en Protección de Datos Personales

El miércoles, Garret Hyder, miembro del equipo de desarrollo WordPress publicó que, como parte de la hoja de ruta del equipo de privacidad del core de WP, había comenzado el desarrollo de una API de consentimiento como un plugin destacado por tratarse de una característica importante que introduce cambios o tiene implicaciones significativas.

Solicitó el feedback de la comunidad con sus aportaciones para mejorar la propuesta, sin perjuicio de que, parece que de momento sería la solución intermedia por la que apostar mientras se busca una basada en una una interfaz frontal que cree una experiencia de uso adecuada manteniendo los estándares de la privacidad.

El objetivo con la nueva API sería establecer una forma estándar para que el núcleo, los plugins y los temas de WordPress obtengan el consentimiento de los usuarios, a fin de proporcionar una experiencia coherente y estable a los administradores, desarrolladores y usuarios de todo tipo.

Para ilustrarlo, ponía de relieve los problemas que se tratan de superar, mencionando algunos casos donde la gestión la privacidad y el consentimiento genera complicaciones desde la perspectiva funcional y, por ello, legal.

En este sentido, exponía varias problemáticas:

  • Que actualmente es posible que un plugin de gestión de consentimiento bloquee servicios de terceros como Facebook, Google Maps, Twitter, si un usuario no da su consentimiento. Pero si un plugin de WordPress coloca una cookie PHP, un plugin de gestión de consentimiento no puede evitarlo.
  • También hay plugins de WordPress que integran el código de seguimiento del lado del cliente en archivos javascript que, al ser bloqueados por un plugin de gestión de consentimiento, rompen el sitio. O, si el javascript de tal plugin es minificado, causando que la URL sea irreconocible, no es detectado por un script de bloqueo automático.
  • Por último, el enfoque de bloqueo requiere una lista de todos los tipos de URL que colocan cookies o utilizan otros medios de seguimiento. Una API genérica a la que se adhieran los plugins puede ayudar enormemente a un webmaster a conseguir que un sitio cumpla con la normativa de privacidad porque la API de consentimiento puede ser usada para decidir si un iframe o script debe ser bloqueado.

Transcribimos la mecánica que describe el equipo de WP por la que se recurre a una API para resolver los problemas que crea requerir consentimientos granulares (por territorios nacionales, etc.):

Hay dos indicadores que juntos dicen si se da el consentimiento para una determinada categoría de consentimiento, por ejemplo, “marketing”:

El tipo_de_consentimiento basado en la región, que puede ser “optin”, “opt out” u otros posibles tipos_de_consentimiento;
La elección del visitante: no establecer, permitir o denegar.

El tipo_consentimiento es una función que envuelve un filtro, wp_get_consent_type. Si no hay un plugin de administración de consentimiento para establecerlo, devolverá false. Esto hará que todas las categorías de consentimiento devuelvan true, permitiendo cookies y otros tipos de seguimiento para todas las categorías.

Si se establece un optin usando este filtro, una categoría sólo devolverá true si el valor de la elección del visitante está permitido.

Si el tipo_de_consentimiento basado en la región es opt-out, devolverá true si la elección del visitante no está establecida o está permitida.

En el lado del cliente, un plugin de gestión de consentimientos puede manipular dinámicamente el tipo de consentimiento y establecer las categorías aplicables.

Un plugin puede usar un hook para escuchar los cambios, o comprobar el valor de una categoría determinada.

Algunas integraciones con plugins de cookies serían: Cookiebot y Complianz.

En este link se puede acceder a una demo.

El plugin debería al menos manejar la siguiente funcionalidad:

  • Funciones PHP para establecer el nivel y el tipo de consentimiento.
  • Funciones PHP para recuperar el nivel de consentimiento y el tipo de consentimiento.
  • Funciones Javascript para establecer el nivel de consentimiento.
  • Hook Javascript que se dispara cuando se establece un nivel de consentimiento.
  • Funciones Javascript para recuperar el nivel de consentimiento.

Posteriormente, los siguientes pasos serían:

  • Aumentar el número de usuarios del plugin de características.
  • Añadir otros miembros del equipo de privacidad y desarrolladores principales interesados como colaboradores del plugin.
  • Tener plugins adicionales de gestión de consentimiento de terceros para adoptar la API.
  • Reiterar el desarrollo del plugin de características.
  • Auditar algunos aspectos específicos del plugin de características:
    seguridad
  • normas de codificación y documentación
  • Crear un ticket de trazado para manejar una potencial propuesta de fusión futura – si el plugin de características lo merece.

El plugin de la API de consentimiento de WP se puede descargar desde el portal de plugins de WordPress y su código de desarrollo está disponible en el repositorio del plugin de WordPress en GitHub.