Desde hace mucho tiempo vengo observando que no se cumple una de las exigencias del Reglamento General de Protección de Datos (RGPD) que establece el consentimiento del interesado para que el tratamiento de datos personales sea lícito (art. 6.1.a) RGPD).
Actualmente en los
encabezamientos o pie de página de las Webs encontramos el aviso sobre la política de cookies tal y como establece el artículo 22.2 de la Ley 34/2002, de 11 de julio, de servicios de
la sociedad de la información y de comercio electrónico (LSSI). Toda
persona que entra en una web y pulsa el botón de aceptar da su consentimiento
para que puedan instalarse cookies en su ordenador o dispositivo móvil. Sin
embargo, esto no implica que el usuario también acepte la recogida,
almacenamiento y tratamiento de sus datos personales. Aunque es verdad que
suele incluirse en la página web un enlace para acceder a la “Política de Privacidad” o “Aviso Legal”, en ambos casos solo
contiene información y no un botón para aceptar el tratamiento de datos personales.
Este fallo debería
solucionarse incluyendo en el aviso no solo información sobre cookies sino
también sobre Protección de datos. Y junto al texto insertar los enlaces que
llevan a uno o varios apartados donde se detallan la política de cookies y la
de protección de datos. De esta forma, el usuario puede primero informarse y
después decidir si acepta tanto la gestión de cookies como de datos personales.
Hay que recordar que el art. 7 RGPD lleva la carga de la prueba del consentimiento al responsable
del tratamiento de datos personales. Si el usuario solo acepta la política de cookies, como se está haciendo ahora, el responsable solo podrá demostrar la
autorización para la gestión de este tipo de archivos pero no el tratamiento de
datos personales.
Así pues y a modo de
ejemplo, habría que incluir un texto del tipo:
“El acceso a este sitio web permite la utilización de cookies nuestras y
de terceros para ofrecerle una mejor calidad de nuestros servicios. Además,
cualquier dato personal que nos proporcione podrá ser guardado y tratado en
nuestras bases de datos. Consulte la Política de cookies y privacidad aquí. Si está de acuerdo haga click en ACEPTAR.”
Este primer paso es
importante para dejan constancia de que se le brinda al usuario información
detallada sobre el uso de cookies y datos personales, a la vez que conseguimos
el consentimiento expreso al hacer click
en ACEPTAR.
Muchas personas me han
preguntado si tienen la obligación de poner la Política de privacidad en su
página web aún cuando no recopila datos personales. En principio el RGPD no lo
exige. Sin embargo, solo por el mero hecho de incluir un apartado de contacto o
crear un formulario para solicitar más información sobre servicios, es más que
suficiente para tener una Política de privacidad. La dirección de correo
electrónico se considera como dato personal, por lo que al recibir mensajes de
usuarios ya se está obteniendo información protegida por la legislación.
Siempre recomiendo tener un apartado, aunque sea muy básico, sobre Política de
privacidad.
Aviso legal o Política de privacidad
Dependiendo de la página
web, los servicios que ofrece y la información que recopila, podrán integrarse los
aspectos legales, la política de cookies,
privacidad y seguridad en un solo apartado denominado “Aviso legal” o en distintos apartados.
El RGPD exige que el
responsable aporte datos de contacto para que el usuario pueda ejercer sus
derechos. Si las políticas se publican en distintos enlaces es aconsejable que
dichos datos estén en ellas. Lo importante es que el usuario tenga toda la
información sin tener que buscarla.
Identificación
Inicialmente, el art. 13.1.a) y b) RGPD establece que el
responsable del tratamiento facilitará “la
identidad y los datos de contacto del responsable y, en su caso, de su
representante” y “los datos de
contacto del delegado de protección de datos, en su caso”.
Por tanto, deberá constar
la siguiente información:
- Titular: el nombre de la persona física o de la empresa responsable del
tratamiento
- Domicilio social: la dirección postal donde tiene lugar el
establecimiento
- CIF o NIF: bien sea una empresa o una persona física
- Teléfono
- Dirección de correo electrónico
Estos datos son
fundamentales ya que permite dar mayor fiabilidad y confianza al cliente, a la
vez que abre un canal de comunicación entre ambos. No obstante, muchas empresas
añaden información del Registro Mercantil: Localidad del Registro, Tomo, Folio
y Hoja donde está registrada la empresa. Legalmente no se exige esta
información ya que puede consultarse a través del CIF que previamente se
proporciona en la información básica.
Condiciones establecidas por la legislación
europea
Hasta que no se apruebe
el proyecto de LOPD y para que con entre en conflicto con lo regulado en el
RGPD, se aportará al usuario la siguiente información:
1. Legislación sobre la que se rige el tratamiento
En principio será el REGLAMENTO (UE) 2016/679 DEL PARLAMENTO
EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las
personas físicas en lo que respecta al tratamiento de datos personales y a la
libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE
(RGPD)
2. Fines del tratamiento a que se destinan los datos
personales
Son muchos los fines para
los que se recopilan datos de carácter personal dependiendo de factores como el
tipo de servicio que presta la empresa, los recursos o herramientas que pone a
disposición del usuario y los análisis que puede realizar para mejorar el
servicio.
Básicamente podemos
encontrar:
- Realización del
servicio contratado por el usuario
- Información comercial
relativa a servicios o productos futuros
- Información sobre
cambios en la Política de privacidad
- Desarrollo y mejora de
los productos o servicios de la empresa
- Realización de informes
estadísticos anónimos para fines de investigación comercial
- Cumplimiento de las
obligaciones legalmente establecidas
En caso de que sea
necesario el tratamiento para otro fin distinto al que se estableció en el
momento de aceptar el usuario, este será informado y deberá nuevamente dar su
consentimiento.
3. Comunicación de datos a terceros
Es posible que en el
transcurso de la prestación de servicios sea necesario que los datos del
usuario sean cedidos a terceros o transferidos a otros Estados, bien porque se
trate de una empresa que forma parte de un grupo o porque requieren de los
servicios de terceros. En este caso, antes de que se cedan o transfieran dichos
datos, se informará al usuario quien deberá dar su consentimiento explícito.
4. Plazo de conservación
Los datos de carácter
personal se conservarán mientras dure la relación contractual. No obstante, si
no hay petición por parte del usuario para la supresión de los datos
personales, podrá bloquearse dicha información en el caso de que la Administración
de Justicia o los Cuerpos y Fuerzas de Seguridad la requieran.
5. Derechos del usuario
El usuario tiene derecho
a solicitar el Acceso a sus datos
personales en cualquier momento. En caso de que estos sean inexactos o
incompletos podrá pedir su Rectificación,
así como la Oposición a que sigan
siendo tratados o su Limitación y la
Supresión de los mismos, las copias
de seguridad y los enlaces. También tiene derecho a la Portabilidad de sus datos.
Para el ejercicio de los
derechos, puede ponerse en contacto a la dirección, teléfono o correo
electrónico facilitado al inicio de la Política de privacidad. Para garantizar
que es el usuario el que solicita la ejecución de sus derechos, es importante
que adjunte su documento acreditativo de identidad (copia del DNI o Pasaporte).
6. Reclamación ante la autoridad del control
En caso de que el usuario
no esté conforme con el tratamiento de sus datos y surja un conflicto con la
empresa, tiene derecho a presentar una reclamación ante la Agencia Española de Protección de Datos.
7. Aceptación de la Política de privacidad
Para que pueda prestarse
el servicio es necesario que autorice la recogida, almacenamiento y tratamiento
de sus datos personales. Así mismo, reconoce que ha recibido información clara
e inequívoca sobre la identidad del responsable del fichero de datos, la finalidad
de dicho tratamiento y sus derechos de Acceso, Rectificación, Oposición y
Supresión.