GDPR: Herramientas de privacidad para acceder, exportar y eliminar datos personales

GDPR datos personales

Seguimos con la serie de artículos dedicados a adecuar tu sitio web a GDPR. Te recuerdo que estoy tomando como referencia un plugin de WordPress concreto que me ha llamado la atención por su sencillez y sofisticación: GDPR Framework.

La norma GDPR otorga a las personas y usuarios muchos nuevos derechos en relación a sus datos personales. Partiendo de tu sitio web WordPress, los tres derechos más importantes son:

  • Tus visitantes pueden solicitar acceder a cualquier información personal que hayas recopilado sobre ellos.
  • Tus visitantes pueden solicitar exportar sus datos personales en formato legible por máquina.
  • Tus visitantes pueden solicitar que borres sus datos personales.
  • A menos que tengas un buen motivo y que esté bien respaldado legalmente, estás obligado a cumplirlo en 30 días.

En este artículo explicaré cómo adaptar tu web en WordPress para poder acceder, exportar y eliminar datos personales de tus visitantes fácilmente.

Ten muy en cuenta que incluso si tu sitio web no tiene la capacidad de registrar cuentas de usuario, aún así podría estar recabando datos personales de los visitantes. Por ejemplo, analítica web, comentarios, revisiones y cualquier tipo de envío de formularios pueden contener datos personales.

El GDPR Framework y otros plugins para WordPress, proporcionan una solución automática y configurable para todos estos menesteres.

Antecedentes legales

Concediendo acceso (GDPR Art. 15)

Una persona interesada tiene derecho a conocer si sus datos personales se están recopilando y/o procesando. En caso afitmativo, tiene derecho a acceder a estos datos. El derecho de acceso incluye el derecho a la copia de sus datos personales que se estén procesando. Una copia electrónica será suficiente en la mayoría de los casos.

Obviamente, debes identificar al sujeto que te pide los datos antes de darle cualquier información.

Ten en cuenta que esto no incluye datos sobre una persona que hayas creado. Por ejemplo, si has almacenado el historial de compras de un cliente en tu sitio web, deberás proporcionarle acceso. Sin embargo, si has tomado notas sobre qué productos debes recomendar basándote en su historial de compras, en este caso no necesitas compartir estas anotaciones.

Borrado de datos personales: el derecho al olvido (GDPR Art. 17)

Una persona interesada tiene derecho a exigir el borrado de sus datos personales si:

  • la base para su procesamiento fue su consentimiento y él o ella lo retira;
  • los datos no son necesarios para el propósito que fueron recopilados;
  • el procesamiento no fue legal;
  • existe una obligación legal de borrado.

Ten en cuenta que si has compartido los datos personales de un sujeto de datos con un tercero, estás obligado a informarle que estos datos deben borrarse.

La mayoría de las veces, si un sujeto de datos solicita el borrado y se cumplen las condiciones mencionadas anteriormente, estás obligado a cumplir con este requerimiento. Sin embargo, hay algunas excepciones. La excepción más relevante es, lo más seguro, los datos de las facturas, que probablemente estés legalmente obligado a conservar.

Obligación de facilitar la opción de portabilidad de datos (GDPR Art. 20)

El sujeto de los datos puede decidir recuperar todos sus datos personales que hayas recopilado e irse a otro lugar con ellos. Esto significa que debes poder proporcionarles los datos en un formato legible por máquina o, alternativamente, transferirlos directamente a otra compañía o servicio. La obligación de proporcionar la portabilidad de datos es válida solo si:

  • el procesamiento se basa en el consentimiento del interesado, y
  • el procesamiento se lleva a cabo por medios automatizados.

¿Qué puedes hacer ahora?

El plugin GDPR Framework de WordPress incluye una página de herramientas de privacidad donde los visitantes pueden autenticarse por correo electrónico o iniciar sesión. En esa página, podrán:

  • Solicitar ver sus datos personales,
  • Solicitar exportar sus datos personales en un formato legible por máquina,
  • Solicitar eliminar sus datos personales,
  • Ver y retirar los consentimientos que han dado.
  • Configurar el complemento para permitir a los clientes ver, exportar o eliminar sus datos personales automáticamente, o pueden hacer que el plugin les envíe una notificación por correo electrónico para que puedan manejar su solicitud manualmente. También pueden configurar el complemento para anonimizar los datos en lugar de eliminarlos. Esto podría ser útil para fines de análisis, suscripciones, etc.

Una importante reflexión acerca del manejo manual de solicitudes de visitantes

Un efecto secundario de la norma GDPR es que la gente puede comenzar a abusar de sus nuevos derechos. El brigading de Internet es una amenaza real. No es descabellado pensar que habrán 100 personas dispuestas a invertir 5 minutos para crear una cuenta en tu sitio web y luego solicitar datos. Si sospechas de que hay grupos de personas que están molestas con tu empresa por alguna razón, este número puede crecer significativamente. Prepárate y automatiza todo.

En el caso del GDPR Framework, si tienes los botones «descargar» y «eliminar» en tu sitio web, debes esperar que los usuarios los utilicen. Ten cuidado si configuras el plugin para que solo les notifique. Considera cuánto tiempo te puede llevar gestionar una solicitud manualmente y luego piensa en lo que puede suceder si obtienes 10 de en un día. ¿O qué pasaría si obtienes 100?

Sin embargo, si tienes un sitio web pequeño, probablemente no sea algo de lo que debas preocuparte.

Configurando el plugin

El plugin GDPR Framework se puede configurar desde el panel de administración a través de Herramientas > Privacidad.

privacidad GDPR Framework

Aquí tienes una vista general de todas las opciones de configuración del plugin.

privacidad opciones GDPR Framework