¿Crees que tu web cumple con el RGPD porque metiste un pop up de cookies? ¿O piensas que la página de política de privacidad de WordPress es suficiente?
Vaya chasco, lo siento pero alguien tiene que decírtelo y es mejor que sea yo y no la AEPD.
Adaptar una web no es sólo cuestión de tener textos legales o de utilizar un plugin, la adaptación técnica al RGPD en tu WordPress es tan importante como la adecuación legal y en ambos casos, es mejor hacerlo bien, o cruzar los dedos y rezar.
Si no eres de los que encomiendan su web a la providencia o te preocupa que tu web parezca un chiringuito online, yo te recomiendo esta guía de Santi Alonso de Salonsoweb.
A Santi le he confiado la misión sagrada de adecuar técnicamente mi propia web en WordPress al RGPD, y no es que me haya vuelto mística de pronto, mi web es sometida constantemente a la prueba del algodón, y aquí una de las pruebas:
¿Jugamos al "Monstruo de las galletas"? https://t.co/Bjac9OqPbK
— Antonio Cambronero 🚀 Adicto a los blogs (@blogpocket) November 20, 2019
Cómo ves, la adecuación técnica tiene que impecable, de allí que ese trabajo para mi tenga la dimensión de sagrado.
Cómo el resultado ha sido más que satisfactorio, he perseguido a Santi hasta conseguir que te explique de primera mano, cómo ha realizado la adaptación técnica al RGPD de mi web.
Te dejo con él, te aseguro que merece la pena.
Las cosas legales, por lo general, nos dan yuyu.
No tengo claro el porqué, pero pasa. Y me faltan dedos para contar conversaciones con clientes del estilo de:
- Uy, no sé, eso me lo dio «el abogao»™, pero…
- ¿El aviso legal? Eso lo pones tú, que haces la web… ¿no?
- Y si no, lo copiamos de alguno grande, que seguro que lo hace bien.
Si estás leyendo el blog de Marina es porque estás en el otro equipo: el que sabe de la importancia de ser legal incluso en internet.
Te felicito por tus dos dedos de frente.
Yo, con las cosas legales, soy de los que escucha e intenta aprender siempre. Pero aportar, aporto poco.
Donde sí puedo contar algo más es en la parte técnica. Por eso me ha dejado colarme Marina en su blog:
Para hablar de tu página web, de RGPD, de WordPress y de cómo salir de la ilegalidad de manera sencilla.
RGPD legal VS técnico: el origen del caos
Cuando en mayo de 2018 entró en vigor el Reglamento General de Protección de Datos, se desató el caos.
Y una de las razones del caos es que mucha gente no entendía que adaptarse al nuevo reglamento implicada dos partes: una adaptación legal y otra técnica.
Primero la legal. Luego la técnica. Pero siempre había 2 partes.
La parte legal es el paso 1: analizar tu web, entender el tratamiento que haces de los datos, redactar tus modelos de textos legales… en definitiva, todo lo relacionado con la normativa de RGPD. Esos servicios de marketing legal que tan bien ofrece Marina.
El siguiente paso, la parte técnica, sería la aplicación práctica sobre tu página web de todo el punto anterior.
Puede que lo contrates junto, puede que lo hagas separado o que incluso tú te encargues de alguna de las partes.
Pero tienes que tener claro que hay dos fases para adaptarte al RGPD: una legal y una técnica.
De la parte legal, Marina tiene contenido de mucho valor en este blog. Así que hoy vamos a centrarnos en la parte técnica.
Puntos clave del RGPD técnico
Como habrás intuido con el título de este post, vamos a hablar de RGPD técnico sobre WordPress.
¿Por qué? 2 razones simples:
- Primero porque es muy probable que tu página web esté usando este gestor de contenidos. 1 de cada 3 webs en internet usan WordPress, así que la estadística está de mi lado con esta apuesta.
- La segunda razón es más personal: WordPress es la herramienta que más utilizo y manejo en mi día a día. Y no me gusta hablar de lo que no conozco ;).
De todo lo que ya sabes sobre RGPD, a nivel de web nos vamos a quedar con 3 puntos:
- Los textos legales.
- Las (dichosas) cookies.
- El consentimiento y la privacidad.
Textos legales
Venga, voy a empezar por lo fácil. Así cogemos fuerzas para los siguientes.
Si has llegado hasta aquí es porque ya tienes tus textos legales preparados:
Te los habrá redactado Marina, los has conseguido por otra vía o has comprado uno de los kits legales que hay por aquí, adaptados a muchos tipos de negocio.
En cualquier caso, ya tienes claro qué textos legales necesita tener tu web y los tienes preparados.
¿Qué hacemos con ellos?
Crear las páginas legales
Desde el menú de nuestro WordPress nos vamos al apartado de «Páginas», insertamos una nueva y vamos copiando/pegando los textos que tenemos preparado.
¿Fácil, eh? Pues esto lo vamos repitiendo con todas las páginas legales que tengamos que crear.
Conectar la privacidad de WordPress
Desde la versión 4.9.6, WordPress incorpora una opción para marcar cuál es nuestra página de privacidad. Simplemente nos vamos a Ajustes -> Privacidad y elegimos en el desplegable la página que hemos creado.
Publicar en el menú
El último punto es publicar las páginas en la web. Como sabrás, debes tener siempre visible un acceso a tus textos legales. Normalmente, en el pie de la página.
Seguramente tu página web ya tenga un menú en el pie de página. O tu plantilla disponga de esa opción.
Desde Apariencia -> Menús podrás gestionar el contenido de esos enlaces y añadir las páginas con tus textos legales.
Aviso de cookies
Seguramente este haya sido el punto más conflictivo y que más pataletas y dolores de cabeza ha dado: las dichosas cookies.
Además, hace algunas semanas se actualizó la guía con nuestras «interpretaciones».
Pero no me voy a meter en ese jardín, que ya lo explicó Marina en este post sobre cookies y RGPD.
Lo que tengo claro a nivel de web es que:
- Tengo que avisar de las cookies que uso.
- No puedo usar cookies hasta tener el consentimiento del usuario.
Cómo saber qué cookies estás usando
Si utilizas Google Chrome o Firefox como navegadores, tienes herramientas para desarrolladores donde puedes hacer un seguimiento y comprobar las cookies que utiliza tu página web.
Pero si no quieres complicarte la vida, también puedes utilizar una herramienta como cookieserve.com, que se encarga de analizar una URL y decirte toda la información que necesitas sobre las cookies que utiliza.
¡Ojo! Te recomiendo comprobar varias páginas. Es posible que tengas cookies que no se carguen en la página principal de tu web, pero sí en páginas interiores.
Yo suelo analizar:
- La página principal.
- Un artículo/noticia/entrada del blog.
- La página de contacto.
- La ficha de producto, si se trata de una tienda online.
Plugin de cookies para WordPress
Ahora que ya sabes las cookies que usas y tienes claro qué mensaje le tienes que dar al usuario, solo nos queda saber cómo implementar el aviso.
Hace unas semanas, preparando una masterclass sobre este tema en la comunidad de Sabandijers.club, instalé y probé hasta 16 plugins diferentes que parecían ser «la solución definitiva» para el aviso de cookies.
SPOILER: era mentira.
Sí, existen otras soluciones. Hay plugins premium y hay herramientas externas como Cookiebot que también tienen avisos de Cookies.
Pero yo he decidido centrarme en plugins gratuitos que puedas descargar desde el repositorio oficial de WordPress.org.
Como no es plan de darte la chapa sobre los 16 plugins (estoy preparando un artículo en mi web sobre ello), déjame que te cuente el que más me gusta a mí: GPDR Cookie Compliance.
¿Por qué me gusta este plugin de cookies para WordPress?
- Aceptación explícita: no mete ninguna cookie hasta que haces clic en aceptar.
- Botón de rechazar: no es no. Y si le dices que no, no hay cookies.
- Botón de reajustar: como siempre te puedes arrepentir, existe la opción de poner un botón de ajustes, para que el usuario decida siempre qué hacer con sus cookies.
- Personalizable: puedes personalizar botones, colores y textos.
- Sin refrescar página: no necesita refrescar la página para meter las cookies.
- Borra Cookies de Google Tag Manager: lo he probado con cookies desde Google Tag Manager y también es capaz de borrarlas sin problemas.
Lo más importante a tener en cuenta es que debes pegar tus códigos de seguimiento, que son los que meten cookies, en el apartado de Cookies publicitarias y de terceros que tiene el plugin.
Olvídate de ponerlos en el código de la web o con otros plugins. Si no lo pasas por este, no estarás cumpliendo la norma.
El único pero que le pongo a GDPR Cookie Compliance es que no podemos implementar la aceptación por scroll (válida desde noviembre de 2019) con la versión gratuita. Tenemos que irnos a la PRO. Un disgusto 🙁
Nota: a partir de noviembre de 2020, la única aceptación válida es la del botón de aceptar.
Privacidad y consentimiento
Igual que con las cookies, cuando vayamos a recopilar datos de los usuarios debemos dejarle claro qué vamos a hacer con ellos.
En la práctica, esto se traduce en añadir a nuestros formularios:
- Una casilla para que acepten la privacidad (que no puede estar premarcada).
- El texto de la primera capa, que no es más que un resumen del tratamiento que haremos de estos datos.
- Un acceso a nuestra política de privacidad (la que hemos creado al principio del post?
Por lo general, todos los plugins para formularios en WordPress están preparados para incluir una casilla de aceptación. Al menos los decentes.
Pero si no quieres complicarte, puedes usar un plugin como WP GDPR Compliance*. Este plugin, además, está preparado para añadir la casilla de privacidad en:
- Contact Form 7, uno de los plugins más extendidos para formularios de contacto.
- Gravity Forms, seguramente el siguiente más utilizado.
- El sistema de comentarios de WordPress para tu blog.
- WooCommerce, para aquellos proyectos que tengan tienda online.
*Aunque se parecen muchísimo en el nombre, es diferente del plugin de cookies que te contaba antes. Este también incluye un aviso de cookies, pero me gusta mucho menos y no te lo recomiendo para esa parte.
¿Alguna ilegalidad más?
Estos son los pasos que yo sigo para adaptar las webs de mis clientes al RGPD.
Pero, como en los programas de la tele y los anuncios de coches, te recomiendo que siempre sigas todos los pasos bajo el consejo y seguimiento de alguien que sí sepa sobre la parte legal.
La dueña de este blog, por ejemplo, que lo hace estupendo.
En este artículo, aunque no ha sido corto, no he podido contarlo todo. No entra todo esto en un solo post. De hecho, Marina y yo terminamos creando un curso de RGPD para WordPress. Allí hablamos y contamos en detalle todo el proceso de adaptación legal para páginas web en WordPress (sí, incluyendo todo el tema de cookies).
Nota de la dueña del blog posterior al post:
Si te preocupa la estética de tus formularios, otra opción muy legal y muy ingeniosa es la que ha creado Bohdan para insertar esta primera capa de información legal flotante en lead magnets y cualquier formulario. La tienes desarrollada en este post.
Te lo digo por si quieres dar un pasito más hacia la legalidad 😀
Ahora sí que me despido. Puedes localizarme por twitter en @salonsoweb o por mi web, salonsoweb.es (muy original yo, sí).
Modelos de cláusulas informativas
Ya tienes una solución perfecta,
¿Necesitas plantillas para adaptar tu web, blog o e-commerce? no te vayas, elige el Kit que mejor se adapte a tu web y hazte 100%legal.
10 comentarios
Hola Santiago, muy bien artículo. Marina, para ti también un saludo, una pregunta sobre cookies, en el caso de las cookies de afiliados, tengo entendido que cuando agregamos productos de afiliados a nuestra web (de Amazon, por ejemplo) se descarga una cookie que sirve para decirle, en este ejemplo, a Amazon, que el cliente viene de nuestra pagina, ¿Esta cookie puede bloquearse con el GPDR Cookie Compliance que mencionas? Pregunto por qué sé que esta cookie se descarga hasta que el usuario da clic en el producto.
Gracias, Saludos.
Hola, Roberto. Gracias por comentar!
Las cookies de afiliados como Amazon no se incluyen realmente en tu página web. Hasta que el usuario no hace clic y visita la web de destino no se incluye esa cookie, así que la responsabilidad en ese caso de notificarla y bloquearla sería de Amazon.
Eso sí, en los textos legales debes incluir ciertas cláusulas para este tipo de webs (Esto lo explica mucho mejor Marina que yo jeje).
Aún así, a ver qué comenta Marina al respecto.
Un saludo!
Entiendo, gracias por responder Santiago.
Gracias ti Roberto, un abrazo
Hola Roberto, técnicamente, es tal y como comenta Santi, nafa más que añadir, respecto a la parte legal, es obligatorio informar al usuario de forma previa al tratamiento en tu aviso legal sobre la afiliación y en la política de cookies, por eso es importante que tus textos legales respondan a las exigencias informativas, los KITS de nichos de afiliados recogen justamente todas esas exigencias.
Un abrazo y gracias por comentar
Hola Marina, soy de Mexico, se que la ley se aplica a cualquier web que recabe datos de ciudadanos europeos, si compro uno de tus Kits (mas especifico, el de afiliados y nichos) sera suficiente para adecuar mi web, esque eh leido que si eres de otro pais tienes que tener una persona que te represente en la union europea, es esto cierto? ,Y si asi lo es, en el caso de mi web no recabo ningun dato personal, mas que la IP por las cookies que utiliza (analiticas, etc) aun seria necesario una persona que me represente en la UE?
Gracias! Saludos.
Hola Santiago gracias por el contenido y a Marina por invitarte.
En una parte del post mencionas «El único pero que le pongo a GDPR Cookie Compliance es que no podemos implementar la aceptación por scroll» y me perdí con esta implementación. Si pudieras explicarla un poco más, te lo agradecería.
Gracias
Hola, Franklin.
GDPR Cookie Compliance no tiene la opción de aceptar con scroll. Eso solo lo tienes disponible en la opción de pago.
Básicamente, lo que permite es que el usuario acepte al hacer scroll, sin tener que hacer clic en el botón de aceptar.
Gracias por tu comentario!
Muy bueno el tutorial pero como el 100% de los post en ninguno te dicen bajo ningún aspecto algún ejemplo de como añadir manualmente un script de terceros de cookies.. Como por ejemplo como sería el proceso de bloquear Adsense y demás.. así para un usuario básico es imposible, de echo, he escrito varias veces al soporte y se niegan a poner un ejemplo de como se bloquean algunas cookies de ejemplo..
Hola, Ricardo!
Tienes toda la razón. De hecho, el tema de los scripts de terceros es bastante complejo para contarlo en un simple post. Y, en el caso de Adsense, se complica aún más.
Para usuarios sin conocimientos técnicos, mi recomendación es trabajar con otro tipo de soluciones que incluyan un autobloqueador de cookies.
Cookiebot o la versión de pago de GDPR Cookie Consent son buenas alternativas en ese punto.
Un saludo y gracias por comentar!