El 25 de mayo se encuentra marcado en el calendario de todo aquel que tiene su propia plataforma web.
Esta es la fecha límite que establece el «REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos)«, o comúnmente denominado GDPR, para la adaptación de nuestros portales a dicha normativa.
Puede consultar el texto legal aquí.
Por ello, hemos realizado el siguiente artículo, que tiene como objetivo ser una aproximación para todas aquellas personas que tengan un blog bajo la plataforma WordPress, a fin de que den cumplimiento a las obligaciones que establece el nuevo Reglamento General de Protección de Datos.
Se ha intentado realizar una guía lo más simple y breve posible, eliminando todos aquellos aspectos de la legislación que no afectarían de forma directa a los blogs sobre esta plataforma por norma general.
¿Qué regula el Reglamento General de Protección de Datos?
Básicamente, el tratamiento de datos de los usuarios que se realizan a través de plataformas web.
El presente Reglamento se aplica al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero.
¿A quién y en qué casos se aplica el GDPR?
Entre otros, a todos aquellos propietarios de un blog en la plataforma WordPress, siempre que se de alguno de los tres supuestos:
Los servidores o el propietario del portal se encuentren dentro de la Unión Europea
En el caso de que el propietario del portal o los servidores donde se aloja la plataforma se encuentre dentro de la UE.
El presente Reglamento se aplica al tratamiento de datos personales en el contexto de las actividades de un establecimiento del responsable o del encargado en la Unión, independientemente de que el tratamiento tenga lugar en la Unión o no.
Ofertar bienes o servicios a usuarios en el espacio de la UE, con independencia de que medie pago
Sin duda este requisito se encuentra pensado para las grandes plataformas sociales como Facebook, Twitter, Instagram, pero también podría afectar a bloggers internacionales que ofrezcan sus servicios a usuarios de la UE.
El presente Reglamento se aplica al tratamiento de datos personales de interesados que residan en la Unión por parte de un responsable o encargado no establecido en la Unión, cuando las actividades de tratamiento estén relacionadas con: a) la oferta de bienes o servicios a dichos interesados en la Unión, independientemente de si a estos se les requiere su pago…
Utilizar medios de análisis de comportamiento a usuarios de la Unión Europea
Otro requisito hecho a medida. Esta vez es para aplicar el GDPR a Google Analytics y a otras herramientas diseñadas para estudiar el comportamiento de los usuarios de la UE.
el control de su comportamiento, en la medida en que este tenga lugar en la Unión.
En resumen, con estos 3 requisitos hacen que el GDPR se aplique a la práctica totalidad de los blogs existentes.
El consentimiento del usuario para el tratamiento de sus datos según el GDPR
Sin duda, este es el pilar fundamental sobre el que gira este nuevo Reglamento General de Protección de Datos (GDPR en inglés). Para realizar el tratamiento de datos deberemos obtener el consentimiento explicito del usuario para poder realizar el tratamiento de sus datos, debiendo informarlo previamente sobre ciertas facetas del tratamiento de los mismos y su finalidad.
Para ello en la actualidad se están desarrollando numerosos plugins a fin de realizar este cometido.
Requisitos para la obtención del consentimiento en el GDPR
Son dos las formas mediante las que el gestor de una plataforma de WordPress puede obtener el consentimiento de sus usuarios para el tratamiento de sus datos personales:
- Que haya mediado un consentimiento expreso del usuario para el tratamiento de sus datos para un fin determinado,
- Que el usuario haya contratado algún servicio o bien para el que sean necesarios sus datos personales.
El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:
a) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos;
b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales;
¿Cómo tiene que ser ese consentimiento?
El consentimiento del usuario tiene que ser expreso, expuesto de una forma clara, concisa y con un lenguaje sencillo.
Si el consentimiento del interesado se da en el contexto de una declaración escrita que también se refiera a otros asuntos, la solicitud de consentimiento se presentará de tal forma que se distinga claramente de los demás asuntos, de forma inteligible y de fácil acceso y utilizando un lenguaje claro y sencillo. No será vinculante ninguna parte de la declaración que constituya infracción del presente Reglamento.
Recordar que la carga de la prueba en caso de que existiera alguna controversia recae sobre el gestor de la plataforma y no sobre el usuario.
Cuando el tratamiento se base en el consentimiento del interesado, el responsable deberá ser capaz de demostrar que aquel consintió el tratamiento de sus datos personales.
Por ello, a la hora de poner a disposición del usuario un formulario de contacto o de registro, habrá que poner junto al mismo una serie de datos y advertencias que describiremos más abajo en este artículo.
El consentimiento para datos sensibles en el Reglamento General de Protección de Datos
Cuando se traten datos de ce características «especiales» como pueden ser los relativos a
…el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientación sexuales de una persona física…
se requerira el consentimiento explícito de los usuarios así como la concreción de los fines específicos de dichos datos.
Esto puede cambiar en el futuro, teniendo los distintos estados la opción de legislar medidas concretas sobre este tipo de datos.
Excepción a la obtención del consentimiento
Si los datos obtenidos fueran de carácter «anónimo«, es decir, no permitiesen de ninguna forma la identificación del interesado, no sería necesario la obtención de su consentimiento.
Si los fines para los cuales un responsable trata datos personales no requieren o ya no requieren la identificación de un interesado por el responsable, este no estará obligado a mantener, obtener o tratar información adicional con vistas a identificar al interesado con la única finalidad de cumplir el presente Reglamento.
Se podría pensar que en esta categoría podrían encontrarse las cookies, pero de ello hablaremos al final.
Derechos del usuario en el nuevo GDPR
El Reglamento General de Protección de Datos de la Unión Europea recoge los siguientes derechos de los usuarios, de los cuales tendrá que informarse a los usuarios y poner a su disposición todas las herramientas para que puedan ejercerlos:
Derecho de información
Cuando el responsable de tratamiento de datos (quien determina el por qué se recogen los datos y el cómo se realizan, es decir, el propietario del blog en la mayoría de las ocasiones) solicite el consentimiento de los datos personales del usuario, tendrá que poner a su disposición la siguiente información sobre él mismo:
- Identidad y datos de contacto del responsable del tratamiento de datos, o en su caso, del representante.
- Datos de contacto del delegado de protección de datos, si lo hubiere.
- Los fines del tratamiento de datos y la legislación aplicable.
- La categoría de los datos personales que se solicitan.
- Los destinatarios de esos datos personales.
- La intención de transferir los datos del usuario a un destinatario de un estado fuera de la UE.
- El plazo durante el que se conservarán los datos personales del usuario.
- La existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales relativos al interesado, y su rectificación o supresión, o la limitación de su tratamiento, y a oponerse al tratamiento, así como el derecho a la portabilidad de los datos.
- La existencia del derecho a retirar el consentimiento.
- El derecho a presentar una reclamación ante una autoridad de control.
- La fuente de la que proceden los datos personales.
- La existencia de decisiones automatizado, importancia y consecuencias para el usuario de dicho tratamiento.
Toda esta información deberá ser accesible para el usuario en el momento de recabar sus datos personales, debiendo el usuario consentir expresamente el tratamiento de sus datos para los fines para los que son obtenidos.
Alternativas para poder ofrecer esta información podrían ser la inclusión de una landing page con toda esta información, así como un resumen de la misma a la hora de solicitar su registro o sus datos mediante formulario, debiendo el usuario dar su aprobación.
Todo ello de forma simple, clara, entendible y concisa, casi nada.
Derecho de acceso
El usuario tiene derecho a conocer si se está realizando tratamiento de sus datos personales, el derecho de acceso a los mismos y a la información expuesta en el anterior epígrafe.
Para ello el responsable del tratamiento tendrá la obligación de facilitar una copia al usuario de los datos personales tratados si este se lo requiriere. Dicha copia no tiene por qué ser gratuita, pero el precio no podrá ser superior a los gastos administrativos incurridos por el responsable de entregar dicha información.
El responsable del tratamiento facilitará una copia de los datos personales objeto de tratamiento. El responsable podrá percibir por cualquier otra copia solicitada por el interesado un canon razonable basado en los costes administrativos. Cuando el interesado presente la solicitud por medios electrónicos, y a menos que este solicite que se facilite de otro modo, la información se facilitará en un formato electrónico de uso común.
Para dar cumplimiento a este requisito habría que poner a su disposición alguna línea de comunicación (teléfono, email, formulario, chat) a fin de que el usuario pueda acceder a los datos personales aportados por él mismo.
Recordar que en el caso de contar con bases de datos de usuarios muy extensas, igual sería interesante la automatización del servicio mediante algún plugin.
Derecho de rectificación
El usuario tendrá derecho a la rectificación de cualquiera de los datos facilitados, así como a la complementación de los mismos, debiendo tramitarse con la mayor celeridad posible.
