Cambios en las Políticas de Privacidad de las páginas web

La entrada en vigor del Reglamento Europeo de Protección de Datos va a suponer a las empresas realizar muchos cambios en cuanto al tratamiento de los datos personales de sus clientes.

Uno de los cambios más llamativos o más visuales es el que van a sufrir las Políticas de Privacidad de las páginas web ya que, el Reglamento Europeo de Protección de Datos exige que el deber de información hacía el titular de los datos sea mucho más completo. De forma que, las empresas deberán cambiar sus cláusulas de protección de datos en los formularios de recogida de datos personales, las políticas de privacidad web, así como, como cualquier otro documento o medio donde se recojan datos personales.

¿Qué información deberá añadirse en las Políticas de Privacidad web?

Hasta la fecha, la Ley Orgánica de Protección Datos de Carácter Personal establecía que en el momento de recoger los datos personales de una persona física se le debía informar de los siguientes extremos (artículo 5):

a) De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.

b) Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.

c) De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.

d) De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.

e) De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.

Sin embargo con la entrada en vigor del Reglamento General de Protección de Datos, de obligado cumplimiento a partir del 25 de mayo de 2018, el deber de informar se vuelve más exigente y además de lo anterior, se exige informar al titular de los datos personales sobre los siguientes extremos (artículos 13 y 14):

  • Los datos de contacto del Delegado de Protección de Datos (si la empresa dispone de uno)
  • La base jurídica o legitimación para poder tratar los datos personales.
  • El plazo o los criterios de conservación de la información.
  • La existencia de decisiones automatizadas o elaboración de perfiles.
  • La previsión de transferencias a terceros países fuera de la Unión Europea.
  • El derecho a presentar una reclamación ante las Autoridades de Control. En España, ante la Agencia Española de Datos.
  • El origen y las categorías de los datos si estos no se hubiesen obtenido del propio interesado.

Dicha información deberá ofrecerse al afectado de forma clara, transparente, sencilla y de fácil lectura, evitando en todo momento palabras complejas o un vocabulario técnico.

¿Cómo debe darse esta información al titular de los datos?

A este respecto se ha pronunciado la Agencia Española de Protección de Datos quien ha publicado una guía sobre la cláusula de información. En ella explica los cambios que se han producido en el deber de información con la aprobación del Reglamento General de Protección de Datos y hace una serie de recomendaciones sobre cómo debe ejercerse el deber de información sobre el tratamiento de los datos personales del afectado.

Así, la Agencia Española de Protección de Datos recomienda que el deber de información se realice por capas.

En una primera capa, en el propio formulario de contacto donde el usuario vaya a introducir sus datos, deberá aparecer un cuadro (la recomendación de la Agencia es que sea un cuadro similar al que se presenta cuando se ofrece información nutricional) que como mínimo deberá contener la siguiente información básica:

  • Nombre del responsable.
  • Finalidad del tratamiento.
  • Legitimación para tratar los datos personales.
  • Destinatarios.
  • Derechos.
  • Y dónde obtener más información (la segunda capa).

De esta forma y siempre que sea posible, ya no valdrá con poner un check list en el formulario web con el «he leído y acepto la Política de Privacidad de este sitio web«. Hay una información mínima que el usuario debe tener a la vista antes de enviar el formulario, sin que para ello sea necesario que acceda a ningún enlace.

En la segunda capa es donde se le ofrecerá al titular de los datos la información adicional, es decir, se completará la información básica facilitada en el cuadro. Esta segunda capa si puede ser accesible a través de un enlace y deberá ser de fácil acceso, legible, clara y sencilla.