RGPD & WordPress: Las medidas técnicas que debe aplicar ahora

Torben Simon Meier Última actualización 25.03.2020
7 min.
RGPD Y WordPress

El Reglamento de Protección de Datos de la UE entró en vigor el 25.05.2018. Le mostramos las medidas técnicas que debe implementar para operar tu WordPress de manera legalmente compatible. Sin subirnos al tren del pánico, le ofrecemos una visión general de las precauciones técnicas que consideramos importantes en el contexto del GDPR.

Información actualizada: Hemos resumido nuestra experiencia colectiva en la conversión de RAIDBOXES a los requisitos de la DSGVO en un WordPress DSGVO-Guide resumido. Esto incluye también las medidas técnicas WordPress de este artículo.

línea infobox azul

Descargo de responsabilidad: nuestra publicación en el blog no es un consejo legal. En el marco de nuestro trabajo como WordPress -hoster nos hemos ocupado muy intensamente de la actual normativa alemana de protección de datos y de la próxima EU-DSGVO. Sin embargo, no somos ni abogados ni expertos en protección de datos. No asumimos ninguna responsabilidad por la integridad, la actualidad y la exactitud de las medidas y los contenidos proporcionados por nosotros.

Automattic WordPress  Plugins

WordPress -Plugins eliminar y sustituir por alternativas que cumplan con el GDPR

Incluso todos los Plugins, que son proporcionados por la propia empresa comercial WordPress , requieren una conexión válida a wordpress.com y, por tanto, también una conexión directa no sólo a los datos de tus , sino también, por ejemplo, a la IP personal de los visitantes del sitio web tus . Son el ejemplo perfecto del tipo de Plugins que es mejor reemplazar por una alternativa que cumpla con la EU-DSGVO desde el 25 de mayo de 2018, al menos hasta que los vendedores lancen una versión de su Plugins que cumpla con la ley.

A modo de ejemplo, en el directorio WordPress Plugin se encuentran las siguientes direcciones de Automattic WordPress -Plugins para todos los representantes de sus respectivas divisiones:

Para que el sitio web tu siga funcionando de acuerdo con sus necesidades, puede utilizar las siguientes alternativas, que no revelan ninguna información personal sobre los visitantes de tus .

Recoger estadísticas anónimas de los visitantes

Por supuesto, también nos gustaría saber qué es lo que funciona especialmente bien en nuestro sitio web, qué se lee o se comparte, cuánto tiempo permanecen los visitantes o cuál es la tasa de rebote. Con la EU-DSGVO, la situación legal se endurece un poco más. Debe anonimizar por completo a todos los visitantes del sitio web tus , al igual que hacía con el anterior Reglamento alemán de protección de datos. Sin embargo, no se pueden transferir datos personales a otros servicios.

Por este motivo, recomendamos Statify para que todos los datos personales anonimizados permanezcan en el sitio web tus y no se compartan con ningún otro servicio.

Según los desarrolladores de Statify, el sitio web Plugin no procesa, envía ni almacena ningún dato personal, como cookies o direcciones IP, fuera del sitio web tus .

Utilizar avatares legalmente conformes para el blog y los comentarios

Avatar Privacy de Johannes Freudendahl ofrece las siguientes características para la aplicación del GDPR: En primer lugar, no publica el hash de las direcciones de correo electrónico si no hay una cuenta de Gravatar para ello. Por otro lado, ofrece una opción de inclusión o exclusión para la visualización del Gravatar en los comentarios y en el perfil del usuario. Además, Plugin proporciona nuevos avatares por defecto que se cargan desde el servidor local en lugar de los servidores de gravatar.com en Estados Unidos.

Una alternativa es desactivar completamente los gravatares en su propio sitio web:

Sin embargo, para desactivar por completo Gravatar en WordPress , es necesario realizar los siguientes ajustes en el área de administración de WordPress en el elemento de menú "Configuración": Desplácese hacia abajo en el submenú bajo Discusiones hasta llegar a la sección Avatares. A continuación, desactive la casilla: "Visualización de avatares - Mostrar avatares". Haga clic en Guardar para aplicar la configuración y borrar la caché tus sitio . Ahora el sitio web tu ya no debe comunicarse con wordpress.com .