El interesado tendrá derecho a obtener sin dilación indebida del responsable del tratamiento la rectificación de los datos personales inexactos que le conciernan. Teniendo en cuenta los fines del tratamiento, el interesado tendrá derecho a que se completen los datos personales que sean incompletos, inclusive mediante una declaración adicional.
En este caso sería aplicable lo expuesto en el párrafo anterior, habría que poner a disposición del usuario líneas de comunicación para que pueda ejercer sus derechos. Es de valorar al igual que en el caso anterior, la opción de la automatización.
El derecho al olvido (derecho de oposición)
El usuario tendrá derecho a que se eliminen los datos personales que no sean necesarios en relación con los fines con los que se obtuvieron.
Asimismo, también derecho a que dichos datos sean borrados si:
- Si el usuario retira el consentimiento;
- No se obtuvo en consentimiento de forma legal;
- Existiere la obligación legal de borrado.
El interesado tendrá derecho a obtener sin dilación indebida del responsable del tratamiento la supresión de los datos personales que le conciernan, el cual estará obligado a suprimir sin dilación indebida los datos personales.
Al igual que en los anteriores epígrafes, es necesario aportar al usuario toda esta información y los medios para que pueda hacerlo en caso de necesitarlo.
Protección de datos desde el diseño y por defecto
Este principio establece:
- Que se deben de minimizar lo máximo posible el tratamiento de datos;
- Cuando a un usuario se le presente una disyuntiva, la opción por defecto será negativa;
- Las solicitudes de protección de datos tienen que encontrarse perfectamente diferenciadas del resto del contenido;
- Toda la información en materia de tratamiento y protección de datos tiene que ser facilmente accesible para el usuario y la redacción de la misma tene que ser clara, concreta, concisa y simple.
Si el consentimiento del interesado se da en el contexto de una declaración escrita que también se refiera a otros asuntos, la solicitud de consentimiento se presentará de tal forma que se distinga claramente de los demás asuntos, de forma inteligible y de fácil acceso y utilizando un lenguaje claro y sencillo. No será vinculante ninguna parte de la declaración que constituya infracción del presente Reglamento.
…
Teniendo en cuenta el estado de la técnica, el coste de la aplicación y la naturaleza, ámbito, contexto y fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad que entraña el tratamiento para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará, tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento, medidas técnicas y organizativas apropiadas, como la seudonimización, concebidas para aplicar de forma efectiva los principios de protección de datos, como la minimización de datos, e integrar las garantías necesarias en el tratamiento, a fin de cumplir los requisitos del presente Reglamento y proteger los derechos de los interesados.
El responsable del tratamiento aplicará las medidas técnicas y organizativas apropiadas con miras a garantizar que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento. Esta obligación se aplicará a la cantidad de datos personales recogidos, a la extensión de su tratamiento, a su plazo de conservación y a su accesibilidad. Tales medidas garantizarán en particular que, por defecto, los datos personales no sean accesibles, sin la intervención de la persona, a un número indeterminado de personas físicas.
¿Qué sucede con las cookies en el GDPR?
Este tema es bastante controvertido y va a generar muchos quebraderos de cabeza entre usuarios y desarrolladores.
Las personas físicas pueden ser asociadas a identificadores en línea facilitados por sus dispositivos, aplicaciones, herramientas y protocolos, como direcciones de los protocolos de internet, identificadores de sesión en forma de «cookies» u otros identificadores, como etiquetas de identificación por radiofrecuencia. Esto puede dejar huellas que, en particular, al ser combinadas con identificadores únicos y otros datos recibidos por los servidores, pueden ser utilizadas para elaborar perfiles de las personas físicas e identificarlas.
Las cookies pueden servir para identificar al usuario, y por lo tanto, reciben el mismo tratamiento que el resto de datos del Reglamento General de Protección de Datos.
El usuario tendrá que consentir el uso de las mismas, explicándosele claramente y de forma previa la funcionalidad y consecuencias que tienen para sus datos, que debe seleccionar él cada categoría de cookies que quiere se le apliquen, y que se le den la opción de que dejen de aplicársele con la misma simpleza que cuando las acepto.
Todo ello, respaldado con un sistema de registro para tener constancia de la aceptación o rechazo del consentimiento.
Por lo tanto, la coletilla «si sigue navegando se entiende que acepta el uso de las mismas» o similares ya no es válida.
Ejemplo de como se aplicaría correctamente lo anteriormente expuesto anteriormente lo tenemos en la página de IBM España.