¿Es ilegal utilizar disqus en mi blog?
Contenidos
Si estás utilizando Disqus como sistema de comentarios en tu blog o pretendes utilizarlo, no deberías apartar los ojos de este post, la actual LOPD y el nuevo RGPD contienen prescripciones muy claras respecto a la utilización de plataformas con sede en EEUU que debes conocer antes de utilizar servicios como el prestado por Disqus.
Cuidado al utilizar herramientas con sede en EEUU sin saber antes si cumplen con las prescripciones legislativas de la UE.
Empecemos por el principio ¿Qué es Disqus?
Disqus es una plataforma de integración y gestión de comentarios utilizada por muchísimos bloggers. Se integra en el blog a través de un plugin para recoger los comentarios de usuarios en un post.
Una vez realizada la instalación de Disqus, en nuestro caso con el plugin comentarios WordPress de Disqus, se realiza la sincronización y activación del plugin en nuestro blog de WordPress, o en cualquier otro CMS ya que permite instalar el plugin en la mayoría de CMS conocidos. Disqus también realiza la función de red social y de lector de feeds gracias a su comunidad que permite seguir canales y personas e interactuar con ellas.
Los usuarios, para comentar a través de Disqus, deben crear un perfil en disqus o asociar la cuenta a algún perfil social.
Tal y como se explica en la política de privacidad de Disqus, para usar el servicio se requiere una dirección de correo electrónico, nombre de usuario y contraseña. En Disqus advierten además que pueden compartir su información de identificación personal con sus proveedores para prestar servicios.
Es más, en su apartado correspondiente a “Transferencias internacionales de datos”, se especifica lo siguiente:
“La información de identificación personal y la información de identificación no personal que Disqus recopila puede transferirse y almacenarse y procesarse en países que no sean el país en el que usted reside, lo que significa que pueden cumplir leyes diferentes a las leyes de su país. Por ejemplo, Disqus puede transferir información de identificación personal e información de identificación no personal a los Estados Unidos de América. Al utilizar el servicio Disqus, acepta la transferencia de su información de identificación personal e información de identificación no personal a otros países, incluidos los Estados Unidos de América.”
Claro, nítido y cristalino, estamos hablando de una transferencia internacional de datos.
Servicios extranjeros, transferencias internacionales de datos y legalidad
Lo primero que tienes que saber es que Disqus es un servicio localizado fuera de la Unión Europea, concretamente, la empresa está ubicada en EEUU desde donde realizan los tratamientos de toda la información recolectada por sus servidores.
¿Esto qué significa?
Ni más ni menos que una transferencia internacional de datos.
Recordarás que las transferencias internacionales de datos entre EEUU y la UE estaban reguladas por el acuerdo Safe Harbour que fue sustituido posteriormente por Privacy Shield.
Este último fue invalidado para la realización de transferencias internacionales de datos a EEUU por el Tribunal de Justicia de la Unión Europea el Junio de 2020.
Entonces ¿qué dice el nuevo reglamento europeo de protección de datos sobre este tipo de transferencias y la posibilidad de utilizar plataformas como Disqus ¿podemos utilizarlas? ¿Es legal hacerlo?
Con la entrada en vigor del Reglamento Europeo de Protección de Datos (RGPD) el 25 de mayo de 2018, para hacer transferencias de datos internacionales y cumplir con las exigencias de privacidad y protección de datos, las empresas con sedes en EE. UU. debían estar dentro del Escudo de Privacidad, conocido como Privacy Shield.
Pero como ya hemos comentado, en julio de 2020 este Escudo de Privacidad quedó invalidado por una Sentencia del Tribunal de Justicia de la Unión Europea. Caso Schrems II.
Con fecha 4 de junio de 2021, la Comisión Europea ha publicado el nuevo conjunto de cláusulas contractuales tipo que, además de sustituir a sus predecesoras, pretenden poder enmarcar un abanico de transferencias ya sea entre responsable y responsable, entre responsable y encargado, entre encargados o entre encargado y responsable.
Para resumirlo de una manera sencilla, estas nuevas cláusulas de protección de datos permitirán a las pymes a que los datos fluyan, siempre que la protección fluya con ellos y, con la nueva aprobación, se ofrece una solución necesaria en un mundo digital interconectado, donde la transferencia de datos se realiza con uno o dos “clics”.
Con el RGPD no cambian notablemente los requisitos respecto a la transferencia pero se impone el principio de responsabilidad activa, que significa entre otras cosas, previsión y diligencia en la contratación de prestadores.
Las garantías sobre la protección que recibirán los datos en destino (en este caso en Disqus) las debe ofrecer el exportador (tú en este caso), esto significa que deberás tener más cuidado en la selección de servicios y prestadores y asegurarte que estos cumplen con los requisitos establecidos por el RGPD.
Pero hay más exigencias que cumplir…
¿Cómo adaptar los formularios de Disqus al RGPD?
Como ya explicamos en este post, los requisitos para la obtención del consentimiento legal han cambiado considerablemente con el RGPD.
- Debe ser una declaración o clara acción afirmativa: en el caso de un formulario de comentarios de datos, se solucionaría con un checkbox que requiera el consentimiento con lo informado.
- Debe ser informado: el consentimiento debe estar ligado a una información clara sobre el tratamiento previsto de esos datos que se exprese de forma clara y transparente.
- Debe ser Inequívoco: Es decir, que no arroje ninguna duda o ambigüedad en el usuario sobre el mismo.
- Debe ser específico: Ligado a una finalidad concreta y específica, por tanto, no vale un consentimiento genérico para todo, deberás crear un consentimiento específico para cada finalidad y para cada tratamiento, por ejemplo, para cesiones de datos o transferencias internacionales, deberás crear una casilla de consentimiento para cada uno de esos tratamientos.
Un ejemplo de formulario de comentarios de un blog legal es justo el que tienes en Legal Box Plus para comentar este post.
En el caso de Disqus, el principal escollo que presentan los formularios de comentarios de Disqus es que no hay manera de recabar el consentimiento previo según las exigencias del RGPD. Los comentarios se realizan de forma automática mediante la propia plataforma y no hay ninguna posibilidad de establecer un checkbox previo en los formularios de comentarios que permita acreditar el consentimiento explícito.
Si te fijas en la entrada de datos de los formularios de Disqus, no hay ninguna posibilidad de incluir una casilla de verificación previa a la entrada de comentarios, por tanto, no podríamos acreditar el consentimiento del usuario de ninguna de las maneras.
Podrías argumentar que el usuario debería saber que usar Disqus implica transferencia internacional de datos y que por tanto, si lo utiliza, acepta tácitamente esa transferencia, el problema es que no es válido el consentimiento tácito y tú eres responsable de los servicios que contratas y de su legalidad.
Por tanto, solo se nos ocurre que deberías introducir un texto informativo antes del formulario de comentario de Disqus donde introduzcas la cláusula informativa correspondiente y remitas a la política de privacidad, pidiendo la conformidad del usuario con esa información mediante un check box.
Datos a tener en cuenta en la elección de un prestador o plugin para comentarios
A título informativo deberías saber que Disqus ha sufrido brechas de seguridad que han comprometido millones de datos, que se vieron expuestos. Recuerda el principio de responsabilidad activa y la necesidad de elegir prestadores que aporten suficientes garantías de seguridad a tus usuarios y clientes.
El mismo principio vale para cualquier servicio o plugin que puedas contratar, antes de hacerlo comprueba:
- La ubicación de la empresa, si está fuera de EU, debe pertenecer a un país considerado seguro. Busca en este enlace esta información.
- Si no cumple estos requisitos, que te permita introducir un check box específico para recabar el consentimiento con esa transferencia, aunque siempre debes dar prioridad a las que están en EU.
- Busca en Google información sobre problemas de seguridad, fugas de datos o brechas de seguridad de esa herramienta para asegurarte que al menos hasta la fecha, no los ha tenido.
