Cómo tener una web legal II: Política de Privacidad

Lo prometido es deuda, así que hoy toca la segunda entrega para descubrir los entresijos del Reglamento General de Protección de Datos (RGPD) en nuestro camino para tener una web legal. Hoy vamos a hablar de la Política de Privacidad de una web.

Por si te lo has perdido, estas últimas semanas hemos estado hablando de los básicos del RGPD, de cómo funciona el deber de informar de las entidades que recaban datos personales y de la importancia de adaptar tus formularios web, primer paso para tener una web legal.

 

¿Qué es la Política de Privacidad?

Cuando hablábamos del derecho de los interesados a estar informados sobre las condiciones en las que se tratan sus datos personales mencionábamos también las recomendaciones de la Agencia Española de Protección de Datos, concretadas en la Guía para el cumplimiento del deber de informar.

Entre estas recomendaciones se encuentra el sistema de información por capas, un procedimiento que clasifica la información que se debe aportar a los interesados en dos capas, momentos o niveles: una primera capa o momento con la información básica y otra segunda capa o momento como nivel ampliado.

Como vimos, la información básica que se debe detallar antes de la recogida de los datos personales en nuestra web -es decir, en todos nuestros formularios de contacto, suscripción o comentarios- es esta que sigue:

INFORMACIÓN BÁSICA SOBRE PROTECCIÓN DE DATOS
Responsable del Tratamiento Fulanita Fernández – (info)
Finalidad Gestión personal de la newsletter de www.estaesmiweb.com – (info)
Legitimación Consentimiento inequívoco y explícito de los interesados – (info)
Destinatarios No se cederán datos personales a ninguna entidad – (info)
Derechos Los interesados tendrán derechos reconocidos por el Reglamento General de Protección de Datos: acceso, rectificación, supresión y oposición, así como otros derechos – (info)
Información adicional Puede encontrar más información en la página web de la Agencia Española de Protección de Datos (www.aepd.es) y la política de privacidad de este sitio web en (www.estaesmiweb.com/politica-de-privacidad)

 

En cambio, el contenido de la información ampliada o adicional que constituye la segunda capa excede evidentemente el de la información básica, y además presenta ciertas particularidades.

 

La Política de Privacidad

La respuesta corta a cuál es el contenido de una Política de Privacidad de una web o blog es que debe contener la información básica ampliada. Y, aunque parezca mentira, la respuesta corta es, en esta ocasión, también correcta.

La Política de Privacidad debe incluir la información básica con mayor detalle, es decir, debe contener a la primera capa para estar realmente completa. Por esta razón, puede ser que te resulte más sencillo elaborar antes la Política de Privacidad y luego simplificar tu primera capa.

La forma en que prepares la información queda a tu elección, pero es muy posible que la primera vez que un usuario de tu web se tope con un ejemplo evidente de tu política de protección de datos en su navegación sea en cualesquiera formularios -por esta razón esa fue la primera entrega sobre cómo tener un formulario legal.

Formulario contacto noemicarro.es zoom

Formulario contacto noemicarro.es

Siendo realistas, y convencida como estoy de que eso debería cambiar, muy pocas personas leen las condiciones de uso de las licencias de software, como muy pocas personas leen los avisos legales y las Políticas de Privacidad de las webs, salvo que, como yo, se dediquen a ello o tengan una gran curiosidad -oye, todo puede pasar-.

Quizá con el nuevo RGPD esto empiece a ser distinto, teniendo en cuenta que el lenguaje de las nuevas Políticas de Privacidad debe ser siempre “claro, conciso y comprensible” y que la información se debe presentar de forma estructurada, precisa y para nada salpicada de jerga legal. Iremos viendo.

 

¿Qué información debe contener la Política de Privacidad?

En la elaboración de tu Política de Privacidad, recuerda que puedes presentar información más allá de la que se recomienda en la Guía de la Agencia. Ahora bien, el RGPD exige la siguiente:

 

El Responsable del Tratamiento

Se debe incluir la identidad del Responsable del Tratamiento, pero además se debe incluir la identidad de un contacto responsable, y si fuera preciso, de su representante. Si en nuestra empresa existiera un Delegado de Protección de Datos, es aquí donde se debe facilitar su identidad.

Además, la información del Responsable del Tratamiento debe completarse con una dirección postal localizada y, si fuera posible, también electrónica.

 

La Finalidad del Tratamiento

Como vimos en el artículo sobre los formularios, en cada formulario se debe especificar la finalidad del tratamiento de datos personales: gestionar la suscripción, responder a las consultas de contacto o gestionar los comentarios, en el caso de noemicarro.es.

En este epígrafe se debe incluir también el plazo durante el cual se conservarán los datos personales, que no debe exceder el estipulado por la ley, salvo casos excepcionales que deberán ser indicados y justificados.

Recuerda que los datos personales que se recaban y utilizan deben responder al principio de minimización de los datos y al de limitación de la finalidad: deben ser mínimos, exactos, pertinentes y adecuados para la finalidad, que no debe exceder la actividad de tu web.

Si utilizas algún recurso que permita tomar decisiones automatizadas o elaborar perfiles, entonces tendrás que indicarlo aquí también.

 

Legitimación

Una de las cuestiones clave del RGPD es la legitimación jurídica para el tratamiento de datos personales, que debe estar adecuadamente fundamentada. Esta legitimación puede ser a través del consentimiento del usuario (en la mayoría de los blogs), a través de una posible obligación legal de la entidad (como cuando una empresa recaba datos personales de empleados para cumplir con la legislación laboral) o gracias al “interés legítimo de la entidad”.

En muchos casos se está utilizando el interés legítimo para justificar que se cedan datos personales a WordPress -al utilizarlo como plataforma web, por ejemplo-, o a Google Analytics -para mejorar la experiencia del usuario y nuestro conocimiento de su forma de navegar por nuestra web-.

Otras entidades lo utilizan para enviar los datos personales de sus clientes a otras empresas del mismo grupo empresarial. Aunque esto daría para un artículo propio, justificar ciertos tratamientos en el interés legítimo de la entidad puede ser complicado y puede causar más problemas que alegrías.

Lo cierto es que el recurso del interés legítimo es una de las cuestiones no desarrolladas completamente en el RGPD y que presumiblemente serán ampliadas en la Ley Orgánica que está por venir y su correspondiente Reglamento, con el paso de los meses.

Esto implica que puede haber ocasiones en que el interés legítimo lo sea verdaderamente, y ocasiones en las que no. En el ejemplo que te pongo de cesiones de datos a otras empresas del grupo, que podría llegar a ser problemático, ya veremos en los próximos meses cómo empieza a actuar la Agencia y qué va recomendando

En cualquier caso, si quieres utilizar el interés legítimo como base jurídica del tratamiento de datos personales en tu web, lo cual está de momento permitido, deberás incluir en qué consiste dicho interés, y estarás mejor cubierto tanto mejor sea tu justificación.

Elementos Politica de Privacidad

Elementos de una Política de Privacidad

Destinatarios

Se deben concretar las entidades que tendrán acceso a los datos personales que tú como Responsable estés recogiendo en tu web. Para que te hagas una idea, si tienes un blog tus destinatarios pueden ser todos los siguientes:

  • Tu diseñador web (en mi caso, Jabe, mejor colega y amigo)
  • Tu plataforma web (en mi caso, WordPress)
  • Tu hosting (en mi caso, OVH Hispano)
  • Tu servicio de analíticas de usabilidad web (en mi caso, Google Analytics)

Ahora bien, si tienes una tienda online, todo esto puede cambiar, porque le estarás cediendo datos también a los proveedores.

En todo caso, deberás tener siempre cuidado si cedes datos personales a entidades que están fuera de la Unión Europea: se consideran transferencias internacionales de datos y son mucho más complicadas.

El tema de destinatarios también da para un artículo propio, así que si te interesa que lo escriba, no olvides comentármelo al final.

 

Derechos

En este epígrafe se deben incluir todos los derechos de los interesados reconocidos en el RGPD, y las condiciones en las que se pueden ejercer dichos derechos. También se debe incluir la opción de retirar el consentimiento o de presentar una reclamación. Este apartado viene muy bien explicado en la Guía y es bastante accesible, así que échale un vistazo si quieres en la página 16.

 

Procedencia

En general, lo más frecuente es que los datos personales que se manejen en un blog procedan de los propios interesados, que son quienes los facilitan. Pero quizá tengas otro tipo de web y obtengas datos de otras fuentes.

Las fuentes de datos personales pueden ser fuentes públicas o una cesión legítima. Si tienes por costumbre comprar bases de datos por ahí, ten en cuenta que puede no tratarse de una fuente permitida por el RGPD y que puedes estar moviéndote fuera de su marco legal.

Si obtienes datos de una fuente que no es el interesado, en este epígrafe deberás comunicar que este hecho tiene lugar y cuáles son tus fuentes, además de preparar emails o formas de comunicación personales con los interesados y que te sirvan para contarles uno a uno de dónde proceden los datos que tú tratas.

Con todo el trabajo que eso supone, quizá quieras plantearte obtenerlos solamente del interesado, que es a fin de cuentas lo más honesto.

 

Otras cuestiones importantes sobre la Política de Privacidad

Hasta aquí los detalles de la Política de Privacidad en cuanto a contenido, pero hay otras cosas que deberías saber antes de ponerte a redactarla. No te asustes, quedan un par de apartados más, y esto está listo por hoy.

 

¿Dónde coloco mi Política de Privacidad?

Así como la información básica de los formularios debía estar colocada próxima al botón de enviar de tal forma que fuera accesible para los interesados (es decir, los usuarios de nuestra web), la Política de Privacidad no puede estar colocada en cualquier sitio de nuestra web.

Estas precisiones de la Agencia Española de Protección de Datos no carecen de fundamento. En realidad, lo que establece el RGPD es que el deber de informar de las entidades debe ser anterior a la recogida de los datos.

Este proceso es evidentemente lógico si se cae en la cuenta de que los usuarios de nuestra web tienen que estar adecuadamente informados sobre las condiciones del tratamiento de sus datos personales antes de otorgarnos el consentimiento para recabarlos y tratarlos.

Por esta razón precisamente la Política de Privacidad ya no puede estar alojada abajo del todo en nuestra web, en una letra minúscula y a ser posible en gris oscuro sobre negro. Al contrario, debe encontrarse en un lugar fácilmente accesible desde el primer minuto, para facilitar en todo momento que los interesados amplíen la información de primera capa.

Mira dónde está la política de privacidad en noemicarro.es:

Menú principal noemicarro.es

Como ves, la Política de Privacidad está bien arriba en mi web, un sitio que se ve desde el primer momento en el que el usuario accede a la página. Para tener una web legal, es importante facilitar a nuestros visitantes el acceso a la transparencia que es el corazón del RGPD, así que te recomiendo que tú también consideres esta opción.

 

¿Puedo copiar mi Política de Privacidad de otro sitio web?

Si te dedicas al mundo online ya sabrás que copiar y pegar contenido de otras páginas sin tener derechos sobre ese contenido está muy, pero que muy feo, pero seguramente también sabrás que es algo que se repite continuamente en Internet, de portal en portal.

Ahora bien, ¿será suficiente para cumplir con el RGPD copiar y pegar una Política de Privacidad de otra web y adaptarla a las condiciones de la mía? Pues cuidadito con esto.

El RGPD está basado en una serie de principios, entre los que se encuentran la transparencia y la proactividad, que hacen que la información que se debe dar a los interesados debe estar perfectamente adaptada a las condiciones de la actividad de la entidad.

En nuestro caso, si nos dedicamos al marketing digital en cualesquiera de sus versiones, es complicado que encontremos una Política de Privacidad exhaustiva que con cambiar cuatro cosas nos permita estar cien por cien ajustados al RGPD, al menos, de momento.

Como ya sabes, el 25 de mayo es el día límite para estar adaptado, y la verdad es que a todos nos ha pillado un poco el toro. Yo, por el momento, solamente he encontrado buenos ejemplos de Política de Privacidad como el que te enseñé en el último artículo, pero ningún modelo que se pueda replicar una y otra y otra vez con garantías suficientes de cumplimiento.

Ah, y nótese: he dicho modelo de Política de Privacidad, no simplemente Política de Privacidad copiada y arreglada. Yo también creo totalmente que copiar y pegar contenido está muy, pero que muy feo.

DontCopyJustCreate

Don’t copy, just create – www.noemicarro.es

 

Espero que este artículo te haya aclarado un poco cómo debería ser la Política de Privacidad de tu web. He dejado muchas cuestiones al aire -de otra forma muy pocos llegarían al final del artículo sin cansarse y divagar; esto de la protección de datos es un poco denso-, así que ahora te toca a ti:

¿De qué te gustaría que hablara en la próxima entrega? ¿Interés legítimo, destinatarios o alguna otra cosa? ¡Cuéntame!

Añadir comentario

Your email address will not be published. Required fields are marked *

A %d blogueros les gusta esto: