Las tres patas legales para una WEB: avisos legales, política de privacidad y directiva de cookies

– Información al lector – tiempo aproximado de lectura: 8 minutos

La II “pata” – La política de privacidad

Continuamos con nuestra filosofía matemática euclidiana para definir el plano legal de una página web publicada en Internet con la “segunda pata” de nuestro banco que la sustenta: la política de privacidad.

Este apartado se cumplimentará cuando a través de dicho medio se recaben y/o traten datos de carácter personal, pero aunque no sea un medio de tratamiento de datos personales también podrá usarse este apartado de una página web con carácter instrumental: una empresa o profesional puede publicar su política de privacidad para mostrar y difundir públicamente, a sus clientes o al público en general, cómo recaba y cómo trata los datos personales de los que va a ser responsable de su tratamiento. También es una opción muy interesante que este apartado web sirva de la “segunda capa” en las obligaciones informativas a las que está obligado tanto el responsable como el encargado de tratamiento.

Recientemente la Agencia Española de Protección de Datos ha emitido un informe sobre cómo se están difundiendo la política de privacidad en las páginas web de empresas y profesionales, y también ha creado un decálogo para una correcta adaptación al RGPD de las políticas de privacidad en Internet.

Por ello, y como reza el dicho popular, donde manda patrón …

¿Qué apartados son necesarios para una correcta política de privacidad en la web?

En la referida información proporcionada por la Agencia Española de Protección de Datos se delimitan 28 puntos básicos u obligatorios.

1. Identidad y datos de contacto del responsable y, en su caso, de su representante

Se recomienda incluirla al principio del documento o en el apartado correspondiente de privacidad, para que sea cómodo para el usuario encontrar los datos. Se debe facilitar el contacto con el responsable, como puede ser el uso de una dirección de correo electrónico.

2. Contacto del Delegado de Protección de Datos (en su caso)

Lo más adecuado para contactar con el DPD sería proporcionar una dirección de correo electrónico o habilitar un formulario electrónico.

3. Finalidades del tratamiento

Se detallarán todas las finalidades por la que los datos de los interesados serán tratados, recomendándose una extensión no extensa y agrupando por categorías las finalidades.

4. Base jurídica del tratamiento

Será válido el tratamiento cuando adopte al menos una de las siguientes medidas:

  • consentimiento
  • ejecución de contratos
  • obligación legal
  • interés vital
  • interés público
  • interés legítimo

5. Interés legítimo

Se debe detallar cuando el tratamiento se base en el interés legítimo del responsable o un tercero, la información deberá ser correcta y acertarda.

6. Destinatarios de los datos recogidos

Se informará sobre los destinatarios de los datos de personales tratados ajustándose a una extensión no extensa y agrupada por categorías

7. Intención del responsable, en su caso, de transferir datos personales a un tercer país u organización internacional y la existencia o ausencia de una decisión de adecuación de la Comisión, o referencia a las garantías adecuadas o apropiadas y a los medios para obtener una copia de estas o al hecho de que se hayan prestado

Se debe dar una información detallada cuando se realicen transferencias internacionales. No es suficiente informar de manera genérica, sino que se debe añadir si existe o no una decisión de adecuación de la Comisión al respecto, y en caso contrario, indicar las garantías que se proporcionan.

8. Información sobre el plazo durante el cual se conservarán los datos personales o los criterios utilizados para determinar ese plazo

Esta información será clara, por lo que se sugiere indicar al interesado una idea de los plazos que la legislación establece.

9. Derecho a solicitar del responsable el acceso a los datos personales relativos al interesado, y su rectificación o supresión, o la limitación de su tratamiento, o a oponerse al tratamiento, así como el derecho a la portabilidad de los datos

Es obligatorio informar a los interesados de todos estos derechos, recomendándose que dicha información se realice en un apartado aparte identificado como tal.

10. Derecho a presentar una reclamación ante la autoridad de control

Se debe informar sobre este derecho junto con los otros anteriores de los que dispone el interesado. Es recomendable que se especifique la autoridad de control junto con un enlace para su consulta.

