Se puede constatar un esfuerzo por parte de las empresas, a la hora de actualizar, conforme al Reglamento, sus apartados sobre privacidad, y sus formularios de recogida de datos.
No obstante, existe cierta resistencia a pasar de un modelo anteriormente basado en el consentimiento, a un nuevo modelo en el que, además, se pueden utilizar otras bases legales para tratar los datos cuando corresponda, como el interés legítimo o una relación contractual.
Es necesario ampliar la información que debe proporcionarse a las personas cuyos datos se pretende tratar y se exige que estas realicen una clara acción positiva cuando se solicita su consentimiento.
INCIDENCIAS MÁS COMUNES
Una clara extensión de los documentos de privacidad
Son largos y farragosos, y a nadie le apetece leerlos. Recordemos que hay que cumplir con el deber de informar al interesado de forma clara y concisa.
Información en dos capas
Es recomendable la utilización de una primera capa en la que se proporcione información resumida y una segunda capa con información más detallada.
Esto resulta especialmente evidente cuando se enumeran las finalidades para las que se recogen los datos personales.
Consentimiento individual
Se suele utilizar la recogida del consentimiento en bloque, es decir, que no se solicita el consentimiento para cada una de las finalidades de tratamiento de datos personales, sino que se acude a la fórmula «He leído y acepto la política de privacidad».
Para hacerlo de manera correcta, se recomienda agrupar en propósitos afines las finalidades para las que se solicita el consentimiento, de forma que el interesado pueda decidir.
Recordemos que «El silencio, las casillas premarcadas o la inacción no constituyen un consentimiento válido».
Lenguaje utilizado
En cuanto al lenguaje utilizado en las políticas de privacidad, existen expresiones ambiguas o demasiado genéricas, que no aportan información real al interesado.
Entre los casos erróneos, existen expresiones que no permiten conocer el tiempo de conservación de los datos recabados, ya que se utiliza la fórmula «mientras exista interés mutuo».
El Reglamento europeo fija claramente que debe darse información clara sobre cuánto tiempo se conservan los datos, ofreciendo a los usuarios el plazo establecido por la legislación, o indicar la normativa aplicable, o dar información que le permita conocer y calcular cuánto tiempo se van a conservar los datos personales del usuario.
Base del tratamiento
-Confusión
Otro de los asuntos a mejorar por parte de las compañías es la ausencia de mención, o la explicación incorrecta, de la base legal que legitima el tratamiento de datos personales.
Se incluye como interés legítimo lo que en realidad es un tratamiento necesario para la ejecución de un contrato, o encuadrando dentro del interés legítimo lo que en realidad no es tal.
Si bien el RGPD reconoce hasta seis bases jurídicas para considerar lícito el tratamiento de datos personales, en el ámbito privado las bases más comunes suelen ser los intereses legítimos del responsable del tratamiento o un tercero (art. 6.1.f) del RGPD), o bien, que el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales (art. 6.1.b del RGPD).
-Análisis web
También se menciona, como interés de las empresas, el análisis de la utilización de la web, a fin de comprobar el comportamiento de los usuarios de la misma, y el envío de comunicaciones comerciales sobre productos o servicios similares a los contratados.
En este sentido, cabe recordar que si se trata de la utilización de dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios (cookies), o bien, comunicaciones comerciales no solicitadas por vía electrónica o a través de llamadas telefónicas, el régimen jurídico aplicable es el estipulado por la Ley 34/2002Enlace añadido por la extensión vLex, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (LSSIEnlace añadido por la extensión vLex) y la Ley 9/2014, de 9 de mayoEnlace añadido por la extensión vLex, General de Telecomunicaciones (LGT), en vez del régimen establecido por el RGPD.
-Proteger la seguridad de la red
Por su parte, también se mencionan como intereses legítimos de los responsables proteger la seguridad de la red y las operaciones, proteger sus derechos y defenderse en caso de disputa, así como la prevención del fraude y otras actividades ilícitas.
-Realización de perfiles
Por último, se ha observado que varias empresas mencionan entre sus intereses legítimos la realización de perfiles, ya sea para mejorar su oferta de productos y servicios, o bien para prestar un servicio más personalizado al usuario.
Información proporcionada al interesado:
Identidad y datos de contacto
En general, casi todas las empresas informan sobre la identidad del responsable de tratamiento de los datos personales y proporcionan sus datos de contacto en el apartado dedicado a su política de privacidad.
No obstante, casi ninguna de las empresas proporciona información respecto a la identidad de su representante.
Forma de contactar
En cuanto al modo de contactar con el responsable para cuestiones relativas a la utilización de datos personales, casi todas proporcionan un domicilio postal al cual dirigirse y tres de cada cuatro entidades facilitan una dirección de correo electrónico a tal fin.
Una cuarta parte de las empresas cuenta con un formulario electrónico habilitado para ello y la que proporciona un número de teléfono de contacto es la excepción.
Transferencias internacionales de datos
En general, se hace mención a aquellas transferencias realizadas fuera del Espacio Económico Europeo (en su mayoría, a EE. UU.) sin detallar las garantías adoptadas.
Tan solo se suele hacer una mención genérica, como por ejemplo:
“Siempre que transmitamos información personal a países situados fuera del Espacio Económico Europeo, nos aseguraremos de que la información es transferida de acuerdo con este Aviso de Privacidad y conforme a lo permitido por las leyes aplicables en materia de protección de datos”, o bien “…con filiales de la UE y otras entidades de XXX tanto dentro como fuera del Espacio Económico Europeo lo que incluye, entre otros, a XXX con domicilio social en EE.UU., que procesar sus datos personales únicamente de conformidad con nuestras instrucciones y para los fines que se presentan en esta Declaración de Privacidad” o “En estos casos, se adoptan las garantías adecuadas para proteger su información”.
Algunas empresas mencionan, entre las garantías, la adopción de cláusulas contractuales tipo o el Escudo de Privacidad entre la Unión Europea y EE. UU, como por ejemplo:
“En tales casos, XXXXX garantizará que la transferencia de sus datos personales se realiza de conformidad con las leyes de privacidad aplicables y, en particular, que se apliquen las medidas contractuales, técnicas y organizativas necesarias, como las cláusulas contractuales estándar aprobada por la Comisión Europea”
o
“A este respecto, le informamos que la misma se encuentra regularizada por medio de cláusulas contractuales tipo, autorizados previamente por la AEPD”, o bien, “Entre proveedores se encuentra XXXX, entidad ubicada en Estados Unidos y adherida al Privacy Shield”).
Por su parte, hay que señalar que solo unas pocas empresas enumeran varios mecanismos que se utilizarán cuando la información sea transferida fuera del Espacio Económico Europeo, tales como cláusulas contractuales tipo aprobadas por la Comisión Europea, el Escudo de Privacidad entre la Unión Europea y los EE. UU., así como normas corporativas vinculantes.
Cabe destacar como buena práctica que se ha observado algún supuesto que detalla los destinatarios a los que se transferirán los datos personales, con indicación del país en que se encuentran y el detalle de las medidas adoptadas en cada caso.
Derecho a presentar una reclamación ante la autoridad de control:
Casi todas las empresas cumplen con la obligación de informar sobre el derecho del interesado a presentar una reclamación ante la autoridad de control.
Todas las entidades que mencionan este derecho indican también ante quién ejercerlo, si bien solo algunas de ellas proporcionan un enlace a la página web de la Agencia, sin más indicación.
Dos de cada tres entidadess señalan a la AEPD como la autoridad de control indicada para presentar una reclamación, pero en otras se menciona, por ejemplo, a la Plataforma europea de resolución de conflictos o a “nuestra autoridad de control principal, la Commission Nationale pour la Protection des Donées de Luxemburgo o ante un organismo local” o a la Autoridad de protección de datos de Suecia.
Información específica
Nos referimos a la información sobre si la comunicación de datos es requisito legal o contractual, o un requisito necesario para suscribir un contrato, y si el interesado está obligado a facilitar los datos personales.
En tales casos, las posibles consecuencias de no facilitar tales datos: todas las empresas exigen determinados datos de los interesados para poder contratar su producto o servicio.
No obstante, casi la tercera parte no indica que esos datos sean obligatorios en los formularios de recogida, sino que simplemente no permite continuar con el proceso de compra, suscripción o registro.
En cuanto a la información sobre las posibles consecuencias de no facilitar tales datos, en general no se ofrece ninguna, solo no se permite continuar con el procedimiento hasta no proporcionar los datos requeridos.
No obstante, unas pocas empresas sí que indican que si no se facilitan los datos requeridos no se podrá prestar el servicio que se solicita.
Información sobre la existencia de decisiones automatizadas
En cuanto a las empresas que realizan elaboración de perfiles, estas no dan al interesado información sobre la lógica aplicada ni la importancia de estas.
En general, esta actividad se menciona entre las actividades de tratamiento realizadas junto con las finalidades para las que se recogen los datos personales.
Casi la mitad de estas empresas reconoce la realización de perfiles para mejorar su oferta de productos o personalizar el envío de ofertas comerciales o dar un trato más personalizado al cliente, mientras que un tercio analiza la utilización de su sitio web para comprobar las preferencias y comportamientos de los usuarios.
Por no hacerlo más largo, en el siguiente post realizaremos una serie de Recomendaciones para cumplir con la política de privacidad de tu página web.