¿Es ilegal utilizar Disqus en mi blog?

 en la categoría Adecuación legal blog

Si estás utilizando Disqus como sistema de comentarios en tu blog o pretendes utilizarlo, no deberías apartar los ojos de este post, la actual LOPD y el nuevo RGPD contienen prescripciones muy claras respecto a la utilización de plataformas con sede en EEUU que debes conocer antes de utilizar servicios como el prestado por Disqus.

Cuidado al utilizar herramientas con sede en EEUU sin saber antes si cumplen con las prescripciones legislativas de la UE.Haz click para twittear

 

Empecemos por el principio ¿Qué es Disqus?

Disqus es una plataforma de integración y gestión de comentarios utilizado por muchísimos bloggers. Se integra en el blog a través de un plugin para recoger los comentarios de usuarios en un post.

Una vez realizada la instalación de Disqus, se realiza la sincronización y activación del plugin en nuestro blog de WordPress.

Disqus también realiza la función de red social y de lector de feeds gracias a su comunidad que permite seguir canales y personas e interactuar con ellas.

Los usuarios, para comentar a través de Disqus, deben crear un perfil en disqus o asociar la cuenta Disqus a algún perfil social.

Tal y como se explica en la política de privacidad de Disqus, para usar el servicio Disqus, se requiere una dirección de correo electrónico, nombre de usuario y contraseña. En Disqus advierten además que pueden  compartir su información de identificación personal con sus proveedores para prestar servicios.

Es más, en su apartado correspondiente a “Transferencias internacionales de datos”, se especifica lo siguiente:

“La información de identificación personal y la información de identificación no personal que Disqus recopila puede transferirse y almacenarse y procesarse en países que no sean el país en el que usted reside, lo que significa que pueden cumplir leyes diferentes a las leyes de su país. Por ejemplo, Disqus puede transferir información de identificación personal e información de identificación no personal a los Estados Unidos de América. Al utilizar el servicio Disqus, acepta la transferencia de su información de identificación personal e información de identificación no personal a otros países, incluidos los Estados Unidos de América.”

Claro, nítido y cristalino, estamos hablando de una transferencia internacional de datos.

 

Servicios extranjeros, transferencias internacionales de datos y legalidad

Lo primero que tienes que saber es que Disqus es un servicio localizado fuera de la Unión Europea, concretamente, la empresa está ubicada en EEUU desde donde realizan los tratamientos de toda la información recolectada por sus servidores.

¿Esto qué significa?

Ni más ni menos que una transferencia internacional de datos.

Recordarás que las transferencias internacionales de datos entre EEUU y la UE estaban reguladas por el acuerdo Safe Harbour que fue sustituido posteriormente por Privacy Shield. Se entiende que las entidades de  EEUU adheridas a dicho sistema proporciona un nivel adecuado de protección.

Por tanto, la contratación de un servicio ubicado en EEUU que gestione datos personales de ciudadanos europeos supone una transferencia internacional de datos y la única manera legal de poder utilizar ese servicio es que esté adherido a Privacy Shield, a menos que podamos acogernos a alguna de las excepciones previstas por ley que te explicaremos a continuación.

 

¿Está adherido Disqus a Privacy Shield?

La respuesta es sí. Ya puedes respirar. Créeme que no ha sido fácil llegar a esta respuesta dado que nuestros amigos de Disqus no se molestaron en reflejarlo en su política de privacidad, algo bastante incomprensible.

No obstante, mi compañero Pablo sí consiguió dar con esta información en este enlace correspondiente a Privacy Shield, dándonos en las narices a Kenia y a mí que llevábamos días analizando la herramienta para dar respuesta a muchos de nuestros clientes que actualmente la están utilizando.

Disqus ya está adherido a Privacy Shield, por lo tanto cumple las medidas de seguridad exigidas por la UE.Haz click para twittear

Como ves, Disqus si aparece entre las empresas adheridas al acuerdo.

Disqus Privacy Shield - LEXblogger

 

Entonces ¿qué dice el nuevo reglamento europeo de protección de datos sobre este tipo de transferencias y la posibilidad de utilizar plataformas como Disqus ¿podemos utilizarlas? ¿es legal hacerlo?

El RGPD, al igual que la LOPD, establece que “sólo se podrán transmitir datos a aquellos países, territorios, sectores u organismos internacionales respecto de los que la Comisión Europea haya considerado que disponen de un nivel adecuado de protección o, en otro caso, se aporten garantías suficientes o se den algunas de las circunstancias previstas como excepciones, y siempre y cuando se observen los demás requisitos del Reglamento”.

Con el RGPD no cambian notablemente los requisitos respecto a la transferencia pero se impone el principio de responsabilidad activa, que significa entre otras cosas, previsión y diligencia en la contratación de prestadores.

Las garantías sobre la protección que recibirán los datos en destino (en este caso en Disqus) las debe ofrecer el exportador (tú en este caso), esto significa que deberás  tener más cuidado en la selección de servicios y prestadores y asegurarte que estos cumplen con los requisitos establecidos por el RGPD.

Como ya hemos explicado, Disqus cumple con los requisitos exigidos porque está adherido a Privacy Shield.

Pero hay más exigencias que cumplir…

 

¿Cómo adaptar los formularios de Disqus al RGPD?

Como ya explicamos en este post, los requisitos para la obtención del consentimiento legal han cambiado considerablemente con el RGPD.

  • Debe ser una declaración o clara acción afirmativa: en el caso de un formulario de comentarios de datos, se solucionaría con un checkbox que requiera el consentimiento con lo informado.
  • Debe ser informado: el consentimiento debe estar ligado a una información clara sobre el tratamiento previsto de esos datos que se exprese de forma clara y transparente.
  • Debe ser Inequívoco: Es decir, que no arroje ninguna duda o ambigüedad en el usuario sobre el mismo.
  • Debe ser específico: Ligado a una finalidad concreta y específica, por tanto, no vale un consentimiento genérico para todo, deberás crear un consentimiento específico para cada finalidad y para cada tratamiento, por ejemplo, para cesiones de datos o transferencias internacionales, deberás crear una casilla de consentimiento para cada uno de esos tratamientos.

Un ejemplo de formulario de comentarios legal es justo el que tienes en LEXblogger para comentar este post.

Coletilla legal formulario comentarios wordpress - Blog legal - LEXblogger

En el caso de Disqus, el principal escollo que presentan los formularios de comentarios de Disqus es que no hay manera de recabar el consentimiento previo según las exigencias del RGPD. Los comentarios se realizan de forma automática mediante la propia plataforma y no hay ninguna posibilidad de establecer un checkbox previo en los formularios de comentarios que permita acreditar el consentimiento.

Si te fijas en la entrada de datos de los formularios de Disqus, no hay ninguna posibilidad de incluir una casilla de verificación previa a la entrada de comentarios, por tanto, no podríamos acreditar el consentimiento del usuario  de ninguna de las maneras.

Podrías argumentar que el usuario debería saber que usar Disqus implica transferencia internacional de datos  y que por tanto, si lo utiliza, acepta tácitamente esa transferencia, el problema es que no es válido el consentimiento tácito y tú eres responsable de los servicios que contratas y de su legalidad.

Por tanto, solo se nos ocurre que deberías introducir un texto informativo antes del formulario de comentario de Disqus donde introduzcas la cláusula informativa correspondiente y remitas a la política de privacidad, pidiendo la conformidad del usuario con esa información mediante un check box.

 

Datos  a tener en cuenta en la elección de un prestador o plugin

A título informativo deberías saber que Disqus ha sufrido brechas de seguridad que han comprometido millones de datos,  que se vieron expuestos.  Recuerda el principio de responsabilidad activa y la necesidad de elegir prestadores que aporten suficientes garantías de seguridad a tus usuarios y clientes.

El mismo principio vale para cualquier servicio o plugin que puedas contratar, antes de hacerlo comprueba:

  • Ubicación de la empresa, si está fuera de EU, debe pertenecer a un país considerado seguro o estar adherida a Privacy Shield. Busca en este enlace esta información.
  • Si no cumple estos requisitos, que te permita introducir un check box específico para recabar el consentimiento con esa transferencia, aunque siempre debes dar prioridad a las que están en EU o adheridas a Privacy Shield.
  • Busca en Google información sobre problemas de seguridad, fugas de datos o brechas de seguridad de esa herramienta para asegurarte que al menos hasta la fecha, no los ha tenido.

Recuerda que si quieres pasar al siguiente nivel de profesionalización y salir del limbo legal en que se encuentra ahora mismo tu blog, puedes contar con LEXblogger y con nuestra App de adecuación legal para bloggers.

Foto de portada de Jacob Morrison en Unsplash
PUBLICACIONES RECOMENDADAS
  • gastre | disqus
    Responder

    Gran post, me ha costado comentar porque he echado en falta mi querido disqus jejeje.

    Ahora estoy pensando en migrar a spot.im

    Tendré que investigar antes.

    Un saludo.

    • Marina Brocca
      Responder

      Mi querido Gastre, al escribirlo fuiste mi mayor inspiración, anda que no hemos hablado de tu queridísimo Disqus, eres todo un defensor, ahora ya sabes que es perfectamente legal utilizarlo. Respecto a spot.im, todavía tenemos que analizarlo, gracias por el dato.
      Un fuerte abrazo y no dejes de pasarte por aquí, ya sabes que eres uno de mis tertulianos preferidos.;)

  • Dalma
    Responder

    ¡Hola! Gracias por esta aclaración. Cuando uno inicia un blog y no es muy técnico te encuentras con estos temas que sin la guía de alguien más experto se tornan altamente complejos y pesados. No utilizo Disqus pero sí lo he visto promovido, e ignorante de todo esto podría haberlo incorporado.

    • Marina Brocca
      Responder

      Hola Dalma, muchísimas gracias por acercarte a comentar. Como bien dices, la mayoría de las veces no valoramos el factor legal a la hora de elegir una herramienta, algo que puede traernos no pocos disgustos. Aquí iremos analizando las diferentes herramientas más utilizadas para comentar que herramientas son las que cumplen con el nuevo RGPD.
      Un fuerte abrazo

Deja un comentario

LEXblogger te informa que los datos de carácter personal que nos proporciones rellenando el presente formulario serán tratados por Luz Soluciones TIC, S.L. (INNOIT) como responsable de esta web.

La finalidad de la recogida y tratamiento de los datos personales que te solicitamos es para gestionar los comentarios que realizas en este blog.

Legitimación: Al marcar la casilla de aceptación, estás dando tu legítimo consentimiento para que tus datos sean tratados conforme a las finalidades de este formulario descritas en la política de privacidad.

Como usuario e interesado te informamos que los datos que nos facilitas estarán ubicados en los servidores de Raiola Networks (proveedor de hosting de LEXblogger) dentro de la UE. Ver política de privacidad de Raiola Networks.

El hecho de que no introduzcas los datos de carácter personal que aparecen en el formulario como obligatorios podrá tener como consecuencia que no pueda atender tu solicitud.

Podrás ejercer tus derechos de acceso, rectificación, limitación y suprimir los datos en info@lexblogger.com así como el Derecho a presentar una reclamación ante una autoridad de control.

Puedes consultar la información adicional y detallada sobre Protección de Datos en nuestra página web: www.lexblogger.com, así como consultar nuestra política de privacidad.

Los secretos de la nueva LOPD - LEXblogger6 riesgos que debes evitar al vender tu infoproducto - LEXblogger