Formularios Web Legales con Legal Box Plus
Recuerda que si quieres pasar al siguiente nivel de profesionalización y salir del limbo legal en que se encuentra ahora mismo tu blog, puedes contar con Legal Box Plus y con nuestra herramienta Legal Box de adecuación legal para bloggers y así contar con un blog legal día a día.
Si quieres descargarte la guía (GRATIS), sólo tienes que rellenar este formulario
Responsable: Ocean Legaltech, S.L.(Legal Box Plus)
Finalidad: Gestionar y enviar información de boletines y promociones a través de correo electrónico.
Legitimación: Consentimiento del interesado.
Destinatarios: No se cederán a terceros salvo obligación legal.
Derechos: Puedes ejercitar en cualquier momento tus derechos de acceso, rectificación, supresión, limitación, oposición y demás derechos legalmente establecidos a través del siguiente e-mail: info@legalbox.plus.
Información adicional: Puedes consultar la información adicional y detallada sobre protección de datos aquí.
Gran post, me ha costado comentar porque he echado en falta mi querido disqus jejeje.
Ahora estoy pensando en migrar a spot.im
Tendré que investigar antes.
Un saludo.
Mi querido Gastre, al escribirlo fuiste mi mayor inspiración, anda que no hemos hablado de tu queridísimo Disqus, eres todo un defensor, ahora ya sabes que es perfectamente legal utilizarlo. Respecto a spot.im, todavía tenemos que analizarlo, gracias por el dato.
Un fuerte abrazo y no dejes de pasarte por aquí, ya sabes que eres uno de mis tertulianos preferidos.;)
Hola Marina, al final analizaste spot.im?
Gracias y un saludo.
Hola Gastre!
Analizando sus sistemas de captura de información, vemos que no cumple con la legislación europea en cuanto al consentimiento expreso, ni informa en una primera capa informativa sobre el responsable y la finalidad del mismo. Sin embargo vemos que Spot.IM está adherido al privacy shield, convenio entre EEUU y EU sobre protección de datos. Por lo que, aunque todavía les quedan algunos deberes que realizar, podemos estar tranquilos con respecto a la transferencia de datos internacionales.
Un fuerte abrazo
Equipo LEXblogger
¡Hola! Gracias por esta aclaración. Cuando uno inicia un blog y no es muy técnico te encuentras con estos temas que sin la guía de alguien más experto se tornan altamente complejos y pesados. No utilizo Disqus pero sí lo he visto promovido, e ignorante de todo esto podría haberlo incorporado.
Hola Dalma, muchísimas gracias por acercarte a comentar. Como bien dices, la mayoría de las veces no valoramos el factor legal a la hora de elegir una herramienta, algo que puede traernos no pocos disgustos. Aquí iremos analizando las diferentes herramientas más utilizadas para comentar que herramientas son las que cumplen con el nuevo RGPD.
Un fuerte abrazo
Hola!
Muy buen post 🙂
Sin embargo me surge una duda.
Comentas lo siguiente: «remitas a la política de privacidad, pidiendo la conformidad del usuario con esa información mediante un check box.»
Poner un texto antes de los comentarios de disqus es fácil al igual que un checkbox, sin embargo, no puedes hacer que si el usuario no marca este checkbox, tampoco pueda usar disqus para comentar, por lo tanto queda sin utilidad no?
Muchas gracias.
Un saludo
Como comentario extra, disqus, antes de hacer comentario en un aweb pide dicho consentimiento mediante un par de checkbox, me explico un poco más: Si alguien tiene disqus en su web y un usurio quiere comnetar, incluso estando registrado ya en disqus, le pide marcar que acepta que disqus recoja sus datos personales (Ip, nombre, email e incluso las cookies), luego que las acepta podría pasar por mi blog y comentar sin tener que hacer esto previamente porque ya disqus tiene cómo verificar que el usuario ha cedido los permisos.
Supongo que con esto cubren ya lo que pide el RGPD
Exacto, es Disqus quien recoge y almacena esa información, por tanto, solo hay que informar sobre el tema.
