Recientemente la Agencia Española de Protección de Datos (AEPD) ha publicado un decálogo para la adaptación al RGPD de las políticas de privacidad en relación con las publicaciones de Internet.
Este decálogo viene como respuesta al gran número de consultas y dudas que surgen en las empresas en relación con la privacidad:
1) ¿Quién trata los datos? Debe informarse sobre la identidad y datos de contacto del responsable del tratamiento de datos personales y su representante, junto con los datos de contacto del Delegado de Protección de Datos (DPD), si dispone de uno. Para ponerse en contacto con el responsable del tratamiento o el DPD, lo más adecuado es proporcionar una dirección de correo electrónico o habilitar un formulario electrónico.
2) ¿Con qué finalidad se tratan los datos y cuál es la base que legitima el tratamiento? Hay que diferenciar, además de las finalidades del tratamiento de los datos personales del interesado, cuál es la base jurídica que legitima cada actividad de tratamiento. Cuando el tratamiento de los datos se base en la satisfacción de intereses legítimos, debe indicarse también cuáles son, sin que sea suficiente una mención genérica al “interés legítimo” o el uso de una fórmula abstracta (“para conocerte mejor”).
3) Consentimiento. Cuando se incluya en el formulario de recogida de datos una solicitud de consentimiento, esta debe distinguirse del resto de la relación del interesado con el responsable del tratamiento. No es suficiente que se acepte en conjunto las condiciones de la política de privacidad. El silencio, las casillas ya marcadas o la inacción no constituyen consentimiento, debe poder marcarse una casilla en blanco (o similar) para cada finalidad de tratamiento, si bien se pueden agrupar en propósitos afines. Deberá ser tan fácil retirar el consentimiento como darlo.
4) ¿Cuánto tiempo se conservan los datos? Debe darse información clara sobre el plazo durante el cual se conservarán los datos personales o los criterios utilizados para determinar ese plazo. Habría que dar al interesado una idea aproximada del plazo establecido por la legislación, o indicar la normativa aplicable, o dar información que le permita conocer y calcular por cuánto tiempo los datos personales del interesado serán conservados.
5) ¿Qué derechos existen y cómo ejercerlos? Hay que informar al interesado sobre la existencia de sus derechos. Para poder ejercitar esos derechos se recomienda facilitar una dirección de correo electrónico o un formulario electrónico. Sería deseable que se explique en qué consiste cada derecho y el procedimiento para su ejercicio.
6) ¿A quién se ceden los datos? Si el responsable tiene la intención de ceder los datos personales recogidos, debe detallar quiénes serán los destinatarios o las categorías de destinatarios de estos datos.
7) ¿Qué datos son obligatorios? Debe informarse al interesado si tiene una obligación legal o contractual de facilitar los datos personales, o si es un requisito necesario para suscribir un contrato, o si el interesado está obligado a facilitar sus datos personales. Asimismo, en tales casos, hay que explicar las posibles consecuencias de no facilitar tales datos. Resulta insuficiente no poder completar la acción deseada si no se facilitan los datos personales solicitados.
8) ¿Se toman decisiones automatizadas? Si se adoptaran decisiones automatizadas, incluida la elaboración de perfiles, debe informarse de la existencia de estas decisiones y dar información clara y simple sobre la lógica aplicada, así como sobre la importancia y las consecuencias previstas de este tratamiento para el interesado.
9) ¿Se realizan transferencias internacionales de datos? Si existiera la intención de transferir datos personales a terceros países, se debe informar al interesado de la existencia de decisiones de adecuación, garantías, normas corporativas vinculantes o situaciones específicas aplicables. No es suficiente con usar fórmulas genéricas como “garantías adecuadas” y, además, debe explicarse el procedimiento para obtener una copia de estas o de que se prestaron.
10) ¿Cómo presentar la información? Esta información sobre el tratamiento de datos personales debe facilitarse al interesado de forma clara y concisa, teniendo en cuenta que el objetivo final es que el usuario pueda tomar decisiones informadas sobre la utilización de sus datos personales. Para ello, se recomienda facilitarla en un único documento o en una misma ubicación dentro del sitio web y adoptar un modelo de información por capas o niveles, de tal manera que se presente al interesado una información básica reducida y una información adicional más detallada. En caso de que se solicite el consentimiento del interesado para el tratamiento de sus datos, se sugiere incluir la información básica relativa a esta solicitud en el mismo formulario en que se obtenga este consentimiento. Además, toda la información que se proporcione al interesado debe ser correcta y la extensión de las explicaciones debe ser proporcionada, a fin de no desalentar su lectura y entendimiento por parte del afectado. Para ello, se recomienda también utilizar un tamaño de letra promedio y organizar la información en párrafos o apartados que faciliten su comprensión.
Para más información, la Agencia Española de Protección de Datos pone a disposición de empresas y profesionales (responsables o encargados de tratamientos) la herramienta gratuita Facilita (https://www.aepd.es/herramientas/facilita.html), en caso de realizar tratamientos de datos de escaso riesgo para los derechos y libertades de las personas.
Debe tenerse en cuenta que la herramienta Facilita es una ayuda y, por tanto, la documentación resultante deberá estar adaptada y actualizada a la situación de los tratamientos que se lleven a cabo en su entidad. La obtención de los documentos no implica el cumplimiento automático del RGPD.
© La presente información es propiedad de Escura, abogados y economistas, quedando prohibida su reproducción sin permiso expreso.