El deber de informar en el RGPD

En el artículo de la semana pasada, donde hacía una revisión básica pero extendida del RGPD, pasé por alto algunos de los cambios que implica el nuevo Reglamento. Y fue a propósito: merecían un post propio.

Así que hoy estoy aquí con el primero de ellos, en el que trataremos el deber de informar; uno de los deberes ampliados en el Reglamento General de Protección de Datos (RGPD) que te va a dar más de un quebradero de cabeza si tienes presencia en el mundo del marketing digital.

 

¿Qué es el deber de informar?

El deber de informar es la obligación que tienen las entidades que recaban datos personales de proveer de información suficiente a sus usuarios sobre cómo va a ser el tratamiento de esos datos.

El derecho de los usuarios de ser informados se desarrolla principalmente en los artículos 13 y 14 del Reglamento. Estos artículos detallan qué información se deberá facilitar a los interesados cuando los datos personales se obtengan de ellos mismos, y cuando no.

Claro, quizá te estás preguntando si existe posibilidad de que los datos personales no procedan de las personas mismas a quienes competen. Pues no, existen dos posibilidades más para haber obtenido datos personales (legales, al menos): las fuentes públicas, y las cesiones legítimas. Pero eso, quizá, sea materia de otro artículo.

Por ahora quédate con lo importante: todas aquellas personas de las que obtengas datos personales deben estar adecuadamente informadas.

 

El sistema de información por capas

La Agencia Española de Protección de Datos ha elaborado una guía para el cumplimiento del deber de informar en la que se establece un sistema de información por capas. Es probable que te suene un poco a chino la primera vez que lo leas, pero no te preocupes, porque es una cuestión muy sencilla.

Básicamente, la Agencia habla de capas en el sentido de niveles o momentos; a la hora de informar a los interesados habrá dos capas, niveles o momentos:

  • Nivel básico (primera capa)
  • Nivel ampliado (segunda capa)

Con esta terminología la Agencia recomienda que la información que se dé a los interesados sea de carácter básico en un primer momento (es decir, de primera capa), y que se les ofrezca la posibilidad de ampliar fácilmente esa información (segunda capa).

Por todo esto, la forma más sencilla de informar a los interesados (clientes, proveedores, usuarios de tu web, trabajadores) es elaborar una política de privacidad accesible y visible en tu web que incluya la información exigible de ambos niveles, aunque especialmente la segunda capa.

Pero esto no será todo.

 

¿Cuándo se debe informar?

A la hora de informar a los interesados, se debe tener en cuenta todo aquel mecanismo a través del cual se recaban datos personales. Esto implica, por supuesto, la vía telefónica cuando una clínica de estética obtiene el nombre y apellidos de un cliente, por ejemplo, o cuando realizamos una entrevista de selección por este medio.

Pero también abarca, evidentemente, todo sistema de obtención de datos personales en el mundo online, incluyendo formularios de suscripción y formularios de contacto. Si tienes alguno de estos en tu web o blog, prepárate para cambiarlos: la dirección de correo electrónico es un dato tan personal como la dirección postal.

Según la guía de la Agencia, la información de primera capa (la información básica) debe estar siempre visible a la hora de rellenar el formulario. De hecho, se recomienda que esté colocada cerca del botón de enviar, para que nos aseguremos de que nuestros usuarios web tienen fácil el estar informados: es decir, que cumplimos en condiciones nuestro deber de informar.

Por cierto, por si no lo recuerdas, en el artículo básico sobre el RGPD hablé del consentimiento que se requiere para diversas acciones. Pues bien, resulta que, derivado del consentimiento estándar del RGPD, el consentimiento inequívoco, cada formulario debe estar basado en una acción clara, así que no es suficiente con la frase “doy mi consentimiento”.

Y resulta que, para mandar emails sobre contenido no solicitado a nuestros suscriptores, también se necesita un consentimiento no solo inequívoco, sino explícito. Pero esto, como ya habrás adivinado, también es materia para otro artículo.

Deber de informar por capas

Deber de informar por capas

El deber de informar: primera capa

En la información básica que debes proveer en cada situación en que recabes datos personales (sí, por teléfono también, si se diera el caso), siempre con un lenguaje claro y sencillo, debes incluir la siguiente:

  • El título “información básica sobre protección de datos
  • La legitimación que fundamenta la recogida de esos datos: el consentimiento del interesado, la ejecución de un contrato, el cumplimiento de una obligación legal o el interés legítimo del Responsable del Tratamiento (quien decide sobre la finalidad y tratamiento de los datos) o un tercero.
  • Los destinatarios a los que se pueden ceder los datos personales (ojo, porque habrá que tener unos preciosos contratos firmados con ellos, y ellos deberán estar adaptados obligatoriamente al RGPD, siendo capaces de demostrarlo).
  • Los derechos que tienen los interesados en materia de protección de datos: acceso, rectificación, supresión, oposición, limitación del tratamiento, portabilidad de los datos y derecho a no ser objeto de decisiones individuales automatizadas (incluyendo el establecimiento de perfiles, a.k.a. envíos masivos de correo electrónico, por ejemplo). También tienen derecho a retirar el consentimiento y a presentar una reclamación ante la Agencia Española de Protección de Datos (o la autoridad de control correspondiente)
  • Cómo acceder a la información adicional, es decir, la segunda capa.

 

Pongamos un ejemplo de primera capa

Si estamos hablando de un formulario de contacto o suscripción en un blog, la legitimación será el propio consentimiento del usuario, cuando se obtenga de una clara acción afirmativa (adiós, casillas premarcadas, ha sido un placer).

Si eres tú quien gestiona la información personal al 100% y no se entrega a nadie más salvo obligación legal (no subcontratas la newsletter con un freelance, por ejemplo), entonces deberás indicar que no cederás los datos a terceros.

En la primera capa, con que hagas referencia a los antiguos derechos ARCO, ahora ARSO (porque el de cancelación se denomina supresión), será suficiente, pero deberás poner un enlace al apartado de la política de privacidad donde se desarrolla esa información.

Al tratarse de datos más o menos concisos, la Agencia recomienda que se presenten en forma de tabla, mientras lo permita el diseño. Esto es una recomendación, no una obligación, así que quizá te interese más tenerlo redactado al pie del formulario, pero utilizar en este formato al inicio de tu política de privacidad.

Aquí tienes un ejemplo de cómo debería constituirse la primera capa:

 

INFORMACIÓN BÁSICA SOBRE PROTECCIÓN DE DATOS

Responsable del Tratamiento Fulanita Fernández – (info)
Finalidad Gestión personal de la newsletter de www.estaesmiweb.com – (info)
Legitimación Consentimiento inequívoco y explícito de los interesados – (info)
Destinatarios No se cederán datos personales a ninguna entidad – (info)
Derechos Los interesados tendrán derechos reconocidos por el Reglamento General de Protección de Datos: acceso, rectificación, supresión y oposición, así como otros derechos – (info)
Información adicional Puede encontrar más información en la página web de la Agencia Española de Protección de Datos (www.aepd.es) y la política de privacidad de este sitio web en (www.estaesmiweb.com/privacidad)

 

El deber de informar: segunda capa

La información adicional o de segunda capa debe desarrollar completamente la información básica que comprende la primera capa. Podrá entregarse a los usuarios en el reverso de una hoja donde se presente la primera capa, o podrá comunicarse telefónicamente si así lo desea el interesado.

Pero, sobre todo, debe ser accesible por los usuarios de una web, dado que las cookies recaban información personal incluso aunque no se registren en nuestro boletín. De ahí la incesante recomendación de elaborar una política de privacidad que cumpla con los requisitos del deber de informar en protección de datos.

La información de segunda capa debe estar también caracterizada por la sencillez y la claridad, además de seguir una estructura inteligible. De hecho, lo mejor desde el punto de vista de la Guía para cumplir con el deber de informar es hacerlo en una estructura de preguntas y respuestas.

Como seguramente ya te imagines, esta información debe ser concisa, precisa y comprensible.

 

Contenido de la segunda capa

La segunda capa o información adicional debe concretar como mínimo lo siguiente, aunque no se penalizará que se incluyan más datos relevantes para los interesados:

  • Identidad completa del Responsable y del Delegado de Protección de Datos, si existiera. Es recomendable incluir una dirección postal y otra electrónica, que preferiblemente nos lleve a una forma de contacto.
  • Las características concretas de la finalidad: que los datos siguen el principio de minimización, por el cual se recaban para fines determinados, explícitos y legítimos y son los datos necesarios para el cumplimiento de dichos fines.
  • Si los datos serán objeto de decisiones individuales automatizadas. Si lo fueran, se debe incluir una descripción de la lógica que sigue al aplicarse dichas decisiones, así como la importancia y las consecuencias para el interesado.
  • Indicar ciertas cuestiones respecto de la legitimación (páginas 11 y 12 de la guía de la Agencia sobre el deber de informar)
  • Detalles de los destinatarios. Si tuviera lugar una transferencia a un destinatario fuera de la UE, habría que indicarlo también (y se necesitaría asimismo consentimiento explícito)
  • Una relación de las causas y situaciones en las que ejercer cada derecho.
  • Detalles sobre la procedencia de los datos, cuando el origen no fuera el interesado.

Como ves, se trata de una información que excede bastante las cuatro o cinco líneas que muchos sitios tienen como política de privacidad o de protección de datos.

 

A partir de ahora…

… así es como va a funcionar, en principio, el deber de informar. Después de dos años de plazo la Agencia Española de Protección de Datos dice que no va a haber prórroga de ningún tipo, y que hay que ponerse las pilas pero ya.

De todas formas, no te asustes. No es nada imposible, y si te informas bien seguro que puedes implementar los cambios poco a poco. Y si sigues esta hoja de ruta que ha preparado la Agencia, te será aún más fácil. A fin de cuentas, aún queda poco más de un mes.

Mientras, si quieres conocer un ejemplo de política de privacidad bien elaborada, adaptada al RGPD y aplicada al mundo de los blogs y las webs, puedes echar un vistazo a esto de Marina Brocca (LEXBlogger) en Somechat.

 

En fin, espero haberte sido de ayuda. Aunque, como siempre, a partir de ahora, la decisión es tuya: ¿qué más quieres que te cuente sobre la nueva protección de datos?

Añadir comentario

Your email address will not be published. Required fields are marked *

A %d blogueros les gusta esto: