¿Es ilegal utilizar disqus en mi blog?

Máster en Protección de Datos por la AEPD y UNED

Contenidos

Si estás utilizando Disqus como sistema de comentarios en tu blog o pretendes utilizarlo, no deberías apartar los ojos de este post, la actual LOPD y el nuevo RGPD contienen prescripciones muy claras respecto a la utilización de plataformas con sede en EEUU que debes conocer antes de utilizar servicios como el prestado por Disqus.

 

Cuidado al utilizar herramientas con sede en EEUU sin saber antes si cumplen con las prescripciones legislativas de la UE.

Empecemos por el principio ¿Qué es Disqus?

Disqus es una plataforma de integración y gestión de comentarios utilizada por muchísimos bloggers. Se integra en el blog a través de un plugin para recoger los comentarios de usuarios en un post.

 

Una vez realizada la instalación de Disqus, en nuestro caso con el plugin comentarios WordPress de Disqus, se realiza la sincronización y activación del plugin en nuestro blog de WordPress, o en cualquier otro CMS ya que permite instalar el plugin en la mayoría de CMS conocidos. Disqus también realiza la función de red social y de lector de feeds gracias a su comunidad que permite seguir canales y personas e interactuar con ellas.

 

Los usuarios, para comentar a través de Disqus, deben crear un perfil en disqus o asociar la cuenta a algún perfil social.

 

Tal y como se explica en la política de privacidad de Disqus, para usar el servicio se requiere una dirección de correo electrónico, nombre de usuario y contraseña. En Disqus advierten además que pueden  compartir su información de identificación personal con sus proveedores para prestar servicios.

 

Es más, en su apartado correspondiente a Transferencias internacionales de datos”, se especifica lo siguiente:

 

“La información de identificación personal y la información de identificación no personal que Disqus recopila puede transferirse y almacenarse y procesarse en países que no sean el país en el que usted reside, lo que significa que pueden cumplir leyes diferentes a las leyes de su país. Por ejemplo, Disqus puede transferir información de identificación personal e información de identificación no personal a los Estados Unidos de América. Al utilizar el servicio Disqus, acepta la transferencia de su información de identificación personal e información de identificación no personal a otros países, incluidos los Estados Unidos de América.

 

Claro, nítido y cristalino, estamos hablando de una transferencia internacional de datos.

Servicios extranjeros, transferencias internacionales de datos y legalidad

Lo primero que tienes que saber es que Disqus es un servicio localizado fuera de la Unión Europea, concretamente, la empresa está ubicada en EEUU desde donde realizan los tratamientos de toda la información recolectada por sus servidores.

 

¿Esto qué significa?

 

Ni más ni menos que una transferencia internacional de datos.

 

Recordarás que las transferencias internacionales de datos entre EEUU y la UE estaban reguladas por el acuerdo Safe Harbour que fue sustituido posteriormente por Privacy Shield.

 

Este último fue invalidado para la realización de transferencias internacionales de datos a EEUU por el Tribunal de Justicia de la Unión Europea el Junio de 2020. 

 

Entonces ¿qué dice el nuevo reglamento europeo de protección de datos sobre este tipo de transferencias y la posibilidad de utilizar plataformas como Disqus ¿podemos utilizarlas? ¿Es legal hacerlo?

 

Con la entrada en vigor del Reglamento Europeo de Protección de Datos (RGPD) el 25 de mayo de 2018, para hacer transferencias de datos internacionales y cumplir con las exigencias de privacidad y protección de datos, las empresas con sedes en EE. UU. debían estar dentro del Escudo de Privacidad, conocido como Privacy Shield

 

Pero como ya hemos comentado, en julio de 2020 este Escudo de Privacidad quedó invalidado por una Sentencia del Tribunal de Justicia de la Unión Europea. Caso Schrems II.

 

Con fecha 4 de junio de 2021, la Comisión Europea ha publicado el nuevo conjunto de cláusulas contractuales tipo que, además de sustituir a sus predecesoras, pretenden poder enmarcar un abanico de transferencias ya sea entre responsable y responsable, entre responsable y encargado, entre encargados o entre encargado y responsable.

 

Para resumirlo de una manera sencilla, estas nuevas cláusulas de protección de datos permitirán a las pymes a que los datos fluyan, siempre que la protección fluya con ellos y, con la nueva aprobación, se ofrece una solución necesaria en un mundo digital interconectado, donde la transferencia de datos se realiza con uno o dos “clics”.

 

 

Con el RGPD no cambian notablemente los requisitos respecto a la transferencia pero se impone el principio de responsabilidad activa, que significa entre otras cosas, previsión y diligencia en la contratación de prestadores.

 

Las garantías sobre la protección que recibirán los datos en destino (en este caso en Disqus) las debe ofrecer el exportador (tú en este caso), esto significa que deberás  tener más cuidado en la selección de servicios y prestadores y asegurarte que estos cumplen con los requisitos establecidos por el RGPD.

 

Pero hay más exigencias que cumplir…

¿Cómo adaptar los formularios de Disqus al RGPD?

 

Como ya explicamos en este post, los requisitos para la obtención del consentimiento legal han cambiado considerablemente con el RGPD.

 

  • Debe ser una declaración o clara acción afirmativa: en el caso de un formulario de comentarios de datos, se solucionaría con un checkbox que requiera el consentimiento con lo informado.
  • Debe ser informado: el consentimiento debe estar ligado a una información clara sobre el tratamiento previsto de esos datos que se exprese de forma clara y transparente.
  • Debe ser Inequívoco: Es decir, que no arroje ninguna duda o ambigüedad en el usuario sobre el mismo.
  • Debe ser específico: Ligado a una finalidad concreta y específica, por tanto, no vale un consentimiento genérico para todo, deberás crear un consentimiento específico para cada finalidad y para cada tratamiento, por ejemplo, para cesiones de datos o transferencias internacionales, deberás crear una casilla de consentimiento para cada uno de esos tratamientos.

 

Un ejemplo de formulario de comentarios de un blog legal es justo el que tienes en Legal Box Plus para comentar este post.

formulario web

En el caso de Disqus, el principal escollo que presentan los formularios de comentarios de Disqus es que no hay manera de recabar el consentimiento previo según las exigencias del RGPD. Los comentarios se realizan de forma automática mediante la propia plataforma y no hay ninguna posibilidad de establecer un checkbox previo en los formularios de comentarios que permita acreditar el consentimiento explícito.

 

Si te fijas en la entrada de datos de los formularios de Disqus, no hay ninguna posibilidad de incluir una casilla de verificación previa a la entrada de comentarios, por tanto, no podríamos acreditar el consentimiento del usuario  de ninguna de las maneras.

 

Podrías argumentar que el usuario debería saber que usar Disqus implica transferencia internacional de datos  y que por tanto, si lo utiliza, acepta tácitamente esa transferencia, el problema es que no es válido el consentimiento tácito y tú eres responsable de los servicios que contratas y de su legalidad.

 

Por tanto, solo se nos ocurre que deberías introducir un texto informativo antes del formulario de comentario de Disqus donde introduzcas la cláusula informativa correspondiente y remitas a la política de privacidad, pidiendo la conformidad del usuario con esa información mediante un check box.

Datos a tener en cuenta en la elección de un prestador o plugin para comentarios

A título informativo deberías saber que Disqus ha sufrido brechas de seguridad que han comprometido millones de datos,  que se vieron expuestos.  Recuerda el principio de responsabilidad activa y la necesidad de elegir prestadores que aporten suficientes garantías de seguridad a tus usuarios y clientes.

 

El mismo principio vale para cualquier servicio o plugin que puedas contratar, antes de hacerlo comprueba:

 

 
  • Si no cumple estos requisitos, que te permita introducir un check box específico para recabar el consentimiento con esa transferencia, aunque siempre debes dar prioridad a las que están en EU.
 
  • Busca en Google información sobre problemas de seguridad, fugas de datos o brechas de seguridad de esa herramienta para asegurarte que al menos hasta la fecha, no los ha tenido.

Formularios Web Legales con Legal Box Plus

Recuerda que si quieres pasar al siguiente nivel de profesionalización y salir del limbo legal en que se encuentra ahora mismo tu blog, puedes contar con Legal Box Plus  y con nuestra herramienta Legal Box de adecuación legal para bloggers y así contar con un blog legal día a día.

Si quieres descargarte la guía (GRATIS), sólo tienes que rellenar este formulario

Responsable: Ocean Legaltech, S.L.(Legal Box Plus)
Finalidad: Gestionar y enviar información de boletines y promociones a través de correo electrónico.
Legitimación: Consentimiento del interesado.
Destinatarios: No se cederán a terceros salvo obligación legal.
Derechos: Puedes ejercitar en cualquier momento tus derechos de acceso, rectificación, supresión, limitación, oposición y demás derechos legalmente establecidos a través del siguiente e-mail: info@legalbox.plus.
Información adicional: Puedes consultar la información adicional y detallada sobre protección de datos aquí.

22 comentarios en “¿Es ilegal utilizar Disqus en mi blog?”

    1. Mi querido Gastre, al escribirlo fuiste mi mayor inspiración, anda que no hemos hablado de tu queridísimo Disqus, eres todo un defensor, ahora ya sabes que es perfectamente legal utilizarlo. Respecto a spot.im, todavía tenemos que analizarlo, gracias por el dato.
      Un fuerte abrazo y no dejes de pasarte por aquí, ya sabes que eres uno de mis tertulianos preferidos.;)

        1. Hola Gastre!
          Analizando sus sistemas de captura de información, vemos que no cumple con la legislación europea en cuanto al consentimiento expreso, ni informa en una primera capa informativa sobre el responsable y la finalidad del mismo. Sin embargo vemos que Spot.IM está adherido al privacy shield, convenio entre EEUU y EU sobre protección de datos. Por lo que, aunque todavía les quedan algunos deberes que realizar, podemos estar tranquilos con respecto a la transferencia de datos internacionales.
          Un fuerte abrazo
          Equipo LEXblogger

  1. ¡Hola! Gracias por esta aclaración. Cuando uno inicia un blog y no es muy técnico te encuentras con estos temas que sin la guía de alguien más experto se tornan altamente complejos y pesados. No utilizo Disqus pero sí lo he visto promovido, e ignorante de todo esto podría haberlo incorporado.

    1. Hola Dalma, muchísimas gracias por acercarte a comentar. Como bien dices, la mayoría de las veces no valoramos el factor legal a la hora de elegir una herramienta, algo que puede traernos no pocos disgustos. Aquí iremos analizando las diferentes herramientas más utilizadas para comentar que herramientas son las que cumplen con el nuevo RGPD.
      Un fuerte abrazo

  2. Hola!
    Muy buen post 🙂
    Sin embargo me surge una duda.
    Comentas lo siguiente: «remitas a la política de privacidad, pidiendo la conformidad del usuario con esa información mediante un check box.»
    Poner un texto antes de los comentarios de disqus es fácil al igual que un checkbox, sin embargo, no puedes hacer que si el usuario no marca este checkbox, tampoco pueda usar disqus para comentar, por lo tanto queda sin utilidad no?
    Muchas gracias.
    Un saludo

  3. Como comentario extra, disqus, antes de hacer comentario en un aweb pide dicho consentimiento mediante un par de checkbox, me explico un poco más: Si alguien tiene disqus en su web y un usurio quiere comnetar, incluso estando registrado ya en disqus, le pide marcar que acepta que disqus recoja sus datos personales (Ip, nombre, email e incluso las cookies), luego que las acepta podría pasar por mi blog y comentar sin tener que hacer esto previamente porque ya disqus tiene cómo verificar que el usuario ha cedido los permisos.
    Supongo que con esto cubren ya lo que pide el RGPD

    1. Hola Gabriela, gracias por tu comentario, sería igual que en Disqus pero indicando a Facebook, lo que tendría que investigar es que otra información recoge Facebook, porque eso habría que indicarlo claramente en la política de privacidad.
      Un abrazo

