El complemento Gravity Forms Stop Entries tiene como objetivo ayudar a los sitios a cumplir con el RGPD de la UE

Wider Gravity Forms Stop Entries es un nuevo complemento que ayuda a los propietarios de sitios web a proteger la privacidad de los envíos de formularios al evitar que las entradas se almacenen en la base de datos. El complemento fue creado por el desarrollador web con sede en el Reino Unido Jonny Allbut para uso interno en Wider, una empresa que creó para manejar las necesidades de los clientes de WordPress.

Un aspecto del cumplimiento del Reglamento General de Protección de Datos (GDPR) de la UE es garantizar que los formularios de contacto no almacenen ningún dato de identificación personal en el servidor. El reglamento entrará en vigor en mayo de 2018 y los sitios que atienden a los ciudadanos de la UE se están preparando para la fecha límite con auditorías y cambios en la forma en que manejan la privacidad.

Gravity Forms no ofrece una opción integrada para evitar que las entradas se almacenen en el servidor, pero el cofundador de GF, Carl Hancock, dice que hay varias formas de lograrlo.

"Si todo lo que quiere hacer es simplemente enviar por correo electrónico el contenido del formulario y no almacenar los datos en la base de datos como parte de la ruta que le gustaría tomar para el cumplimiento de GDPR, este complemento sería un método para hacerlo", Hancock dicho. También hizo referencia al complemento comercial Disable Entry Creation de Gravity Wiz. Los desarrolladores también pueden eliminar los datos de entrada después del envío a través de un gancho.

“Sin embargo, el RGPD no impide el almacenamiento de entradas de formularios en una base de datos y depende completamente del tipo de datos que esté almacenando y de las otras medidas de seguridad y funcionalidad que haya implementado”, dijo Hancock. “Es un tema complejo y no estoy del todo seguro de que la UE comprenda completamente la carga y las implicaciones que puede conllevar”.

En última instancia, el requisito de cumplimiento recae sobre los administradores del sitio web, quienes son los que recopilan los datos. Es su responsabilidad seleccionar herramientas que protejan la privacidad de sus usuarios.

“Si bien no proporcionará el cumplimiento de GDPR por sí solo, la extensión de Jonny es un paso muy necesario en la dirección correcta”, dijo Heather Burns, especialista en derecho digital. Burns consulta con empresas que necesitan ayuda para que sus sitios cumplan con el RGPD. "GDPR requiere el cumplimiento de los principios de privacidad por diseño y parte de eso es la minimización y eliminación de datos".

WordPress tiene docenas de complementos de formularios de contacto populares, tanto gratuitos como comerciales. Muchos de ellos almacenan entradas en la base de datos en caso de que el correo electrónico del destinatario tenga problemas, evitando que la comunicación se pierda. Los administradores del sitio que estén preocupados por el cumplimiento de GDPR querrán examinar la solución que han seleccionado para los formularios. Burns aconsejó que los complementos del formulario de contacto deben hacer las siguientes tres cosas:

• Asegúrese de que los datos personales y confidenciales de las entradas del formulario no se almacenen en la base de datos;
• Proporcionar opciones de configuración para permitir que las entradas del formulario de contacto se eliminen automáticamente después de un cierto período de tiempo;
• Asegúrese de que todos los datos del formulario de contacto se eliminen cuando el complemento se desactive o elimine.

“Desafortunadamente, la dirección del viaje ha sido exactamente la opuesta: las entradas del formulario de contacto tienden a almacenarse a perpetuidad en la base de datos, independientemente del contenido o la necesidad”, dijo Burns. “Los complementos de formulario de contacto con opciones para eliminar automáticamente los envíos de formularios después de un cierto período de tiempo son raros. Incluso he visto extensiones de formulario de contacto que duplican entradas en una tabla separada, lo que, considerando todo, es una locura. Necesitamos avanzar hacia la minimización y eliminación de datos, no hacia la retención y duplicación”.

El mes pasado, JJ Jay publicó un análisis de cómo y dónde almacenan datos los populares formularios de contacto de WordPress. Esta es una referencia útil para los administradores del sitio que no están seguros de cómo la solución elegida maneja la recopilación y el almacenamiento de datos. Sugirió algunas preguntas para que los usuarios hicieran al examinar los formularios de contacto:

• ¿Se puede activar y desactivar la opción de almacenar datos?
• ¿A qué granularidad?
• ¿Se pueden eliminar los datos cuando se elimina el complemento?
• ¿Qué datos de identificación personal, además de los datos de cada formulario, se almacenan? (es decir, la dirección IP de un usuario)
• ¿Es posible eliminar los envíos de forma ad hoc o programada?

Si no está seguro de lo que podría quedar en su base de datos de otros complementos, Jay también ha creado un "¿Qué hay en mi base de datos?" complemento que los administradores pueden instalar y acceder en el menú Herramientas. Es de solo lectura y enumera todas las tablas y sus columnas, para que los usuarios puedan ver si hay alguna sorpresa.

El hack del Servicio Británico de Asesoramiento sobre el Embarazo (BPAS) destaca el peligro de almacenar entradas de formularios de contacto en la base de datos

Al educar a los propietarios de sitios web sobre los peligros de almacenar datos personales confidenciales, Heather Burns a menudo cita el ataque del Servicio Británico de Asesoramiento sobre el Embarazo (BPAS) de 2012 como uno de los peores ejemplos de las consecuencias de almacenar entradas de formularios de contacto en bases de datos. El pirata informático, que luego fue encarcelado, robó miles de registros de la organización benéfica, que se ejecutaba en un CMS desconocido y desactualizado con contraseñas débiles. El sitio no se había sometido a una evaluación de impacto de privacidad en sus métodos de recopilación y almacenamiento de datos personales.

“Uno de los servicios que ofrece BPAS es el acceso a abortos”, dijo Burns. “Muchos de los usuarios de sus servicios vienen de Irlanda, donde el aborto está prohibido en casi todas las circunstancias. El sitio tenía un formulario de contacto donde las mujeres podían consultar sobre abortos. BPAS pensó que los mensajes simplemente pasaban por el sitio; nadie dentro de la organización tenía idea de que se almacenaba una copia de cada envío de formulario de contacto en la base de datos. Inevitablemente, el sitio fue pirateado fácilmente por un activista contra el aborto que descargó la base de datos. Se encontró en posesión de más de 5000 envíos de formularios de contacto que se remontaban a cinco años atrás y que contenían nombres de mujeres, direcciones de correo electrónico, números de teléfono y el hecho de que preguntaban sobre abortos. Luego anunció su intención de publicar los datos de las mujeres en un foro antiaborto”.

El hacker fue capturado y arrestado antes de que tuviera la oportunidad de publicar la lista. Recibió 32 meses de cárcel y BPAS fue multado con 200.000 libras esterlinas por las infracciones de protección de datos.

“Además de criticar a la organización benéfica por sus fallas técnicas, el regulador llamó la atención sobre el hecho de que nadie en el personal había pensado en hacer las preguntas adecuadas sobre las herramientas que estaban usando; también estaban enojados porque el sitio tenía una política de privacidad legalista que claramente no valía los píxeles en los que estaba impresa”, dijo Burns. “Todas estas fallas fueron consideradas inadmisibles e inexcusables por el regulador de protección de datos. No es exagerado decir que las mujeres podrían haber sido asesinadas por un formulario de contacto”.

La auditoría de los formularios de contacto es solo una pieza del rompecabezas para quienes trabajan para cumplir con el RGPD. Burns recomienda que los administradores del sitio realicen una evaluación del impacto en la privacidad de los datos personales y confidenciales que se envían a través de formularios. Los avisos de privacidad también deben ser claros sobre cómo se manejan estos datos y cuánto tiempo se retienen antes de que se eliminen.

El RGPD fue escrito para ser extraterritorial y establece que las regulaciones se aplican a cualquier sitio o servicio que tenga usuarios europeos. Se espera que estos sitios protejan los datos de los usuarios de la UE de acuerdo con las regulaciones europeas. Muchos propietarios de empresas estadounidenses aún no están convencidos de que esto se pueda hacer cumplir fuera de las fronteras de la UE y no han invertido en lograr que sus entidades en línea cumplan.

“GDPR proporciona un marco muy útil para la protección del usuario, que ahora es más importante que nunca”, dijo Burns. “Estoy alentando a los estadounidenses a trabajar con GDPR porque es un marco de responsabilidad constructivo que es mucho mejor que nada”.

Wider Gravity Forms Stop Entries es actualmente el único complemento en el directorio oficial de WordPress que aborda las preocupaciones de GDPR para un complemento de formulario de contacto específico. Es posible que otros estén disponibles a medida que se acerque la fecha límite de mayo de 2018. Jonny Allbut advierte a los usuarios en las preguntas frecuentes que prueben el complemento con extensiones GF de terceros antes de agregarlo a un sitio en vivo, ya que algunas extensiones pueden depender de las entradas de datos de referencia almacenadas en los envíos de formularios.

Le pregunté a Carl Hancock si Gravity Forms podría hacer que el almacenamiento de entradas de formulario en la base de datos fuera una característica opcional y me confirmó que lo están considerando.

“Sí, esto es ciertamente posible”, dijo Hancock. “Tratamos de evitar conflictos con los complementos de terceros disponibles para Gravity Forms para fomentar su desarrollo”, dijo Hancock. “Pero desafortunadamente no siempre es evitable. Es una función que se ha solicitado en numerosas ocasiones en el pasado y sospecho que con el RGPD será una función que se solicitará aún más en el futuro”.