Formularios de contacto y protección de datos: ¿Qué hay que tener en cuenta?

Muchas páginas web ofrecen un formulario de contacto para facilitar la comunicación a los visitantes o también, para recibir mensajes estructurados y dirigidos. ¿Cuántas preguntas pueden ser solicitadas obligatoriamente? ¿Debería el usuario ser invitado a confirmar las advertencias sobre protección de datos? Estas y otras preguntas se responden en este artículo para garantizar la seguridad jurídica al utilizar formularios de contacto.

Introducción

Formularios de contacto suelen generar tema de conversación regularmente porque preguntas sobre protección de datos surgen a partir de ellos. En realidad es bastante sencillo ofrecer un formulario de contacto, o incluso varios, siempre y cuando se cumplan unas pocas reglas básicas.

Al igual que en cualquier tipo de procesamiento de datos, también hay pequeños riesgos con formularios de contacto, que se pueden minimizar. En última instancia, el riesgo es controlable y no es mayor que comunicarse a través de una dirección de correo electrónico ofrecida en la página web.

Los formularios de contacto ofrecen mejores oportunidades para evitar el spam que la comunicación por correo electrónico en sí. Quien aquí utiliza Google reCAPTCHA tiene malas cartas legales.

Las siguientes recomendaciones ayudan a crear rápidamente formularios de contacto seguros y a saber las preguntas legales. Por cierto, no se trata de formularios de boletín informativo, para los cuales rigen sus propias reglas. La mayoría de las indicaciones mencionadas son transferibles también a formularios con los que interesados pueden inscribirse en su información y así poder abonarse a su boletín informativo.

Recomendaciones para formularios de contacto

Cada una de las recomendaciones garantiza más seguridad jurídica cuando se tiene en cuenta. Al final tendrá una página web con tantos formularios como sea necesario. Las normas de protección de datos que establece la RGPD se cumplen.

Como siempre en cuestiones legales, no hay un proceder absolutamente correcto, sino solo una mejora de la seguridad jurídica. Aunque hagas todo correctamente (quien sea que lo decida), alguien puede denunciarte o demandarte. Pero entonces el contrario tiene muy malas cartas y se queda con las deudas.

El formulario de contacto general

Un formulario para todo es posible y permitido. Sin embargo, deberían considerar esta central de contacto como el primer punto de contacto. Este formulario no debe convertirse en un instrumento de masacre, donde se consulten todos los datos del mundo. Aquí está mi recomendación para las declaraciones que se deben solicitar en un formulario colectivo:

• Para eso está el formulario de contacto.
• Dirección de correo electrónico: Solo así podrán responder.
• Nombre o pseudónimo: A menudo no necesitan el nombre real de una persona. Sin embargo, a veces también es importante saber el nombre. Decidan según su sentido común si necesitan el nombre real o no. Por ejemplo, en mi sitio web no necesito nombres reales de personas que me escriben un correo electrónico para hacerme saber sobre mis artículos y no utilizan la función de comentarios. Por supuesto, puedo responder a Hasemaus47 si quiero (si respondo es cosa mía; siempre respondo cuando el anuncio es serio y merece una respuesta).
• Número de teléfono: Solo si es razonable y a menudo necesario. Posiblemente marcar como opcional.

Mejoraría la información en un formulario general no lo haría. Lo que importa es la orientación de su sitio web o actividad, si necesita otras declaraciones generales. La mayoría de las empresas pueden vivir muy bien con lo anteriormente mencionado. Las consultas médicas, guarderías infantiles o talleres de automóviles necesitan normalmente también el número de teléfono de una persona.

Mussfelder y Kannfelder

Para cada afirmación que le hagan al formulario, debería pensar si la afirmación es necesaria o no. Las afirmaciones necesarias son obviamente siempre el texto de la noticia y la dirección de correo electrónico del remitente, para que a quien corresponda pueda responderle.

El nombre de la persona que escribe a menudo no es importante. Incluso para boletines generales que no se envían a sus clientes, no necesita saber el nombre del suscriptor. Mire mi boletín informativo. Para el suscripción al boletín solo pido la dirección de correo electrónico. Todo lo demás no me interesa. Si alguien quiere comunicarse conmigo, entonces escribiré por correo electrónico a esa persona. En esa carta a menudo se menciona el nombre de la persona que quiere comunicarse conmigo. Y es así porque esa persona menciona su nombre voluntariamente.

