Telemetría de WordPress

Análisis de Privacidad y Legalidad

Este documento analiza las implicaciones legales de las comunicaciones externas de WordPress 6.9, enfocándose en:

• GDPR (Reglamento General de Protección de Datos – Europa)
• ePrivacy Directive (Directiva de privacidad electrónica – UE)
• CCPA (California Consumer Privacy Act – EE.UU.)
• LOPD-GDD (Ley Orgánica de Protección de Datos – España)
• Otras normativas de protección de datos

Marco Legal Aplicable

GDPR (Reglamento UE 2016/679)

Ámbito de aplicación:

• Sitios web que procesan datos de residentes de la UE
• Independientemente de dónde esté ubicado el servidor

Conceptos clave:

• Datos personales: Cualquier información sobre una persona identificada o identificable
• Tratamiento: Cualquier operación sobre datos personales (incluida transmisión)
• Responsable del tratamiento: El sitio web WordPress
• Encargado del tratamiento: WordPress.org, servicios de terceros
• Transferencia internacional: Envío de datos fuera de la UE/EEE

ePrivacy Directive (Directiva 2002/58/CE)

Relevante para:

• Cookies y tecnologías de tracking
• Comunicaciones electrónicas
• Datos de tráfico y ubicación

CCPA (California, EE.UU.)

Derechos del consumidor:

• Derecho a saber qué datos personales se recopilan
• Derecho a eliminar datos personales
• Derecho a optar por no participar en la venta de datos

Análisis de Datos Bajo GDPR

¿Qué es un “Dato Personal” bajo GDPR?

“Toda información sobre una persona física identificada o identificable”

• Art. 4(1) GDPR

Ejemplos claros de datos personales:

• ✓ Dirección IP
• ✓ User-Agent (si permite fingerprinting)
• ✓ Email (incluso hasheado si es reversible)
• ✓ Geolocalización precisa

NO son datos personales:

• ✗ Versión de WordPress (información del servidor)
• ✗ Versión de PHP (información del servidor)
• ✗ Extensiones PHP (información del servidor)
• ✗ Nombre del blog (si es de empresa)

Zona gris:

• ⚠️ URL del sitio web (puede no ser dato personal si es corporativo)
• ⚠️ Combinación de datos técnicos (fingerprinting indirecto)

Clasificación de Comunicaciones de WordPress

Categoría A: Solo Datos Técnicos del Servidor

No son datos personales en contexto normal

Actualizaciones de Core, Plugins y Temas

• api.wordpress.org/core/version-check/
• api.wordpress.org/plugins/update-check/
• api.wordpress.org/themes/update-check/

Datos enviados:

• Versión de WordPress, PHP, MySQL
• Extensiones PHP
• Lista de plugins/temas
• URL del sitio (corporativo)

Análisis legal:

• ✓ No es dato personal: Información del servidor, no del usuario
• ✓ Interés legítimo: Seguridad del sitio (Art. 6(1)(f) GDPR)
• ✓ No requiere consentimiento

Excepción: Si el sitio es personal (blog individual), la URL podría ser dato personal

Base legal: Interés legítimo (Art. 6(1)(f) GDPR)

• Mantener el sitio seguro y actualizado
• Balanceo de intereses favorable (seguridad vs. privacidad mínima)

Checksums y Traducciones

• api.wordpress.org/core/checksums/
• api.wordpress.org/translations/

Análisis legal:

• ✓ Sin datos personales
• ✓ Interés legítimo suficiente

Categoría B: Datos Personales del Administrador

Browse Happy (User-Agent del navegador)

• api.wordpress.org/core/browse-happy/

Datos enviados:

• User-Agent completo del navegador del administrador
• IP del servidor (que hace la petición)

Análisis legal:

• ⚠️ User-Agent es dato personal (ECJ: identificador único)
• ⚠️ Permite fingerprinting del administrador
• ❌ No hay consentimiento explícito

Bases legales posibles:

1. Interés legítimo (Art. 6(1)(f))
   • Informar sobre navegadores inseguros
   • Protección del administrador
   • Débil: Puede argumentarse desproporcionado
2. Consentimiento (Art. 6(1)(a))
   • Requiere acción afirmativa
   • Problema: WordPress no pide consentimiento

Recomendación legal:

• Informar en política de privacidad
• Considerar desactivación si no es esencial
• Implementar consentimiento explícito

Enlace a browsehappy.com

• https://browsehappy.com/

Tipo: Click-through (navegador del usuario)

Análisis legal:

• ⚠️ browsehappy.com recibirá:
  • IP del administrador
  • User-Agent
  • Referer (URL del dashboard)
• ❌ Sin consentimiento explícito antes del click

Recomendación:

• Informar en política de privacidad
• “Al hacer click, su IP será compartida con browsehappy.com”

Categoría C: Datos Personales de Visitantes

Community Events (IP anonimizada)

• api.wordpress.org/events/

Datos enviados:

• IP anonimizada del administrador (últimos octetos = 0)
• Ubicación (si se proporciona manualmente)

Análisis legal:

• ⚠️ IP anonimizada sigue siendo dato personal bajo GDPR
  • TJUE: IP anonimizada puede permitir identificación indirecta
• ✓ Mitigación: Proxy del servidor + anonimización
• ✓ Caché compartida: No se hace petición por cada administrador

Base legal: Interés legítimo (Art. 6(1)(f))

• Información sobre comunidad local
• Medidas de privacidad implementadas (anonimización, proxy)
• Riesgo mínimo

Ubicación geográfica:

• Si se proporciona manualmente: Consentimiento implícito (acción del usuario)

Recomendación:

• Aceptable bajo GDPR con las medidas implementadas
• Informar en política de privacidad

Gravatar (MD5 de email + IP de visitantes)

• https://secure.gravatar.com/avatar/

Datos enviados:

• MD5 del email del comentarista/autor
• IP de cada visitante (petición desde navegador)

Análisis legal:

• ❌ MD5 de email es dato personal
  • Rainbow tables permiten reversión
  • GDPR: Pseudonimización ≠ Anonimización
• ❌ IP de cada visitante es dato personal
• ❌ Sin consentimiento explícito
• ❌ Transferencia a Automattic (EE.UU.)

Bases legales:

1. Interés legítimo – DÉBIL
   • Avatares no son esenciales
   • Alternativas existen (avatares locales)
   • Desproporcionado para privacidad de visitantes
2. Consentimiento – REQUERIDO
   • Debe obtenerse antes de cargar Gravatar
   • Cookie banner insuficiente

Problemas legales:

• Transferencia internacional: EE.UU. (Automattic) sin Privacy Shield
  • Requiere SCC (Standard Contractual Clauses) o adecuación
• Tracking de visitantes: Gravatar puede hacer profiling

Sentencias relevantes:

• Schrems II (TJUE C-311/18): Transferencias a EE.UU. problemáticas
• Autoridades de protección de datos europeas: Avisos sobre Gravatar

Recomendación legal:

• ❌ Alto riesgo legal bajo GDPR
• Solución: Desactivar Gravatar o usar avatares locales
• Si se mantiene: Consentimiento explícito + DPA con Automattic

oEmbed (YouTube, Twitter, etc.)

• Múltiples servicios externos

Fase 1: Petición oEmbed (Servidor WordPress)

• Sin datos personales de usuario final

Fase 2: Carga del iframe (Navegador del visitante)

• IP del visitante
• User-Agent
• Cookies de tracking
• Comportamiento de navegación

Análisis legal:

• ❌ Alto riesgo bajo GDPR y ePrivacy
• ❌ YouTube, Twitter, etc. hacen tracking extensivo
• ❌ Cookies de terceros sin consentimiento
• ❌ Transferencias internacionales a EE.UU.

