¿Cómo podemos aplicar el RGPD para fotógrafos? ¿Afecta esta nueva ley a nuestros blogs? ¿Qué tengo que hacer en mi página para cumplir la ley? Voy a darte algunos consejos prácticos y de fácil implementación para que puedas aplicarlo a tu blog y no te lleves ningún susto con la nueva ley que entra en vigor el mes que viene.
RGPD para fotógrafos y blogs en general.
Hoy traigo algo ajeno a la fotografía pero que creo que puede tener un interés general. Tanto para fotógrafos y fotógrafas como para bloggers en general.
El próximo 25 de mayo termina el plazo para adecuarse al nuevo Reglamento General de Protección de datos (RGPD). La ley que obliga a aplicarlo entró en vigor el 25 de mayo de 2016, con un plazo de dos años para adecuarse a ella. No tener nuestra web adecuada puede suponer grandes sanciones. Pero como somos como somos, hemos esperado al último momento para hacerlo 🙂
El RGPD es una normativa europea que regula la protección de datos de las personas con ciudadanía europea. A nivel práctico, supone que las empresas, asociaciones y particulares tienen que replantearse la forma de recoger datos de sus usuarios. La entrada de esta normativa traerá como consecuencia que, en unos meses, también cambie la LOPD para facilitar la aplicación del nuevo reglamento.
Según el art. 833 de la nueva ley, no cumplir con la ley puede suponer las siguientes sanciones:
Multas hasta 10,000,000 o 2% del volumen de negocio global del último año (la cifra más alta):
- Por Vulneración de las obligaciones del responsable y del encargado
- Vulneración de obligaciones de certificación
- Vulneración obligaciones de control
Multas hasta 20,000,000 o 4% del volumen de negocio global del último año (la cifra más alta de las dos):
- Por vulneración de los principios básicos de tratamiento
- Vulneración de los derechos de los interesados
- Transferencia a terceros países
- Incumplimiento de una resolución
Lo primero es lo primero.
Ante todo, lo más conveniente sería que pusieras en contacto con un abogado o gestoría especializada en protección de datos. Sería la forma más segura de asegurarte de cumplir con la ley.
Si lo haces por tu cuenta, podrías ir a la web de la Agencia Española de protección de datos. Allí, ve a la parte de inferior de la página, a «Areas de interés». Encontrarás el enlace a la aplicación «Facilita RGPD«. Ve contestando el cuestionario. Salvo que seas una agencia que envía miles de correos, deberías poder utilizar la aplicación. Pero en caso de que marcaras la casilla «Hacer publicidad y prospección comercial masiva a potenciales clientes», no podrías seguir con la aplicación. Entonces te saldría el siguiente mensaje: «Con los datos que ha proporcionado este programa no es adecuado para usted, ya que su empresa no cumple con los requisitos para seguir. Debe realizar un análisis de riesgos».
¿Y qué es un análisis de riesgos?
Esto se refiere a que es necesario analizar las vulnerabilidades que pueda haber en tu empresa (o en tu blog) con respecto a la conservación de los datos de tus clientes. Por ejemplo, cómo almacenas las direcciones de correos electrónicos. Deberías, por tanto, implementar acciones para proteger esos datos.
En todos los casos.
Da igual que tengas que hacer un análisis de riesgos, o que el tratamiento de los datos sea de escaso riesgo. En cualquiera de los casos tendrás que llevar a cabo varias acciones que te detallo a continuación.
Por un lado, tienes que tener un certificado SSL en tu web para convertir las páginas en HTTPS. Esto, además de gustarle a Google, te va a posibilitar enviar los datos encriptados desde tu web a otro sitio. Cualquier hosting medio bueno te lo ofrecerá gratuitamente. También puedes contratar alguno de pago. Los hay de todo tipo de precio. Si no, puedes utilizar los de Let’s Encrypt, que son abiertos, libres y gratuitos.
Luego, tienes que decidir qué es lo que haces con todos esos correos electrónicos que tienes en tu base de datos.
