Aplicación del GDPR a los formularios de contacto de la web
Autore: PEDRO LUIS C.Buenas tardes:
Dado que el GDPR se aplicará a partir del 25 de mayo y nos obliga a realizar cambios en los formularios de nuestras webs, quería consultar si hay alguna posibilidad de colocar estos textos obligatorios de alguna manera que se vean mejor.
En concreto debemos incluir, antes del campo "Acepto" información relativa al responsable del tratamiento, finalidad, legitimación, destinatarios, derechos y es conveniente añadir a esta información un enlace a otro texto más amplio (la política de privacidad) en la que ya podríamos ampliar la información que aquí queda superreducida.
Yo lo estoy haciendo incluyendo el texto en los formularios utilizando un campo "descripción" pero la verdad es que da poco juego al no poder señalar palabras o apartados en negrita y queda poco estético. Por ejemplo:
La pregunta es: ¿habría alguna posibilidad que el campo del formulario "descripción" permitiera poner negritas o subrayados para ver si así queda un poco más claro? ¿Se podría incluir también un hiperenlace en parte de ese campo de descripción?.
Gracias,
Pedro L.Cuevas
Hola Pedro,
no has probado de incluir tags html como <b>Negrita</b> por ejemplo?
No tengo aqui como para probar, pero en varios lados funciona eso...
Prueba y nos comentas...
Saludos
Carlos A.
Autore
Buenos días Carlos,
Sabio consejo que funciona. Ya he colocado las negritas y un enlace a la "política de privacidad" pero ahora viene lo más complicado: el RGPD nos obliga a conseguir el consentimiento explícito de los usuarios, que lo haremos a través de la información en los formularios y a archivar de alguna manera esos consentimientos para poder demostrar que obtuvimos el consentimiento de forma lícita.
Este "archivo" debe incluir, además de los datos que se solicitan en el formulario, que el usuario a aceptado nuestras condiciones (que lo tenemos en WSX5), el día y la hora (que no lo tenemos) y la IP (que tampoco).
Por ejemplo, cuando un usuario se registra en nuestro blog y utilizamos los servicios de Mailchimp, éste nos envía algo así:
Otra cosa sería qué hacemos con ellos (los imprimimos, los guardamos...), pero esto estoy pendiente de ver cómo organizarlos. Pero, si no se utiliza ninguna compañía de email marketing, ¿cómo conseguimos la IP del usuario? ¿cómo consigo la fecha y la hora?.
En el objeto "formulario de contacto" no disponemos de estos valores pero sí recibimos la cuenta de correo que el usuario indica y que han aceptado nuestras condiciones. He visto por ahí códigos PHP para conocer la IP pero esto supondría utilizar código propio en lugar del objeto "formulario" y esto supone un problema muy grande, sobre todo en los casos del ecommerce o para los blogs.
Dado que nos quedan dos meses escasos y que esta normativa nos afecta a todos, todos los comentarios y propuestas son bienvenidas.
Un saludo,
Pedro L.Cuevas
Hola Pedro Luis,
Probemos y solucionemos todas estas inquietudes. Este tema puede resultar útil para otros usuarios que intentan resolver esto también.
En primer lugar, creo que la fecha y la hora del acuerdo pueden obtenerse fácilmente mediante un correo electrónico que puede enviar por medio del formulario a su correo electrónico en el momento en que el usuario proceda a completar y enviar el formulario.
Acerca del hecho de que debes capturar obligatoriamente su IP, no estoy realmente seguro al respecto.
¿Sería posible adjuntar aquí algún documento o sitio web donde esto se relata?
Creo que solo debe informar al usuario en caso de que quiera guardarlo, pero no que DEBE guardarlo.
Por favor mantenme informado sobre esto
Stefano
Autore
Buenos días Stefano,
La obligación de poder demostrar que obtuvimos el consentimiento del usuario se recoge en el art. 7.1 del GDPR:
"1.Cuando el tratamiento se base en el consentimiento del interesado, el responsable deberá ser capaz de demostrar que aquel consintió el tratamiento de sus datos personales."
¿Cómo podemos demostrar que el usuario consintió? Pues enviándonos un email a nuestra cuenta en el que consten los datos que el usuario incluyó en el formulario, que aceptó nuestra cláusula de condiciones ("acepto") y debemos archivar estos "logs". La normativa no dice qué datos o qué campos exactamente debemos archivar, solo dice que debemos poder demostrar que cumplimos.
