Cómo crear formularios de contacto que respeten la privacidad

Puede que ya hayas oído hablar del RGPD, el reglamento europeo de protección de datos que será aplicable a partir del 25 de mayo de este año. Aunque es una ley de la Unión Europea, se te exigirá que cumplas con el RGPD siempre que te dediques a almacenar o procesar datos personales de ciudadanos de la Unión Europea, incluso si tú no eres un ciudadano de la Unión Europea.

¿Contact Form 7 cumple con el RGPD?

Hemos recibido muchas preguntas como esta sobre el RGPD, pero desafortunadamente no tengo una respuesta precisa. Como no soy abogado, no estoy en posición de decir si un plugin de WordPress cumple con una legislación específica o no.

Lo que puedo decirte es que siempre trabajamos para ayudar a que Contact Form 7 se use de una forma más respetuosa con la privacidad. Diseñamos Contact Form 7 cuidadosamente para permitirte hacer formularios de contacto que cumplan con los estándares actuales de protección de datos, incluyendo el RGPD.

Lo que leerás a continuación es mi consejo personal sobre cómo hacer formularios de contacto respetuosos con la privacidad. Mucha de la responsabilidad de hacer que tus formularios de contacto cumplan con la normativa del RGPD sigue recayendo en ti como webmaster o controlador del formulario de contacto, pero deberías poder lograrlo con este consejo.

No recopiles datos innecesarios

Un formulario de contacto respetuoso con la privacidad solicita un número mínimo de información al remitente.

Si tu formulario de contacto tiene diez o más campos de entrada, puede que descubras que hay algunos campos de los que puedes prescindir. Revisa tu formulario de contacto y elimina los campos innecesarios.

Cuantos menos datos personales recopiles, menor será el impacto de una posible brecha de seguridad. La regla de oro es que, si no estás 100% seguro de que los datos sean necesarios, simplemente elimina el campo.

También debes evitar recopilar datos personales sensibles, como información sobre el origen étnico, opiniones políticas, creencias religiosas o filosóficas, o datos genéticos o biométricos.

Obtén un claro consentimiento

La obtención de un consentimiento claro e inequívoco antes de la recopilación de datos personales se considera ahora esencial para proteger el derecho a la privacidad.

Contact Form 7 proporciona el tipo de etiqueta de formulario acceptance para representar las casillas de verificación de aceptación que están destinadas a confirmar el consentimiento del remitente para una condición específica.

Aunque una etiqueta del formulario acceptance puede incluir la opción default:on que hace que la casilla de verificación esté seleccionada por defecto, no se recomienda usar esta opción porque cualquier consentimiento que se haya obtenido por defecto no se considera adecuado en las normas actuales de protección de datos.

No intentes ocultar las condiciones de consentimiento en tu documento de Términos y Condiciones o Política de Privacidad y solo confirma el consentimiento del remitente con una sola casilla de verificación para todo el contenido de los documentos. Cada condición para el tratamiento de los datos debe ser descrita de manera inequívoca y es necesario obtener un claro consentimiento para cada elemento individual.

Cuando el titular de los datos es un niño, se te puede exigir que obtengas un consentimiento adicional de uno de sus padres.

Avisos de privacidad

Averigua cómo se procesarán y almacenarán los datos personales recogidos a través del formulario de contacto y explica todo el flujo de datos en el documento de política de privacidad.

Como mínimo, aclara estos puntos:

  • ¿Qué tipos de datos personales se recopilan a través del formulario de contacto?
  • ¿Para qué fines se necesitan esos datos?
  • ¿Quién puede acceder a los datos?
  • ¿Se almacenan los datos de alguna manera? Si es así, ¿dónde y durante cuánto tiempo se almacenan?
  • ¿Se comparten los datos con entidades de terceros? Si es así, ¿cuáles son esas entidades?
  • ¿En qué país se procesarán los datos?
  • ¿Qué medidas de seguridad se adoptan para proteger los datos?
  • ¿Los interesados pueden solicitar la exportación o el borrado de sus datos?

Cuando alguien solicita la exportación o el borrado de sus datos personales, y puede existir una buena razón, como por ejemplo, preocupaciones tangibles sobre la privacidad, tendrás que acceder a la solicitud.

La política de privacidad debe estar redactada en un lenguaje sencillo que el interesado pueda entender. No la escribas como un documento legal o un documento técnico que sea difícil para los no profesionales.

Consideraciones de seguridad

Protege los datos personales que has recogido con las medidas de seguridad apropiadas de acuerdo con el sentido común actual.

Por ejemplo, la implementación de HTTPS en todo el sitio web y el cifrado del flujo de datos entre el navegador del cliente y el servidor web se considera ahora una práctica común. Por otra parte, el cifrado de un mensaje de correo electrónico en sí es aconsejable, pero todavía no es una práctica muy común.

Muchas personas parecen tener la idea equivocada de que almacenar datos en la base de datos es menos seguro que enviarlos por correo electrónico. En la mayoría de los casos, el nivel de seguridad de la implementación del correo electrónico no es tan bueno. De hecho, ¿sabes exactamente quién puede acceder al correo electrónico? ¿Estás seguro de que los destinatarios del correo electrónico no reenvían mensajes a otras personas que no conoces? ¿Qué pasa si tus computadores personales no se mantienen de forma segura y se instala software malicioso? ¿Sabes en qué país funcionan los servidores de correo electrónico? Es posible que puedas hacer las cosas más fáciles si los gestionas en la base de datos.

Hay casos en los que se puede reducir el riesgo desactivando el envío de correos electrónicos y almacenando los datos solo en la base de datos. Puedes usar el plugin Flamingo para almacenar los envíos de formularios de contacto en la base de datos y el ajuste skip_mail de Contact Form 7 que hace que el formulario de contacto se salte el proceso de envío de correo electrónico.

El RGPD no especifica qué medidas de seguridad particulares deben aplicarse, por lo que la decisión depende de ti.