Procedimiento de doble inclusión en los comentarios

Aquí se dice de antemano que la notificación de otros comentarios sobre su propio comentario ya requiere que se pasen los datos. Si quiere excluir una interpretación negativa de esta "zona gris", utilice la página web gratuita Plugin Suscribirse a los comentarios de doble entrada. De esta manera, el visitante tiene que confirmar activamente por adelantado que realmente quiere recibir notificaciones sobre los comentarios de seguimiento.

Restringir la protección antispam a su propio sitio web

Antispam Bee puede utilizarse en cumplimiento del GDPR si se observa la siguiente configuración de Plugins : La función "Considerar la base de datos pública de spam" debe ser desactivada para evitar que las direcciones IP de los visitantes de tus sean transmitidas al servicio Stop Forum Spam. El filtro lingüístico, que utiliza la API de Google, es, en contra de lo que suponen muchos en materia de protección de datos, técnicamente poco problemático:

Si se ha activado el filtro de voz, las diez primeras palabras de cada comentario se envían al servicio de reconocimiento de voz de Google. Tres palabras del contenido del comentario. Ni la dirección de correo electrónico, ni el nombre de la persona que comenta, ni la dirección IP. En resumen: no hay datos personales y, por tanto, no hay problema. - Simon Kraft, miembro del Pluginkollektiv

WordPress -Backup-Plugins sustituir por soluciones alternativas

Para contrarrestar la transferencia de datos personales a servidores estadounidenses, por ejemplo, y como efecto secundario positivo para liberar más capacidades de rendimiento en el sitio web tus , le recomendamos que no utilice en el futuro la copia de seguridad especial WordPress Plugins .

Una mejor alternativa es utilizar las copias de seguridad automáticas de WordPress a través de su WordPress -hoster como por ejemplo en RAIDBOXES.

Utilizar la caché del servidor web en lugar de la caché de WordPress Plugin

Muchas páginas de cachéPlugins, incluida la de Automattic, hacen un buen trabajo de caché en el sitio web tu . El almacenamiento en caché permite que el sitio web se entregue más rápidamente. Sin embargo, el almacenamiento en caché también conlleva la pérdida de control sobre los datos.

Una alternativa jurídicamente segura, que también garantiza la desaparición del rendimiento de Plugins , es utilizar la caché del lado del servidor de WordPress especializada -hoster .

La ventaja: los datos ya están almacenados cuando se entregan y están localizados al menos RAIDBOXES sólo en servidores alemanes con certificación ISO 27001 garantizada.

Medios de comunicación social WordPress  Conforme a la DSGVO

Evite las redes sociales problemáticas Plugins, como el botón "Me gusta" de Facebook, el cuadro "Me gusta" o los widgets de Twitter.

Los servicios para compartir a menudo ya utilizan los datos tan pronto como los visitantes de tu están en el sitio web con una red social activa Plugin . Aunque un usuario aún no haya compartido nada, los datos ya se han transmitido. Esto es todavía muy desconocido, pero es crítico en términos del GDPR. Durante nuestra búsqueda de soluciones que cumplan con la ley, sólo encontramos una red social gratuita Plugin , que impide la transferencia de datos incluso antes de que se haga clic en el botón de compartir.

Por lo tanto, en este momento, recomendamos eliminar los widgets integrados de Twitter, los botones de "Me gusta" de Facebook o el widget de "Me gusta" de la caja y confiar en el sitio social de Shariff Wrapper Plugin para los botones de compartir en las publicaciones.

Formularios DSGVO WordPress

Formulario de contacto -Plugins como, por ejemplo, Contact Form 7 y Gravity Forms también se utiliza con la EU-DSGVO

Nuevos requisitos para los formularios de contacto

Según el Reglamento General de Protección de Datos, el envío de un formulario requiere el consentimiento del remitente. No sólo la IP personal, sino también la dirección de correo electrónico y el propio contenido se consideran datos. Se puede implementar un opt-in para el consentimiento del almacenamiento de datos a través de una casilla de aceptación adicional en Contact Form 7 y Gravity Forms, por ejemplo, con la aplicación gratuita Plugin WP GDPR Compliance implementar.

A medio y largo plazo, estamos convencidos de que todos los desarrolladores conocidos de Plugin aplicarán la normativa necesaria para cumplir con el GDPR. Hasta entonces, DSGVO-Plugins puede hacer un buen trabajo.

Boletín de noticias y marketing por correo electrónico DSGVO WordPress

Boletín de noticias y marketing por correo electrónico

En los formularios de sus boletines, sólo la dirección de correo electrónico debe ser un campo obligatorio, todos los demás datos, como el nombre y los apellidos, sólo deben pedirse de forma opcional. Al igual que con todos los formularios, el procedimiento de doble opt-in también se aplica al formulario del boletín informativo, así como la mayor transparencia posible en la información sobre lo que se pretende hacer u ofrecer exactamente con el boletín.

El procedimiento de doble inclusión sigue siendo estándar

Si aún no lo ha hecho, utilice siempre el procedimiento de doble opt-in a partir de ahora. Con el doble opt-in, el destinatario del correo electrónico debe hacer clic explícitamente en el enlace de un correo electrónico de confirmación una segunda vez después del primer registro para ser añadido a la lista de distribución. Esto garantiza que nadie se inscriba en un boletín informativo en su nombre y que la inscripción real también sea deseada por usted.

Medidas técnicas EU-DSGVO

Medidas técnicas fuera de tus WordPress -Plugins

Encriptación SSL

El cifrado SSL no es obligatorio en el GDPR, pero sin una conexión SSL no es posible una transmisión de datos segura en el sitio web tu . También puede obtener más información sobre SSL en nuestro extenso Compendio de SSL de Let's Encrypt.

¿No quiere configurar usted mismo el certificado SSL? A continuación, utilice, por ejemplo, los certificados SSL de Let's Encrypt, que puede activar rápida y fácilmente para el sitio web tu WordPress gratis mediante una instalación de 1 clic.

Crear la exclusión de Google Analytics

En este contexto, cabe señalar una vez más que, incluso antes de la DSGVO de la UE, la anterior españoles DSGVO, que seguía siendo válida, ya estipulaba la anonimización completa de los visitantes desde hacía años. Para asegurar esto, el muy usado Google Analytics debe ser extendido por la siguiente línea de código ahora a más tardar:

ga('set', 'anonymizeIp', true);

Debería haber tu fragmento de javascript tenía este aspecto de antemano:

<script>
(function(i,s,o,g,r,a,m){i['GoogleAnalyticsObject']=r;i[r]=i[r]||function(){
(i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o),
m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m)
})(window,document,'script','https://www.google-analytics.com/analytics.js','ga');
ga('create', 'UA-XXXXXXXX-X', 'auto');
ga('require', 'displayfeatures');
ga('require', 'linkid', 'linkid.js');
ga('send', 'pageview');
</script>

el código se ve así después de añadirlo:

Además, debe crear una posibilidad en su política de privacidad para que los visitantes de tus puedan excluirse completamente de Google Analytics. Puede encontrar una opción de exclusión gratuita Plugin para Google Analytics llamada Google Analytics Opt-Out en el directorio WordPress -Plugin-. Esto instala una cookie que impide que analytics.js recoja los datos.

Direcciones IP anónimas en los comentarios de los blogs

WordPress almacena por defecto las direcciones IP de los autores de los comentarios. Sin embargo, según la EU-DSGVO, la recopilación de la dirección IP no cumple con la protección de datos. Puede utilizar un pequeño código PHP en tus functions.php para evitar el almacenamiento futuro de las direcciones IP. Recomendamos utilizar una página web hijaTheme para ello, de modo que el código siga integrado después de la siguiente actualización tu Themes . El código a insertar es:

function  wpb_remove_commentsip( $comment_author_ip ) {
	return '';
	}
add_filter( 'pre_comment_user_ip', 'wpb_remove_commentsip' );

Por último, debe eliminar manualmente las direcciones IP existentes con carácter retroactivo en la base de datos del sitio web tus una vez. Puede encontrar un buen tutorial sobre cómo hacerlo aquí.

La EU-DSGVO tiene muchos más requisitos (nuevos) para usted como operador de un sitio web que las medidas técnicas explicadas anteriormente en el sitio web tus WordPress .

Una buena inversión es, por ejemplo, el e-book de pago sobre el GDPR de la UE de t3n para aplicar los requisitos del Reglamento General de Protección de Datos europeo en todo lo que te afecta como empresario.

Agradecemos cualquier opinión y comentario sobre el artículo.

Artículos relacionados

Comentarios sobre este artículo

Escribe un comentario

La dirección de correo electrónicotu no se publicará. Los campos obligatorios están marcados con *.