El Reglamento de Protección de Datos de la UE entró en vigor el 25.05.2018. Le mostramos las medidas técnicas que debe implementar para operar tu WordPress de manera legalmente compatible. Sin subirnos al tren del pánico, le ofrecemos una visión general de las precauciones técnicas que consideramos importantes en el contexto del GDPR.
Información actualizada: Hemos resumido nuestra experiencia colectiva en la conversión de Raidboxes a los requisitos de RGPD en un guía gratuita de WordPress RGPD resumido. Esto también incluye las medidas técnicas de WordPress de este artículo.
Descargo de responsabilidad: nuestra publicación en el blog no es un consejo legal. En el marco de nuestro trabajo como WordPress -hoster nos hemos ocupado muy intensamente de la actual normativa alemana de protección de datos y de la próxima EU-DSGVO. Sin embargo, no somos ni abogados ni expertos en protección de datos. No asumimos ninguna responsabilidad por la integridad, la actualidad y la exactitud de las medidas y los contenidos proporcionados por nosotros.
Plugins WordPress - eliminar y sustituir por alternativas que cumplan con el RGPD
Incluso todos los plugins, que son proporcionados por la propia empresa comercial WordPress , requieren una conexión válida a wordpress.com y, por tanto, también una conexión directa no sólo a los datos de tus , sino también, por ejemplo, a la IP personal de los visitantes del sitio web tus . Son el ejemplo perfecto del tipo de Plugins que es mejor reemplazar por una alternativa que cumpla con la EU-DSGVO desde el 25 de mayo de 2018, al menos hasta que los vendedores lancen una versión de su Plugins que cumpla con la ley.
A modo de ejemplo, en el directorio WordPress Plugin se encuentran las siguientes direcciones de Automattic WordPress -Plugins para todos los representantes de sus respectivas divisiones:
- Jetpack (Estadísticas-Plugin)
- Gravatar (Comunidad-Plugin)
- Akismet (Anti-Spam Plugin)
- VaultPress (Copia de seguridad Plugin)
- WP Super Cache (Caché Plugin)
Para que el sitio web tu siga funcionando de acuerdo con sus necesidades, puede utilizar las siguientes alternativas, que no revelan ninguna información personal sobre los visitantes de tus .
Recoge estadísticas anónimas de los visitantes
Por supuesto, también nos gustaría saber qué es lo que funciona especialmente bien en nuestro sitio web, qué se lee o se comparte, cuánto tiempo permanecen los visitantes o cuál es la tasa de rebote. Con la EU-DSGVO, la situación legal se endurece un poco más. Debe anonimizar por completo a todos los visitantes del sitio web tus , al igual que hacía con el anterior Reglamento alemán de protección de datos. Sin embargo, no se pueden transferir datos personales a otros servicios.
Por este motivo, recomendamos Statify para que todos los datos personales anonimizados permanezcan en el sitio web tus y no se compartan con ningún otro servicio.
Según los desarrolladores de Statify, el sitio web Plugin no procesa, envía ni almacena ningún dato personal, como cookies o direcciones IP, fuera del sitio web tus .
Utiliza avatares que cumplan con la ley para el blog y los comentarios
- Laprivacidad de los avatares permite el uso compatible con el RGPD de la función WordPress de gravatar
Avatar Privacy de Johannes Freudendahl ofrece las siguientes características para la aplicación del GDPR: En primer lugar, no publica el hash de las direcciones de correo electrónico si no hay una cuenta de Gravatar para ello. Por otro lado, ofrece una opción de inclusión o exclusión para la visualización del Gravatar en los comentarios y en el perfil del usuario. Además, Plugin proporciona nuevos avatares por defecto que se cargan desde el servidor local en lugar de los servidores de gravatar.com en Estados Unidos.
Una alternativa es desactivar completamente los gravatares en tu propio sitio web:
- Avatar de usuario de WP en lugar de Gravatar
Sin embargo, para desactivar por completo Gravatar en WordPress , es necesario realizar los siguientes ajustes en el área de administración de WordPress en el elemento de menú "Configuración": Desplácese hacia abajo en el submenú bajo Discusiones hasta llegar a la sección Avatares. A continuación, desactive la casilla: "Visualización de avatares - Mostrar avatares". Haga clic en Guardar para aplicar la configuración y borrar la caché tus sitio . Ahora el sitio web tu ya no debe comunicarse con wordpress.com .
Procedimiento de doble inclusión en los comentarios
Aquí hay que decir de antemano que la notificación de otros comentarios sobre el propio comentario ya presupone la transmisión de datos. Si quieres excluir una interpretación negativa de esta "zona gris", utiliza el plugin gratuito Suscribirse a los comentarios de doble entrada. De este modo, el visitante debe confirmar activamente por adelantado que realmente quiere recibir notificaciones de los comentarios de seguimiento.
Restringir la protección antispam a tu propio sitio web
- Antispam Bee en lugar de Akismet
Antispam Bee puede utilizarse en cumplimiento del GDPR si se observa la siguiente configuración de Plugins : La función "Considerar la base de datos pública de spam" debe ser desactivada para evitar que las direcciones IP de los visitantes de tus sean transmitidas al servicio Stop Forum Spam. El filtro lingüístico, que utiliza la API de Google, es, en contra de lo que suponen muchos en materia de protección de datos, técnicamente poco problemático:
Si se ha activado el filtro de voz, las diez primeras palabras de cada comentario se envían al servicio de reconocimiento de voz de Google. Tres palabras del contenido del comentario. Ni la dirección de correo electrónico, ni el nombre de la persona que comenta, ni la dirección IP. En resumen: no hay datos personales y, por tanto, no hay problema. - Simon Kraft, miembro del Pluginkollektiv
WordPress -Backup-Plugins sustituir por soluciones alternativas
Para contrarrestar la transferencia de datos personales a servidores estadounidenses, por ejemplo, y como efecto secundario positivo para liberar más capacidades de rendimiento en el sitio web tus , le recomendamos que no utilice en el futuro la copia de seguridad especial WordPress Plugins .
Una alternativa mejor es utilizar las copias de seguridad automáticas de WordPress a través de tu proveedor de alojamiento de WordPress, por ejemplo, en Raidboxes.
Utilizar la caché del servidor web en lugar de la caché de WordPress Plugin
- Caché del lado del servidor en lugar de WP Super Cache
Muchas páginas de cachéPlugins, incluida la de Automattic, hacen un buen trabajo de caché en el sitio web tu . El almacenamiento en caché permite que el sitio web se entregue más rápidamente. Sin embargo, el almacenamiento en caché también conlleva la pérdida de control sobre los datos.
Una alternativa jurídicamente segura, que también garantiza la desaparición del rendimiento de Plugins , es utilizar la caché del lado del servidor de WordPress especializada -hoster .
La ventaja: los datos ya están almacenados cuando se entregan y se encuentran al menos en Raidboxes sólo en servidores alemanes con certificación ISO 27001 garantizada.
Evite las redes sociales problemáticas Plugins, como el botón "Me gusta" de Facebook, el cuadro "Me gusta" o los widgets de Twitter.
- Shariff Wrapper en lugar de, por ejemplo, ShareThis
Los servicios para compartir a menudo ya utilizan los datos tan pronto como los visitantes de tu están en el sitio web con una red social activa Plugin . Aunque un usuario aún no haya compartido nada, los datos ya se han transmitido. Esto es todavía muy desconocido, pero es crítico en términos del GDPR. Durante nuestra búsqueda de soluciones que cumplan con la ley, sólo encontramos una red social gratuita Plugin , que impide la transferencia de datos incluso antes de que se haga clic en el botón de compartir.
Por lo tanto, en este momento, recomendamos eliminar los widgets integrados de Twitter, los botones de "Me gusta" de Facebook o el widget de "Me gusta" de la caja y confiar en el sitio social de Shariff Wrapper Plugin para los botones de compartir en las publicaciones.
Formulario de contacto -Plugins como, por ejemplo, Contact Form 7 y Gravity Forms también se utiliza con la EU-DSGVO
Nuevos requisitos para los formularios de contacto
Según el Reglamento General de Protección de Datos, el envío de un formulario requiere el consentimiento del remitente. No sólo la IP personal, sino también la dirección de correo electrónico y el propio contenido se consideran datos. Se puede implementar un opt-in para el consentimiento del almacenamiento de datos a través de una casilla de aceptación adicional en Contact Form 7 y Gravity Forms, por ejemplo, con la aplicación gratuita Plugin WP GDPR Compliance implementar.
A medio y largo plazo, estamos convencidos de que todos los desarrolladores conocidos de Plugin aplicarán la normativa necesaria para cumplir con el GDPR. Hasta entonces, DSGVO-Plugins puede hacer un buen trabajo.
newsletter de noticias y marketing por correo electrónico
En los formularios de sus boletines, sólo la dirección de correo electrónico debe ser un campo obligatorio, todos los demás datos, como el nombre y los apellidos, sólo deben pedirse de forma opcional. Al igual que con todos los formularios, el procedimiento de doble opt-in también se aplica al formulario del newsletter informativo, así como la mayor transparencia posible en la información sobre lo que se pretende hacer u ofrecer exactamente con el newsletter.
El procedimiento de doble inclusión sigue siendo la norma
Si aún no lo ha hecho, utilice siempre el procedimiento de doble opt-in a partir de ahora. Con el doble opt-in, el destinatario del correo electrónico debe hacer clic explícitamente en el enlace de un correo electrónico de confirmación una segunda vez después del primer registro para ser añadido a la lista de distribución. Esto garantiza que nadie se inscriba en un newsletter informativo en su nombre y que la inscripción real también sea deseada por usted.
Medidas técnicas fuera de tus WordPress -Plugins
Encriptación SSL
El cifrado SSL no es obligatorio en el GDPR, pero sin una conexión SSL no es posible una transmisión de datos segura en el sitio web tu . También puede obtener más información sobre SSL en nuestro extenso Compendio de SSL de Let's Encrypt.
¿No quiere configurar usted mismo el certificado SSL? A continuación, utilice, por ejemplo, los certificados SSL de Let's Encrypt, que puede activar rápida y fácilmente para el sitio web tu WordPress gratis mediante una instalación de 1 clic.
Crear la exclusión de Google Analytics
En este contexto, cabe señalar una vez más que, incluso antes de la DSGVO de la UE, la anterior españoles DSGVO, que seguía siendo válida, ya estipulaba la anonimización completa de los visitantes desde hacía años. Para asegurar esto, el muy usado Google Analytics debe ser extendido por la siguiente línea de código ahora a más tardar:
ga('set', 'anonymizeIp', true);
Debería haber tu fragmento de javascript tenía este aspecto de antemano:
<script>
(function(i,s,o,g,r,a,m){i['GoogleAnalyticsObject']=r;i[r]=i[r]||function(){
(i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o),
m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m)
})(window,document,'script','https://www.google-analytics.com/analytics.js','ga');
ga('create', 'UA-XXXXXXXX-X', 'auto');
ga('require', 'displayfeatures');
ga('require', 'linkid', 'linkid.js');
ga('send', 'pageview');
</script>
el código se ve así después de añadirlo:
<script>
(function(i,s,o,g,r,a,m){i['GoogleAnalyticsObject']=r;i[r]=i[r]||function(){
(i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o),
m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m)
})(window,document,'script','https://www.google-analytics.com/analytics.js','ga');
ga('create', 'UA-XXXXXXXX-X', 'auto');
ga('require', 'displayfeatures');
ga('require', 'linkid', 'linkid.js');
ga('set', 'anonymizeIp', true);
ga('send', 'pageview');
</script>
Además, debe crear una posibilidad en su política de privacidad para que los visitantes de tus puedan excluirse completamente de Google Analytics. Puede encontrar una opción de exclusión gratuita Plugin para Google Analytics llamada Google Analytics Opt-Out en el directorio WordPress -Plugin-. Esto instala una cookie que impide que analytics.js recoja los datos.
Direcciones IP anónimas en los comentarios del blog
WordPress almacena por defecto las direcciones IP de los autores de los comentarios. Sin embargo, según la EU-DSGVO, la recopilación de la dirección IP no cumple con la protección de datos. Puede utilizar un pequeño código PHP en tus functions.php para evitar el almacenamiento futuro de las direcciones IP. Recomendamos utilizar una página web hijaTheme para ello, de modo que el código siga integrado después de la siguiente actualización tu Themes . El código a insertar es:
function wpb_remove_commentsip( $comment_author_ip ) {
return '';
}
add_filter( 'pre_comment_user_ip', 'wpb_remove_commentsip' );
Por último, debe eliminar manualmente las direcciones IP existentes con carácter retroactivo en la base de datos del sitio web tus una vez. Puede encontrar un buen tutorial sobre cómo hacerlo aquí.
La EU-DSGVO tiene muchos más requisitos (nuevos) para usted como operador de un sitio web que las medidas técnicas explicadas anteriormente en el sitio web tus WordPress .
Una buena inversión es, por ejemplo, el libro electrónico de pago sobre la UERGPD de t3n para aplicar los requisitos del Reglamento General de Protección de Datos europeo en todo lo que te afecta como empresario.
Agradecemos cualquier opinión y comentario bajo el artículo.
