Recientemente la Agencia Española de Protección de Datos (AEPD) ha publicado una
nota de prensa y un informe relativo a la adaptación de las políticas de privacidad online al Reglamento General de Protección de Datos (RGPD).
En esta labor, durante los primeros meses de vida del RGPD, es decir, desde el 25 de mayo de 2018, que es cuando es de obligado cumplimiento este reglamento, la AEPD ha analizado las políticas de privacidad de varias empresas que prestan sus servicios desde Internet, y ha recogido en una nota de prensa las incidencias y errores más comunes, ofreciendo las recomendaciones oportunas para paliarlas y, así cumplir con el RGPD.
En esta nota de prensa se destaca que, las políticas de privacidad no son concisas y no facilitan al usuario final e interesados su comprensión como se indica y exige en el RGPD; no se utiliza un lenguaje conciso y claro, y en cambio, se utilizan “expresiones ambiguas o demasiado genéricas, que no aportan información real”. Hay que recalcar que uno de los principios sobre los que se basa el reglamento es el principio de transparencia, basado en el objetivo de aportar una mayor cantidad de información al interesado, de tal modo que este conozca, antes de que proporcione cualquier tipo de dato a un tercero, de qué forma se van a tratar sus datos y los derechos y vías de reclamación de las que dispone en caso de que sea consciente o crea que sus datos no se están tratando de una forma lícita en base a los principios del reglamento.
En el análisis realizado, se hace hincapié en cómo se enumeran las finalidades para las cuales se pretenden hacer uso de los datos de los interesados, y la no opción por parte de las empresas, para que los interesados puedan dar el consentimiento de forma granulada en las finalidades que precisan. En este sentido, el objetivo que persigue el reglamento es que el interesado tenga en todo momento control de las finalidades para las cuales quiere proporcionar sus datos personales a una empresa. Una mala práctica, que se viene llevando a cabo en los últimos años, es la de aglutinar varias finalidades bajo el mismo consentimiento, cuando en ocasiones, estas finalidades no son necesarias para prestar el servicio que el cliente desea contratar, como, por ejemplo, la de envío de comunicaciones comerciales. Por esto, se debe poner en práctica una política que permita granular cada una de las finalidades para las cuales una empresa desea tratar los datos personales, otorgando el control al interesado de escoger la finalidad o finalidades que le satisfagan.
Por otro lado, puede darse la situación que alguna de las finalidades sea imprescindible para la prestación del servicio, en este caso, el responsable del tratamiento deberá indicar en la política de privacidad esta condición y que sea el interesado el que decida si prestar sus datos o no.
Otro aspecto que se destaca de este análisis, y que se debe tener en cuenta, es la información que se proporciona al interesado relativa al periodo de conservación de los datos de carácter personal, en la cual se ha detectado que no se ofrece al interesado una información clara acerca de cuánto tiempo se conservan los datos, indicando la normativa aplicable, el plazo establecido por la misma, o la información que permita al usuario calcular dicho plazo, más bien, se utilizan frase genéricas que no aportan ningún tipo de valor ni información al interesado.
Por último, también se indican los errores existentes en cuanto a la base que legitima el uso de los datos personales por parte de un responsable del tratamiento, en la que la AEPD explica el mal uso que se viene haciendo del interés legítimo por parte de las empresas para legitimar un tratamiento de datos de carácter personal. El Grupo de Trabajo del artículo 29 (GT29) ya indicó, que es necesario realizar una ponderación y un análisis detallado entre el interés del responsable de datos de carácter personal y de los derechos y libertades del interesado, con el objetivo de poder decidir si un tratamiento de datos de carácter personal puede ser legitimado por esta base, si se debe buscar otra base legitimadora o incluso puede que no sea un tratamiento lícito, y por tanto no se pueda llevar a cabo.
Por último, una vez que entre vigor la nueva legislación de protección de datos en España, quedará por analizar, las particularidades que se añadan respecto a estos puntos y cómo afectará a las empresas en sus políticas y procesos de negocio.