11. Información sobre si la comunicación de datos es requisito legal o contractual, o un requisito necesario para suscribir un contrato, y si el interesado está obligado a facilitar los datos personales. En tales casos, posibles consecuencias de no facilitar tales datos

Es obligatorio informar si es por requisito legal o contractual, además de considerar si facilitar la información es un requisito o una obligación. Se añadirá las consecuencias que pueden surgir de no proporcionar los datos personales. Es recomendable que se incluya en el apartado privacidad de la web

12. Información sobre la existencia de decisiones automatizadas (incluida la elaboración de perfiles) y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado

Con respecto a la elaboración de perfiles, no es suficiente con informar que estos se realizan, sino que se debe añadir la lógica aplicada para ello, qué importancia tiene esa actividad para el interesado y las consecuencias que podría ocasionarle. Se debe distinguir claramente la finalidad para la que se realizan perfiles.

Si el tratamiento se base en el consentimiento del interesado (consentimiento informado)

13. Información sobre las categorías de datos que se recogerán y tratarán

Se indicará que categorías de datos son los que se recabaran, además se recomienda que esta información se incluya en el propio formulario en el que se solicita el consentimiento del usuario

14. Finalidad(es) para la(s) que se solicita el consentimiento

Se recomienda que esta información se proporcione en el mismo formulario en el que se solicita el consentimiento del usuario o que se facilite un resumen en este y luego se detallen las finalidades en el documento o apartado de privacidad.

15. Derecho a retirar el consentimiento en cualquier momento

Se debe informar al interesado de este derecho, facilitándoselo todo lo posible  a través de un correo electrónico o formulario electrónico. Debe ser tan fácil dar como retirar el consentimiento para el interesado.

16. Solicitud de consentimiento para cada finalidad de tratamiento

Se debe solicitar consentimiento para cada finalidad y actividad de tratamiento que no esté legitimada en otra base distinta que justifique su licitud, la información debe ser correcta y acertada.

17. Solicitud de consentimiento a través de un acto afirmativo claro (ni silencio ni casillas premarcadas)

Es obligatorio que para recabar consentimiento se facilite al usuario una casilla en blanco o un mecanismo similar, es recomendable invitar al usuario a que lea y comprenda la política de privacidad.

18. Solicitud de consentimiento que se distingue claramente de los demás asuntos

Se recomienda que el consentimiento se solicite de forma clara, en un apartado específico, además del uso de uno letra más grande o en negrita para que se diferencie.

19. Solicitud de consentimiento que no perturba innecesariamente el uso del servicio

Es recomendable que sea en un apartado específico para que no distraiga la atención del tratamiento de datos personales necesario para la ejecución de la relación que el interesado está contratando.

20. La información es concisa, transparente, de fácil acceso y con lenguaje claro y sencillo

Se recomienda que se facilite la información en un solo documento o en un mismo lugar dentro del sitio WEB, sería una buena práctica el uso de una letra promedio que facilite su lectura.

21. Se facilita la información de forma previa a la recogida de datos

Es recomendable aportar un resumen dela información más importante sobre el tratamiento de datos personales sin remitir a otros documentos o apartados mediante enlaces, de forma a que el interesado aporte su consentimiento.

22. La información se facilita en capas

Se debe aportar un modelo de información por capas, en la que en primer lugar se le presente al interesado una información básica reducida, y en un segundo plano se aporte la información detallada adicional.

23. Medio por el que se ofrece la información

Se recomienda proporcionar toda la información de datos a través de la página Web de la entidad, siendo buena práctica facilitar una dirección de correo electrónico o habilitar un formulario para solicitar más información al respecto.

Si hay nombrado un delegado de protección de datos:

24. Existencia de un Delegado de Protección de Datos

Es obligatorio en algunos casos como los contemplados en el artículo 37.1 del Reglamento 679/2016 de la figura del DPD.

25. Denominación con la que se conoce

Es recomendable la utilizada por el RGPD, ¨Delegado de Protección de Datos¨.

26. Ubicación de la figura del DPD en la página web

Es recomendable que se indique al principio de la política de privacidad la información sobre el DPD, además de que sus datos estén en un lugar accesible desde la página Web, preferentemente en el apartado ¨contacto¨.

27. Medio de contacto con el DPD

Es recomendable aportar una dirección de correo electrónico o habilitar un formulario en el sitio Web.

28. Descripción de las funciones del DPD

Se recomienda explicar las funciones del DPD y para qué casos seria de utilidad

Puedes consultar y estudiar en profundidad dicho Informe:

Este es el contenido mínimo y obligatorio, nada obsta a que se complemente con más información,  como por ejemplo la relativa a la política de tratamiento o de seguridad que mantiene el responsable del tratamiento.

También puedes tener de cabecera el Decálogo que ha elaborado la propia AEPD:

Proximamente III Directiva de cookies

 

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *