¿Es ilegal utilizar Disqus en mi blog?

 En Adecuación legal blog

Si estás utilizando Disqus como sistema de comentarios en tu blog o pretendes utilizarlo, no deberías apartar los ojos de este post, la actual LOPD y el nuevo RGPD contienen prescripciones muy claras respecto a la utilización de plataformas con sede en EEUU que debes conocer antes de utilizar servicios como el prestado por Disqus.

Cuidado al utilizar herramientas con sede en EEUU sin saber antes si cumplen con las prescripciones legislativas de la UE.Haz click para twittear

 

Empecemos por el principio ¿Qué es Disqus?

Disqus es una plataforma de integración y gestión de comentarios utilizado por muchísimos bloggers. Se integra en el blog a través de un plugin para recoger los comentarios de usuarios en un post.

Una vez realizada la instalación de Disqus, se realiza la sincronización y activación del plugin en nuestro blog de WordPress.

Disqus también realiza la función de red social y de lector de feeds gracias a su comunidad que permite seguir canales y personas e interactuar con ellas.

Los usuarios, para comentar a través de Disqus, deben crear un perfil en disqus o asociar la cuenta Disqus a algún perfil social.

Tal y como se explica en la política de privacidad de Disqus, para usar el servicio Disqus, se requiere una dirección de correo electrónico, nombre de usuario y contraseña. En Disqus advierten además que pueden  compartir su información de identificación personal con sus proveedores para prestar servicios.

Es más, en su apartado correspondiente a “Transferencias internacionales de datos”, se especifica lo siguiente:

“La información de identificación personal y la información de identificación no personal que Disqus recopila puede transferirse y almacenarse y procesarse en países que no sean el país en el que usted reside, lo que significa que pueden cumplir leyes diferentes a las leyes de su país. Por ejemplo, Disqus puede transferir información de identificación personal e información de identificación no personal a los Estados Unidos de América. Al utilizar el servicio Disqus, acepta la transferencia de su información de identificación personal e información de identificación no personal a otros países, incluidos los Estados Unidos de América.”

Claro, nítido y cristalino, estamos hablando de una transferencia internacional de datos.

 

Servicios extranjeros, transferencias internacionales de datos y legalidad

Lo primero que tienes que saber es que Disqus es un servicio localizado fuera de la Unión Europea, concretamente, la empresa está ubicada en EEUU desde donde realizan los tratamientos de toda la información recolectada por sus servidores.

¿Esto qué significa?

Ni más ni menos que una transferencia internacional de datos.

Recordarás que las transferencias internacionales de datos entre EEUU y la UE estaban reguladas por el acuerdo Safe Harbour que fue sustituido posteriormente por Privacy Shield. Se entiende que las entidades de  EEUU adheridas a dicho sistema proporciona un nivel adecuado de protección.

Por tanto, la contratación de un servicio ubicado en EEUU que gestione datos personales de ciudadanos europeos supone una transferencia internacional de datos y la única manera legal de poder utilizar ese servicio es que esté adherido a Privacy Shield, a menos que podamos acogernos a alguna de las excepciones previstas por ley que te explicaremos a continuación.

 

¿Está adherido Disqus a Privacy Shield?

La respuesta es sí. Ya puedes respirar. Créeme que no ha sido fácil llegar a esta respuesta dado que nuestros amigos de Disqus no se molestaron en reflejarlo en su política de privacidad, algo bastante incomprensible.

No obstante, mi compañero Pablo sí consiguió dar con esta información en este enlace correspondiente a Privacy Shield, dándonos en las narices a Kenia y a mí que llevábamos días analizando la herramienta para dar respuesta a muchos de nuestros clientes que actualmente la están utilizando.

Disqus ya está adherido a Privacy Shield, por lo tanto cumple las medidas de seguridad exigidas por la UE.Haz click para twittear

Como ves, Disqus si aparece entre las empresas adheridas al acuerdo.

Disqus Privacy Shield - LEXblogger

 

Entonces ¿qué dice el nuevo reglamento europeo de protección de datos sobre este tipo de transferencias y la posibilidad de utilizar plataformas como Disqus ¿podemos utilizarlas? ¿es legal hacerlo?

El RGPD, al igual que la LOPD, establece que “sólo se podrán transmitir datos a aquellos países, territorios, sectores u organismos internacionales respecto de los que la Comisión Europea haya considerado que disponen de un nivel adecuado de protección o, en otro caso, se aporten garantías suficientes o se den algunas de las circunstancias previstas como excepciones, y siempre y cuando se observen los demás requisitos del Reglamento”.

Con el RGPD no cambian notablemente los requisitos respecto a la transferencia pero se impone el principio de responsabilidad activa, que significa entre otras cosas, previsión y diligencia en la contratación de prestadores.

Las garantías sobre la protección que recibirán los datos en destino (en este caso en Disqus) las debe ofrecer el exportador (tú en este caso), esto significa que deberás  tener más cuidado en la selección de servicios y prestadores y asegurarte que estos cumplen con los requisitos establecidos por el RGPD.

Como ya hemos explicado, Disqus cumple con los requisitos exigidos porque está adherido a Privacy Shield.

Pero hay más exigencias que cumplir…

 

¿Cómo adaptar los formularios de Disqus al RGPD?

Como ya explicamos en este post, los requisitos para la obtención del consentimiento legal han cambiado considerablemente con el RGPD.

  • Debe ser una declaración o clara acción afirmativa: en el caso de un formulario de comentarios de datos, se solucionaría con un checkbox que requiera el consentimiento con lo informado.
  • Debe ser informado: el consentimiento debe estar ligado a una información clara sobre el tratamiento previsto de esos datos que se exprese de forma clara y transparente.
  • Debe ser Inequívoco: Es decir, que no arroje ninguna duda o ambigüedad en el usuario sobre el mismo.
  • Debe ser específico: Ligado a una finalidad concreta y específica, por tanto, no vale un consentimiento genérico para todo, deberás crear un consentimiento específico para cada finalidad y para cada tratamiento, por ejemplo, para cesiones de datos o transferencias internacionales, deberás crear una casilla de consentimiento para cada uno de esos tratamientos.

Un ejemplo de formulario de comentarios legal es justo el que tienes en LEXblogger para comentar este post.

Coletilla legal formulario comentarios wordpress - Blog legal - LEXblogger

En el caso de Disqus, el principal escollo que presentan los formularios de comentarios de Disqus es que no hay manera de recabar el consentimiento previo según las exigencias del RGPD. Los comentarios se realizan de forma automática mediante la propia plataforma y no hay ninguna posibilidad de establecer un checkbox previo en los formularios de comentarios que permita acreditar el consentimiento.

Si te fijas en la entrada de datos de los formularios de Disqus, no hay ninguna posibilidad de incluir una casilla de verificación previa a la entrada de comentarios, por tanto, no podríamos acreditar el consentimiento del usuario  de ninguna de las maneras.

Podrías argumentar que el usuario debería saber que usar Disqus implica transferencia internacional de datos  y que por tanto, si lo utiliza, acepta tácitamente esa transferencia, el problema es que no es válido el consentimiento tácito y tú eres responsable de los servicios que contratas y de su legalidad.

Por tanto, solo se nos ocurre que deberías introducir un texto informativo antes del formulario de comentario de Disqus donde introduzcas la cláusula informativa correspondiente y remitas a la política de privacidad, pidiendo la conformidad del usuario con esa información mediante un check box.

 

Datos  a tener en cuenta en la elección de un prestador o plugin

A título informativo deberías saber que Disqus ha sufrido brechas de seguridad que han comprometido millones de datos,  que se vieron expuestos.  Recuerda el principio de responsabilidad activa y la necesidad de elegir prestadores que aporten suficientes garantías de seguridad a tus usuarios y clientes.

El mismo principio vale para cualquier servicio o plugin que puedas contratar, antes de hacerlo comprueba:

  • Ubicación de la empresa, si está fuera de EU, debe pertenecer a un país considerado seguro o estar adherida a Privacy Shield. Busca en este enlace esta información.
  • Si no cumple estos requisitos, que te permita introducir un check box específico para recabar el consentimiento con esa transferencia, aunque siempre debes dar prioridad a las que están en EU o adheridas a Privacy Shield.
  • Busca en Google información sobre problemas de seguridad, fugas de datos o brechas de seguridad de esa herramienta para asegurarte que al menos hasta la fecha, no los ha tenido.

Recuerda que si quieres pasar al siguiente nivel de profesionalización y salir del limbo legal en que se encuentra ahora mismo tu blog, puedes contar con LEXblogger y con nuestra App de adecuación legal para bloggers.

Foto de portada de Jacob Morrison en Unsplash
Entradas recomendadas
Mostrando 14 comentarios
  • gastre | disqus
    Responder

    Gran post, me ha costado comentar porque he echado en falta mi querido disqus jejeje.

    Ahora estoy pensando en migrar a spot.im

    Tendré que investigar antes.

    Un saludo.

    • Marina Brocca
      Responder

      Mi querido Gastre, al escribirlo fuiste mi mayor inspiración, anda que no hemos hablado de tu queridísimo Disqus, eres todo un defensor, ahora ya sabes que es perfectamente legal utilizarlo. Respecto a spot.im, todavía tenemos que analizarlo, gracias por el dato.
      Un fuerte abrazo y no dejes de pasarte por aquí, ya sabes que eres uno de mis tertulianos preferidos.;)

  • Dalma
    Responder

    ¡Hola! Gracias por esta aclaración. Cuando uno inicia un blog y no es muy técnico te encuentras con estos temas que sin la guía de alguien más experto se tornan altamente complejos y pesados. No utilizo Disqus pero sí lo he visto promovido, e ignorante de todo esto podría haberlo incorporado.

    • Marina Brocca
      Responder

      Hola Dalma, muchísimas gracias por acercarte a comentar. Como bien dices, la mayoría de las veces no valoramos el factor legal a la hora de elegir una herramienta, algo que puede traernos no pocos disgustos. Aquí iremos analizando las diferentes herramientas más utilizadas para comentar que herramientas son las que cumplen con el nuevo RGPD.
      Un fuerte abrazo

  • Carlos
    Responder

    Hola!

    Muy buen post 🙂

    Sin embargo me surge una duda.

    Comentas lo siguiente: “remitas a la política de privacidad, pidiendo la conformidad del usuario con esa información mediante un check box.”

    Poner un texto antes de los comentarios de disqus es fácil al igual que un checkbox, sin embargo, no puedes hacer que si el usuario no marca este checkbox, tampoco pueda usar disqus para comentar, por lo tanto queda sin utilidad no?

    Muchas gracias.

    Un saludo

  • Eudis Rivas
    Responder

    Como comentario extra, disqus, antes de hacer comentario en un aweb pide dicho consentimiento mediante un par de checkbox, me explico un poco más: Si Marina tiene disqus en su web y un usurio quiere comnetar, incluso estando registrado ya en disqus, le pide marcar que acepta que disqus recoja sus datos personales (Ip, nombre, email e incluso las cookies), luego que las acepta podría pasar por mi blog y comentar sin tener que hacer esto previamente porque ya disqus tiene cómo verificar que el usuario ha cedido los permisos.
    Supongo que con esto cubren ya lo que pide el RGPD

    • Marina Brocca
      Responder

      Exacto, es Disqus quien recoge y almacena esa información, por tanto, solo hay que informar sobre el tema.
      Un abrazo

  • gabriela.turiano
    Responder

    Hola! Genial post… todavía estoy haciendo las adaptaciones de mi web 🙂

    Alguna sugerencia sobre los comentarios del plugin de Facebook? Porque también son súper utilizados.

    Muchas gracias!
    Abrazo
    Gabriela

    • Marina Brocca
      Responder

      Hola Gabriela, gracias por tu comentario, sería igual que en Disqus pero indicando a Facebook, lo que tendría que investigar es que otra información recoge Facebook, porque eso habría que indicarlo claramente en la política de privacidad.
      Un abrazo

    • Marina Brocca
      Responder

      Hola Gabriela, siempre hay que informar acerca de las herramientas que intervengan en el tratamiento, si utilizas el plugin de facebook, hay que informarlo en el apartado destinatarios.
      Un abrazo

  • John
    Responder

    Hola Marina:
    Muchas gracias por el post. No obstante, hay un par de cosas que no entiendo:

    1. Estoy de acuerdo con el comentario anterior de Carlos Herrero, en el sentido de que si ponemos un checkbox que se marque o no, el proceso de registro en Disqus continúa, por lo que no tendríamos prueba de que se acepta nuestra política de privacidad.

    2. Por otra parte, el usuario es el que facilita los datos directamente a Disqus para poder comentar en el blog, por lo que acepta la política de privacidad de Disqus. Es cierto que el editor de la Web tendrá acceso a los datos, pero porque Disqus los cede al editor del sitio web, facultado por su política de privacidad aceptada por el usuario. Por tanto, Disqus no sería ni Encargado de Tratamiento, ni cesionario de datos, ¿no crees?
    En mi opinión, no se necesita consentimiento para el tratamiento de esos datos, por cuanto el titular del blog tiene un interés legítimo para su tratamiento, siempre y cuando el mismo se limite a moderar comentarios y publicar el nombre del usuario en los comentarios del blog. Dicho interés legítimo no vulnera derechos y libertades fundamentales del usuario. ¿Cómo lo ves?
    Por otra parte, parece que Disqus ha habilitado la posibilidad de establecer una Política de comentarios, una especie de normas de la comunidad que quieran comentar en el blog, pero no parece que estén pensando en lo que refiere el RGPD.
    Me encantaría conocer tu opinión al respecto.
    Un saludo.
    John

    • Marina Brocca
      Responder

      Hola John, lo explico justamente abajo, no necesitas consentimiento dado que es Disqus efectivamente es quien recaba información.
      Un abrazo

      • John
        Responder

        Hola Marina:
        Abajo, ¿Dónde?

        En tu post he leído lo siguiente:

        “Por tanto, solo se nos ocurre que deberías introducir un texto informativo antes del formulario de comentario de Disqus donde introduzcas la cláusula informativa correspondiente y remitas a la política de privacidad, pidiendo la conformidad del usuario con esa información mediante un check box”
        Entonces, ¿cuándo tenemos que pedir esa conformidad?
        Muchas gracias

  • seo
    Responder

    Muy buen post,
    gracias

    Nicolás

Dejar un comentario

He leído y acepto la política de privacidad *

LEXblogger te informa que los datos de carácter personal que nos proporciones rellenando el presente formulario serán tratados por Luz Soluciones TIC, S.L. como responsable de esta web.

La finalidad de la recogida y tratamiento de los datos personales que te solicitamos es para gestionar los comentarios que realizas en este blog.

Legitimación: Al marcar la casilla de aceptación, estás dando tu legítimo consentimiento para que tus datos sean tratados conforme a las finalidades de este formulario descritas en la política de privacidad.

Como usuario e interesado te informamos que los datos que nos facilitas estarán ubicados en los servidores de Raiola Networks (proveedor de hosting de LEXblogger) dentro de la UE. Ver política de privacidad de Raiola Networks.

Podrás ejercer tus derechos de acceso, rectificación, limitación y suprimir los datos en info@lexblogger.com, así como el derecho a presentar una reclamación ante una autoridad de control. Más información aquí.

Los secretos de la nueva LOPD - LEXblogger6 riesgos que debes evitar al vender tu infoproducto - LEXblogger