El Reglamento General de Protección de Datos (RGPD) se aplica a cualquier sitio web al que puedan acceder visitantes desde la Unión Europea, independientemente de dónde esté alojado. Para los propietarios de sitios WordPress, esto significa prestar mucha atención a cómo el sitio recopila, trata y transfiere datos personales. Esta lista se centra en los aspectos técnicos de implementación que puedes verificar y corregir tú mismo. Para cuestiones legales sobre acuerdos de tratamiento de datos, bases jurídicas y requisitos regulatorios concretos, consulta a un asesor cualificado de protección de datos.
Gestión de servicios externos y transferencias internacionales de datos
Cada recurso cargado desde un servidor externo transmite, como mínimo, la dirección IP del visitante al operador de ese servidor. Según el RGPD, una dirección IP se considera dato personal. Sin una base jurídica válida o consentimiento explícito, cargar recursos externos constituye una infracción de la protección de datos. Esto es especialmente problemático con servicios estadounidenses, ya que el marco de transferencia de datos UE-EE. UU. sigue siendo un terreno legal disputado.
- Aloja Google Fonts localmente: cuando Google Fonts se cargan desde
fonts.googleapis.com, cada visualización de página envía la dirección IP del visitante, los detalles del navegador y la URL de referencia a los servidores de Google. Los tribunales alemanes han considerado esta práctica ilegal sin consentimiento, con multas a partir de 100 EUR por infracción. Descarga los archivos de las fuentes y sírvelos desde tu propio servidor. Plugins como "OMGF" o "Local Google Fonts" automatizan este proceso. Tras el cambio, verifica que no quedan peticiones afonts.googleapis.comni afonts.gstatic.comen la pestaña de red de tu navegador. - Deshabilita Gravatar o cachea los avatares localmente: por defecto, WordPress envía hashes MD5 de las direcciones de correo electrónico de los comentaristas a los servidores estadounidenses de Gravatar. Incluso el propio hash puede considerarse dato personal (puede revertirse para correos electrónicos conocidos). Deshabilita Gravatar en Ajustes > Comentarios, o utiliza un plugin que cachee los avatares localmente y solo los recupere una vez con consentimiento.
- Auto-aloja la analítica o utiliza un enfoque basado en consentimiento: Google Analytics transfiere amplios datos del visitante a servidores estadounidenses, incluidas direcciones IP, comportamiento de navegación y huellas digitales del dispositivo. Auto-aloja una solución de analítica como Matomo (que mantiene todos los datos en tu servidor) o implementa Google Analytics tras un mecanismo de consentimiento adecuado que bloquee todo el rastreo hasta que el visitante opte activamente por aceptarlo. Herramientas de analítica del lado del servidor como Plausible o Fathom son alternativas respetuosas con la privacidad que funcionan sin cookies.
- Bloquea Google Maps hasta que se dé el consentimiento: las incrustaciones de Google Maps cargan múltiples scripts de rastreo y transfieren datos del visitante a Google. En lugar de incrustar el mapa directamente, muestra una imagen estática o un marcador con un botón "Cargar mapa". Carga la incrustación real de Google Maps solo después de que el usuario haga clic para dar su consentimiento. El mismo enfoque se aplica a Google reCAPTCHA, que también transfiere datos a Google.
- Audita la carga de todos los recursos externos: más allá de los servicios obvios, comprueba si hay bibliotecas alojadas en CDN (jQuery desde
ajax.googleapis.com, Font Awesome desdecdnjs.cloudflare.com), vídeos incrustados de YouTube o Vimeo, widgets de redes sociales, chatbots y cualquier otro script de terceros. Cada petición externa es un posible problema de RGPD. Sustituye las bibliotecas alojadas en CDN por copias alojadas localmente siempre que sea posible. - Gestiona el contenido incrustado con patrones de fachada: para los vídeos de YouTube, las incrustaciones de redes sociales y otros contenidos similares de terceros, utiliza una solución de dos clics. Muestra primero una miniatura o un marcador con un aviso de privacidad y carga la incrustación real solo después de que el visitante haga clic. Plugins como "Embed Privacy" gestionan esto automáticamente para los servicios más habituales.
Implementar correctamente el consentimiento de cookies
La Directiva ePrivacy (a menudo llamada "Directiva de cookies") complementa el RGPD y exige el consentimiento antes de instalar cookies no esenciales. Acertar con el consentimiento de cookies es uno de los aspectos más escrutados del cumplimiento del RGPD.
- Instala un plugin de gestión de consentimiento adecuado: utiliza una plataforma de gestión de consentimiento (CMP) específica como Complianz, Real Cookie Banner o Cookiebot. Estos plugins gestionan la complejidad legal de la categorización de cookies, el registro del consentimiento y el bloqueo de scripts. Las soluciones gratuitas a menudo carecen de funciones importantes como el registro del consentimiento o la detección automática de scripts.
- Bloquea las cookies y los scripts no esenciales antes del consentimiento: este es el requisito técnico más crítico. Tu plugin de consentimiento debe impedir realmente que las cookies de rastreo, los scripts de analítica y los píxeles de marketing se carguen hasta que el visitante dé su consentimiento. Mostrar simplemente un banner sin bloquear los scripts no es conforme. Pruébalo abriendo tu sitio en una ventana de incógnito, rechazando todas las cookies y comprobando si siguen apareciendo peticiones de terceros en la pestaña de red.
- Ofrece categorías de cookies granulares: los visitantes deben poder elegir entre diferentes categorías: Funcionales (necesarias para que el sitio funcione), Estadísticas (analítica y medición de rendimiento) y Marketing (publicidad y rastreo). Un simple "Aceptar todo" sin alternativas no cumple con el RGPD.
- Haz que rechazar las cookies sea igual de fácil: el botón "Rechazar todo" o "Aceptar solo las esenciales" debe ser tan visible y fácil de alcanzar como el botón "Aceptar todo". Ocultar la opción de rechazo tras un enlace "Gestionar ajustes", utilizar una fuente más pequeña o exigir clics adicionales se ha considerado no conforme por varias autoridades europeas de protección de datos.
- Permite retirar el consentimiento en cualquier momento: los visitantes deben poder cambiar sus preferencias de cookies tras la decisión inicial. Añade un enlace persistente en tu pie de página (por ejemplo, "Ajustes de cookies" o "Ajustes de privacidad") que vuelva a abrir el diálogo de consentimiento. Es un requisito legal, no opcional.
- Registra y almacena los registros de consentimiento: en caso de disputa o auditoría, debes poder demostrar que se otorgó el consentimiento. Tu plugin de consentimiento debería almacenar un registro con marca de tiempo de cada decisión de consentimiento, incluyendo qué categorías se aceptaron y la versión de la política de privacidad vigente.
Requisitos de almacenamiento y tratamiento de datos en WordPress
Más allá de las cookies, WordPress trata datos personales de varias otras formas que requieren atención bajo el RGPD.
- Gestiona correctamente los datos del formulario de comentarios: WordPress almacena el nombre, la dirección de correo electrónico y la URL del sitio web de los comentaristas. También establece cookies para recordar esta información en visitas posteriores. Deshabilita estas cookies en Ajustes > Comentarios (desmarca "Mostrar la casilla de aceptación de cookies") o sustituye el comportamiento por defecto por una casilla de consentimiento explícita que enlace con tu política de privacidad.
- Añade una casilla de consentimiento de privacidad a todos los formularios: cada formulario que recopile datos personales (formularios de contacto, suscripciones a newsletters, formularios de registro) necesita una casilla en la que el usuario consienta explícitamente el tratamiento de sus datos. La casilla no debe estar premarcada y la etiqueta debería enlazar con tu política de privacidad. La mayoría de los plugins de formularios (Contact Form 7, WPForms, Gravity Forms) lo admiten de forma nativa.
- Revisa el uso de localStorage y sessionStorage: estos mecanismos de almacenamiento del navegador pueden utilizarse para rastrear igual que las cookies. Audita qué datos almacenan tus plugins en localStorage y sessionStorage. Cualquier dato que pueda identificar o rastrear a un visitante entra en el ámbito del RGPD. Puedes comprobarlo en las herramientas para desarrolladores del navegador, en la pestaña "Application".
- Limita la conservación de los datos del formulario de contacto: no almacenes los envíos de formularios indefinidamente. Configura tu plugin de formularios para que elimine automáticamente los envíos tras un periodo definido (por ejemplo, 90 días). Si necesitas los datos durante más tiempo para una finalidad concreta, documenta esa finalidad en tu política de privacidad.
- Implementa políticas de conservación de datos: bajo el principio de limitación del plazo de conservación del RGPD, los datos personales no deben conservarse más tiempo del necesario. Esto se aplica a las cuentas de usuario, los comentarios, los datos de pedidos (para WooCommerce), los archivos de registro y los datos de analítica. Define periodos de conservación para cada categoría de datos y aplícalos, ya sea de forma manual o automatizada.
- Atiende las solicitudes de acceso de los interesados: el RGPD da a las personas el derecho a solicitar una copia de todos los datos personales que conserves sobre ellas, así como el derecho a que se eliminen. WordPress incluye una página integrada de herramientas de privacidad (en Herramientas > Exportar datos personales y Herramientas > Borrar datos personales) que ayuda con esto, pero deberías probar el proceso y asegurarte de que cubre los datos de todos tus plugins.
Páginas legales obligatorias para el cumplimiento del RGPD
Determinadas páginas son legalmente obligatorias para cualquier sitio web accesible en la UE. Páginas legales ausentes o incompletas pueden derivar en advertencias, multas o requerimientos de cese y desistimiento.
- Política de privacidad (obligatoria en toda la UE): debe describir todas las actividades de tratamiento de datos en un lenguaje claro y comprensible. Incluye qué datos recopilas, por qué los recopilas, cuánto tiempo los almacenas, con quién los compartes y qué derechos tienen los visitantes. WordPress proporciona una plantilla de política de privacidad en Ajustes > Privacidad que cubre lo básico, pero debes personalizarla para tus plugins y servicios concretos.
- Política de cookies (recomendada): puede ser una página independiente o una sección dentro de tu política de privacidad. Enumera todas las cookies que instala tu sitio, su finalidad, duración y si son de origen o de terceros. Tu plugin de gestión de consentimiento suele generar esta lista automáticamente.
- Aviso legal / Pie de imprenta (obligatorio en Alemania y Austria): debe incluir el nombre legal completo, la dirección postal, la dirección de correo electrónico y el número de teléfono del operador del sitio. Para empresas, incluye el número de registro mercantil, el NIF a efectos de IVA y la persona responsable. Esto se exige en la Telemediengesetz (TMG) alemana y en la E-Commerce-Gesetz (ECG) austriaca, no en el RGPD, pero se aplica con la misma firmeza.
Verifica el cumplimiento del RGPD de tu WordPress con InspectWP
La sección de RGPD de InspectWP detecta automáticamente el uso de Gravatar, las Google Fonts cargadas externamente, el rastreo de Google Analytics, las incrustaciones de Google Maps, el píxel y los scripts de rastreo de Facebook, así como otros recursos externos que transfieren datos del visitante a terceros. Utilízala como punto de partida para tu auditoría de RGPD. Programa escaneos periódicos para detectar nuevos recursos externos que puedan introducirse al actualizar plugins o publicar contenido nuevo.