@
966 526 021
caen
Blog

La responsabilidad online: Primera entrega

La Política de Privacidad: El principio de transparencia o deber de informar

 

Como recordaréis de nuestra anterior entrega, el principio de transparencia es la obligación legal de incluir en nuestro sitio web la información sobre qué se hace con los datos de los usuarios que lo visitan, y debemos hacerlo de forma pública, accesible y gratuita.

A continuación explicaremos cómo cumplir con este deber desde tres flancos: el qué, el dónde y el cómo.

 

El qué

 

En el siguiente listado detallaremos (incluyendo ejemplos) todos los puntos que se deben abarcar para cumplir con esta obligación:

  • Pequeña introducción del porqué se dan estos datos. Recordemos que es una obligación legal, por lo tanto se debe mencionar en este caso la LOPD* y la RGPD** para justificar este punto. Y también se puede incluir un listado de la información que se va a detallar.
  • Los datos identificativos del responsable del tratamiento, es decir, de la empresa o su representante. Por ejemplo:

  • Datos de contacto del Delegado de Protección de Datos, si fuese necesario tener uno asignado (esto depende del tipo de empresa).
  • Finalidad, legitimación y conservación de cada uno de los medios por los que se obtengan datos. Por ejemplo si sólo dispone de un formulario de contacto, únicamente será necesario que informe sobre estos tres aspectos con relación a él, una especie de 3x1 informativo.

    • Finalidad: Para qué se van a usar esos datos recogidos.

    • Legitimación: En base a qué puedo recoger esos datos (todos los posibles se detallan en la artículo 6 del RGPD).

    • Conservación: Es el periodo durante el cual los datos van a ser conservados.

    • Un ejemplo para un formulario de contacto podría ser:

Ejemplo datos formulario de contacto

  • Las consecuencias de no dar los datos personales. Aunque relacionado con el punto anterior, no será necesario incluirlo para cada medio de obtención de datos, bastará con mencionarlo de forma general. Por ejemplo si se da un nombre o correo falso, la finalidad de contactar y ofrecer información sobre sus servicios no podrá cumplirse; y si los datos fuesen necesarios a nivel legal o contractual, por ejemplo en un proceso de compra, se informará de que si no se dan los adecuados no se realizará la compra y/o envío. Otro punto a mencionar es la necesidad de indicar qué datos son obligatorios para cumplir con la finalidad del medio utilizado para la recopilación de datos, por ejemplo con un asterisco o remarcados con colores.

  • El destinatario de los datos recogidos. Generalmente será la propia empresa, y así deberá mencionarlo, pero si cediese los datos a un tercero deberá especificarlo e incluir enlaces a las Políticas de privacidad de estos. Un claro ejemplo son los botones de “Me gusta” o “Compartir” de redes sociales, que conllevarán por tanto la obligación de incluir los mencionados enlaces.

  • La existencia de procesos automatizados de recogida de datos y elaboración de perfiles. Lo más común es que con las cookies se recabe información de este modo, por lo que será necesario indicarlo y añadir un enlace a la Política de cookies (más información en próximas entregas).

  • Los derechos del usuario: Información sobre cuáles son y cómo ejercerlos. Estos son los de acceso, rectificación, cancelación y oposición, y el de presentar una reclamación a la autoridad de control (en España es la Agencia Española de Protección de Datos). Aquí se refiere, respectivamente, al derecho del usuario a poder acceder a los datos recogidos, a poder modificarlos o corregirlos, a que se eliminen, a oponerse a que el Responsable los tenga (capítulo III del RGPD), y a reclamar ante el incumplimiento de sus derechos.

Recordando siempre que esta información debe ser sencilla de entender para cualquier usuario, concisa en su contenido y de fácil acceso (artículos del 12 al 15 del RGPD). Esto nos lleva al dónde y cómo incluirla.

 

El dónde

 

Lo más sencillo y adecuado, y además cumple con la fácil puesta a disposición, es incluir un enlace al pie de página a una página concreta y en esta incluir toda la información. El RGPD no dice nada al respecto, por lo que se puede mostrar de otra forma o permitiendo descargar un documento con esta, pero esto complica el proceso de información y consentimiento de la recopilación de datos (para más información puedes consultar la normativa o acudir a la página de la Agencia Española de Protección de Datos).

 

El cómo

 

Respecto al cómo, la forma recomendada es dividirlo en pequeños grupos de información (uno por cada punto mencionado por ejemplo), mediante listas, tablas, etc., haciéndola concisa y entendible (artículo 12.1 del RGPD). Además, de este modo, es fácilmente demostrable que cumplimos con la normativa (recordemos las sanciones si no lo hacemos). 

Otro punto a tener en cuenta es el lenguaje utilizado, pues si se excede el uso de vocabulario legal, expresiones ambiguas, detalles innecesarios, o tecnicismos; el deber de informar no se cumplirá, pues aunque se esté incluyendo la información esta no llega al usuario.

Pero, siempre hay uno lo siento, hay cierta información que se debe incluir en la llamada primera capa, pues todo lo anterior (ya sea en la Política de privacidad u otro medio) es la segunda capa, ya que no es visible directamente en el medio que obtiene los datos. Así pues, la primera capa es aquella información directamente visible en cada medio de obtención de datos.

Ahora os estaréis preguntado: ¿capas, qué capas?, ¿ahora esto va de héroes? Bromas aparte, este es un tema tan importante y tan interesante que lo dejaremos para la siguiente entrega. Y así de paso os damos tiempo de digerir toda la información de esta primera entrega.

Y hasta aquí la verdadera primera entrega de los fascinantes fascículos sobre la responsabilidad online. Si os habéis quedado con ganas de saber más sobre las capas, no os perdáis nuestra próxima entrada.

 

**LOPD / LOPDGDD: Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

***RGPD: Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).

Compartir: