Si estás utilizando Disqus como sistema de comentarios en tu blog o pretendes utilizarlo, no deberías apartar los ojos de este post, la actual LOPD y el nuevo RGPD contienen prescripciones muy claras respecto a la utilización de plataformas con sede en EEUU que debes conocer antes de utilizar servicios como el prestado por Disqus.
Cuidado al utilizar herramientas con sede en EEUU sin saber antes si cumplen con las prescripciones legislativas de la UE.Haz click para twittear
¿Qué encontrarás en esta entrada?
Empecemos por el principio ¿Qué es Disqus?
Disqus es una plataforma de integración y gestión de comentarios utilizado por muchísimos bloggers. Se integra en el blog a través de un plugin para recoger los comentarios de usuarios en un post.
Una vez realizada la instalación de Disqus, se realiza la sincronización y activación del plugin en nuestro blog de WordPress.
Disqus también realiza la función de red social y de lector de feeds gracias a su comunidad que permite seguir canales y personas e interactuar con ellas.
Los usuarios, para comentar a través de Disqus, deben crear un perfil en disqus o asociar la cuenta Disqus a algún perfil social.
Tal y como se explica en la política de privacidad de Disqus, para usar el servicio Disqus, se requiere una dirección de correo electrónico, nombre de usuario y contraseña. En Disqus advierten además que pueden compartir su información de identificación personal con sus proveedores para prestar servicios.
Es más, en su apartado correspondiente a “Transferencias internacionales de datos”, se especifica lo siguiente:
“La información de identificación personal y la información de identificación no personal que Disqus recopila puede transferirse y almacenarse y procesarse en países que no sean el país en el que usted reside, lo que significa que pueden cumplir leyes diferentes a las leyes de su país. Por ejemplo, Disqus puede transferir información de identificación personal e información de identificación no personal a los Estados Unidos de América. Al utilizar el servicio Disqus, acepta la transferencia de su información de identificación personal e información de identificación no personal a otros países, incluidos los Estados Unidos de América.”
Claro, nítido y cristalino, estamos hablando de una transferencia internacional de datos.
Servicios extranjeros, transferencias internacionales de datos y legalidad
Lo primero que tienes que saber es que Disqus es un servicio localizado fuera de la Unión Europea, concretamente, la empresa está ubicada en EEUU desde donde realizan los tratamientos de toda la información recolectada por sus servidores.
¿Esto qué significa?
Ni más ni menos que una transferencia internacional de datos.
Recordarás que las transferencias internacionales de datos entre EEUU y la UE estaban reguladas por el acuerdo Safe Harbour que fue sustituido posteriormente por Privacy Shield. Se entiende que las entidades de EEUU adheridas a dicho sistema proporciona un nivel adecuado de protección.
Por tanto, la contratación de un servicio ubicado en EEUU que gestione datos personales de ciudadanos europeos supone una transferencia internacional de datos y la única manera legal de poder utilizar ese servicio es que esté adherido a Privacy Shield, a menos que podamos acogernos a alguna de las excepciones previstas por ley que te explicaremos a continuación.
¿Está adherido Disqus a Privacy Shield?
La respuesta es sí. Ya puedes respirar. Créeme que no ha sido fácil llegar a esta respuesta dado que nuestros amigos de Disqus no se molestaron en reflejarlo en su política de privacidad, algo bastante incomprensible.
No obstante, mi compañero Pablo sí consiguió dar con esta información en este enlace correspondiente a Privacy Shield, dándonos en las narices a Kenia y a mí que llevábamos días analizando la herramienta para dar respuesta a muchos de nuestros clientes que actualmente la están utilizando.
Disqus ya está adherido a Privacy Shield, por lo tanto cumple las medidas de seguridad exigidas por la UE.Haz click para twittearComo ves, Disqus si aparece entre las empresas adheridas al acuerdo.
Entonces ¿qué dice el nuevo reglamento europeo de protección de datos sobre este tipo de transferencias y la posibilidad de utilizar plataformas como Disqus ¿podemos utilizarlas? ¿es legal hacerlo?
El RGPD, al igual que la LOPD, establece que “sólo se podrán transmitir datos a aquellos países, territorios, sectores u organismos internacionales respecto de los que la Comisión Europea haya considerado que disponen de un nivel adecuado de protección o, en otro caso, se aporten garantías suficientes o se den algunas de las circunstancias previstas como excepciones, y siempre y cuando se observen los demás requisitos del Reglamento”.
Con el RGPD no cambian notablemente los requisitos respecto a la transferencia pero se impone el principio de responsabilidad activa, que significa entre otras cosas, previsión y diligencia en la contratación de prestadores.
Las garantías sobre la protección que recibirán los datos en destino (en este caso en Disqus) las debe ofrecer el exportador (tú en este caso), esto significa que deberás tener más cuidado en la selección de servicios y prestadores y asegurarte que estos cumplen con los requisitos establecidos por el RGPD.
Como ya hemos explicado, Disqus cumple con los requisitos exigidos porque está adherido a Privacy Shield.
Pero hay más exigencias que cumplir…
¿Cómo adaptar los formularios de Disqus al RGPD?
Como ya explicamos en este post, los requisitos para la obtención del consentimiento legal han cambiado considerablemente con el RGPD.
- Debe ser una declaración o clara acción afirmativa: en el caso de un formulario de comentarios de datos, se solucionaría con un checkbox que requiera el consentimiento con lo informado.
- Debe ser informado: el consentimiento debe estar ligado a una información clara sobre el tratamiento previsto de esos datos que se exprese de forma clara y transparente.
- Debe ser Inequívoco: Es decir, que no arroje ninguna duda o ambigüedad en el usuario sobre el mismo.
- Debe ser específico: Ligado a una finalidad concreta y específica, por tanto, no vale un consentimiento genérico para todo, deberás crear un consentimiento específico para cada finalidad y para cada tratamiento, por ejemplo, para cesiones de datos o transferencias internacionales, deberás crear una casilla de consentimiento para cada uno de esos tratamientos.
Un ejemplo de formulario de comentarios legal es justo el que tienes en LEXblogger para comentar este post.
En el caso de Disqus, el principal escollo que presentan los formularios de comentarios de Disqus es que no hay manera de recabar el consentimiento previo según las exigencias del RGPD. Los comentarios se realizan de forma automática mediante la propia plataforma y no hay ninguna posibilidad de establecer un checkbox previo en los formularios de comentarios que permita acreditar el consentimiento.
Si te fijas en la entrada de datos de los formularios de Disqus, no hay ninguna posibilidad de incluir una casilla de verificación previa a la entrada de comentarios, por tanto, no podríamos acreditar el consentimiento del usuario de ninguna de las maneras.
Podrías argumentar que el usuario debería saber que usar Disqus implica transferencia internacional de datos y que por tanto, si lo utiliza, acepta tácitamente esa transferencia, el problema es que no es válido el consentimiento tácito y tú eres responsable de los servicios que contratas y de su legalidad.
Por tanto, solo se nos ocurre que deberías introducir un texto informativo antes del formulario de comentario de Disqus donde introduzcas la cláusula informativa correspondiente y remitas a la política de privacidad, pidiendo la conformidad del usuario con esa información mediante un check box.
Datos a tener en cuenta en la elección de un prestador o plugin
A título informativo deberías saber que Disqus ha sufrido brechas de seguridad que han comprometido millones de datos, que se vieron expuestos. Recuerda el principio de responsabilidad activa y la necesidad de elegir prestadores que aporten suficientes garantías de seguridad a tus usuarios y clientes.
El mismo principio vale para cualquier servicio o plugin que puedas contratar, antes de hacerlo comprueba:
- Ubicación de la empresa, si está fuera de EU, debe pertenecer a un país considerado seguro o estar adherida a Privacy Shield. Busca en este enlace esta información.
- Si no cumple estos requisitos, que te permita introducir un check box específico para recabar el consentimiento con esa transferencia, aunque siempre debes dar prioridad a las que están en EU o adheridas a Privacy Shield.
- Busca en Google información sobre problemas de seguridad, fugas de datos o brechas de seguridad de esa herramienta para asegurarte que al menos hasta la fecha, no los ha tenido.
Recuerda que si quieres pasar al siguiente nivel de profesionalización y salir del limbo legal en que se encuentra ahora mismo tu blog, puedes contar con LEXblogger y con nuestra App de adecuación legal para bloggers.
Foto de portada de Jacob Morrison en Unsplash