La solución por la que yo he optado es por tener mi lista de correos en la nube. La tengo en una cuenta gratuita de Google Drive. Con el SSL los datos viajan encriptados desde mi web al Drive. Una vez allí, la lista la tengo encriptada con la aplicación gratuita Boxcryptor. La opción gratuita será adecuada para la mayoría de fotógrafos, bloggers y asociaciones. También tienen planes bastante económicos, desde 36€ al año. En principio, este sistema debería bastar para solventar la seguridad de los datos de tus clientes o usuarios.
Por supuesto, tienes que tener guardados bajo 7 candados los contratos físicos y todo el papeleo que incluya datos de ellos.
También, desde hace tiempo, tienes que tener una Política de cookies y algún sistema que permita al usuario elegir si se pueden instalar o no. Para esto te recomiendo el plugin OSM Cookie consent, que es muy ligero y fácil de configurar. Este plugin hace un par de años que no se actualiza, pero funciona bien. Además, el autor es español y, si tenéis algún problema, es fácil que os pongáis en contacto con él.
Aparte de eso, hay que hacer algunos cambios en nuestra web para adecuarnos a la nueva ley. Veámoslos.
Adecuaciones generales al RGPD.
Los pop-ups de suscripción, tal como son hoy en día, no puedes usarlos. Esto es porque en ellos no se pide el consentimiento expreso e inequívoco del usuario con un tipo de tratamiento informativo previo. A mí como usuario me parece fenomenal, ya que esas ventanitas que te saltan cuanto estás leyendo me parecen verdaderamente molestas.
Pero sucede lo mismo con los formularios de contacto, o con los banners de suscripción. Según la Guía sobre el derecho al a Información que han hecho la Agencia Española de Protección de Datos y otras autonómicas, debemos incorporar varias capas de información:
En fin, como ves, hay que darle un buen repaso a la web. O incomunicarte con el resto del mundo…
Nuestra web.
El formulario de contacto.
Desde el próximo 25 de mayo, si tienes la ciudadanía europea tendrás que dar tu consentimiento inequívoco para que las empresas puedan usar tus datos. Eso significa que tus usuarios también tienen que dártelo a ti.
Así que tus formularios de contacto tienen que tener:
- Una casilla de aceptación explicita de aceptación de la política de privacidad del sitio. Esta casilla no puede estar seleccionada por defecto.
- Un enlace a la página con la política de privacidad.
- Un texto que diga qué datos se almacenan, quién es el responsable de ese almacenamiento y para qué se almacenan.
- Alguna forma de que el usuario ejerza su derecho al olvido en tu página web o blog.
- Asegurarse de la encriptación de los datos.
Vale. ¿ Y cómo se hace esto?
- Si utilizas WordPress, te recomiendo utilizar Contact Form 7 (CF7) para tus formularios de contacto. Además de ser gratuito, sencillo y limpio, de momento es casi el único con el que se puede cumplir la RGPD. Con Jetpack o Google Forms es casi imposible, ya que no aceptan HTML. Otos plugins como Ninja Forms, WP Forms o Gravity Forms también posibilitan de una forma u otra cumplir con la ley, pero me parecen más liosos. Así que te voy a explicar cómo hacerlo con Contact Form 7.
- Si No utilizas WordPress… ¿qué estás esperando para pasarte al mejor gestor de contenidos?? 😉
Crear el formulario con Contact Form 7.
Cuando instales el plugin, te saldrá en la barra de menú un apartado que se llama «Contacto».
- Crea un nuevo formulario haciendo click en Contacto>Añadir nuevo.
- Se creará un formulario por defecto. Coloca el cursos entre «Mensaje» y «Submit».
- Añádele el campo «Aceptación».
- En la ventana que se abre, ponle un identificador y rellena el campo «Condición». Aquí es donde tienes que poner algo así como «He leído y acepto la política de privacidad». Este campo lo puedes editar con HTML, por lo que será fácil que este texto lo enlaces con tu página de Política de privacidad. También es muy importante que NO marques las siguientes casillas, pues si no te cargas el invento, ya que esto iría contra la RGPD 🙂
- Inmediatamente después, puedes añadir el texto informativo con HTML. Por ejemplo:
<label> <ol><li>Responsable de los datos: TU NOMBRE</li> <li>Finalidad de los datos: Envío de INFORMACION, BOLETINES O LO QUE VAYAS A HACER.</li> <li>Almacenamiento de los datos: Base de datos alojada en TU PROVEEDOR DE HOSTING</li> <li>Derechos: En cualquier momento tienes derecho a <a href="HTTPS://TUDOMINIO/POLITICA-DE-PRIVACIDAD">rectificar datos, recuperar y borrar tu información</a>.</li></ol></label>
- Inserta el shortcode que te genera Contact Form 7 en tu página de contactos.
