Cómo garantizar el cumplimiento de WooCommerce GDPR

Publicado: 2018-05-08
header image for WooCommerce GDPR article

Última actualización - 14 de septiembre de 2021

Si es propietario de una tienda WooCommerce, ya debe haber oído hablar de GDPR. Es el Reglamento General de Protección de Datos (GDPR) que está siendo aplicado por la Unión Europea. Todos los propietarios de tiendas que venden a los mercados europeos y manejan los datos de los ciudadanos europeos deben cumplir con las pautas de GDPR. El 25 de mayo de 2018 es la fecha límite para asegurarse de que su tienda WooCommerce siga todas las pautas de privacidad de datos especificadas en GDPR. Este artículo tiene como objetivo ayudarlo a comprender los matices del cumplimiento de WooCommerce GDPR a los que debe prestar atención como propietario de una tienda. Después de leer este artículo, debería tener una idea clara de los diversos aspectos del RGPD, así como de las medidas importantes que debe tomar.

Nota: La información de este artículo es solo para información general. Es posible que necesite obtener asesoramiento legal profesional para su escenario comercial específico.

La importancia del RGPD

El RGPD se aplica para garantizar que los usuarios (en concreto, los ciudadanos de la UE) de todo el mundo tengan un mejor control de los datos que comparten con las empresas. Se propone una fuerte multa para garantizar que la mayoría de las empresas cumplan con esto. La multa puede ascender a 20 millones de euros, o el 4% de la facturación anual de una empresa en el ejercicio anterior. La cantidad mayor se impondrá como sanción a aquellas empresas que no cumplan con las pautas.

En todo el mundo, las empresas se están tomando en serio estas directrices. Una encuesta realizada por PwC entre empresas estadounidenses reveló que más del 77 % de las empresas están dispuestas a pagar más de 1 millón de dólares para garantizar el cumplimiento del RGPD. Este es un indicador importante que le daría una idea de cuánto impacto global tiene el asunto.

Perspectiva de WooCommerce GDPR

Como propietario de una tienda WooCommerce, es posible que deba abordar específicamente ciertos aspectos relacionados con su tienda. Cada sitio de WordPress tiene un enfoque diferente cuando se trata de recopilar los datos de sus usuarios. Debe realizar una investigación exhaustiva sobre los diversos aspectos relacionados con su sitio y, en consecuencia, diseñar un plan. En términos generales, un sitio de WordPress puede recopilar datos de usuario a través de varios medios. Estos incluyen registros de usuarios, comentarios, entradas de análisis, formularios de contacto, soluciones de seguridad, etc. Y muchos otros complementos que está utilizando pueden recopilar información de los usuarios.

Como propietario de una tienda, el aspecto más importante en el cumplimiento de WooCommerce GDPR es comunicar de manera efectiva al usuario cómo está recopilando y utilizando sus datos. Por ejemplo, es posible que deba actualizar su política de privacidad para explicar las diversas medidas que ha tomado para garantizar el cumplimiento de GDPR. También es importante obtener el consentimiento de sus usuarios cada vez que recopile algún tipo de información de ellos.

imagen que representa la privacidad de datos para el artículo GDPR de WooCommerce
La privacidad de los datos es una preocupación creciente para los usuarios de Internet de todo el mundo.

Directrices del RGPD

Todos los propietarios de sitios deben seguir las pautas de GDPR, que incluyen algunos de los puntos que se enumeran a continuación:

Transparencia

Debe comunicar claramente a sus usuarios los motivos de la recopilación de datos, cuánto tiempo los conservará y quiénes tendrán acceso a ellos, etc. Esto es importante para que los usuarios entiendan las posibilidades con las que una empresa puede utilizar sus datos.

Consentir

También debe obtener un consentimiento informado de sus usuarios con respecto a los datos que va a recopilar de ellos. Y tiene que ser decisión del usuario dar su consentimiento para la recopilación de datos. Por ejemplo, habilitar determinados campos de forma predeterminada no es una práctica recomendable según las directrices del RGPD.

Derecho de acceso

Sus usuarios deben tener derecho a acceder a sus datos en todo momento. Además de estar informados sobre los puntos de datos específicos, su almacenamiento y procesamiento, y el motivo de la recopilación, sus usuarios también deberían poder obtener una copia de los datos cuando lo soliciten. Este es un aspecto algo complicado para el propietario de una tienda WooCommerce, ya que podrían estar usando varios complementos y soluciones de terceros que también deben cumplir con estas pautas. Y es responsabilidad del propietario del sitio asegurarse de que todas las herramientas que recopilan datos de los usuarios cumplan con las nuevas regulaciones.

Derecho a retirar el consentimiento

Los usuarios tendrán mucho mejor control sobre sus datos según estas pautas. En todo momento, el usuario tendrá derecho a revocar el consentimiento otorgado a un sitio para conservar los datos. Y si lo desean, los usuarios deberían poder eliminar sus datos del sitio.

Notificación de violación de datos

Otro aspecto importante de las pautas de GDPR es el requisito de informar de inmediato a los usuarios sobre cualquier violación de datos en su sitio. De acuerdo con las pautas, debe informar a los usuarios sobre la violación de datos dentro de las 72 horas posteriores a su conocimiento. Usar un buen complemento de seguridad como Wordfence para monitorear el tráfico y los registros de actividad podría ser una buena opción en este sentido.

Pasos a seguir para el cumplimiento del RGPD de WooCommerce

Como propietario de una tienda WooCommerce, debe seguir varios pasos para asegurarse de que su sitio cumpla con las regulaciones de GDPR. Algunos de estos pasos se enumeran a continuación:

Actualice su política de privacidad

Debe actualizar la política de privacidad en su sitio para asegurarse de que sus usuarios conozcan todos los pasos que ha tomado para garantizar el cumplimiento de GDPR. Aquí, también debe especificar qué información recopila de los usuarios y por qué la recopila. Además, también debe informar a sus usuarios cómo está procesando los datos y quiénes tienen acceso a ellos. Otra información importante que debe comunicar a sus usuarios es el período de tiempo con el que mantendrá su información. Es posible que ya haya visto las notificaciones de actualización de la política de privacidad de muchos sitios web populares.

Asegúrese de que el usuario haya dado su consentimiento.

Debe asegurarse de que los usuarios estén de acuerdo con usted para recopilar y almacenar su información personal en su sitio. Esto se puede lograr tomando activamente el consentimiento para cada información específica que solicite de un usuario. Un aspecto en el que centrarse aquí para asegurarse de que no está habilitando las suscripciones automáticas. Cada uno de los campos específicos que solicitan el consentimiento de los usuarios debe mantenerse deshabilitado por defecto. Puede recopilar información personal de los usuarios solo si eligen activamente proporcionársela.

Recopile solo información relevante

Muchos sitios y dueños de negocios tienden a recopilar y almacenar información que no es realmente relevante para su negocio. Esta tendencia se detendrá con la introducción de GDRP. Básicamente, tendrás que eliminar cualquier información que ya no uses. Y no hay necesidad de recopilar ninguna información que crea que sería útil en el futuro. De hecho, si recopila una menor cantidad de información, reducirá el riesgo de violaciones de datos.

Además, asegúrese de mantener solo una versión de los datos. Sin embargo, es posible que deba conservar varias copias cuando almacene la copia de seguridad. Puede mantener hasta cuatro copias de seguridad como norma estándar. Además, deberá registrar correctamente la ubicación donde está almacenando su copia de seguridad para que sea transparente para las auditorías de datos.

Cree un proceso para posibles filtraciones de datos

Hay varios escenarios en los que los datos del usuario en su sitio se verán comprometidos. Uno de los casos comunes será un ataque a un sitio donde los atacantes pueden acceder a sus datos. Aparte de eso, el acceso no autorizado por parte de los procesadores de datos también puede plantear un problema. Todos los complementos, software y otras herramientas en su sitio que acceden a los datos de sus usuarios se denominan procesadores de datos. A veces, puede pasar el acceso a la información personal de sus usuarios a procesadores que se supone que no deben obtenerlos. Esto también puede considerarse una violación de datos. Del mismo modo, la transmisión de información personal a un país que no cumple con el RGPD también se considera una violación de datos.

Imagen que muestra los procesadores de datos para el artículo GDPR de WooCommerce
Los complementos y software que utiliza en su sitio pueden ser procesadores de datos y su acceso a la información personal de los usuarios de su sitio puede variar.

Se recomienda tener un proceso claro con suficiente antelación para hacer frente a cualquier tipo de violación de datos. De acuerdo con las pautas de GDPR, debe informar a los usuarios sobre una violación de datos dentro de las 72 horas posteriores a que se enteró por primera vez.

Cree procesos para manejar cuando los usuarios soliciten sus datos

Con el cumplimiento de GDPR, sus usuarios tienen mucho mejor control sobre su información personal. Estos incluyen solicitudes para copiar, transferir o eliminar los datos, o, a veces, retirar el consentimiento otorgado previamente. Debe estar equipado para manejar todas estas solicitudes sin recopilar datos adicionales de los usuarios.

Además, tenga en cuenta que las pautas de GDPR son igualmente aplicables a empresas grandes y pequeñas.

Conclusión

GDPR o Reglamento General de Protección de Datos es un conjunto de código regulatorio aplicable a todos los sitios web y empresas que tienen como usuarios a ciudadanos de la Unión Europea. De hecho, es un esfuerzo por garantizar una mejor privacidad de los datos en todo el mundo. Los aspectos básicos de las directrices del RGPD se pueden resumir de la siguiente manera:

  1. Informa a tus usuarios sobre todos los datos personales que recabas de ellos. También debe comunicar por qué está recopilando los datos, quién tendrá acceso a ellos y cuánto tiempo los mantendrá en su sitio, etc.
  2. Obtenga un consentimiento informado de sus usuarios antes de recopilar información de ellos de cualquier forma.
  3. Recopile datos solo cuando sean realmente relevantes para su negocio. Cuando tiene menos datos, puede protegerlos de manera más eficaz.
  4. Cree un proceso para proporcionar a los usuarios sus datos cada vez que soliciten acceso.
  5. Notifique a los usuarios de inmediato si hay alguna violación de datos.

El propietario de una tienda WooCommerce se considera un controlador de datos de acuerdo con las pautas de GDPR. Aunque las diferentes herramientas pueden tener diferentes enfoques para la privacidad de los datos, es responsabilidad del propietario de la tienda asegurarse de que todos los complementos y herramientas sigan las pautas. La fecha límite para el cumplimiento de GDPR es el 25 de mayo de 2018, y es hora de concentrarse en él, si aún no ha tomado los pasos necesarios.

Otras lecturas

  • Complementos de seguridad de WordPress
  • Complementos de copia de seguridad de WooCommerce