La AEPD publica un informe sobre la adaptación al Reglamento General de Protección de Datos de las políticas de privacidad online

 

19-10-2018 — AR/2018/074

El informe de la AEPD, “Políticas de privacidad en Internet. Adaptación al RGPD”, intenta sensibilizar sobre el cumplimiento del Reglamento General de Protección de Datos (RGPD), y recomienda, para cumplir con la normativa, determinadas obligaciones sobre el contenido que debe incluir la política de privacidad y la forma en la que debe informarse a los usuarios.

La Agencia Española de Protección de Datos (AEPD) publicó, el 17-10-2018, el informe “Políticas de privacidad en Internet. Adaptación al RGPD”.

La AEPD ha revisado de oficio los principales portales web de empresas de los sectores: hotelero, de transporte, comercio electrónico y seguros. Esta actuación tiene como finalidad sensibilizar sobre el cumplimiento del Reglamento General de Protección de Datos (RGPD), y deja patente el interés de la AEPD en que los portales web se adecuen a la norma. Así mismo, supone una clara llamada de atención a todas las empresas que recaban datos personales vía web.

Como resultado de este análisis, la AEPD destaca que las políticas de privacidad estudiadas presentaban una falta de legibilidad y de precisión elevada, cuestiones relevantes que chocan con el deber de información al que están sometidos los responsables del tratamiento.

Por ello, la AEPD facilita las siguientes recomendaciones para cumplir con la normativa: 

¿Qué contenido debe incluir la política de privacidad?

  • Identidad y datos de contacto del responsable, y en su caso, de su representante, y del delegado de protección de datos (DPO).
  • Finalidades del tratamiento y su base jurídica: indicar la base jurídica legitimadora para cada uno de los tratamientos. Cuando se trata del “interés legítimo”, debe indicarse cuál es. Además sería recomendable agrupar las finalidades por categorías en vez de enumerarlas extensamente.
  • Consentimiento: hay que solicitarlo para cada finalidad del tratamiento, a través de un acto afirmativo claro (no es válido el consentimiento tácito y las casillas premarcadas).
  • Plazo de conservación de los datos: se sugiere indicar, al menos, un plazo aproximado o los criterios para determinarlo.
  • Derechos de los interesados y cómo ejercerlos: es recomendable que dicha información aparezca en un apartado aparte para mayor visibilidad. También es importante garantizar la efectividad de estos derechos facilitando un e-mail o un formulario online.
  • Destinatarios de los datos recogidos: se aconseja agruparlos por categoría. Si no se ceden los datos, se considera una buena práctica informar sobre ese aspecto.
  • Información sobre si los datos recogidos son obligatorios: ¿la comunicación de datos es un requisito necesario para suscribir un contrato? ¿o el interesado está obligado por ley a facilitar los datos personales? En tales casos, hay que indicar las posibles consecuencias de no facilitar los datos.
  • Información sobre de decisiones automatizadas: es importante precisar la lógica aplicada, por qué es un tratamiento necesario y sus consecuencias para el interesado.
  • Información sobre las transferencias internacionales de datos: no se puede informar de manera genérica sobre estas. Hay que especificar la base legitimadora de dicha transferencia internacional (decisión de adecuación de la Comisión, garantías adecuadas enumerándolas así como su procedimiento para obtener una copia de éstas o de que se prestaron, etc.).

¿Cómo informar a los usuarios?

La forma en la que se facilita esta información deberá ser la siguiente:

  • Información concisa, transparente, de fácil acceso y con lenguaje claro y sencillo.
  • La información deberá facilitarse de forma previa a la recogida de datos.
  • Se deberá adoptar un modelo de información por capas.