  4. Hola,
    Muchas gracias por el post. No obstante, hay un par de cosas que no entiendo:
    1. Estoy de acuerdo con el comentario anterior de Carlos Herrero, en el sentido de que si ponemos un checkbox que se marque o no, el proceso de registro en Disqus continúa, por lo que no tendríamos prueba de que se acepta nuestra política de privacidad.
    2. Por otra parte, el usuario es el que facilita los datos directamente a Disqus para poder comentar en el blog, por lo que acepta la política de privacidad de Disqus. Es cierto que el editor de la Web tendrá acceso a los datos, pero porque Disqus los cede al editor del sitio web, facultado por su política de privacidad aceptada por el usuario. Por tanto, Disqus no sería ni Encargado de Tratamiento, ni cesionario de datos, ¿no crees?
    En mi opinión, no se necesita consentimiento para el tratamiento de esos datos, por cuanto el titular del blog tiene un interés legítimo para su tratamiento, siempre y cuando el mismo se limite a moderar comentarios y publicar el nombre del usuario en los comentarios del blog. Dicho interés legítimo no vulnera derechos y libertades fundamentales del usuario. ¿Cómo lo ves?
    Por otra parte, parece que Disqus ha habilitado la posibilidad de establecer una Política de comentarios, una especie de normas de la comunidad que quieran comentar en el blog, pero no parece que estén pensando en lo que refiere el RGPD.
    Me encantaría conocer tu opinión al respecto.
    Un saludo.
    John

      1. Hola,
        Abajo, ¿Dónde?
        En vuestro post he leído lo siguiente:
        «Por tanto, solo se nos ocurre que deberías introducir un texto informativo antes del formulario de comentario de Disqus donde introduzcas la cláusula informativa correspondiente y remitas a la política de privacidad, pidiendo la conformidad del usuario con esa información mediante un check box»
        Entonces, ¿cuándo tenemos que pedir esa conformidad?
        Muchas gracias

  5. Hola,
    tengo una duda. Me pasa desde hace poco en un par de sitios que no puedo comentar porque Disqus me pide verificar mi email y me manda un email de verificación que nunca llega. Me resulta extraño pues hasta hace poco yo aparecía en estos sitios totalmente identificado y no necesitaba verificar. De hecho, es algo absurdo pues aparezco con la sesión abierta pero no puedo publicar comentarios por el motivo que he explicado. ¿Puede tratarse de una forma de baneo o exclusión, algo intencionado?

    1. Hola Ignacio!
      Realmente lo desconozco. Pero no me huele algo intencionado. Te recomiendo te pongas en contacto con soporte de Disqus, ellos te darán explicación. Espero lo soluciones.
      Muchas gracias por pasarte por nuestro blog y compartir.
      Un abrazo

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *


Responsable: Ocean Legaltech, S.L.(Legal Box Plus)
Finalidad: Moderar y responder comentarios de usuarios.
Legitimación: Consentimiento del interesado.
Destinatarios: No se cederán a terceros salvo obligación legal.
Derechos: Puedes ejercitar en cualquier momento tus derechos de acceso, rectificación, supresión, limitación, oposición y demás derechos legalmente establecidos a través del siguiente e-mail: info@legalbox.plus.
Información adicional: Puedes consultar la información adicional y detallada obre Protección de Datos aquí: política de privacidad.

Carrito de compra

Acceso exclusivo a nuestra plataforma

Estamos trabajando para tener lista nuestra Demo GRATUITA cuanto antes. Completa el formulario con tus datos para ser de los primeros en tener acceso privado a nuestra plataforma de protección de datos y consigue de forma gratuita 12 Modelos de Leyendas Legales redactadas por nuestros expertos en RGPD y LOPD.

Responsable: Ocean Legaltech, S.L.(Legal Box Plus)
Finalidad: Usaremos tus datos para proporcionarte acceso a la demo gratuita y enviarte información de interés
Legitimación: Consentimiento del interesado. Destinatarios: No se cederán a terceros salvo obligación legal.
Derechos: Puedes ejercitar en cualquier momento tus derechos de acceso, rectificación, supresión, limitación, oposición y demás derechos legalmente establecidos a través del siguiente e-mail: info@legalbox.plus .
Información adicional: Puedes consultar la información adicional y detallada sobre protección de datos aquí.

 

Ayuda

CLASSIC

BASIC

BUSINESS

Cuenta

 

 

 

 

Dominios incluidos

Incluye licencia para web. Se incluyen las políticas y leyendas legales para los consentimientos.

1

1

Venta online

Incluye licencia para módulo de venta online por tipo de ecommerce. Se modifican las políticas y se generan las condiciones de contratación con política de devolución y entrega.

1

Usuarios

Licencia por usuario. Genera acuerdos de confidencialidad y manuales de seguridad. Se considera usuario a toda persona dentro de la organización, tanto asalariado como freelance, que trata datos de carácter personal.

3

10

25

Web

Ayuda

CLASSIC

BASIC

BUSINESS

Política de Privacidad

Generación personalizada de la política de privacidad de la web

ok

ok

Aviso Legal

Generación personalizada del aviso legal de la web

ok

ok

Política de Cookies

Generación personalizada de la política de cookies de la web

ok

ok

Actualizaciones de las políticas

Nuestro equipo jurídico monitorea constantemente las legislaciones en privacidad y realiza actualizaciones para mantener las políticas.

ok

ok

Políticas dinámicas

La herramienta genera URLs dinámicas por cada política de privacidad, permitiendo que los textos legales estén siempre actualizados.

ok

ok

Políticas HTML

Puedes incrustar políticas estáticas en tu web usando HTML

ok

ok

Leyendas legales

Para la primera capa informativa según el tipo de sistema de captación.

ok

ok

Banner Cookies

Texto a incorporar en los pop ups e cookies

ok

ok

Guía Webmaster

Guía completa para el desarrollador web sobre los mecanismos y elementos informativos a incorporar en una web.

ok

ok

Quitar logotipo de Legal Box

Elimina la marca Legal Box Plus de tus políticas

ok

RGPD

Ayuda

CLASSIC

BASIC

BUSINESS

Política PD

Documento sobre el protocolo de los principales elementos para cumplir con el RGPD

ok

Acuerdos confidencialidad

Contratos de confidencialidad con empleados, socios y colaboradores

3

5

10

Acuerdos con terceros

Contratos de encargado de tratamiento con prestadores de productos/servicios que tratan datos de carácter personal del responsable

3

5

10

Acuerdo de cesión

Contrato de cesión de datos de carácter personal dependiendo del tratamiento de datos.

3

5

10

Consentimiento de cesión

Documento de consentimiento de los afectados para la cesión de datos.

3

5

10

Otros acuerdos

Como es el caso del acuerdo de autorización de recuperación de datos por tercero.

3

5

10

Registro de tratamientos

Documento corporativo sobre todos los tratamientos de datos que realiza el responsable.

ok

Manuales Usuarios

Manuales de seguridad para usuarios por perfiles.

3

5

10

Cláusulas informativas

Generación de las cláusulas informativas de documentos a usuarios, de empleados, de formularios físicos, etc.

3

5

10

Análisis de riesgos

Gestión, auditoría y seguimiento de los riesgos inherentes al tratamiento de datos.

Protocolos

Diversas guías para actuar con procedimientos claros y concisos. Protocolo de ejercicio de derechos, protocolo de brechas de seguridad, de conservación de los datos, etc.

1

ok

ok

Avisos

Diversos tipos de avisos sobre protección de datos como el aviso de videovigilancia

1

ok

ok

Cláusula servicios

Cláusula a incorporar en los contratos de servicios

ok

Gestión

Ayuda

CLASSIC

BASIC

BUSINESS

Peticiones

Gestión de derechos. Peticiones por cada derecho.

ok

ok

ok

Nombramiento DPD

Gestión del nombramiento del delegado de protección de datos

Registros

De entrada y salida de soportes de tratamiento de datos

ok

ok

ok

Derechos

Gestión de derechos, registros de derechos atendidos

ok

ok

ok

Incidencias

Registro y control de incidencias y brechas de seguridad

ok

Auditorias

Sistema de auditoría de los distintos tratamiento de datos

Marketing

Ayuda

CLASSIC

BASIC

BUSINESS

Acuerdo Imagen

Contrato de cesión de derechos de imagen

ok

Leyenda emails

Cláusula a incorporar en la firma de las cuentas de correo electrónico

ok

ok

Campañas

Cláusula a incorporar en las newsletter y en los boletines electrónicos

ok

ok

Grabaciones

Acuerdo de consentimiento de grabaciones sesiones de retransmisión

ok

ok

Ayuda CLASSIC WEB ECOMMERCE
Cuenta  
Dominios incluidos Incluye licencia para web. Se incluyen las políticas y leyendas legales para los consentimientos. 1 1
Venta online Incluye licencia para módulo de venta online por tipo de ecommerce. Se modifican las políticas y se generan las condiciones de contratación con política de devolución y entrega. 1
Usuarios actividad Licencia por usuario. Genera acuerdos de confidencialidad y manuales de seguridad. Se considera usuario a toda persona dentro de la organización, tanto asalariado como freelance, que trata datos de carácter personal. 3
Web Ayuda CLASSIC WEB ECOMMERCE
Política de Privacidad Generación personalizada de la política de privacidad de la web ok ok
Aviso Legal Generación personalizada del aviso legal de la web ok ok
Política de Cookies Generación personalizada de la política de cookies de la web ok ok
Actualizaciones de las políticas Nuestro equipo jurídico monitorea constantemente las legislaciones en privacidad y realiza actualizaciones para mantener las políticas. ok ok
Políticas dinámicas La herramienta genera URLs dinámicas por cada política de privacidad, permitiendo que los textos legales estén siempre actualizados. ok ok
Políticas HTML Puedes incrustar políticas estáticas en tu web usando HTML ok ok
Leyendas legales Para la primera capa informativa según el tipo de sistema de captación. ok ok
Banner Cookies Texto a incorporar en los pop ups e cookies ok ok
Guía Webmaster Guía completa para el desarrollador web sobre los mecanismos y elementos informativos a incorporar en una web. ok ok
Quitar logotipo de Legal Box Elimina la marca Legal Box Plus de tus políticas ok
RGPD Ayuda CLASSIC WEB ECOMMERCE
Política PD Documento sobre el protocolo de los principales elementos para cumplir con el RGPD ok
Acuerdos confidencialidad Contratos de confidencialidad con empleados, socios y colaboradores 3
Acuerdos con terceros Contratos de encargado de tratamiento con prestadores de productos/servicios que tratan datos de carácter personal del responsable 3
Acuerdo de cesión Contrato de cesión de datos de carácter personal dependiendo del tratamiento de datos. 3
Consentimiento de cesión Documento de consentimiento de los afectados para la cesión de datos. 3
Otros acuerdos Como es el caso del acuerdo de autorización de recuperación de datos por terceros. 3
Registro de tratamientos Documento corporativo sobre todos los tratamientos de datos que realiza el responsable. ok
Manuales Usuarios Manuales de seguridad para usuarios por perfiles. 3
Cláusulas informativas Generación de las cláusulas informativas de documentos a usuarios, de empleados, de formularios físicos, etc. 3
Análisis de riesgos Gestión, auditoría y seguimiento de los riesgos inherentes al tratamiento de datos.
Protocolos Diversas guías para actuar con procedimientos claros y concisos. Protocolo de ejercicio de derechos, protocolo de brechas de seguridad, de conservación de los datos, etc. ok
Avisos Diversos tipos de avisos sobre protección de datos como el aviso de videovigilancia ok
Cláusula servicios Cláusula a incorporar en los contratos de servicios ok
Gestión Ayuda CLASSIC WEB ECOMMERCE
Peticiones Gestión de derechos. Peticiones por cada derecho. ok
Nombramiento DPD Gestión del nombramiento del delegado de protección de datos
Registros De entrada y salida de soportes de tratamiento de datos ok
Derechos Gestión de derechos, registros de derechos atendidos ok
Incidencias Registro y control de incidencias y brechas de seguridad
Auditorias Sistema de auditoría de los distintos tratamiento de datos
Marketing Ayuda CLASSIC WEB ECOMMERCE
Acuerdo Imagen Contrato de cesión de derechos de imagen ok ok
Leyenda emails Cláusula a incorporar en la firma de las cuentas de correo electrónico ok ok
Campañas Cláusula a incorporar en las newsletter y en los boletines electrónicos ok ok
Grabaciones Acuerdo de consentimiento de grabaciones sesiones de retransmisión ok ok