Con las novedades legislativas del año pasado, aún muchas empresas no han actualizado correctamente sus formularios en sus webs WordPress, a veces por desconocimiento y otras porque no se han dado cuenta. No todos los plugins permiten las mismas funcionalidades, en este articulo os vamos a enseñar cómo cumplir con la RGPD con Ninja Forms.
El alcance de la RGPD no está limitado a la UE, sino para todas las webs que usan datos de usuarios europeos. Es decir, que practicamente todos los sites, independientemente de su origen, tienen que cumplir estos datos.
Los términos de la RGPD se aplican a cualquier tipo de procesamiento de datos, para los que los controlan y los procesan. Los controladores son las personas que determinan cómo se tratan estos datos personales independientemente de que se recolecten los datos. Y los que lo procesan, son las personas que procesan los datos para el controlador. Así que amplía el ámbito de la ley a no sólo el manejo de los datos, sino también su tratamiento, incluyendo servicios en la nube.
El punto clave es el consentimiento en esta regulación.
AVISO: Aunque este artículo supone una guía, no es un sustituto para un asesoramiento legal sobre este tema, os recomendamos acudir a un especialista para analizar todos los datos de vuestra empresa y la legalización de las mismas.
Cómo tener listo formularios para RGPD con Ninja Forms
Existen unos requisitos para proteger los derechos de privacidad, protección y olvido de datos de nuestros usuarios los formularios de contacto y recolección de datos deben incluir lo siguiente:
- Casilla de aceptación explícita (es decir, no seleccionada por defecto) de que el usuario acepta la política de privacidad del sitio, con un texto sencillo sin términos jurídicos. Además no tiene que tener relacionados otros términos y no estar oculto entre otros textos.
- El enlace a la política de privacidad de tu site. Y que esta política sea entendible para el usuario, donde se explique cómo se recolecta la información y su uso.
- Un texto relatando los datos que se almacenan, el responsable y su destino.
- Un modo en el que el usuario pueda ejercer su derecho al olvido en tu sitio.
- Asegurar que los datos vayan y se almacenen de manera segura (es decir, encriptada).
¿Qué formularios son susceptibles de que se tengan que cumplir estos requisitos?
Esto se debe cumplir para todos los formularios de tu web, no solo los de contacto, en cuanto pidan cualquier tipo de dato personal: email, nombre…
Maneras de cumplir con el formulario
¿Almacenar o no almacenar?
La manera mas sencilla es: si no necesitas tener rastro de los datos recolectados, no los almacenes. En ninja forms, existe una opción para NO almacenar los registros. Pero está claro que para la mayoría de las personas esta opción no es válida, por lo que pasamos a la siguiente opción.
Requerir consentimiento
Aqui empieza nuestra SUPER GUÍA para cumplir RGPD con Ninja forms.
1. OBTENER CONSENTIMIENTO
Obtener consentimiento explícito antes de que se recolecten los datos en el formulario. Entendemos que has leído la primera parte del artículo y conoces los elementos básicos que necesitas (política de privacidad, texto sobre quien, cómo y para qué se usan los datos…)
Informar al usuario de que el formulario va a recolectar datos personales y pedir consentimiento es muy fácil. Sólo hacen falta dos campos: el de HTML y el de Checkbox simple.
En el de HTML añade un texto y el enlace a tu política de privacidad:
En el checkbox añade la aceptación, y que sea obligatorio, en el formulario RGPD con Ninja forms.
Luego requiere el consentimiento con un campo de checkbox ‘Cuadro de verifcación único’. Aquí también puedes poner el enlace (que es como lo tenemos nosotros:
El usuario verá:
Con esta configuración evitamos guardar la información sin consentimiento.
2. Tener los datos de usuario accesibles
Ninja forms puede enviar emails con la información y también almacenarlos.
Debes ser capaz de proveer al usuario de la información personal que proveas de ellos cuando lo pidan, y ser capaz de borrar todos estos datos cuando lo pidan. Así que eres responsable de tener esos mecanismos disponibles.
Lo más sencillo es siempre pedir al menos un campo de manera recurrente, por ejemplo el e-mail. Así, puedes buscar todas las peticiones mediante e-mail.
Así podrás extraer y/o borrar los datos solicitados. Igual puedes incluir en tu política de privacidad que esta es la manera de manejar tus datos.
3. Tener un canal de comunicación con los usuarios
La GPRD requiere que puedas ser localizable para las peticiones de los usuarios (de ver o borrar datos). Hay varias maneras de hacer esto, pero lo más inmediato seria hacer un formulario 😉
Por ejemplo, podrías poner un formulario para ver datos / borrar datos en tu página de información. Y si quieres estar muy pendiente de que recibes alguna notificación, podrías poner un sistema interno de notificación estilo Slack, Zapier o similar para obtenerlo.New WordPress Export/Erase feature allows you to pull all personal data associated with an email address
4. ¡Puedes usar la funcionalidad de Exportar/Borrar funcionalidad con un formulario de Ninja Forms!
Cumplir la RGPD con Ninja forms en su ultima version es mucho más fácil, puedes añadir un tipo de formulario (con una nueva funcionalidad añadida) para tener en cuenta estas peticiones. El formulario permite a los usuarios hacer la petición directamente. Para poder asociar correctamente los usuarios con sus datos, hay que tener en cuenta también las nuevas funcionalidades de guardar datos.
Así, solo tendrás que mirar de vez en cuando a tu administrador para verificar si tienes nuevas peticiones.
Asociar cada entrada con un e-mail de usuario
Para ayudarte a organizar la información para una conformidad automatizada con las peticiones de exportar y borrar informacion, hay novedades en la parte de guardar información. Está dentro de Correos electrónicos y acciones.
Ahora hay una opción que linkará el e-mail de la persona que envía la información a la entrada del formulario, cuando se esta usando la nueva funcionalidad de exportar/borrar información.
Así que sólo tienes que linkar el campo de e-mail al formulario. Puedes añadir otros campos si quieres, pero recomendamos hacerlo por e-mail. Con esto, la funcionalidad que vamos a comentar a continuación.
Nuevos formularios de Exportar y Borrar datos
A partir de la version 3.3. de Ninja Forms, hay dos nuevas funciones: Petición de borrado de datos y Petición de exportación de datos. Lo puedes encontrar en Ninja Forms > Añadir nuevo:
Y sus acciones correspondientes se pueden encontrar dentro de Correo y Acciones de cualquiera de estos formularios:
Cuando un usuario rellena uno de esos formularios, Ninja Forms se comunica con la funcionalidad de WordPress de Borrar/Exportar datos. El e-mail de petición te llegará y un e-mail de confirmación llegará al usuario cuando se procese.
Así que sólo tendrás que mirar de vez en cuando en el administrador para nuevas peticiones. Ejecutarlo es tan fácil como clicar en DESCARGAR o BORRAR en la página de admin. Un paso más para cumplir RGPD con Ninja forms.
5. MEJORA: Marcar cualquier campo como Datos personales, y así poder conservar el resto de la información
Cada campo ahora tiene una opción de poner como que el campo contiene datos de identificación personal:
Así que las peticiones de borrado de dato lo que hace es dejar los datos anónimos en vez de completamente borrarlos. El resto de los campos se mantienen.
La opción de hacer anónima puede verse en las opciones avanzadas de la pagina de Petición de borrado:
*BONUS* MEJORA 2: Puedes apagar el grabado de datos por cada campo
Desde la versión 3.3., se puede permitir o no el grabado de datos por cada campo del formulario, dentro de Correos electrónicos y opciones:
Así puedes excluir campos.
ACTUALIZACIÓN: Poner que los datos expiren, GRPD con Ninja Forms
Hay una nueva funcionalidad, que es la de permitir que los datos expiren a ciertos dias. Se encuentra en la misma pantalla:
Solo actívalo y pon el número de días tras el que expira. Los datos que expiran irán a la basura de Ninja Forms, así que borra regularmente estos datos si lo deseas.