Privacidad y secreto profesional: lo que tu sitio web está revelando sin que te des cuenta

Hablamos con un socio de un bufete del Valle Central hace algunos meses. Llevaba 22 años ejerciendo, todo sólido en lo profesional. Le hicimos una auditoría a su sitio web y le mostramos tres cosas que le sorprendieron. Su formulario de contacto enviaba los datos en texto plano a un email genérico de Gmail. Su sitio cargaba 11 scripts de tracking de terceros sin que nadie hubiera autorizado eso. Y su política de privacidad había sido copiada de otro bufete cinco años atrás y mencionaba leyes que ya no existían.

Su respuesta fue precisa: “tengo años cuidando el archivo físico con candado, y resulta que mi sitio web es una puerta abierta”.

Eso lo vemos seguido. Y no es por descuido del socio, es porque nadie le explicó qué información sale del sitio y a dónde va. Este artículo es para que vos no estés en esa situación.

Lo que viaja por tu formulario de contacto (y a dónde llega)

Cuando un cliente potencial llena el formulario de tu sitio, ese mensaje viaja por varios sistemas antes de llegar a tu bandeja de entrada. Cada sistema es una oportunidad de exposición.

Trayecto típico de un mensaje en un sitio típico de bufete:

1. El usuario llena el formulario en su navegador
2. El navegador envía los datos al servidor del sitio (con HTTPS o sin)
3. El servidor del sitio procesa el formulario (a veces con plugins, a veces con servicios externos)
4. El sistema envía un email al bufete (vía SMTP del servidor o servicio externo)
5. El email llega a la bandeja de entrada del bufete (Gmail, Outlook, propio servidor)
6. Una persona del bufete recibe el email y le da seguimiento

En cada paso hay riesgos. HTTPS cubre solo el paso 2. Los otros cuatro pasos quedan a discreción de cómo está configurado el sitio.

Los problemas más comunes que vemos en auditorías:

Datos enviados a servicios extranjeros sin política clara. Muchos formularios procesan los datos en servidores de Estados Unidos o Europa antes de llegar al email del bufete. Sin política de privacidad que mencione esa transferencia internacional, el bufete está incumpliendo la Ley 8968 sin saberlo.

Email final en Gmail o cuenta no controlada. El mensaje termina en una cuenta personal o compartida que múltiples personas pueden ver. Y Gmail procesa el contenido del email para sus algoritmos, aunque sea cuenta de pago.

Logs del servidor que guardan todo. Muchos hostings registran todo el tráfico que pasa por el servidor, incluyendo el contenido de formularios, durante días o meses. Sin saberlo, hay una copia de cada consulta de cliente en logs accesibles al equipo de hosting.

Backups que copian datos sensibles. Los backups automáticos del sitio incluyen la base de datos donde se guardan los envíos de formularios. Esos backups suelen estar en otros servidores, sin la misma protección que el sitio principal.

El problema con los plugins gratuitos

WordPress sigue siendo la plataforma más usada por bufetes en Costa Rica. Y WordPress sin curación es un riesgo de seguridad serio.

Los plugins gratuitos resuelven necesidades específicas (formularios, SEO, cache, sliders, contadores) pero cada uno agrega código de terceros que ejecuta dentro de tu sitio. Si un plugin tiene una vulnerabilidad o está mal mantenido, ese código puede ser explotado.

Datos típicos en bufetes que auditamos:

• Promedio de 18 plugins activos
• 30% no se actualiza hace más de 6 meses
• 15% son de desarrolladores que ya no responden a issues
• 5% tienen vulnerabilidades reportadas en bases públicas (WPVulnDB, CVE)

Cada plugin antiguo o sin mantenimiento es una puerta. Las puertas se acumulan.

Lo que recomendamos cuando vemos esto:

• Auditoría completa de plugins. Listar cuáles son indispensables.
• Eliminar los que se pueden reemplazar con código nativo o con menos plugins.
• Mantener actualizados los que quedan, con monitoreo automatizado.
• Para sitios donde la seguridad importa especialmente (bufetes incluidos), evaluar migrar a una plataforma con menor superficie de ataque. Astro, Next.js o Hugo son opciones modernas que generan sitios estáticos sin la complejidad de WordPress.

Cookies y trackers: lo que estás compartiendo con terceros sin saber

Tu sitio probablemente carga código de terceros que envía información de cada visitante a empresas como Google, Facebook, plataformas de analytics o servicios de hosting de fuentes.

Lo que típicamente se envía sin que nadie lo haya autorizado:

• IP del visitante
• User agent (navegador, sistema operativo, dispositivo)
• URL que está visitando
• URL desde la que viene (referrer)
• Tiempo en página
• Comportamiento de scroll y clicks
• A veces: datos del formulario antes de enviarlo (tracking de form abandonment)

Esto se llama “data leakage por terceros” y es uno de los problemas más subreportados en sitios profesionales.

Una herramienta sencilla para revisar qué está pasando en tu sitio: Blacklight de The Markup. Pegás la URL de tu sitio y te muestra exactamente qué trackers están cargando, a quién mandan información, y qué tipo de información están enviando.

Lo común al revisar un sitio de bufete típico: entre 5 y 15 trackers cargados sin haber sido aprobados explícitamente, enviando información a 3-8 empresas distintas. Para un bufete que pregona confidencialidad, esto es un problema.

La política de privacidad que NO cumple con la Ley 8968

Por experiencia, cinco de cada seis políticas de privacidad de sitios de bufetes en Costa Rica están desactualizadas o copiadas de modelos extranjeros que no aplican.