Cuanto más específico sea un formulario de contacto, más campos pueden ser marcados como obligatorios. En cada caso es necesario comprobar cuáles de las preguntas se desean y cuáles son absolutamente necesarias. En algunos casos ciertas preguntas podrían ser muy deseables. Por ejemplo, me dijo la directora de una guardería que necesita la teléfono porque casi todas las solicitudes apuntan a un lugar en la guardería y por lo tanto es necesario hacer preguntas de seguimiento. En esos casos es necesario comprobar cuántas veces se necesita la pregunta en cuestión y hacerla obligatoria si es necesario.

El propósito de su formulario

Pregúntese a sí mismo la siguiente pregunta: ¿Para qué necesita un formulario? Defina el propósito o los propósitos. Si ha reconocido solo un propósito, entonces obviamente solo necesita un formulario (o ninguno).

Objetivos para formularios pueden ser, por ejemplo:

• Contacto general: No saben ad hoc por qué quieren escribir a alguien. Al menos ofrecen productos o servicios o proporcionan información. El contacto le preguntará probablemente una pregunta sobre su producto o tiene una pregunta sobre sus declaraciones. O el que escribe quiere hacer una crítica, lo que sea.
• Acuerdo de término: A menudo ocurre esto con médicos o con concesionarios de automóviles.
• Solicitud de llamada: ¿Quieren preferiblemente llamar y no enviar correos electrónicos de ida y vuelta? Entonces ofrezcan esa posibilidad y preguntar al interesado por su número de teléfono y un marco horario adecuado para la llamada de retorno.
• Elogio y crítica.
• La comunicación con el cliente en la sección de clientes: alguien es un cliente suyo y ha accedido a su cuenta de cliente. En las seguridades, los clientes pueden emitir órdenes, solicitar formularios o declarar una rescisión.
• Comentario a un artículo. Ver abajo de este artículo o también en sitios periodísticos donde los lectores pueden dar sus comentarios.

Si han reconocido varios propósitos para los que desean ofrecer un formulario, verifiquen cuáles de las preguntas en el formulario son necesarias para cada uno de ellos. Los fines que tienen muchas similitudes en los datos necesarios y también están temáticamente cerca entre sí pueden ser agrupados en un solo formulario.

Todo lo demás pertenece a diferentes formularios, siempre y cuando no decidan ofrecer un formulario de contacto general.

Información sobre protección de datos a conocer

Nombren dónde van a utilizar las preguntas solicitadas. Luego enlacen a las Notas de Privacidad de su sitio web. Todo esto puede verse así y se encuentra debajo del campo de ingreso del formulario y encima del botón de enviar:

Usamos sus datos para responder a su solicitud. Para más información, consulte nuestros avisos de protección de datos.

Asegúrense de que el enlace se abra en una ventana nueva. Nada es más molesto que una solicitud de formulario que se pierde porque uno quiere echar un rápido vistazo a las informaciones sobre protección de datos. Si lo quieren hacer aún más cómodo, utilicen un llamado HTML-Anker. De esta manera pueden configurar el enlace para que llame directamente a la sección de formularios de contacto en sus informaciones sobre protección de datos. Así es como se hace:

Definan Anker en sus informes de protección de datos:

En WordPress, el enlace se puede definir colocando el cursor del editor sobre el texto deseado y haciendo clic en "Expandir" en la zona derecha:

Utilice el enlace de Anker:

<a href="https://dr-dsgvo.de/datenschutz/#formular>Información sobre la protección de datos en los formularios de contacto</a>

Escriban antes del nombre de la ancla el cuadrado (hashtag), para que el código funcione correctamente.

Así es como queda el enlace. Al hacer clic en él, se saltará directamente al área de lectura donde están las indicaciones sobre el formulario:

Información de protección de datos para formularios de contacto

Como en mi lado no hay formularios excepto para el boletín de noticias, he colocado el ancla "formular" en la sección del boletín de noticias como demostración. Consejo práctico: Coloque el ancla un par de líneas más arriba que allí donde debería ir. Pues dependiendo del navegador puede ser que el texto entonces esté demasiado arriba y se corte.

Como ven, he adaptado mis informes de protección de datos para hacerlos más accesibles, quizás también deberían pensar en eso. Como se hace, lo pueden leer en el artículo que acabo de enlazar.

Textos de protección de datos:

Explicárnoslo de manera sencilla lo que sucede. Por ejemplo así:

Formularios de contacto

Si nos envían solicitudes a través del formulario de contacto, se almacenarán y tratarán sus datos del formulario de solicitud, incluidas las direcciones de contacto que haya proporcionado allí, con el fin de atender la solicitud y en caso de necesitar más información. Sus datos solo se utilizarán para responder y atender su pregunta. El tratamiento de datos se realizará según Artículo 6, apartado 1, letra f del RGPD, sobre base del interés legítimo.

En caso de que se detecte un fraude o abuso, como para descubrir ataques de hackers, nos reservamos el derecho a almacenar sus datos de red durante un breve período y solo con este fin, que no exceda los 30 días, salvo que haya una razón que justifique una mayor duración.

Plantilla para un texto de protección de datos para formularios de contacto.

Importante: Solo conocimiento, no confirmación

Ahora viene lo más importante: solo dé a conocer las mencionadas anteriormente advertencias de protección de datos. No pregunte por una confirmación o consentimiento. No permita que se confirme si alguien ha leído sus advertencias de protección de datos. Si el visitante de su sitio web lee o no es asunto suyo y no debe ser exigido por usted. Una declaración de protección de datos no es un contrato. Ver, por ejemplo, la sentencia del KG Berlin (27.12.2018 – 23 U 196/13).

Es es su interés legítimo (Artículo 6 apartado 1 letra f RGPD), utilizar las informaciones de la persona que le está escribiendo, para responder o atender la solicitud. En otro lugar deberían usar el interés legítimo como base legal con muy poca frecuencia, ya que no suele estar presente.

Verificación de spam

Utilicen ningún plugin de Google, a menos que deseen arriesgar problemas con la privacidad. Cualquier plugin de Google debe ser utilizado solo después de obtener el consentimiento. Esta es mi opinión, para la cual encontrarán numerosas argumentaciones en este blog (Google y datos sin cesar, incluso para manipular el comportamiento; Los datos pueden ser abusados por los servicios secretos estadounidenses; Google recopila más datos de los necesarios, etc.). También lo comparten el Tribunal Superior de Colonia (sentencia del 23.03.2023 – 33 O 376/22).

Utilicen en su lugar un Captcha como Contact Form 7 Image Captcha (para formularios de WordPress). O bien, utilicen un campo de texto donde se solicite el resultado de una simple operación matemática. Ejemplo: ¿Cuánto son 17 menos 5? Escriban la respuesta en minúsculas.

Personalmente creo que no llega mucha más spam a través de formularios de contacto que por el robo directo de direcciones de correo electrónico de las páginas de información legal. Los buenos filtros contra spam ayudan mucho. El spam nunca se puede evitar completamente. También son una buena medida los trampas para spam.

Es posible que tenga la oportunidad de comprobar si el texto de la noticia tiene una longitud determinada. Si no alcanza la longitud mínima, el formulario no debería poder enviarse. Un filtro para ciertas palabras indeseables podría igualmente instalarse.

Si utiliza un plugin de comprobación de spam, asegúrese de que la base de datos anti-spam global esté desactivada o no estén fluyendo hacia allí. Aunque esta función puede ser útil para algunos: si transmite la dirección IP de los visitantes de su sitio web a "desconocido", eso no es bueno. Un ejemplo de tal plugin es Antispam Bee para WordPress.

Aquí ven tres opciones del mencionado plugin. La primera opción puede estar activada porque una base de datos local no transmite datos a terceros. Las otras dos opciones deben estar desactivadas para evitar problemas legales. En fin, el propio plugin ya advierte que se deben tener en cuenta especialidades de protección de datos para las opciones críticas.

Respuesta al remitente

El remitente de un mensaje probablemente espera una respuesta suya. Deberías darla también si lo consideras adecuado. Sin embargo, hay villains. Es muy fácil introducir una dirección de correo electrónico ajena en un formulario de contacto. Ya sea porque alguien tiene intenciones maliciosas o porque se ha cometido un error tipográfico.

Si le parece raro un mensaje, no responda en caso de duda. Verifique la dirección de correo electrónico. Una dirección de eliminación (byom.de, trashmail.net etc.) tiene la menor credibilidad. Tampoco están muy altos en el listado correos electrónicos gratuitos (gmx.de, web.de etc.), aunque son ampliamente utilizados. Las direcciones más fáciles de seguir son las de personas o empresas que tienen su propia dominio de correo electrónico. Una tal dominio dedicado es por ejemplo dr-dsgvo.de.

Investigué brevemente y según sea posible para ajustar el mensaje y un nombre (si se proporciona) a la información que se le haya dado. Si tienes muchas dudas, escribe una carta informal al supuesto remitente de la notificación y pregunta si desde su dirección de correo electrónico se envió una notificación a través del formulario de contacto. La comunicación informal es importante para evitar la impresión de publicidad no autorizada. Informal significa que deberías eliminar cualquier logotipo o información sobre sitios web en tu firma para estar seguro.

Otros estímulos

Utilicen un formulario propio y no soluciones de la caja como Microsoft Forms. Los ofrecimientos de terceros suelen presentar problemas legales regulares. Por ejemplo, en MS Forms he tenido que buscar con frecuencia una declaración de impresión. Además, se plantea la pregunta en empresas como Microsoft de si el transferencia de datos con relación a EE.UU. no es un problema legal. Digo sí, lo dice el LG Cologne (c. o.) sí, lo dice el EuGH („Schrems II“) sí.

Creo que está permitido guardar la dirección IP del remitente al establecer contacto, para tener algo en mano ante problemas legales. Aquí hay un motivo justificado para ello. He investigado detalladamente esto en un artículo sobre registros de servidor. El párrafo correspondiente está incluido en el texto modelo para la política de privacidad que se menciona más arriba.

Por cierto, me gustaría llamar a la política de privacidad "avisos sobre protección de datos" o "información sobre protección de datos". De esta manera se despeja el malentendido de que podría tratarse de un contrato (ver el juicio mencionado).

Las datos que recibe a través de un formulario de contacto los trata como si hubiera recibido un correo electrónico con esos mismos datos. No hay una diferencia sustancial entre ambos. Los datos necesarios se almacenan, y los no necesarios se eliminan con retraso. En general, no debería eliminar los datos inmediatamente porque puede ser que alguien quiera causarle problemas. Sería útil tener algo en la mano para explicar lo sucedido.

Certificado SSL

En lugar de un formulario, simplemente se puede indicar el enlace a su dirección de correo electrónico. No es necesario ofrecer un formulario. Para indicar el enlace a una dirección de correo electrónico, lo colocáis como si fuera la dirección de una página web (URL), pero anteponiendo el texto mailto:

El código HTML para un enlace de este tipo es entonces:

<a href="mailto:mail@dr-dsgvo.de">Escríbame</a>

Todo esto se ve entonces en la representación de la página web así:

Escríbame

Si tienes un editor como el que ofrece WordPress, simplemente define un enlace y utiliza mailto: seguido de tu dirección de correo electrónico como la dirección del enlace.

Importante: Utilicen formularios, entonces deben utilizar un certificado SSL para su sitio web. Su sitio web será accesible solo a través de https y no más a través de http. Asegúrense de que la redirección (Redirect) de http a https esté configurada. Verifíquelo accediendo a su sitio web una vez con http:// (escriban en su navegador: http://meine-webseite-0815.de en lugar de sólo como lo harían normalmente meine-webseite-0815.de).

Si en el navegador aparece la cerradura a la izquierda junto al nombre de tu sitio web, está presente el certificado SSL. Para verificar más características de tu certificado SSL, como la profundidad de cifrado o la credibilidad del proveedor del certificado, puedes utilizar mi herramienta de verificación de sitios web en línea:

Conclusión

Los formularios de contacto deberían solicitar lo menos posible y lo más necesario que sea posible.

Para diferentes fines con diferentes cantidades de datos necesarios, deberían ofrecerse formularios diferentes.

Si no deseas ofrecer un formulario, no lo ofrezcas. Lo importante es que en el pie de página de tu sitio web se mencione tu dirección de correo electrónico. Evita incluir la dirección de correo electrónico en forma gráfica por razones legales. Algunos administradores de sitios web incluyen su dirección de correo electrónico en forma de una imagen que contiene texto, con el fin de evitar spam. Es cierto que esto reduce el spam, pero no lo considero permitido. Una persona debería poder contactarte fácilmente. Para ello es necesario que la dirección de correo electrónico pueda ser seleccionada para escribirte. Al menos debería ser posible copiar y pegarla.

Cuanto menos datos solicite en el formulario, menos tendré que considerar. Para los datos que no tengo, no debo cumplir con obligaciones. Como recordatorio, menciono solo el derecho a la información de las personas afectadas. Los datos que no he solicitado son inicialmente irrelevantes para mí. Si alguien quiere darme su número de seguro social o altura por formulario, aunque no haya proporcionado un motivo en el formulario o en la página web, trátalos con la misma atención que cualquier otro dato. En caso de duda, elimine las informaciones sensibles que se me envían sin ser solicitadas y ignore el mensaje (o pida un método diferente de contacto), siempre y cuando no tenga relevancia legal.

Para tranquilizar a muchos se puede decir que no hay problema de protección de datos en la creación de un formulario de contacto por sí solo. Me ha llegado a conocimiento únicamente un caso en el que la falta del certificado SSL fue problemática. O bien, los datos recibidos a través del formulario fueron maltratados, como se dice tan hermosamente. Lo último no tiene nada más que ver con el tema central, el formulario.