Adaptación de la privacidad en Internet al RGPD

Fuente de la imagen: AEPD. Portada del informe

La tarde del lunes la pasé hojeando el informe "Políticas de privacidad en Internet. Adaptación al RGPD"[1], recientemente publicado por la AEPD[2], y que ya apunté en el Sitio Protección de Datos, texto "RGPD e Internet"[3]. Según la AEPD, el objeto del trabajo consiste en examinar la adaptación por parte de las empresas al RGPD[4] en sus políticas de privacidad online, así como dictar recomendaciones para su correcta aplicación. La publicación está acompañada de un Decálogo que recoge los aspectos más relevantes que deben tener en cuenta los responsables para dar cumplimiento al RGPD, como informar sobre quién trata los datos, con qué finalidad, qué base legal legitima el tratamiento, cuánto tiempo se conservan, los derechos de los usuarios y cómo ejercerlos, si los datos se van a ceder a terceros, si se toman decisiones automatizadas o si se van a realizar transferencias internacionales, entre otros. Debido a la magnitud de la materia analizada, la Agencia ha seleccionado como muestra varias entidades de cuatro sectores: hoteles, transporte, comercio electrónico y seguros. Asimismo, también se han revisado empresas dedicadas a la venta de entradas online y a los servicios de música y contenidos de transmisión en tiempo real. Como recomendaciones generales, la Agencia aconseja a las empresas revisar la extensión de sus documentos de privacidad, a fin de que cumplan con el deber de informar al interesado de forma clara y concisa. El informe recomienda la utilización de una primera capa en la que se proporcione información resumida y una segunda capa con información más detallada. En este sentido, el informe pone de manifiesto que, con carácter general, las políticas de privacidad no son concisas y no facilitan su comprensión. 

Esto resulta especialmente evidente cuando se enumeran las finalidades para las que se recogen los datos personales. La AEPD precisa que se suele utilizar la recogida del consentimiento en bloque, es decir, que no se solicita el consentimiento para cada una de las finalidades de tratamiento de datos personales, sino que se acude a la fórmula “He leído y acepto la política de privacidad”. Para que el consentimiento se recoja de forma apropiada, la AEPD recomienda agrupar en propósitos afines las finalidades para las que se solicita el consentimiento, de forma que el interesado pueda decidir. Además, el silencio, las casillas premarcadas o la inacción no constituyen un consentimiento válido. En cuanto al lenguaje utilizado en las políticas de privacidad, el análisis ha encontrado “expresiones ambiguas o demasiado genéricas”, que no aportan información real al interesado. El informe destaca, como ejemplo, una expresión que no permite conocer el tiempo de conservación de los datos recabados, ya que se utiliza la fórmula “mientras exista interés mutuo”.  Por lo anterior, la AEPD entiende que debe darse información clara sobre cuánto tiempo se conservan los datos, ofreciendo a los usuarios una idea aproximada del plazo establecido por la legislación, o indicar la normativa aplicable, o dar información que le permita conocer y calcular cuánto tiempo se van a conservar los datos personales del usuario. También se ha detectado que en ocasiones no se menciona o no se explica correctamente la base legal que legitima el tratamiento de datos personales, incluyendo como interés legítimo lo que en realidad es un tratamiento necesario para la ejecución de un contrato, o encuadrando dentro del interés legítimo lo que en realidad no es tal. Fuente de la información: AEPD. 

________________________

[1] Agencia Española de Protección de Datos. Políticas de privacidad en Internet. Adaptación al RGPD". 2018. Sitio visitado el 23/10/2018.

[2] Agencia Española de Protección de Datos .

[3] Velasco Carretero, Manuel. RGPD e Internet. Sitio Protección de Datos. 2018. Visitado el 23/10/2018.

[4] Reglamento General de Protección de Datos.