Ahora tienes qué ver qué vas a hacer con estos formularios. Los puedes enviar automáticamente por correo, que es lo que hace por defecto el plugin. Entonces, tienes que explicarlo en la Política de privacidad, indicando el proveedor de correo electrónico que utilizas. Pero además debes añadir también su propia política de privacidad y almacenamiento 🙁
Si no tienes una propia, puedes copiar mi Política de privacidad. No olvides incorporar tus datos y cambiar mi nombre y mi web por los tuyos ;). Para la política de privacidad externas yo he optado por enlazar los nombres directamente a las respectivas páginas de privacidad.
También es necesario el Aviso legal. Lo mismo te digo que antes…
Base de datos Flamingo.
También he elegido la opción de instalar el plugin Flamingo. Es gratuito y del mismo desarrollador de CF7, y lo que hace es guardar los formularios en la base de datos de tu WP. Si haces esto, puedes optar por dos caminos:
- Puedes informar en tu política de privacidad, como hemos visto en el punto anterior.
- Puedes dar la opción de no almacenar los datos del formulario.
Para hacer esto último, sólo tienes que añadir al formulario una casilla de verificación. Puedes insertarla otra vez antes de «Enviar» en CF7. Al pulsar en el botón «Casillas de verificación» se abre una ventanita. En ella, NO marques «campo requerido». Ponle un nombre a la casilla (Ej.: NOMBRECASILLA). En «opciones» puedes poner algo así como «No deseo que mis datos sean almacenados».
Y listo, con esto tendríamos nuestro formulario adecuado a la RGPD. Puedes ver cómo lo he hecho yo en mi página de Contacto.
Ahora, cuando revises la BD en Flamingo, si ves que algún formulario tiene esa casilla marcada, lo tendrás que borrar.
La excelente web de Ayuda WordPress propone una solución más elegante, por si te atreves a trastear con tu WP. Consiste en crear una función en tu archivo function.php. (Por cierto, al estar en el archivo functions.php tendrás que recordar incorporarlo al nuevo theme cada vez que lo cambies).
Esta función lo que hace es que si está marcada la casilla de selección (la de no almacenar mis datos), directamente no almacene el formulario. El código sería el siguiente:
/**
* Casilla de selección NOMBRECASILLA en CF7 para no almacenar datos en Flamingo
*/
add_action( 'wpcf7_before_send_mail', 'gdpr_wpcf7_submit', 10, 2 );
function gdpr_wpcf7_submit( $form ) {
$wpcf7 = WPCF7_ContactForm::get_current();
$submission = WPCF7_Submission::get_instance();
if ( $submission ) {
$posted_data = $submission->get_posted_data();
// NOMBRE QUE LE HAS PUESTO A LA CASILLA EN CONTACT FORM 7
$NOMBRECASILLA = $posted_data['NOMBRECASILLA'][0];
if ( $NOMBRECASILLA ) {
$formTitle = sanitize_text_field( $wpcf7->title() );
$wpcf7->set_properties( array (
'additional_settings' => 'do_not_store: false\nflamingo_subject: "'.$formTitle.'"'
));
} else {
$wpcf7->set_properties(array(
'additional_settings' => 'do_not_store: true',
));
}
}
return $form;
}Ahora guarda los cambios y listo…
¡Ja, que te has creído que habíamos acabado! Aún no hemos terminado. Todavía nos queda que nuestros usuarios acepten la política de privacidad… ¡en los comentarios!
Política de privacidad en los comentarios.
Siguiendo con la adecuación del RGPD para fotógrafos, resulta que WP almacena la IP desde donde se ha hecho el comentario. Como eso es horrible para la privacidad de las personas, tienes que añadir también otra casilla de selección. Una en la que el usuario te permita que guardes esta información. Y, una vez más, con enlace a la política de privacidad.
Otra vez Ayuda WordPress nos propone la solución más ligera y efectiva. Hay que añadir también al archivo functions.php el siguiente código:
/* Casilla de verificación de privacidad después del formulario de comentarios */
add_filter( 'comment_form_field_comment', 'mi_campo_de_privacidad_en_comentarios' );
function mi_campo_de_privacidad_en_comentarios( $comment_field ) {
return $comment_field.'<input type="checkbox" name="privacy" value="privacy-key" class="privacyBox" aria-req="true"><p class="pprivacy">Acepto la <a target="blank" href="TUDOMINIO/POLITICA-DE-PRIVACIDAD">política de privacidad</a><p>';
INFORMACIÓN BÁSICA SOBRE PROTECCIÓN DE DATOS:<br>
Responsable: TU NOMBRE <a target="blank" href="https://ejcfotografia.com/aviso-legal">+ info</a><br>
Finalidad: Gestión del envío de información solicitada, gestión de suscripciones al blog y moderación de comentarios <a target="blank" href="https://ejcfotografia.com/politica-de-privacidad">+ info</a><br>
Legitimación: Consentimiento del interesado <a target="blank" href="https://ejcfotografia.com/politica-de-privacidad">+ info</a><br>
Destinatarios: Se almacenarán datos en Google Drive encriptados con Boxcryptor
Derechos: Tiene derecho a acceder, rectificar y suprimir los datos, así como otros derechos que se explican en la información adicional <a target="blank" href="https://ejcfotografia.com/aviso-legal">+ info</a><br>
Información adicional: Puede consultar la información adicional y detallada sobre Protección de Datos Personales en mi web TU-DOMINIO <a target="blank" href="https://ejcfotografia.com/politica-de-privacidad">+ info</a><br>
<p>';
}
//validación por javascript
add_action('wp_footer','valdate_privacy_comment_javascript');
function valdate_privacy_comment_javascript(){
if (is_single() && comments_open()){
wp_enqueue_script('jquery');
?>
<script type="text/javascript">
jQuery(document).ready(function($){
$("#submit").click(function(e)){
if (!$('.privacyBox').prop('checked')){
e.preventDefault();
alert('Debes aceptar nuestra política de privacidad marcando la casilla ....');
return false;
}
}
});
</script>
<?php
}
}
//sin validación js
add_filter( 'preprocess_comment', 'verify_comment_privacy' );
function verify_comment_privacy( $commentdata ) {
if ( ! isset( $_POST['privacy'] ) )
wp_die( __( 'Error: Debes aceptar nuestra política de privacidad marcando la casilla ....' ) );
return $commentdata;
}
//guarda el campo como comment meta
add_action( 'comment_post', 'save_comment_privacy' );
function save_comment_meta_data( $comment_id ) {
add_comment_meta( $comment_id, 'privacy', $_POST[ 'privacy' ] );
}No obstante, los plugins ralentizan tu WP y además tienes que estar pendiente de actualizarlos. En cambio, usar un código ligero y fácil de implementar como este tiene varias ventajas. Por un lado, te olvidas de tener que estar actualizando plugins y, por otro, es muy ligero, por lo que tu página carga más rápido.
Conclusión.
Los legisladores de la UE han decidido que es muy peligroso que nos roben información tan delicada como nuestra IP al dejar un comentario en un blog. Parece que esto es mucho más grave que el que haya políticos que roben del erario público. La cosa es que ahora hay que adecuarse a cumplir con el RGPD para fotógrafos y para todo tipo de bloggers, porque las sanciones por no hacerlo pueden ser muy cuantiosas. Espero haberos ayudado un poco con esto.
Por supuesto, si tenéis problemas para poner todo esto en marcha, os recomiendo que contratéis a un implementador que os lo haga. Si lo necesitas, yo mismo puedo hacértelo en WordPress por un módico precio 🙂
¿Te has puesto ya al día con el RGPD? Cuéntanos tu experiencia…
Este post está bajo una Licencia Creative Commons Atribución-NoComercial-CompartirIgual 3.0 Unported.
Deja una respuesta