Los textos informativos que menciono a continuación os los tendrá que facilitar la consultoría de protección de datos que cada empresa tenga contratada. Yo solo menciono de forma genérica dónde, cómo y porqué se han de incluir porque cada caso es distinto y como consultores de privacidad que somos, preparamos los textos personalizados para cada empresa.
En todos los casos doy por hecho que, en los formularios de la web, se solicitan datos básicos según el GDPR (nombres, direcciones, teléfonos, cuentas de correo, fechas de nacimiento, nº de cuenta o tarjeta, etc.) porque, en caso contrario (datos especiales, ecommerce o contratación de servicios online), no hay más remedio que conseguir el consentimiento explícito del usuario.
CASO 1:
Para formularios de contacto, suscripción a newsletter o para comentarios en foros: debemos facilitar una información mínima, de forma previa, y siempre antes de que el usuario marque el "acepto". Esta información sería: datos del Responsable, finalidad, legitimación, destinatarios (si hay), forma de ejercer los derechos y enlace a una segunda capa con el texto completo de la "política de privacidad" y debemos poder demostrar cómo obtuvimos el consentimiento guardando datos de la sesión.
SOLUCIÓN: Utilizar el "formulario de contacto" de Website X5. Colocar un campo de "descripción" para poner el texto informativo, un campo de "condiciones de aceptación" para colocar el "acepto" y nos permite recoger el formulario completo en nuestro propio correo electrónico indicándolo en "enviar". Es importante marcar "Incluir al final los datos recogidos CSV".
CASO 2:
Para formularios para abrir una cuenta de usuario para ecommerce o contratación online: la información debe ser la misma; el campo de aceptación también debe estar y debemos recibir en nuestro correo copia del formulario completo. Pero, como debemos poder demostrar que el usuario dio su consentimiento de forma inequívoca, podemos obligarle a confirmar su cuenta de correo, es decir, activándola. Esto lo podemos hacer enviándole un email para que confirme la apertura de su cuenta y guardar esta comprobación.
Si el usuario se equivoca al crear su cuenta, al no tener confirmación no se habrá producido el alta.
Si el usuario indica una cuenta de correo falsa o que no es la suya, no podrá realizar la activación de su cuenta por lo que esta petición quedará eliminada. Esto es lo que se conoce como doble opt-in y es la forma en la que las tiendas online hechas con otro software y en las que compramos normalmente, lo hacen.
SOLUCIÓN: Este proceso no encuentro la forma de hacerlo en Website X5 o no he dado con ella si existe, ya que debería ser automático. Caso contrario deberíamos disponer de una persona 24 h/7 días para contestar a esos correos o buscar código fuente para el envío de estos correos automáticos, que creo que será lo que haya que hacer.
Por supuesto, la forma en la que se demuestra cómo y cuándo obtuvimos este consentimiento es archivando los emails que llegan a nuestra cuenta con las activaciones de cuentas de usuarios. En este último caso, cuando el usuario nos envía un email desde su propia cuenta de correo, si vemos el código fuente, aparece una IP del servidor del usuario, cosa que ya sería rastreable en caso de que hubiera algún problema.
Es cierto, como dice Stefano, que en el email nos llega día y hora pero, cuando los datos se envían desde los formularios de nuestra página web, la IP que nos llega es la nuestra.
No sé si he contestado a tu pregunta o si he generado otras distintas pero quedo a vuestra disposición para comentar estos temas.
Un saludo,
Pedro L.Cuevas
Esto realmente me interesa ya que me han preguntado sobre el tema tambien, en mi caso solo con saber la fecha, la hora, el nombre y el documento de identidad del usuario ya era suficiente, por lo que lo solucioné agregando campos que piden esos datos en el formulario.
No he necesitado la IP, pero voy a seguir el tema ya que seria interesante por las dudas.
Saludos colegas.
Carlos A.
Hola Pedro.
Probé tu informe y puedo confirmarlo.
Debería estar cubierto con el objeto del formulario, ya que le permite enviar un correo electrónico de confirmación. Si bien permite el registro durante el proceso de compra, esto no está disponible.
