El concepto de la política de privacidad y protección de datos evoca imágenes de links minúsculos en gris en la parte inferior de las páginas o en tediosos mensajes que saltan cada vez que entras en una página web. Cada vez más, acceder a una página web se ha convertido en un proceso molesto de ir rechazando botones, por eso hoy intentaremos explicar en qué consiste la política de privacidad web, la importancia de tener una correctamente redactada, así como qué poner en la política de privacidad.
Aunque habitualmente se ignora, este documento legal es indispensable y obligatorio en la mayoría de páginas web, junto con las Condiciones Generales que regulan el servicio que se pretende prestar a través de la página web.
¿Qué quiere decir “política de privacidad”?
Una política de privacidad es un documento legal que establece las formas en que un portal recopila, trata, almacena, comparte y protege los datos de los individuos, los fines para llevarlo a cabo y los derechos de los individuos al respecto.
Hay que tener en cuenta que la protección de los datos personales de los usuarios son un derecho fundamental reconocido en los artículos 18.4 de la Constitución española, artículo 8.1 de la Carta de los Derechos Fundamentales de la Unión Europea y el 16.1 del Tratado de Funcionamiento de la Unión Europea.
En determinadas ocasiones existe la interpretación errónea de que el aviso legal y la política de privacidad es un mismo documento, pero esto no es así. El aviso legal regula la propiedad de la página, así como los derechos y obligaciones que tus usuarios pueden tener mientras estén navegando por esta. También establece las condiciones de la propiedad intelectual que se encuentre alojada en la página, reservándose como se trata la información personal para la política de privacidad sobre los datos personales.
Dicho esto, ¿qué función tiene la política de privacidad?
Todos los websites interactúan y recogen datos sobre tus visitantes de una u otra forma. Esto es aún más aplicable en el caso de un e-commerce, plataformas o cualquier otro sitio web que interactúe con potenciales usuarios, ya sea porque se ofrece un producto o un servicio, y se requiere recopilar cierta información personal.
¿Cómo hacer en tu empresa el aviso de privacidad?
En Internet encontrarás numerosas ofertas gratuitas para ayudarte a crear la política de protección de datos de tu página web. Existen plantillas preparadas para la declaración general sobre la recogida y protección de datos de los usuarios, así como para categorías especiales como las redes sociales (Facebook, Twitter, etc.), las cookies, los formularios de contacto o el envío de boletines.
Además algunos sitios web ofrecen generadores gratuitos de políticas de privacidad que combinan los textos de muestra requeridos y los ponen en la forma final. El resultado suele estar disponible tanto en forma de texto como de código HTML.
¿Es una buena idea utilizar generadores online de políticas de privacidad?
Las plantillas y los generadores ofrecen una buena oportunidad para redactar la política de privacidad del sitio web. Sin embargo, no hay que confiar ciegamente en el resultado. Aunque las plantillas son la base, a menudo hay que modificarlas y completarlas individualmente. Si no estás seguro de si tu política se adapta al modelo de negocio de tu empresa, siempre es aconsejable buscar asesoramiento adicional de un experto legal, especialmente si recabamos datos personales de manera masiva, o a través de plataformas online tipo SaaS, es recomendable que consulte con un experto debido a las grandes implicaciones que puede tener para tu compañía.
En todo caso, si decides utilizar una plantilla descargada de alguna página de internet te recomendamos que realices una revisión en profundidad de todas sus cláusulas, especialmente aquellas que indiquen cómo se obtienen y almacenan los datos personales, haciendo cuantos cambios sean necesarios para que se adapten a tu realidad.
También es necesario destacar que la información que incluyas debe ser transparente, fácilmente comprensible, completa y actualizada. El reglamento establece que la política de privacidad debe ser redactada teniendo en cuenta el lenguaje utilizado por tu potencial cliente, por tanto, en caso de que tus usuarios sean menores de edad, te recomiendo que revises el lenguaje y no incluyas ninguna terminología muy técnica.