Sentencias relevantes:

• Planet49 (TJUE C-673/17): Consentimiento previo para cookies no esenciales
• Múltiples sanciones de autoridades nacionales

Bases legales:

1. Consentimiento (Art. 6(1)(a) GDPR + ePrivacy)
   • REQUERIDO antes de cargar el iframe
   • “Opt-in”, no “opt-out”
   • Específico por servicio

Recomendación legal:

• Implementar “two-click solution”:
  1. Mostrar placeholder con botón
  2. Cargar embed solo tras consentimiento
• Plugins recomendados: “Embed Privacy”, “Borlabs Cookie”
• Mencionar en política de privacidad
• Cookie banner debe incluir embeds de terceros

Google Fonts (si el tema las usa)

• https://fonts.googleapis.com/
• https://fonts.gstatic.com/

Datos enviados:

• IP de cada visitante
• Referer (URL de la página)

Análisis legal:

• ❌ Sentencias alemanas 2022: Uso sin consentimiento es ilegal
  • LG München (Tribunal Regional de Múnich): Multa por Google Fonts
  • Otros tribunales alemanes: Decisiones similares
• ❌ Transferencia de IP a Google (EE.UU.)
• ❌ Sin consentimiento previo

Base legal:

• Consentimiento (Art. 6(1)(a) GDPR) – REQUERIDO
• Interés legítimo – RECHAZADO por tribunales

Problema específico:

• Google no es un “encargado del tratamiento” (no hay DPA)
• Google usa datos para sus propios fines
• Transferencia internacional sin garantías adecuadas

Sentencias:

• LG München, 20.01.2022, Az. 3 O 17493/20
• Otras sentencias de LG Hamburg, LG Rostock

Recomendación legal:

• ❌ Alto riesgo legal en Europa
• Solución obligatoria: Hospedar fuentes localmente
• Plugins: “OMGF”, “Local Google Fonts”
• No es suficiente con cookie banner

Categoría D: Pings y Notificaciones

Ping-O-Matic y servicios de ping

• http://rpc.pingomatic.com/

Datos enviados:

• Nombre del blog (público)
• URL del blog (público)
• URL del RSS feed (público)

Análisis legal:

• ✓ No son datos personales (información pública del sitio)
• ✓ Objetivo: SEO y indexación
• ✓ No requiere consentimiento

Base legal: Interés legítimo (Art. 6(1)(f))

• Promoción del contenido público

Pingbacks

• Enlaces a otros sitios WordPress

Análisis legal:

• ✓ Sin datos personales
• ✓ Notificación entre sitios públicos

Transferencias Internacionales de Datos

Marco Legal

GDPR Art. 44-50: Transferencias fuera de la UE/EEE

Mecanismos válidos:

1. Decisión de adecuación: País con protección equivalente
2. Standard Contractual Clauses (SCC): Contrato con garantías
3. Binding Corporate Rules: Normas corporativas vinculantes
4. Derogaciones: Consentimiento explícito, ejecución de contrato

WordPress.org y Automattic

Ubicación: Estados Unidos

Problema:

• ❌ EE.UU. NO tiene decisión de adecuación (tras Schrems II)
• ❌ Privacy Shield invalidado (2020)

Análisis por servicio:

api.wordpress.org

• Transferencias: Datos técnicos del servidor
• Base legal: Interés legítimo + no son datos personales (mayormente)
• Riesgo: BAJO

Excepción: Browse Happy (User-Agent)

• Riesgo: MEDIO
• Requiere: Evaluación de transferencia internacional (Art. 46 GDPR)

Gravatar (Automattic)

• Transferencias: MD5 email, IP visitantes
• Base legal: Requiere SCC + consentimiento
• Riesgo: ALTO
• Problema: Automattic no ofrece DPA público estándar para instala ciones WordPress

YouTube, Google, Meta, Twitter, etc. (oEmbed)

• Transferencias: IP, cookies, comportamiento
• Base legal: Consentimiento explícito previo
• Riesgo: MUY ALTO sin consentimiento

Obligaciones del Responsable del Tratamiento

Información Transparente (Art. 13-14 GDPR)

Política de privacidad debe incluir:

✓ Comunicaciones de WordPress:

• Servicios contactados (WordPress.org, Gravatar, etc.)
• Datos transmitidos
• Finalidad (actualizaciones, avatares, etc.)
• Base legal (interés legítimo, consentimiento)
• Duración (caché, etc.)

✓ Transferencias internacionales:

• Países destinatarios (EE.UU.)
• Garantías implementadas (SCC, anonimización)

✓ Derechos del usuario:

• Acceso, rectificación, supresión
• Portabilidad, oposición
• Reclamación ante autoridad de control

Ejemplo de texto:

“Este sitio web se comunica con WordPress.org para verificar actualizaciones de seguridad. Los datos técnicos del servidor (versión de WordPress, plugins instalados) se transmiten a WordPress.org (Estados Unidos) bajo nuestro interés legítimo de mantener el sitio seguro.

Si habilitado, este sitio muestra avatares de usuario mediante Gravatar (Automattic Inc., EE.UU.), lo que transmite su dirección IP. Puede desactivar avatares en la configuración de su navegador.”

Evaluación de Impacto (DPIA) – Art. 35 GDPR

¿Cuándo es obligatoria?

• Tratamiento a gran escala de datos personales
• Uso de nuevas tecnologías
• Alto riesgo para derechos y libertades

Para WordPress:

• ✓ Si el sitio tiene muchos visitantes
• ✓ Si usa Gravatar, oEmbed sin consentimiento
• ✓ Si usa tracking extensivo (Google Analytics, etc.)

Registro de Actividades de Tratamiento (Art. 30 GDPR)

Obligatorio para:

• Empresas con +250 empleados
• O tratamiento no ocasional de datos sensibles

Debe documentar:

• Finalidad del tratamiento
• Categorías de datos
• Destinatarios (WordPress.org, Automattic, etc.)
• Transferencias internacionales
• Plazos de supresión

Acuerdos de Procesamiento de Datos (DPA) – Art. 28 GDPR

Requerido para encargados del tratamiento

Problema con WordPress:

• WordPress.org NO ofrece DPA público
• Automattic (Gravatar) tiene DPA pero para servicios de pago (WordPress.com)
• Servicios oEmbed NO tienen DPA

Solución:

• Para api.wordpress.org: Argumentar que no es encargado (datos no personales)
• Para Gravatar: Desactivar o buscar alternativa
• Para oEmbed: Consentimiento previo del usuario

Derechos de los Interesados

Derechos bajo GDPR (Art. 15-22)

1. Derecho de acceso (Art. 15)
2. Derecho de rectificación (Art. 16)
3. Derecho de supresión (Art. 17)
4. Derecho de limitación (Art. 18)
5. Derecho de portabilidad (Art. 20)
6. Derecho de oposición (Art. 21)

Ejercicio de Derechos sobre Comunicaciones de WordPress

Problema práctico:

• Los datos en WordPress.org son anónimos o técnicos
• Difícil vincular peticiones específicas

Soluciones:

1. Para datos técnicos: Explicar que no son datos personales
2. Para User-Agent (Browse Happy): Desactivar widget
3. Para Gravatar: Desactivar servicio, eliminar avatares
4. Para oEmbed: Eliminar embeds del contenido

Proceso recomendado:

1. Usuario solicita eliminación de datos
2. Revisar: ¿Qué datos tiene WordPress.org?
3. Respuesta: “Los datos enviados son técnicos del servidor, no personales”
4. Acción: Desactivar comunicaciones si solicita oposición

Análisis por Jurisdicción

Unión Europea (GDPR)

Riesgo general: MEDIO-ALTO

Puntos críticos:

• ❌ Gravatar sin consentimiento
• ❌ oEmbed sin consentimiento
• ❌ Google Fonts (si usa el tema)
• ⚠️ Browse Happy (User-Agent)

Recomendaciones:

1. Desactivar Gravatar o implementar consentimiento
2. Implementar two-click para oEmbed
3. Hospedar Google Fonts localmente
4. Documentar en política de privacidad

España (LOPD-GDD)

Adicional a GDPR:

• Ley Orgánica 3/2018
• LSSI (Ley de Servicios de la Sociedad de la Información)

Cookies: Requiere consentimiento previo (igual que ePrivacy)

Recomendaciones: Mismas que GDPR

Alemania

Estricta aplicación del GDPR

Sentencias específicas:

• ❌ Google Fonts sin consentimiento: ILEGAL
• ❌ Transferencias a EE.UU. sin garantías: Sanciones

Riesgo: ALTO si usa Google Fonts o Gravatar

California (CCPA/CPRA)

Derechos del consumidor:

• Derecho a saber qué datos se recopilan
• Derecho a eliminar
• Derecho a opt-out

Obligaciones:

• Política de privacidad clara
• Enlace “Do Not Sell My Personal Information”

Análisis para WordPress:

• Comunicaciones técnicas: No son “venta” de datos
• Gravatar, oEmbed: Podrían considerarse “sharing”

Recomendación: Documentar en política de privacidad

Responsabilidad y Sanciones

GDPR: Multas

Tier 1 (hasta €10M o 2% facturación global):

• Violación de Art. 28 (DPA), Art. 30 (registro), etc.

Tier 2 (hasta €20M o 4% facturación global):

• Violación de principios (Art. 5)
• Falta de base legal (Art. 6)
• Transferencias ilegales (Art. 44)
• Violación de derechos (Art. 15-22)

Casos Relevantes

Google Fonts:

• LG München (2022): €100 daño moral por violación
• Tendencia: Más sentencias similares

Gravatar:

• Avisos de autoridades de protección de datos
• Aún no sentencias mayores, pero riesgo creciente

oEmbed (YouTube, etc.):

• Múltiples sanciones por cookies sin consentimiento
• Planet49: Consentimiento debe ser opt-in

Recomendaciones Legales Finales

Prioridad Alta (Acción Inmediata)

1. Desactivar Gravatar o implementar consentimiento
   • Riesgo legal: ALTO
   • Alternativa: Avatares locales
2. Hospedar Google Fonts localmente (si el tema las usa)
   • Riesgo legal: MUY ALTO en Alemania/Austria
   • Solución: OMGF plugin
3. Implementar two-click para oEmbed
   • Riesgo legal: ALTO
   • Solución: Embed Privacy plugin
4. Actualizar política de privacidad
   • Documentar todas las comunicaciones
   • Especificar bases legales

Prioridad Media

5. Revisar Browse Happy
   • Considerar desactivación
   • O informar claramente en política de privacidad
6. Evaluar Community Events
   • Generalmente aceptable con anonimización
   • Documentar en política de privacidad
7. Configurar servicios de ping
   • Revisar si son necesarios
   • Generalmente bajo riesgo

Prioridad Baja

8. Documentar actualizaciones automáticas
   • Bajo riesgo legal
   • Incluir en política de privacidad por transparencia
9. Realizar DPIA si procede
   • Obligatorio si alto riesgo o gran escala
10. Establecer proceso para derechos de interesados
    • Cómo responder a peticiones GDPR

Checklist de Cumplimiento

Técnico

•  Gravatar desactivado o con consentimiento
•  Google Fonts hospedadas localmente
•  oEmbed con two-click solution
•  Browse Happy desactivado o informado
•  Cookie banner incluye todos los servicios externos
•  Analytics/tracking con consentimiento

Legal

•  Política de privacidad actualizada
•  Menciona WordPress.org y servicios
•  Especifica bases legales
•  Documenta transferencias internacionales
•  Explica derechos de usuarios
•  DPA con encargados (si procede)
•  Registro de actividades de tratamiento (si procede)
•  DPIA realizada (si procede)
•  Proceso para ejercicio de derechos

Organizativo

•  Personal formado en GDPR
•  DPO designado (si procede)
•  Procedimientos de respuesta a brechas
•  Revisión periódica de cumplimiento

Páginas: 1 2 3 4 5 6