Le he enviado esta inquietud al desarrollador para una discusión posterior. Mientras tanto, solo puedo sugerir no permitir que los usuarios se registren durante el proceso de Compras.
Si surge alguna noticia, me aseguraré de informarle sobre este tema
Gracias por su participación en este asunto
Stefano
Autore
Buenas tardes Carlos,
Tenemos algo más claro dónde sería necesario poder contar con los datos de la sesión del usuario (la IP por ejemplo) y dónde no. En los casos en los que el usuario introduzca la clásica información del formulario de contacto, resultará suficiente con la información que nos llega al equipo partiendo del formulario de contacto del Website. Sí que conviene que nos llegue con los datos en formato CSV.
Ahora, en los casos de tiendas o contratación de servicios online, ahí no hay más remedio que hacer el doble "opt-in", es decir, el enviar un email al usuario solicitando la activación de su cuenta, con lo que al recibir esta confirmación que habría salido del correo electrónico del usuario, sí podríamos demostrar que obtuvimos el consentimiento válido y conforme al GDPR.
Otra tema "legal" que hemos estado comentando con otros consultores y abogados es que para demostrar que cumplimos y que informamos al usuario de qué vamos a hacer con sus datos, no queda otra que hacer una certificación de contenido de la página web en las que aparezcan formularios y otra de la página web que contiene la política de privacidad.
Esto supone un grave problema porque, cada vez que se cambie algo en esas páginas, hay que volver a certificarla y esto va a conllevar un sobrecoste para los clientes.
Nosotros hace tiempo que trabajamos con Egarante, pero hay más sitios disponibles para certificación de contenidos, estos son algunos:
Como te digo, estamos diferenciando entre los formularios de contacto, inscripción o comentarios en el blog de los formularios de registro de usuarios o de los propios formularios de la venta dado que no se trata la misma información en unos y en otros ni tiene la misma "importancia", porque supongamos que en un formulario de contacto alguien nos indica una cuenta de correo que no es suya. Pues si tomamos la precaución de responder en el mismo mensaje (no abriendo uno nuevo) podremos demostrar que enviamos a la cuenta desde la que lo hemos recibido.
En cambio, en los temas de ventas o contratación la cosa cambia ya que, a no ser que se active la cuenta desde la que nos llega el email, esa cuenta no se creará y si se crea con un email de usuario que no es suyo, dispondremos de pruebas suficientes para demostrarlo.
Seguimos en contacto.
Pedro L.Cuevas
Autore
Buenas tardes Stefano,
Estamos de acuerdo en lo referente a los formularios de contacto, para suscripción de boletines, etc. Por ejemplo, así es como he dejado nuestros formularios de contacto:
He reducido la información al mínimo imprescindible y en el punto "información adicional" enlazo con la política de privacidad. No quedan tan estéticos como antes pero se trata de cumplir la ley, no de que nos queden más o menos bonitos.
Pero, como bien dices, quedan fuera los formularios de registro de usuarios en los que debería solicitarse la activación de la cuenta, por el momento, y que lo estudiaréis. Lo que pasa es que no puedo decirle a un cliente con el que he contratado un diseño web con registro de usuarios para una tienda online que, hasta que esto no esté en funcionamiento en el programa no puede permitir a sus usuarios que se registren porque me puede cancelar el contrato y me puede pedir una indemnización.
Me gustaría que me comentaras si este tema se va a solucionar en breve (antes del 25 de mayo que aplicaremos el GDPR) para que las webs que tenemos con tiendas o con contratación de servicios online, cumplan con el nuevo Reglamento. Si no es así, te pido por favor que nos lo comuniques cuanto antes para buscar alternativas o soluciones para las webs que tenemos instaladas, ya que es nuestro trabajo que su web cumpla con toda la normativa que se les puede aplicar y depende de ello el que se les sancione si no cumplen.
Ya sabéis, desde hace dos años, que no puedo utilizar este software para tiendas con venta en Europa o para tiendas que vendan a Canarias, Ceuta y Melilla desde España, ya que no contempla diferentes tipos de IVA para un mismo producto, lo que hace que tenga que limitar su uso. Espero que este tema no vaya a parar al mismo cajón de "ideas" que lo del IVA y se solucione cuanto antes.
Un saludo,
Pedro L.Cuevas
Hola Pedro Luis,
En este momento, mantenemos este asunto bajo control. Mientras tanto, le agradezco que me haya informado toda esta información. Seguramente será útil a medida que profundizamos en esta preocupación para nuestros usuarios.
Tan pronto como haya noticias sobre esto, nos aseguraremos de ponerlas a disposición de todos ustedes
Gracias por su comprensión
Stefano
Autore
Gracias Stefano,
Quedamos pues a la espera de noticias sobre el tema.
Mientras, iremos avanzando en otros temas como los comentarios en el blog o los procesos de suscripción a newsletter y ya iremos contando.
Un saludo,
Pedro L.Cuevas
Autore
Buenas tardes,
¿Tenemos alguna novedad sobre este tema?.
Pedro L.Cuevas
Hola Pedro Luis,
Analizamos un poco la situación y puedo proporcionarle esta información.
Durante el procedimiento de pedido, se le solicita al usuario que registre una cuenta. Al igual que si se registrara fuera del proceso de compra, se enviará al usuario un correo electrónico de verificación, que deberá aceptar, pero que es desconectado por completo del procedimiento de compra, lo que significa que puede continuar completando su información y llegar al final del proceso de compra.
Para el GDPR, esto es suficiente en lo que respecta a la creación de la cuenta.
Cuando el usuario completa el pedido, el momento en que procede al pago es suficiente como confirmación de su disposición a compartir sus datos, y por esta razón, no parece que se requiera ninguna otra operación.
Si el correo electrónico que insertó por alguna razón no es correcto, simplemente no recibirá el resumen correcto de la orden, pero eso no tiene importancia para el asunto
Avísame si esto lo hizo un poco más claro
Gracias
Stefano
Autore
Buenas tardes Stefano,
Os pido disculpas por no haber contestado antes a vuestro mensaje pero estamos en la recta final de los preparativos para el GPDR de nuestros clientes y estamos desbordados.
En cuanto a la primera cuestión: abrir una cuenta de usuario en una tienda online. Si no he entendido mal tu respuesta, el programa va a enviar un mensaje al usuario para que active su cuenta pero es un sistema independiente de la compra ya que comentas que podrá continuar rellenando el formulario de compra, por lo que no lo veo una solución factible. Si el usuario quiere registrarse, el programa debería solicitar un nombre de usuario y un email y enviar el mensaje para activar la cuenta y solo si el usuario la activa, ya sí se podrá continuar con el proceso de compra, no antes.
Esto es mucho más importante en los procesos de suscripción a newsletter: aquí sí que el GDPR exige el doble opt-in en todos los casos, luego tampoco serviría si no podemos controlar la activación de la cuenta.
Para cualquier formulario, ya sea de compra o para suscripción a boletines, enviar comentarios a un blog, etc., tampoco es válida la solución que comentas de incluir o dar por hecho que, como el usuario va a proceder al pago de la compra, si en el mismo botón le ponemos algo así "Acepto la política de privacidad de xxxx y el envío de boletines de noticias", ya está dando su consentimiento para el tratamiento de sus datos porque según el GDPR, no es correcto.
Por ejemplo, la imagen que envío es de uno de nuestros clientes a la hora de añadir comentarios a un blog. El usuario decide qué quiere y qué no quiere recibir. En formularios de contacto o suscripción a un boletín, hechos con el objeto "mensaje de correo", puedo incluir cuantos campos de aceptación necesite. En el de compra sólo hay y de ninguna manera puede servir para aceptar las condiciones de la venta y el tratamiento de los datos.
NOTA: El ejemplo que adjunto está hecho con Wordpress por uno de nuestros clientes que ha generado ya todas las rutinas para añadir a todo tipo de formularios.
Un saludo,
Pedro L.Cuevas
Hola Pedro,
por lo que sé, el GDPR no presenta ninguna obligación para las operaciones específicas de pagos como este.
Lo que quiero decir es:
Todos los datos que son obligatorios para la facturación, no requieren confirmación por parte del usuario, ya que es forzosamente necesario para el vendedor para poder generar la factura de una compra.
Me gustaría pedirle que proporcione cualquier clase de información adicional sobre este tema específico si es posible, de modo que pueda remitir esto a nuestro departamento legal para analizar las condiciones específicas en las que se indica lo que sugiere.
También me gustaría agradecerle por tomarse el tiempo para discutirlo aquí
Stefano