¿Cuáles son las consecuencias del incumplimiento del reglamento?
El incumplimiento de los requisitos reglamentarios puede dar lugar a fuertes multas según el artículo 83, que van desde 10 millones de euros como máximo o, tratándose de una empresa, de una cuantía equivalente al 2 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior hasta 20 millones de euros o 4% en caso de sanciones muy graves.
¿Me aplica la normativa si mi empresa está establecida fuera de la Unión Europea?
Esta normativa se aplica a todas las organizaciones (incluidas las sin ánimo de lucro) que acceden a datos u ofrecen bienes o servicios a personas en la UE.
Esto significa que el RGPD se aplica tanto si tu organización está localizada en la UE como si no. Pero, ¿qué es el RGPD? El Reglamento General de Protección de Datos es el reglamento europeo relativo a la protección de las personas físicas en lo que respecta al tratamiento de tus datos personales y a la libre circulación de estos datos.
No solo es fundamental una política de privacidad para asegurar el cumplimiento de los requisitos legales y mantener la confianza de los usuarios, sino que muchas apps y servicios de terceros la requieren para poder utilizar sus herramientas.
Un caso claro que sirve como ejemplo es Google. Para entrar a determinados servicios y utilidades (por ejemplo, AdSense, Google Analytics, etc.), Google solicita que el usuario disponga de una política de privacidad completa y actualizada en su página web.
Aquí un extracto de las condiciones de uso de Google Analytics:
«Debe publicar una política de privacidad y esa política de privacidad debe informar del uso que hace de las cookies que se utilizan para recopilar datos de tráfico, y no debe eludir ninguna función de privacidad (por ejemplo, una opción de exclusión) que forme parte del Servicio».
El RGPD detalla cómo tienen que recogerse, usarse y protegerse los datos de los individuos o cómo hay que interactuar con ellos.
En el contexto del RGPD, los datos personales se refieren a cualquier dato relacionado con una persona viva identificada o identificable. Esto incluye piezas de información que, cuando se reúnen, tienen la posibilidad de conducir a la identificación de un individuo .
Como se dijo previamente antes en este artículo, hay multas muy fuertes por el incumplimiento, por lo cual es importante estar listo.
Dentro de la política debes identificar aquellos casos donde un tercero puede tener acceso a los datos personales ya sea mediante apps de terceros, widgets, botones sociales, integraciones de servicios de publicidad , etc.
La política de privacidad debe ser fácilmente accesible y como mencionado anteriormente no puede usar un lenguaje excesivamente difícil o indescifrable (sin jerga legal e innecesaria).
La normativa de la UE establece explícitamente que hay que conseguir el consentimiento activo y verificable de los individuos ANTES de recoger tus datos personales. El consentimiento necesita un opt-in positivo. No debes utilizar casillas premarcadas o procedimientos semejantes de consentimiento por defecto predeterminado.
¿Cuáles son los derechos de protección de datos?
El Reglamento General de Protección de Datos hace que la protección de datos en los países de la UE sea más transparente, comprensible y segura.
Todos los usuarios de los que se recogen datos personales tienen una serie de derechos, también conocidos como derechos del interesado. Por ejemplo, el derecho de acceso (artículo 15 del RGPD) otorga el derecho a obtener información detallada sobre los fines del tratamiento, los posibles destinatarios, el período de almacenamiento y el origen. Además, los usuarios tienen, entre otras cosas, el derecho de rectificación (artículo 16 del RGPD) y -bajo ciertas condiciones- el derecho de supresión (artículo 17 del RGPD) de los datos personales.
¿Cuando se vulnera la protección de datos?
Existen muchas maneras de vulnerar la Ley de Protección de Datos pero las principales son por filtración de los datos personales, la pérdida o la alteración de los mismos.
También se produce de manera muy recurrente la vulneración sobre la protección de datos cuando un tercero no autorizado accede a los datos personales alojados en tu sistema.
Por último, no permitir que tus usuarios procedan a ejercer cualquiera de tus derechos (como son los de acceso, rectificación, supresión, limitación, portabilidad y oposición al tratamiento), podría considerarse como una infracción.
Cabe señalar, además, que se considera una vulneración de datos tanto si ésta se produce por negligencia, es decir, fruto de un descuido o como consecuencia de un engaño o ciberataque, como si produce de forma deliberada, porque el responsable del tratamiento cede datos a terceros sin el consentimiento y conocimiento de los interesados o recaba o trata datos personales sin el consentimiento del interesado o cualquier otra razón legitimadora (de las reconocidas en el artículo 6 del RGPD).
¿Cuáles son las funciones de la AEPD?
La Agencia Española de Protección de Datos -más conocida por sus siglas AEPD– es el organismo encargado de velar por el derecho de protección de datos en España.
Las funciones principales de la AEPD:
- Potestad regulatoria, como establece la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales y a través de las circulares que periódicamente se publican con el objeto de regular un escenario no contemplado expresamente por el reglamento.
- Realizar auditorías preventivas a un determinado sector de actividad a efectos de dictar las directrices aplicables en ese sentido, siguiendo lo dispuesto por el artículo 54 de la LOPD GDD.
- Potestad sancionadora, o, dicho con otras palabras, actuar ante denuncias recibidas por incumplimientos de la normativa de protección de datos, bien sea el Reglamento Europeo de Protección de datos, bien la LOPD GDD.
¿Qué pasa si almaceno los datos personales fuera de la Unión Europa?
Si almacena datos personales en servidores de fuera de la Unión Europa, debe indicarlo en la declaración de protección de datos de tu sitio web, incluyendo una referencia a posibles normativas de protección de datos diferentes que puedan ser de aplicación en la jurisdicción donde se almacenan los datos.
¿Tengo que avisar si realizó decisiones automatizadas con los datos personales de mis usuarios?
Si tomas decisiones automatizadas, incluida la elaboración de perfiles, estás obligado a proporcionar información significativa sobre la lógica subyacente, esto significa, en qué basas para realizar la decisión automática, algoritmo, cálculo o características que hace que el sistema realice esas actuaciones. El punto principal es que indiques los efectos deseados y el alcance que dichos procesos de tratamiento de datos tienen sobre el interesado. El trasfondo es que, en principio, tus usuarios tienen derecho a «no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles» (artículo 22 del GDPR). Sin embargo, este derecho no se aplica si el procedimiento automatizado correspondiente es necesario para la celebración o ejecución del contrato, está permitido por las disposiciones legales de la UE y sus Estados miembros o se lleva a cabo con el consentimiento explícito del interesado.
Puntos más importantes:
- Si en tu sitio web tratas datos personales, estás obligado a mantener un política de privacidad en tu sitio web que explique cómo lo haces
- Cuando prepares la política de privacidad debes tener en cuenta las regulaciones aplicables a la región donde hagas negocio, así como la de tus potenciales usuarios
- El incumplimiento de la normativa puede acarrear graves sanciones en forma de multa que afecten a la viabilidad de tu empresa
- Aunque no existe ningún impedimento a que prepares tu propia plantilla o te descargues una de las tantas existentes en internet, es recomendable que esta sea revisada por un experto dado que dependiendo de tu modelo de negocio puede que no estés cubierto. Más si cabe en caso de que utilices algún sistema SaaS provisto por un tercero
- La política de privacidad debe ser expresamente aceptada por tus potenciales usuarios, de ahí que la ubicación más recomendable sea en forma de código en tu sitio web, enlazando a través de un botón que sea claro, destacado y accesible.
En general, una política de privacidad es una parte vital del marco legal de cualquier sitio web y no debe subestimarse. En Mylegalinbox tenemos experiencia asesorando a empresas multinacionales en las implicaciones que tiene la recogida de datos personales en múltiples jurisdicciones a través de plataformas online. Te podemos ayudar a preparar una política de privacidad clara para proteger tu empresa.