Autor: Sergio Moreno - PCIP, CCNA
Dpto. Consultoría
En esta labor, durante los primeros meses de vida del RGPD, es decir, desde el 25 de mayo de 2018, que es cuando es de obligado cumplimiento este reglamento, la AEPD ha analizado las políticas de privacidad de varias empresas que prestan sus servicios desde Internet, y ha recogido en una nota de prensa las incidencias y errores más comunes, ofreciendo las recomendaciones oportunas para paliarlas y, así cumplir con el RGPD.
En esta nota de prensa se destaca que, las políticas de privacidad no son concisas y no facilitan al usuario final e interesados su comprensión como se indica y exige en el RGPD; no se utiliza un lenguaje conciso y claro, y en cambio, se utilizan “expresiones ambiguas o demasiado genéricas, que no aportan información real”. Hay que recalcar que uno de los principios sobre los que se basa el reglamento es el principio de transparencia, basado en el objetivo de aportar una mayor cantidad de información al interesado, de tal modo que este conozca, antes de que proporcione cualquier tipo de dato a un tercero, de qué forma se van a tratar sus datos y los derechos y vías de reclamación de las que dispone en caso de que sea consciente o crea que sus datos no se están tratando de una forma lícita en base a los principios del reglamento.
En el análisis realizado, se hace hincapié en cómo se enumeran las finalidades para las cuales se pretenden hacer uso de los datos de los interesados, y la no opción por parte de las empresas, para que los interesados puedan dar el consentimiento de forma granulada en las finalidades que precisan. En este sentido, el objetivo que persigue el reglamento es que el interesado tenga en todo momento control de las finalidades para las cuales quiere proporcionar sus datos personales a una empresa. Una mala práctica, que se viene llevando a cabo en los últimos años, es la de aglutinar varias finalidades bajo el mismo consentimiento, cuando en ocasiones, estas finalidades no son necesarias para prestar el servicio que el cliente desea contratar, como, por ejemplo, la de envío de comunicaciones comerciales. Por esto, se debe poner en práctica una política que permita granular cada una de las finalidades para las cuales una empresa desea tratar los datos personales, otorgando el control al interesado de escoger la finalidad o finalidades que le satisfagan.
Por otro lado, puede darse la situación que alguna de las finalidades sea imprescindible para la prestación del servicio, en este caso, el responsable del tratamiento deberá indicar en la política de privacidad esta condición y que sea el interesado el que decida si prestar sus datos o no.
Otro aspecto que se destaca de este análisis, y que se debe tener en cuenta, es la información que se proporciona al interesado relativa al periodo de conservación de los datos de carácter personal, en la cual se ha detectado que no se ofrece al interesado una información clara acerca de cuánto tiempo se conservan los datos, indicando la normativa aplicable, el plazo establecido por la misma, o la información que permita al usuario calcular dicho plazo, más bien, se utilizan frase genéricas que no aportan ningún tipo de valor ni información al interesado.
Por último, también se indican los errores existentes en cuanto a la base que legitima el uso de los datos personales por parte de un responsable del tratamiento, en la que la AEPD explica el mal uso que se viene haciendo del interés legítimo por parte de las empresas para legitimar un tratamiento de datos de carácter personal. El Grupo de Trabajo del artículo 29 (GT29) ya indicó, que es necesario realizar una ponderación y un análisis detallado entre el interés del responsable de datos de carácter personal y de los derechos y libertades del interesado, con el objetivo de poder decidir si un tratamiento de datos de carácter personal puede ser legitimado por esta base, si se debe buscar otra base legitimadora o incluso puede que no sea un tratamiento lícito, y por tanto no se pueda llevar a cabo.
Por último, una vez que entre vigor la nueva legislación de protección de datos en España, quedará por analizar, las particularidades que se añadan respecto a estos puntos y cómo afectará a las empresas en sus políticas y procesos de negocio.
Autor: Sergio Moreno - PCIP, CCNA
Dpto. Consultoría