Un abrazo
Hola! Genial post… todavía estoy haciendo las adaptaciones de mi web 🙂
Alguna sugerencia sobre los comentarios del plugin de Facebook? Porque también son súper utilizados.
Muchas gracias!
Abrazo
Gabriela
Hola Gabriela, gracias por tu comentario, sería igual que en Disqus pero indicando a Facebook, lo que tendría que investigar es que otra información recoge Facebook, porque eso habría que indicarlo claramente en la política de privacidad.
Un abrazo
Hola Gabriela, siempre hay que informar acerca de las herramientas que intervengan en el tratamiento, si utilizas el plugin de facebook, hay que informarlo en el apartado destinatarios.
Un abrazo
Hola,
Muchas gracias por el post. No obstante, hay un par de cosas que no entiendo:
1. Estoy de acuerdo con el comentario anterior de Carlos Herrero, en el sentido de que si ponemos un checkbox que se marque o no, el proceso de registro en Disqus continúa, por lo que no tendríamos prueba de que se acepta nuestra política de privacidad.
2. Por otra parte, el usuario es el que facilita los datos directamente a Disqus para poder comentar en el blog, por lo que acepta la política de privacidad de Disqus. Es cierto que el editor de la Web tendrá acceso a los datos, pero porque Disqus los cede al editor del sitio web, facultado por su política de privacidad aceptada por el usuario. Por tanto, Disqus no sería ni Encargado de Tratamiento, ni cesionario de datos, ¿no crees?
En mi opinión, no se necesita consentimiento para el tratamiento de esos datos, por cuanto el titular del blog tiene un interés legítimo para su tratamiento, siempre y cuando el mismo se limite a moderar comentarios y publicar el nombre del usuario en los comentarios del blog. Dicho interés legítimo no vulnera derechos y libertades fundamentales del usuario. ¿Cómo lo ves?
Por otra parte, parece que Disqus ha habilitado la posibilidad de establecer una Política de comentarios, una especie de normas de la comunidad que quieran comentar en el blog, pero no parece que estén pensando en lo que refiere el RGPD.
Me encantaría conocer tu opinión al respecto.
Un saludo.
John
Hola John, lo explico justamente abajo, no necesitas consentimiento dado que es Disqus efectivamente es quien recaba información.
Un abrazo
Hola,
Abajo, ¿Dónde?
En vuestro post he leído lo siguiente:
«Por tanto, solo se nos ocurre que deberías introducir un texto informativo antes del formulario de comentario de Disqus donde introduzcas la cláusula informativa correspondiente y remitas a la política de privacidad, pidiendo la conformidad del usuario con esa información mediante un check box»
Entonces, ¿cuándo tenemos que pedir esa conformidad?
Muchas gracias
Muy buen post,
gracias
Nicolás
excelente el post
Muchísimas gracias por esa valoración Carlos, un saludo
Hola . Muchas gracias por el artículo y por todos los consejos! Es mucho lo que hay que arreglar para conseguir que se ajuste a las novedades. Un saludo
Gracias Marco por visitarnos y comentar. Respecto a lo que dices, tienes mucha razón, es mucho lo que hay que hacer, de allí que hayamos creado una herramienta que soluciona todos estos requisitos.
Un fuerte abrazo
Hola,
tengo una duda. Me pasa desde hace poco en un par de sitios que no puedo comentar porque Disqus me pide verificar mi email y me manda un email de verificación que nunca llega. Me resulta extraño pues hasta hace poco yo aparecía en estos sitios totalmente identificado y no necesitaba verificar. De hecho, es algo absurdo pues aparezco con la sesión abierta pero no puedo publicar comentarios por el motivo que he explicado. ¿Puede tratarse de una forma de baneo o exclusión, algo intencionado?
Hola Ignacio!
Realmente lo desconozco. Pero no me huele algo intencionado. Te recomiendo te pongas en contacto con soporte de Disqus, ellos te darán explicación. Espero lo soluciones.
Muchas gracias por pasarte por nuestro blog y compartir.
Un abrazo