En el último post estuvimos viendo las incidencias o errores más comunes que se observa en las políticas de privacidad de las páginas web de las empresas.
A continuación vamos a ver una serie de recomendaciones que toda política de privacidad debería seguir:
INFORMACIÓN QUE DEBE PROPORCIONARSE AL INTERESADO en la política de privacidad de tu web
Encabecemos la política de privacidad de nuestra página web con los siguientes datos:
Identidad y datos de contacto del responsable y, en su caso, de su representante: se recomienda incluir siempre esta información al principio del documento o apartado de privacidad correspondiente, a fin de que el usuario pueda encontrar esta información de forma rápida y sencilla.
En cuanto al modo de contactar con el responsable del tratamiento, se considera más adecuado facilitar al interesado una dirección de correo electrónico o un formulario electrónico, por tratarse de un entorno online.
Contacto del Delegado de Protección de Datos: Se considera más adecuado facilitar al interesado una dirección de correo electrónico o habilitar un formulario electrónico para contactar con este.
Finalidades del tratamiento: es obligatorio detallar todas las finalidades para las que se tratan los datos personales de los interesados.
No obstante, una enumeración demasiado extensa desalienta su lectura y dificulta su comprensión. Sería recomendable ajustar la extensión de estas explicaciones y agrupar las finalidades por categorías (por ejemplo, prestación del servicio, comunicaciones comerciales, cumplimiento de obligaciones legales, entre otras).
BASE JURÍDICA DEL TRATAMIENTO
Se recomienda diferenciar claramente la base jurídica del tratamiento, en la información que se proporciona al interesado, además de las finalidades para las que se realiza el tratamiento de la información.
Se sugiere que esta información se relacione o se ponga a continuación de la información sobre los fines para los que se realiza el tratamiento.
A fin de evitar el efecto contrario al deseado, se recomienda también ajustar la extensión de estas explicaciones y agrupar las actividades de tratamiento según la base jurídica que las legitima.
Además, es importante destacar que la información que se proporcione debe ser correcta.
Tratamiento de datos con fines comerciales
Mención especial merece el tratamiento de datos para fines de mercadotecnia, publicidad y comunicaciones comerciales.
El interés legítimo de un responsable de tratamiento “podría darse, por ejemplo, cuando existe una relación pertinente y apropiada entre el interesado y el responsable, como en situaciones en las que el interesado es cliente o está al servicio del responsable” y que “el tratamiento de datos personales con fines de mercadotecnia directa puede considerarse realizado por interés legítimo”.
Por correo electrónico…
No obstante, cuando las referidas comunicaciones se lleven a cabo por medios electrónicos, debe tomarse en consideración la aplicación del artículo 21 de la LSSI, el cual exige que estas comunicaciones hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas, o bien, que “exista una relación contractual previa, siempre que el prestador hubiera obtenido de forma lícita los datos de contacto del destinatario y los empleara para el envío de comunicaciones comerciales referentes a productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratación con el cliente”.
En cuanto a las acciones de publicidad o mercadotecnia no realizadas a través de medios electrónicos, cabría exceptuar de la necesidad de solicitar el consentimiento del interesado, igualmente, a aquellas comunicaciones relativas a productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratación con el cliente.
Interés legítimo
Cuando el tratamiento de datos esté basado en los intereses legítimos del responsable o de un tercero, debe detallarse cuáles son estos intereses para realizar cada actividad de tratamiento.
No basta con hacer una mención genérica al “interés legítimo” como tal ni utilizar fórmulas abstractas del tipo “conocerte mejor”.
Se reitera que la información que se proporcione debe ser correcta y que, por tanto, la base sobre la que se informa que legitima el tratamiento de datos debe ser acertada.
Por último, sería deseable que, junto con la información sobre el interés legítimo en que se basa el tratamiento de datos, se documente la ponderación realizada entre este interés del responsable y el derecho de los usuarios a la protección de sus datos personales.
DESTINATARIOS DE LOS DATOS RECOGIDOS
En su caso, cuando deba informarse sobre los destinatarios de los datos personales tratados, se recomienda también ajustar la extensión de estas explicaciones y agruparlos por categorías.
Si no se comunicaran a terceros los datos personales de los interesados, se considera una buena práctica informar sobre este extremo, a fin de que no permanezcan dudas al respecto.
TRANSFERENCIAS INTERNACIONALES DE DATOS
Intención del responsable, en su caso, de transferir datos personales a un tercer país u organización internacional y la existencia o ausencia de una decisión de adecuación de la Comisión, o referencia a las garantías adecuadas o apropiadas y a los medios para obtener una copia de estas o al hecho de que se hayan prestado: se recomienda prestar especial atención a este apartado ya que se ha observado que no se cumple en su totalidad.
El RPGD establece que es obligatorio brindar esta información detallada, en el caso de que se realicen transferencias internacionales.
Por tanto, no es suficiente informar de manera genérica sobre que estas transferencias se realizan, sino que también debe decirse si existe o no una decisión de adecuación de la Comisión al respecto y, caso contrario, mencionar las garantías que se proporcionan (sin utilizar fórmulas genéricas del estilo “garantías adecuadas” sino, al menos, una enumeración general sin entrar al detalle de cada una) y el procedimiento para obtener una copia de estas o de que se prestaron.
Toda esta información no debe ser demasiado extensa de modo que desaliente su lectura, por lo que se recomienda revisar su extensión.
PLAZO DE CONSERVACIÓN DE LOS DATOS
Se sugiere, al menos, proporcionar al interesado una idea aproximada de los plazos que la legislación establece en este sentido, o indicar la normativa aplicable de archivos y documentación al sector del responsable.
A fin de determinar los criterios utilizados para determinar el plazo de conservación de los datos personales, no resulta aceptable la utilización de criterios indeterminados tales como “mientras exista un interés mutuo”.
Se recomienda, por tanto, proporcionar al interesado unos criterios de conservación de sus datos personales que le permitan conocer o calcular, con cierto grado de aproximación a la realidad, durante cuánto tiempo el responsable del tratamiento mantendrá los datos en su poder.
Por último, se consideraría una buena práctica que los datos recabados con objeto de la adquisición de un producto se borraran una vez finalizado el compromiso de compra adquirido y los plazos relativos a las posibles reclamaciones.
INFORMACIÓN SOBRE LOS DERECHOS
Derecho a solicitar del responsable el acceso a los datos personales relativos al interesado, y su rectificación o supresión, o la limitación de su tratamiento, o a oponerse al tratamiento, así como el derecho a la portabilidad de los datos.
Es obligatorio informar a los interesados de todos estos derechos, por lo que las entidades que realicen tratamiento de datos personales deben actualizar la información que proporcionan a los interesados e incorporar los derechos que les asisten.
Es recomendable que la información sobre los derechos de los interesados se proporcione en un apartado aparte, identificado claramente como tal, en vez de enumerar mezclados los derechos que se tienen junto con el resto de la información sobre el tratamiento.
También sería deseable que, junto con la enumeración de estos derechos, se explique el procedimiento para su ejercicio y se facilite a tal efecto una dirección de correo electrónico o se habilite un formulario electrónico, por tratarse de un entorno online.
Hay que tener en cuenta que el RGPD contempla la utilización de medios electrónicos para el ejercicio de sus derechos por parte de los interesados, en particular cuando los datos se tratan por medios electrónicos, para lo cual habrá que implantar mecanismos que permitan acreditar la identidad del interesado, la recepción de su solicitud y de la respuesta que hubiera dado la entidad.
A modo de ejemplo, la cláusula informativa sobre el ejercicio de los derechos de los interesados podría estipular:
“Puede ejercer sus derechos de acceso, rectificación, supresión y portabilidad de sus datos, de limitación y oposición a su tratamiento, así como a no ser objeto de decisiones basadas únicamente en el tratamiento automatizado de sus datos, cuando procedan, ante XXXXXXX, con domicilio en XXXXXXXXX o en la dirección de correo electrónico XXXXXXXXX”.
DERECHO A PRESENTAR UNA RECLAMACIÓN ANTE LA AUTORIDAD DE CONTROL
Se recomienda informar sobre este derecho junto con el resto de los derechos de que dispone el interesado.
También sería recomendable que se especifique que la autoridad de control en España es esta Agencia y se facilite un enlace para su consulta (https://www.aepd.es/).
REQUISITO LEGAL O CONTRACTUAL
También es conveniente informar sobre si la comunicación de datos es requisito legal o contractual, o un requisito necesario para suscribir un contrato, o si el interesado está obligado a facilitar los datos personales.
Y en tales casos, las posibles consecuencias de no facilitar tales datos.
Debe indicarse si esa información es obligatoria o necesaria para el contrato o si facilitar la información es un requisito legal o contractual.
Se recomienda además informar de la base para considerar que facilitar la información es un requisito o una obligación.
No se considera suficiente indicar que se trata de “información necesaria” o no indicar nada al respecto.
También debe informarse sobre las posibles consecuencias de no proporcionar los datos personales, siendo insuficiente no poder completar la acción deseada si no se facilitan los datos personales solicitados.
Se recomienda que esta información se detalle en el documento o apartado relativo a privacidad de la web, aun si en el formulario de recogida de datos se señalan los campos obligatorios con un asterisco y se proporciona información resumida al respecto.
INFORMACIÓN SOBRE LA EXISTENCIA DE DECISIONES AUTOMATIZADAS
Se debe informar sobre la existencia de decisiones automatizadas (incluida la elaboración de perfiles). Y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.
En cuanto a la elaboración de perfiles, que es una actividad bastante común en el entorno online, no es suficiente con informar que estos se realizan, sino que debe explicarse también la lógica aplicada para ello, qué importancia tiene esta actividad para el interesado y las consecuencias que este tratamiento podría tener para él.
Se recomienda que se identifique como tal la realización de perfiles y no se utilicen fórmulas del estilo “se recogen datos para personalizar tu experiencia” o “para conocerte mejor”.
También es recomendable que se distingan claramente cada una de las finalidades para las que se realizan perfiles.
En cuanto a la información sobre la lógica aplicada, esta debe ser simple y clara, sin necesidad de una explicación compleja o de facilitar los algoritmos utilizados. Simplemente sería deseable que se facilite una explicación breve y sencilla sobre cómo funciona el procedimiento empleado y las razones para su utilización.
Por último, se destaca que es obligatorio informar sobre la importancia y consecuencias que este tratamiento puede tener para el interesado.