Las Políticas de Privacidad son obligatorias legalmente
La legislación en materia de privacidad de todo el mundo establece que si recopila información personal de quienes visiten su sitio web, necesita tener una Política de Privacidad publicada en su sitio y disponible en su aplicación para teléfonos móviles (llegado el caso).
Muchos de los servicios de terceros utilizados para mejorar el rendimiento de los sitios (como herramientas de procesamiento de pagos, paquetes analíticos y plug-ins de publicidad) le obligan también a tener una Política de Privacidad.
Este artículo recoge algunas de esas leyes y requisitos de terceros al tiempo que muestra ejemplos de las cláusulas más importantes que debe incluir su Política de Privacidad. Al final del mismo sabrá por qué la necesita y podrá empezar a elaborarla.
- 1. ¿Qué es una Política de Privacidad?
- 2. Legislación en materia de privacidad en EE. UU.
- 2.1. CalOPPA
- 2.1.1. Cómo puede cumplir CalOPPA una Política de Privacidad
- 2.1.2. Incluir una cláusula de «No seguimiento»
- 2.1.3. Cómo publicar una Política de Privacidad acorde a CalOPPA
- 3. Legislación en materia de privacidad en la UE
- 3.1. RGPD
- 4. Leyes de Privacidad en Canadá
- 5. Leyes de Privacidad en Australia
- 6. Leyes de Privacidad en el Reino Unido
- 7. Políticas de Privacidad exigidas por servicios de terceros
- 7.1. Google Analytics
- 7.1.1. Requisitos de la Política de Privacidad para las funciones estándar de Google Analytics
- 7.1.2. Requisitos de las Políticas de Privacidad para las herramientas de publicidad de Google Analytics
- 7.2. Google Adsense
- 7.2.1. Requisitos adicionales para las empresas de la UE
- 7.2.2. Consentimiento relativo a las cookies
- 8. ¿Qué debe incluir una Política de Privacidad?
- 8.1. Denominación comercial y datos de contacto
- 8.2. Tipos de datos personales que recopila
- 8.3. Por qué recopila datos personales
- 8.4. Cómo se utilizan los datos
- 8.5. Cómo comparte los datos con terceros
- 8.6. Cómo rechazar la recopilación de datos
- 9. Recuerde
¿Qué es una Política de Privacidad?
Una Política de Privacidad es un acuerdo legal que explica el tipo de información personal que recopila de los visitantes de su sitio web, cómo utiliza esa información y cómo la protege.
Need a Privacy Policy? Our Privacy Policy Generator will help you create a custom policy that you can use on your website and mobile app. Just follow these few easy steps:
- Click on "Start creating your Privacy Policy" on our website.
- Select the platforms where your Privacy Policy will be used and go to the next step.
- Add information about your business: your website and/or app.
- Select the country:
- Answer the questions from our wizard relating to what type of information you collect from your users.
-
Enter your email address where you'd like your Privacy Policy sent and click "Generate".
And you're done! Now you can copy or link to your hosted Privacy Policy.
Algunos ejemplos de información personal incluirían:
- Nombres
- Fechas de nacimiento
- Direcciones de correo electrónico
- Direcciones de facturación y envío
- Números de teléfono
- Datos bancarios
- Números de la Seguridad Social
Las Políticas de Privacidad suelen incluir:
- Los tipos de información recopilada por el sitio web o aplicación
- El motivo por el que se recogen esos datos
- Almacenamiento de los datos, seguridad y acceso
- Detalles de transferencias bancarias
- Organizaciones o sitios web afiliados
- Uso de cookies
Para hacerse una idea de lo que podría incluir una Política de Privacidad, aquí encontrará un ejemplo de una introducción informativa a una de Etsy:
Una introducción resumida como esta es una buena forma de informar a los lectores de lo que pueden esperar encontrar exactamente en el resto del acuerdo.
Ahora vamos a fijarnos en algunas leyes concretas y sus requisitos.
Legislación en materia de privacidad en EE. UU.
CalOPPA es una de las leyes de privacidad más estrictas de EE. UU. Afecta a cualquiera que recopile información personal de residentes en California, lo que supone que su alcance va mucho más allá de los límites estatales.
Aunque CalOPPA es estricta, no resulta demasiado complicado cumplirla. Su principal requisito es tener una Política de Privacidad.
CalOPPA
El objetivo de CalOPPA es ofrecer protección para los datos personales recopilados de residentes en California. Aunque CalOPPA es una ley estatal y no federal, es muy probable que afecte a su sitio web independientemente de desde donde opere, ya que es posible que su sitio web atraiga a residentes en California.
CalOPPA exige que los sitios web y aplicaciones cuenten con una Política de Privacidad claramente visible y accesible. Así es como describe CalOPPA la Fundación para la Educación de la Federación de Consumidores de California:
CalOPPA clasifica la «información de identificación personal» como:
- Nombres y apellidos
- Direcciones físicas
- Direcciones de correo electrónico
- Número de teléfono
- Números de la Seguridad Social
- Cualquier otra información compartida con una empresa físicamente u online
- Fechas de nacimiento
- Detalles relativos al aspecto físico (peso, altura, color del cabello)
- Cualquier otra información almacenada online que permita identificar a una persona
Cómo puede cumplir CalOPPA una Política de Privacidad
Para cumplir CalOPPA, las Políticas de Privacidad deben incluir la siguiente información:
- Detalles relativos a qué tipos concretos de datos personales se recopilan a través del sitio web o aplicación
- Cualquier organización afiliada con la que puedan compartirse esos datos
- Una explicación clara de cómo los usuarios pueden solicitar que se modifiquen los datos personales recopilados
- El proceso para informar a los usuarios de cualquier cambio en la Política de Privacidad
- La fecha de entrada en vigor de la Política de Privacidad
- Qué ocurre si un usuario solicita el «No seguimiento»
- Detalles relativos a terceros que recopilan datos personales a través del sitio web o aplicación
Incluir una cláusula de «No seguimiento»
«No seguimiento», abreviado como DNT por sus siglas en inglés, es un ajuste que puede activarse en algunos buscadores para bloquear el seguimiento del comportamiento con respecto a servicios de terceros como Google Adwords.
Con arreglo a CalOPPA, no es obligatorio que los sitios web o aplicaciones den curso a las solicitudes de DNT. Sin embargo, deben informar a los usuarios de si su sitio web o aplicación va a dar curso o no a las solicitudes de DNT.
Así es como Whole Foods permite a los usuarios saber que las solicitudes de DNT no se van a cursar y ofrece un enlace con información adicional al respecto:
Si debe cumplir CalOPPA, no se olvide de esta cláusula.
Cómo publicar una Política de Privacidad acorde a CalOPPA
Para cumplir CalOPPA, las Políticas de Privacidad deben:
- Ser claramente visibles y fácilmente accesibles para los visitantes de su sitio web o usuarios de su aplicación
- Incluir la palabra «privacidad» en el enlace de visualización
Este es un ejemplo de Amazon, donde una Política de Privacidad está claramente enlazada en el pie del sitio web:
Este requisito ayuda a encontrar su Política de Privacidad, lo que contribuye a la transparencia.
Legislación en materia de privacidad en la UE
El 25 de mayo de 2018, el Reglamento General de Protección de Datos (RGPD) sustituyó a la Directiva de Protección de Datos de la UE que había estado en vigor desde 1995.
La Directiva de Protección de Datos de la UE regulaba la recopilación y gestión de información personal en la UE y la protegía del uso indebido.
Exigía que todas las empresas que operaban desde un país de la UE contaran con una Política de Privacidad.
RGPD
El RGPD obliga a que todas las empresas que operan en la UE así como las empresas extranjeras que gestionen datos personales de ciudadanos de la UE cuenten con una Política de Privacidad. Esto forma parte de su objetivo de garantizar que la información personal se obtenga y trate de manera adecuada.
El RGPD se aplica tanto a la UE como a las empresas internacionales que recopilan datos personales de ciudadanos de la UE.
El RGPD obliga a que:
- Todos los datos personales se traten de manera ética.
- Los datos se recopilen solo con fines predeterminados, y a que se utilicen exclusivamente para dichos fines.
- Los datos deben ser precisos y actualizarse cuando se solicite.
- Con excepción de circunstancias específicas, como datos de investigaciones científicas, el usuario solo debe ser identificado mientras sea necesario.
- La empresa que recopile los datos será la responsable de controlar su propio cumplimiento del RGPD a través del nombramiento de un Delegado de protección de datos, si procede.
- El usuario debe poder contactar con la empresa que recopila los datos y su Delegado de protección de datos (llegado el caso).
- Los usuarios deben conocer los motivos por los que se recopilan sus datos y el tiempo durante el cual se almacenarán.
- Los usuarios deben ser informados de sus 8 derechos en virtud del RGPD, incluido el derecho a acceder, actualizar o solicitar la eliminación de sus datos personales.
- Existirá un órgano supervisor para tramitar las quejas de los usuarios y deberán comunicarse los datos de contacto de dicho órgano.
- Los usuarios serán informados si sus datos se van a compartir con cualquier tercero u organización afiliada, o si se van a ceder fuera de la UE.
- Cualquier otra información que el usuario deba conocer para garantizar un correcto tratamiento de sus datos personales.
Aunque existen diferentes factores que han de tenerse en cuenta en su plan de cumplimiento del RGPD, una de las cosas que serán absolutamente necesarias es una Política de Privacidad acorde al mismo.
Su Política de Privacidad debe ser fácilmente accesible y deberá obtener el consentimiento informado de los usuarios antes de recopilar sus datos personales.
Este es un buen ejemplo de cómo IKEA obtiene el consentimiento para la recopilación de información personal. Los usuarios deben marcar una casilla al crear su perfil que indica que aceptan que se guarde su información personal:
El RGPD representa un gran cambio en materia de protección de los datos. Esto afecta tanto a las empresas radicadas en la UE como a las empresas de fuera de la UE que recopilan datos personales de sus ciudadanos.
La obligación del RGPD es mucho más estricta que la normativa anterior y conlleva penalizaciones más cuantiosas por su incumplimiento.
Leyes de Privacidad en Canadá
La Ley de protección de información personal y documentos electrónicos (PIPEDA) de Canadá protege los datos personales pertenecientes a ciudadanos canadienses y obliga a las empresas que operan online en Canadá a tener una Política de Privacidad:
Si se le aplica PIPEDA, tendrá que estar familiarizado con sus exigencias y asegurarse de que su Política de Privacidad sea acorde a sus normas.
Leyes de Privacidad en Australia
La Ley de Privacidad de 1988 de Australia exige que todas las empresas que recopilen información personal online en Australia tengan una Política de Privacidad.
Una de sus principales características es una lista de 13 Principios de Privacidad que rigen la recopilación y tratamiento de los datos personales.
Todas las empresas deben mostrarse abiertas y transparentes en lo que respecta a sus actividades de recopilación de datos, y deben revelarlas en una Política de Privacidad actualizada.
Leyes de Privacidad en el Reino Unido
Los datos personales están protegidos por la Ley de Protección de Datos (DPA) del Reino Unido. Al igual que la Ley de Privacidad de Australia, incluye 8 Principios Básicos de Protección de Datos que deben cumplir todas las empresas que recopilen datos personales online en el Reino Unido:
Políticas de Privacidad exigidas por servicios de terceros
Muchos servicios de terceros habitualmente usados por los sitios web y aplicaciones también exigen que exista una Política de Privacidad.
Por ejemplo, los proveedores de servicios de boletines informativos por correo electrónico suelen exigir una Política de Privacidad para prestar sus servicios.
Las Condiciones de Servicio de Campaign Monitor incluyen esta cláusula relativa a la información personal:
La mejor forma de cumplir este requisito de información a los clientes es a través de una Política de Privacidad.
También debería publicar una Política de Privacidad en su sitio web o aplicación si utiliza servicios de terceros para hacer un seguimiento del comportamiento de navegación de los usuarios o usa datos de localización, como Google Analytics o Google Adsense.
SendPilot informa de todas las categorías de servicios de terceros que puede usar para recopilar o tratar datos de los usuarios de la siguiente forma:
Google Analytics
Si su sitio web o aplicación utiliza Google Analytics, deberá actualizar su Política de Privacidad para cumplir las Condiciones de Servicio de Google Analytics. Puesto que Google Analytics usa cookies para hacer un seguimiento del comportamiento y cookies para recopilar información personal, exige una Política de Privacidad.
Requisitos de la Política de Privacidad para las funciones estándar de Google Analytics
De acuerdo con Google Analytics, si utiliza sus funciones estándar para hacer un seguimiento del comportamiento de los usuarios en su sitio web o aplicación, su Política de Privacidad debe:
- Indicar que utiliza Google Analytics para hacer un seguimiento del comportamiento de los usuarios
- Explicar cómo se recopilan y tratan los datos
- Informar al usuario del uso de cookies
La Política de Privacidad debe mostrarse en un lugar destacado, como el pie del sitio web o el menú principal de la aplicación.
Aquí incluimos un ejemplo del pie del sitio web de la BBC:
Además, debería contar con un mensaje emergente o un banner con un Aviso de Aceptación de Cookies que alerte a los usuarios del uso de cookies en su sitio web y permita a los usuarios bloquearlas si lo desean.
Aquí incluimos un ejemplo de un banner de cookies de la Universidad de Brighton:
Requisitos de las Políticas de Privacidad para las herramientas de publicidad de Google Analytics
Si utiliza herramientas de publicidad de Google Analytics además de las funciones estándar, se aplicarán requisitos adicionales a su Política de Privacidad.
Las funciones de publicidad a las que se refieren esos requisitos adicionales incluyen:
- Recomercialización o redireccionamiento
- Informes de impresiones de Google Display Network
- Informes de demografía e intereses de Google Analytics
Si utiliza estas herramientas, Google Analytics exige que informe a sus usuarios de ello incluyendo la siguiente información en su Política de Privacidad:
- Las herramientas de publicidad de Google Analytics que usted usa, y cómo y por qué utiliza esas funciones.
- Un aviso de que terceros usan cookies para mostrar publicidad relevante al usuario.
- Instrucciones para que los usuarios puedan rechazar las funciones de publicidad de Google Analytics Advertising a través de la configuración de los anuncios de Google.
Google no da orientaciones sobre el lenguaje exacto que debe utilizar en su Política de Privacidad. Sin embargo, siempre debe estar escrita en un inglés sencillo y en una forma que resulte fácil de comprender.
Google Adsense
Si su sitio web o aplicación utiliza Google AdSense, deberá actualizar su Política de Privacidad para cumplir las Condiciones Generales de Google AdSense.
Deberá publicar una Política de Privacidad que informe de que utiliza Google Adsense e incluya:
- Una declaración de que terceros, incluyendo Google, utiliza cookies para mostrar anuncios relevantes a los usuarios basados en su comportamiento de navegación previo.
- Información acerca de las cookies de DoubleClick de Google.
- Instrucciones para que los usuarios puedan rechazar el uso de las cookies de DoubleClick a través de la configuración de los anuncios de Google.
Google exige también que aplique «esfuerzos comercialmente razonables» para garantizar que obtiene el consentimiento para el uso de cookies en los dispositivos de los usuarios.
Esto se hace generalmente utilizando un elemento emergente o banner que alerta a los usuarios del uso de cookies en su sitio web y les permite bloquearlas si lo desean, tal y como ya hemos explicado antes.
Requisitos adicionales para las empresas de la UE
Los puntos anteriores se aplican a todos los sitios web y aplicaciones que utilizan Google AdSense. Sin embargo, existen requisitos adicionales para las empresas de la UE que utilizan este servicio.
Los usuarios deben ser avisados de que su sitio web o aplicación utiliza cookies y dar su consentimiento informado antes de que se pueda instalar ninguna cookie en su dispositivo.
Esto incluye:
- Los distintos tipos de cookies usadas
- Detalles de cualquier cookie de terceros que pueda utilizarse
- Por qué se utilizan las cookies y cómo se instalan en los dispositivos
Como las demás alertas relativas a las cookies, esto suele hacerse a través de un elemento emergente o banner que explica claramente que se utilizan cookies y dirige al usuario a información adicional al respecto.
Consentimiento relativo a las cookies
El consentimiento para la instalación de cookies debe obtenerse del usuario de forma activa, es decir, los usuarios deben hacer clic en un botón, casilla de verificación o cuadro o emprender cualquier otro tipo de acción para confirmarlo.
El consentimiento activo, también conocido como consentimiento informado, implica que el usuario confirme su consentimiento a través de una casilla de verificación o un botón de «Acepto».
Aquí tiene un ejemplo de consentimiento activo relativo a las cookies de Wembley y que incluye una explicación fácil de comprender por el usuario del tipo de cookies que se utilizan y por qué. El botón «Me parece bien» azul es lo que distingue este tipo de consentimiento del consentimiento pasivo.
El consentimiento pasivo para la instalación de cookies en el dispositivo del usuario ya no está permitido. Aquí tiene un ejemplo de consentimiento pasivo de las cookies del sitio web de Calvin Klein:
¿Qué debe incluir una Política de Privacidad?
El contenido de las Políticas de Privacidad varía de una empresa a otra. La forma en que un sitio web recopila y gestiona la información y cómo interactúa con terceros es algo exclusivo de cada empresa. Además, el lugar en el que viven los usuarios de un sitio web puede afectar a la Política de Privacidad de las empresas.
Como mínimo, su Política de Privacidad debe incluir los siguientes elementos:
Denominación comercial y datos de contacto
Su Política de Privacidad debe incluir su denominación comercial oficial y su información de contacto.
Este es un ejemplo de Whole Foods:
Esta información suele considerarse al principio o al final de las Políticas de Privacidad y los usuarios saben que deben buscarla allí, así que esta es la mejor práctica de colocación recomendada.
Tipos de datos personales que recopila
Debe enumerar los distintos tipos de datos personales que recopila de los usuarios tanto directa como indirectamente.
Budweiser ofrece un buen ejemplo de esto:
Tenga en cuenta que la cláusula enumera cómo pueden recopilarse los datos así como ejemplos de elementos concretos como direcciones de correo electrónico, códigos postales y «ubicaciones precisas». Recuerde: cuanto más exhaustivo sea, mejor.
Por qué recopila datos personales
La legislación en materia de privacidad le obliga a recopilar solo los datos personales que necesita, y a explicar por qué los necesita.
Este es un ejemplo de Nestlé:
Este formato de gráfico no es necesario, pero sin duda ayuda en términos de legibilidad y organización. Tenga en cuenta que no solo informa a los usuarios de por qué se utiliza la información, sino del motivo concreto. También se ocupa de los intereses legítimos del uso de los datos personales, lo que contribuye al cumplimiento del RGPD.
Cómo se utilizan los datos
Otro elemento importante dentro de la Política de Privacidad es cómo utiliza los datos. Deberá indicarlo en su Política de Privacidad.
Así es como lo hace Airbnb:
Utilizar un formato de lista le ayudará a transmitir mucha información de manera más organizada, algo importante para que su Política de Privacidad siga siendo fácil de comprender por el público en general. No se olvide de incluir todas las formas específicas en que utiliza los datos como le sea posible.
Cómo comparte los datos con terceros
La mayoría de los sitios web utilizan una o más herramientas de terceros para mejorar el funcionamiento del sitio y la experiencia de los usuarios. Algunos ejemplos incluyen Google Analytics para saber quiénes visitan el sitio, o AdSense para personalizar la publicidad.
La mayoría de los sitios utilizan también cookies, que son herramientas técnicas que registran el comportamiento de los usuarios para personalizar su experiencia web.
Todos los casos en que los datos se compartan con terceros deben explicarse en su Política de Privacidad, y también debería proporcionar enlaces con las políticas de esos terceros.
Vea cómo lo hace Instagram:
Dividir la información en párrafos para abordar distintos tipos de cesiones a terceros, como la publicidad o las analíticas, resulta muy útil y hace que la información sea más fácil de comprender.
Cómo rechazar la recopilación de datos
Su Política de Privacidad debe incluir instrucciones para rechazar la recopilación continuada de datos, así como para obtener una copia de todos los datos ya recopilados.
Nike incluye claramente esta información en su Política de Privacidad:
Si dispone de varios sistemas para que los usuarios puedan rechazar distintas cosas (como los boletines informativos electrónicos, mensajes de texto, correo convencional, etc.), asegúrese de incluir todos los sistemas disponibles.
Recuerde
La legislación de todo el mundo exige a los sitios web contar con una Política de Privacidad. Desde la amplia CalOPPA de California hasta el Reglamento General de Protección de Datos de la UE y otras leyes de Canadá, el Reino Unido y Australia, debe tener una gran comprensión de las leyes de privacidad y cumplimiento.
Las distintas leyes comparten objetivos esenciales centrados en torno a la protección de datos y el uso adecuado de los datos de consumo privado. Varían en cierta medida, pero algo es seguro: si es propietario u opera un sitio web en cualquier lugar del mundo, necesitará contar con una Política de Privacidad que cumpla con la legislación de las jurisdicciones en las que vivan los usuarios de su sitio web.
También deberá conocer los requisitos de los servicios terceros que utiliza, como servicios de analíticas o publicidad. Compruebe siempre las Condiciones de Uso de esos servicios para saber qué debe hacer.
Si cuenta con una Política de Privacidad exhaustiva, fácil de leer y claramente publicada, habrá avanzado mucho a la hora de cumplir con todas las leyes en materia de privacidad y cualquier acuerdo de condiciones que se le apliquen.