Los errores típicos:

Mencionan leyes de otros países. Es común ver políticas que hablan del GDPR europeo o de leyes mexicanas, copiadas tal cual sin adaptación a la Ley 8968.

No mencionan a PRODHAB. La Agencia de Protección de Datos de los Habitantes (PRODHAB) es la autoridad de control en CR. Las políticas serias mencionan que el bufete reconoce la jurisdicción de PRODHAB y explica cómo presentar reclamos.

No identifican al responsable del tratamiento. Tiene que estar claro qué persona o entidad jurídica es responsable de los datos, con sus datos de contacto.

No mencionan los servicios externos que procesan datos. Si usás Google Analytics, hosting en AWS, MailChimp para newsletters, o cualquier servicio que toque datos del visitante, debe estar mencionado explícitamente.

No tienen fecha de última actualización. Una política sin fecha visible o con fecha de hace varios años pierde validez ante cualquier reclamo formal.

No explican los derechos del usuario. El usuario tiene derecho a acceso, rectificación, eliminación y oposición sobre sus datos. La política debe explicar cómo ejercer cada uno, con un canal específico.

Una política seria toma entre 4 y 8 horas de redacción profesional para un bufete. No es un copia-pega de plantilla.

Hosting fuera de Costa Rica y la transferencia internacional

La mayoría de sitios profesionales en CR están alojados en proveedores extranjeros: AWS, Google Cloud, Hostinger, Bluehost, DigitalOcean. No hay nada malo con eso, pero implica transferencia internacional de datos.

La Ley 8968 permite la transferencia internacional siempre y cuando:

• El usuario sea informado explícitamente en la política de privacidad
• El país de destino tenga protecciones equivalentes (no todos las tienen)
• Se mantengan medidas de seguridad apropiadas durante la transferencia

Para un bufete que maneja casos sensibles (penales, familiares, corporativos confidenciales), conviene evaluar:

• Hosting en jurisdicciones con protecciones estrictas (Unión Europea bajo GDPR, Canadá bajo PIPEDA)
• O hosting nacional cuando esté disponible con calidad técnica suficiente
• Procesamiento separado de datos especialmente sensibles, fuera del sitio web público

Auditoría rápida que podés hacer hoy en 15 minutos

Sin necesidad de contratar a nadie, podés hacer esta revisión hoy:

Paso 1: Abrí tu sitio en Blacklight. Ves cuántos trackers tiene, a quién mandan datos, y qué información están enviando.

Paso 2: Abrí la página de Política de Privacidad de tu sitio. Verificá:

• ¿Tiene fecha visible?
• ¿Menciona la Ley 8968 y a PRODHAB?
• ¿Lista los servicios externos que procesan datos?
• ¿Identifica al responsable del tratamiento?
• ¿Explica derechos del usuario y cómo ejercerlos?

Paso 3: Llená tu propio formulario de contacto con un mensaje de prueba. Después chequeá:

• ¿Llegó el email correctamente?
• ¿A qué dirección llegó? ¿Es controlada por el bufete?
• ¿Aparece HTTPS en el navegador cuando enviaste?
• ¿Hubo algún disclaimer sobre confidencialidad en el formulario?

Paso 4: Revisá el certificado SSL de tu sitio en SSL Labs. Te da una calificación A-F del estado de tu HTTPS. Cualquier cosa abajo de A es problema.

Paso 5: Pedile al equipo técnico (o a tu proveedor) que te diga:

• ¿Dónde está alojado el sitio?
• ¿Quién tiene acceso al servidor?
• ¿Cómo se hacen los backups y dónde se almacenan?
• ¿Qué plugins/módulos están instalados y cuándo se actualizaron por última vez?

Con esos cinco pasos vas a tener una idea mucho más clara de en qué estado está realmente tu sitio.

Lo que diferencia a un sitio legal serio en privacidad

Después de auditar muchos sitios, los patrones comunes en los que sí cumplen seriamente:

• Política de privacidad escrita por un abogado del bufete, no copiada de otro lado
• Cantidad mínima de trackers de terceros, todos justificados
• Formulario de contacto con disclaimer claro y procesamiento controlado
• Hosting en proveedor serio con SSL grado A
• Actualización regular de la plataforma y de cualquier plugin que use
• Protocolo escrito para manejar datos recibidos

Lo que NO hacen: copiar política de plantilla, instalar plugins sin verificar, usar hosting compartido barato, dejar el sitio sin actualizar durante años.

Por qué esto importa más en un bufete que en otros sectores

Cualquier negocio tiene que cumplir con la ley de protección de datos. Pero un bufete tiene una capa extra: el secreto profesional.

El Código de Deberes Jurídicos, Morales y Éticos del Profesional en Derecho establece la confidencialidad como deber esencial. Un cliente que confía sus datos en tu formulario de contacto y luego descubre que esos datos viajaron por seis servidores extranjeros sin su autorización, tiene fundamentos para reclamar incumplimiento del deber del bufete.

No es un escenario hipotético. Cada año hay más casos formales presentados ante PRODHAB sobre tratamiento inadecuado de datos. Que un bufete sea el sujeto del reclamo es particularmente costoso reputacionalmente.

En resumen

Tu sitio web es un canal por donde circula información de tus clientes potenciales. Como cualquier canal profesional, requiere cuidado deliberado. La buena noticia es que los problemas son identificables y resolubles. La mala es que la mayoría de bufetes no los identifica porque nadie del equipo entiende lo técnico y nadie del lado técnico entiende las implicaciones legales.

El siguiente artículo del cluster mira otro ángulo crítico: Los 47 segundos: qué decide un prospecto de bufete en ese tiempo y cómo tu sitio aprovecha o desperdicia esa ventana de atención.