un poco más ambicioso.
No olvidemos que, en asuntos legales, no debemos escatimar en esfuerzo ni, quizás, en inversión. No merece la pena arriesgarse a cometer alguna infracción. Y, en este sentido, al parecer la AEPD va a ser muy poco tolerante con las infracciones relacionadas con la protección de datos.
Sin embargo, este tipo de herramientas -amén de cualquier guía o soporte técnico que puedan aportar- no contempla las cuestiones técnicas para las modificaciones que son necesarias realizar a nivel de HTML o a la plataforma de blogging (WordPress, etc.).
Pero ¡no problem! para eso está Blogpocket. Y en este post te voy a indicar, un poco más adelante, dónde está la información que necesitas para realizar esos cambios técnicos, sobre todo en el caso de que uses WordPress.org.
[Tweet «Lee Cómo adapté mi blog al RGPD, artículo en Blogpocket con todos los detalles técnicos.»]
2. Los Kits Legales
Marina Brocca pone a nuestra disposición en su web, sus Kits Legales que cubren la mayoría de los casos normales en los que se necesita legalizar un sitio web.
Aquí tienes más información: Marina Brocca y sus kits para superlegalizar tú mismo tu negocio
3. Adapta RGPD
Adapta RGPD es un plugin de WordPress que puede servir para bloggers sin propósito de lucro y con los formularios típicos (comentarios, contacto y captura de suscriptores).
Este plugin te ayuda a:
Con «Adapta RGPD» conseguirás crear los textos legales imprescindibles, añadir o quitar claúsulas legales (requisito de edad, derecho de exclusión, uso de redes sociales y el programa de afiliados de Amazon de la UE), añadir el banner de cookies y crear la casilla de consentimiento y la primera capa informativa en comentarios y formularios.
Sin embargo, aunque esta herramienta resuelve gratis y de un plumazo la problemática, no se garantiza, solo por usarla, que cumplas la ley. Tendría que ser revisada por un consultor legal.
Cómo crear una landing page de suscripción a la lista de correo
Tener una lista de correo, bajo el nuevo RGPD, implica lo siguiente:
- 1. Uso de un servicio de e-mail marketing, cuyos servidores se encuentren dentro de la Unión Europea. O, en su defecto, que se encuentre acogido al acuerdo EU-US Privacy Shield, cuya información está disponible aquí, aprobado por el Comité Europeo de Protección de Datos. En Blogpocket se emplea MailChimp, que pertenece a EE.UU. pero está acogido al EU-US Privacy Shield.
- 2. Modificar el formulario de suscripción. Debe incluir dos cosas: un checkbox de introducción obligatoria para que el usuario dé su consentimiento explícito a la política de privacidad; y una primera capa informativa con el resumen básico de protección de datos. Para ver los detalles técnicos de cómo se hace esto, acude al artículo Cómo usar MailChimp y WordPress para hacer una newsletter (y cumplir el RGPD).
- 3. Almacenar los consentimientos. Según el RGPD, el consentimiento debe ser verificable. Así que hay que cuidarse de guardar a buen recaudo los registros de cada nueva suscripción. En MailChimp es sencillo porque se envía un mail al responsable de la lista cada vez que se produce un nuevo alta. Ver los detalles técnicos también dentro del post Cómo usar MailChimp y WordPress para hacer una newsletter (y cumplir el RGPD).
- 4. Envío de boletines sin spam, para la finalidad prometida y con la coletilla legal. En cada campaña de MailChimp (en el caso de Blogpocket) se añade la coletilla legal generada en el paso anterior.
De cara a adaptar Blogpocket al RGPD se optó por crear una landing page única enlazada desde diversos sitios.
Dicha landing page incluye un formulario HTML, construido en MailChimp y modificado posteriormente, según lo indicado antes, para añadir el checkbox obligatorio y la coletilla legal.
Cómo almacenar el consentimiento de los usuarios
Como ya se ha explicado, el consentimiento debe ser explícito y verificable.
Eso implica dos cosas:
- 1. Guardar todos los datos de las nuevas suscripciones, para poder demostrar todos los consentimientos.
- 2. Si tienes una lista antigua, es necesario crearla de nuevo, bajo las nuevas condiciones RGPD (y poder demostrar el consentimiento); o solicitar por e-mail a todos los suscriptores un contrato de consentimiento. Si eliges enviar el contrato para que te los devuelvan firmado, puedes generarlo con una herramienta como la app de Lex Blogger, mencionada al principio de este artículo. En Blogpocket, como ya he mencionado, se eligió crear la lista de nuevo. Por otra parte, esta es una buena decisión si tu lista es muy antigua y, por lo tanto, susceptible de contener muchas direcciones spam u obsoletas.
¿Cómo almacenar los consentimientos?
La forma más sencilla, en MailChimp, es guardar todos los correos recibidos que ese servicio de email marketing envía cuando se produce una nueva suscripción.
En el post Cómo adaptar los formularios al RGPD y cumplir la ley se explica el método tanto para MailChimp como para el caso de que se utilice Mailrelay. Para otros servicios habrá que buscar el método de recibir ese mensaje de correo con la confirmación de la nueva suscripción conteniendo todos los datos, incluido el valor del consentimiento.
También es aconsejable que crees un filtro (segmento) en tu lista, con los distintos valores del consentimiento («dieron su consentimiento» y «quitaron el consentimiento», básicamente). Eso te permitirá estar seguro de que solo envías campañas a los suscriptores que mantienen el consentimiento. En el post para configurar MailChimp, previamente citado, se explica cómo puedes hacer esto.
Cómo adaptar el sistema de comentarios
En Cómo adaptar los formularios al RGPD y cumplir la ley encontrarás una descripción precisa sobre los detalles técnicos que supone la adaptación legal de tu blog al RGPD, si capturas datos a través de cualquier tipo de formulario.
Hemos visto antes, en este post que estás leyendo, qué hay que hacer en el caso de los formularios de suscripción, para adaptar tu blog al RGPD.
Pero si tienes un sistema de comentarios como el nativo de WordPress.org también necesitas añadir el checkbox, para que el usuario acepte la política de privacidad; y, por supuesto, la coletilla legal con la información básica de protección de datos, como primera capa.
La forma más fácil de añadir el checkbox para los comentarios de WordPress es utilizar el plugin Adapta RGPD, mencionado anteriormente.
El checkbox, para los comentarios de WordPress.org, también se puede añadir con el plugin de pago RGPD para comentarios de Enrique J. Ros.
Ese plugin también almacena los valores, incluido el valor del consentimiento explícito, en la Base de Datos de WordPress (ver el post Cómo adaptar los formularios al RGPD y cumplir la ley para más detalles técnicos).
En ese mismo post también se explica cómo añadir la coletilla legal.
Cómo implementar el aviso legal sobre cookies
En Blogpocket, se usa la herramienta de pago CookieBot, cuya ventaja principal es que escanea tu web en busca de las cookies y las bloquea automáticamente antes de que el usuario exprese su consentimiento. Eso es lo que exige la ley desde el 1 de octubre de 2019 por Sentencia del Tribunal de Justicia Europeo. En dicha sentencia se determinó que el consentimiento para las cookies debe ser explícito: no podemos asumirlo o darlo por válido de antemano. Y, eso no es todo: los formularios de consentimiento de cookies con casillas premarcadas son inválidos. En definitiva, debemos dar consentimiento expreso antes de que nuestros datos sean recopilados por un sitio web.
Contrato de terceros y otra documentación intern
En un apartado anterior de este artículo, se expusieron los cinco documentos legales que debes generar.
Pero existen otros también importantes.
Entre esos documentos el denominado «Contrato terceros» es significativo.
La razón es bien simple: es posible que lo necesites para firmar un contrato entre tú, como responsable de los datos capturados (suscripción, contacto, comentarios, etc.) y tus terceros.
¿Que es un tercero?
Un tercero es una persona física o jurídica, autoridad pública, servicio o cualquier mecanismo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable de tratamiento. Los encargados del tratamiento más comunes suelen ser personas, gestorias, consultorías y abogados, que tratan tratamiento de datos personales de otras empresas.
En el caso de Blogpocket, el tercero es el servicio de alojamiento Web, SiteGround.
Si la política de privacidad del tercero no está preparada para asumir el RGPD, tendrás que poseer ese contrato firmado por ambas partes.
Configuración de la cuenta de Google Analytics
Para que tu cuenta de Google Analytics se adapte al RGPD debes realizar una serie de configuraciones.
Las hemos recogido en el post Cómo configurar tu cuenta de Google Analytics para cumplir el RGPD y se han resumido en el hilo de Twitter que puedes seguir así mismo a partir del tweet embebido que aparece al principio de este apartado.
Eliminación de las Google Fonts
Las fuentes de Google recopilan también datos como tu dirección IP.
En el siguiente artículo de Blogpocket encontrarás un tutorial para eliminar la llamada al script de las Google Fonts, que probablemente se utilicen en tu plantilla activa de WordPress. Y para que no pierdas esas fuentes, aprenderás a generar el CSS correspondiente y a obtener los archivos para que puedas subirlos a tu espacio web, sin necesidad de esa llamada a recursos externos, que también provocan una penalización del rendimiento: RGPD y Google Fonts: cómo proteger la privacidad de tus visitas si usas las fuentes de Google.
Adaptar tu blog al RGPD: Conclusiones
En este post se ha descrito el proceso necesario para adaptar tu blog al RGPD.
Te he dado también los enlaces a las artículos de Blogpocket donde puedes obtener toda la información técnica con la que implementar la adaptación legal.
El método consiste en tan solo dos pasos:
- 1. Aprender a realizar los cambios a los formularios para añadir checkbox y coletilla legal. Y cómo guardar y archivar los datos, a efectos de verificarlos.
- 2. Generar los documentos legales (aviso legal, privacidad, cookies, etc.) con los Kits Legales o con la app de LexBlogger.
Espero que compartas este post en tu blog y en las redes sociales.
Deja una respuesta