La Regulación General de la Protección de Datos (General Data Protection Regulation - GDPR) (EU) 2016/679 es una regulación por ley de la Unión Europea sobre la protección de datos y privacidad de todos los individuos de la Unión Europea. Aborda la exportación de datos personales fuera de la Unión Europea. La GDPR tiene como objetivo principal devolver el control a los ciudadanos y residentes sobre sus datos personales y simplificar el entorno regulatorio para los negocios internacionales unificando la regulación dentro de la Unión Europea. Entra en vigor el 25 de Mayo de 2018.
Esta ley es aplicable a todos y cada uno de los sitios web y foros que puedan tener miembros que residan en la Unión Europea con varios grados de incertidumbre sobre lo que se debe hacer para mantener su cumplimiento.
Esta guía no está diseñada para ser completamente comprensible, sin embargo, describirá los factores clave a tener en cuenta. Esto no constituye asesoramiento legal oficial y debe contactarse con un abogado o consultor si se necesitan garantías absolutas.
Para la mayoría de los propietarios de foro, estos pueden dividirse en los siguientes puntos:
- Alojamiento - ¿Eres un servicio auto-gestionado o administrado? ¿Cumple tu host con GDPR?
- Seguridad - ¿El software del servidor y aplicaciones web están actualizados?
- Información - ¿Le dices a la gente qué colocas en sus computadoras cuando visitan tu sitio (cookies, archivos de seguimiento)?
- Consentimiento - ¿Permites que la gente opte por no aceptar el seguimiento o la ubicación de archivos?
- Recogida de datos - ¿Qué recoges sobre la gente que visita o se registra en tu sitio?
- Procesado - ¿Cómo utilizas lo datos?
- Rehusamiento - ¿Puede la gente optar a rehusar el uso dado a los datos?
- Borrado: ¿Puede la gente solicitar que se eliminen sus datos?
- Portabilidad - ¿Pueden moverse los datos de los usuarios a otra parte?
Alto. Qué no cunda el pánico. Para la mayor parte de los propietarios de foro, estos puntos pueden necesitar sólo pequeños retoques a ejecutar en el sitio web o en las políticas de uso.
1) + 2) La seguridad es importante. La gran mayoría de los foros están en alojamientos compartidos o gestionados. Tómate el tiempo preciso para preguntar a tu alojamiento cuál es su política de actualización con respecto al software del servidor. ¿Con qué frecuencia se ejecutan las actualizaciones del sistema? ¿Con qué frecuencia se revisan los paquetes clave de software? ¿Cuál es su política sobre la reparación de vulnerabilidades críticas como fusión, espectro y heartbleed (sangrado cardíaco)?
Si eres un servicio auto-gestionado, ten en consideración si eres capaz de mantener el servidor regularmente.
Software viejo y desactualizado: ¿Realmente necesitas esa instalación de wordpress de hace 5 años? ¿O un CMS de hace mil años? Si es así, asegúrate de que estás actualizado o de modo seguro tras un directorio .htaccess protegido con contraseña. La mayoría de las infracciones de seguridad relacionadas con los foros de XenForo provienen de un software desactualizado de terceros. Sé bruto, sé honesto, si no lo necesitas, deshazte de él.
3) + 4) XenForo colocará varias cookies en la computadora del usuario cuando visiten el sitio. Es posible que tengas cookies adicionales, por ejemplo, si usas Google Analytics o Cloudflare.
Las cookies funcionales están exentas de precisar un "consentimiento explícito". Esto también incluye a Google Analytics a partir de la redacción de esta guía. El consentimiento notificado se considera lo suficientemente bueno. (Por ejemplo, un banner que informa al visitante del sitio que se ha colocado una página en tu sitio que explica qué hace cada cookie y cómo pueden eliminarse).
Parece que el enfoque adoptado con respecto a las cookies por muchas de las grandes compañías, incluida la
ICO, es decirle a la gente que las estás colocando (consentimiento implícito) y mostrarles cómo denegarlas / desactivarlas a nivel del navegador, con una advertencia de que el sitio puede no funcionar correctamente sin ellas. Por ejemplo
Es seguro asumir que estos tipos tienen abogados secuaces que les dicen que esto es aceptable, por lo que sugerimos reflejar ese enfoque.
¿Cuándo necesito una opción explícita sobre las cookies? Las cookies que contengan datos personales de un usuario y que no sean necesarias para la funcionalidad del sitio, precisarán una aceptación explícita con capacidad para desactivarlas. Ejemplos de tales cookies pueden ser las cookies publicitarias que rastrean los hábitos de navegación de un usuario o las cookies afiliadas que rastrean si un usuario ha usado un enlace de referencia. Los proveedores de estos servicios deberían proporcionar la orientación pertinente para sus servicios.
5) + 6) + 7) + 8) ¿Qué esperas de ello, amigo? ¿Tratar 4 puntos de una vez? ¡Sí! Y te diré por qué. Si bien algunos sitios web y reyes del drama te dirán que la GDPR causará pesadillas y dolores de cabeza, desglosaremos los puntos clave relacionados con los foros porque son bastante simples.
- A menos que exportes tus datos a terceros por razones tales como enviar correos electrónicos de márquetin, la mayoría de los foros nunca se tropezarán con la GDPR, salvo cuando un usuario está tratando de usarlo para "tocar los cojones".
- Los datos que la mayoría de los foros recopilan serán razonables para la ejecución del sitio web.
- Siempre que tengas políticas claras y fáciles de seguir con respecto al uso de datos, qué haces con ellos, etc., de poco tienes que preocuparte.
- Debes cumplir con la solicitud de un usuario de dejar de enviarle correos electrónicos si así lo solicita.
- El derecho de borrado no es un derecho absoluto. Esto significa que si tienes interés legítimo en conservar los datos de un usuario, como el correo electrónico, el nombre de usuario y las direcciones IP, no tienes que eliminarle la cuenta de usuario. El ejemplo en el que la mayoría de los foros rechazarán la eliminación de una cuenta será para hacer cumplir una política de una cuenta por persona o para mantener registros de usuarios prohibidos / molestos.
- Del mismo modo, no tienes que eliminar las publicaciones de los usuarios, ya que mantenerlas es un interés legítimo para la ejecución de tu foro.
9) Esta parte es algo ambigua en este momento. Incluso el
ICO tiene una guía contradictoria al respecto. Las implicaciones son que si un usuario lo solicita, debes devolverles una copia de los datos que te proporcionaron. No hay acuerdos comunes sobre el esquema de formato ni sobre su uso, especialmente en sitios web cuyas suscripciones pueden ser datos muy básicos. Lo más probable es que se use una herramienta para simplemente darles los datos de la cuenta del perfil de los usuarios en un archivo CSV.
¿Qué es TL: DR?
Si no mueves ningún dato fuera de XenForo y solo ejecutas tu sitio bajo la plataforma XenForo, tienes poco de qué preocuparte, ya que las opciones de correo electrónico y las opciones de envío de correo están integradas bajo estándares que se consideran aceptables.
Precisarás una ventana emergente sobre cookies, una página que explique qué hacen las cookies y cómo pueden eliminarse.
Si tienes una política de cuenta, puedes alegar intereses legítimos para rechazar la eliminación de cuentas de miembros. Lo mismo puede decirse sobre los mensajes realizados en tu foro.
Si tienes preguntas específicas, hazlas. Se mantendrá actualizado este recurso con cualquier pregunta frecuente y/o discusión.