Política de Privacidad según el RGPD
El Reglamento General de Protección de Datos (RGPD) es una legislación de la UE que pretende conceder a los residentes de la UE más control sobre sus datos. En virtud de dicha legislación, las organizaciones que gestionan datos de residentes en la UE tienen que cumplir determinadas normas en materia de datos y privacidad.
Uno de los requisitos principales es que su Política de Privacidad debe actualizarse para reflejar las exigencias del RGPD. En algunos casos, puede que tenga que enviar o publicar un Aviso actualizado acerca de los cambios en su Política de Privacidad.
El objetivo de esta publicación es que se familiarice mejor con el RGPD y mostrarle cómo debería ser su aceptación de la Política de Privacidad teniendo en cuenta el RGPD.
- 1. ¿Qué es el RGPD y por qué debe cumplirlo?
- 2. Su Política de Privacidad acorde al RGPD
- 2.1. Quién es su Responsable del tratamiento e información de contacto
- 2.2. Quién es su Delegado de protección de datos (DPD) e información de contacto
- 2.3. Si utiliza los datos para tomar decisiones automatizadas
- 2.4. Informar a los usuarios de los 8 derechos a su disposición en virtud del RGPD
- 2.5. Si cede datos a nivel internacional
- 2.6. Su base jurídica para el tratamiento de los datos
- 3. Cómo obtener el consentimiento
- 4. Conclusión
¿Qué es el RGPD y por qué debe cumplirlo?
El RGPD es una nueva ley de seguridad de los datos y privacidad desarrollada por el Parlamento y Consejo Europeo para proteger los derechos sobre los datos de los ciudadanos de la UE. Las empresas (incluyendo sitios web, aplicaciones para móviles y de escritorio, etc.) que realizan transacciones comerciales con ciudadanos de la UE se van a ver afectadas por este reglamento.
El 25 de mayo de 2018, el RGPD sustituyó a la ley de protección de datos existente, es decir, la Directiva de Protección de Datos que había estado en vigor desde 1995. Si su empresa recopila o trata los datos de ciudadanos de la UE, deberá cumplir con ese reglamento. Su incumplimiento puede dar lugar a cuantiosas multas de hasta 20 millones de euros o al 4 % de sus ingresos anuales, en función de la cifra más alta.
Uno de los principales objetivos y requisitos del RGPD es mantener a los ciudadanos de la UE informados de cómo las empresas recopilan, utilizan, comparten, protegen y tratan sus datos personales.
Con arreglo al RGPD, deberá informar a sus clientes acerca de por qué trata sus datos y durante cuánto tiempo los va a conservar. Deberá explicarles con lenguaje claro y sencillo cómo utiliza sus datos. Toda esa información debe hacerse llegar de forma gratuita. Si los usuarios son niños, deberá informarles con un lenguaje que puedan entender, sin jerga legal.
Una de las formas más sencillas de mantener la transparencia e informar a sus usuarios es a través de su Política de Privacidad.
Su Política de Privacidad acorde al RGPD
En virtud del RGPD, deberá elaborar una Política de Privacidad completa pero sencilla y ponerla a disposición de sus usuarios.
Antes del RGPD, se aceptaba y esperaba que la mayoría de las Políticas de Privacidad contuvieran la siguiente información:
- Los datos personales que recopila
- Cómo los recopila
- Para qué los utiliza
- Cómo los protege
- Si los comparte con terceros
- Los controles que los usuarios tienen sobre esto
Ahora, sin embargo, el RGPD ha ampliado los requisitos relativos a lo que debe incluir su Política de Privacidad.
Need a Privacy Policy? Our Privacy Policy Generator will help you create a custom policy that you can use on your website and mobile app. Just follow these few easy steps:
- Click on "Start creating your Privacy Policy" on our website.
- Select the platforms where your Privacy Policy will be used and go to the next step.
- Add information about your business: your website and/or app.
- Select the country:
- Answer the questions from our wizard relating to what type of information you collect from your users.
-
Enter your email address where you'd like your Privacy Policy sent and click "Generate".
And you're done! Now you can copy or link to your hosted Privacy Policy.
Vamos a fijarnos ahora en algunas actualizaciones y cláusulas específicas del RGPD que debería incluir su Política de Privacidad.
Quién es su Responsable del tratamiento e información de contacto
Si controla la información personal de sus clientes o la trata para otra empresa, informe de ello a sus clientes. Dígales quién es usted y cuál es su rol en lo relativo a sus datos.
En este ejemplo, Slack - una empresa en la nube - informa a sus usuarios de que su empresa en Irlanda controla y trata la información de usuario autorizada de los clientes fuera de EE. UU. y Canadá. También menciona que su empresa en EE. UU. controla y trata información de usuario autorizada de los clientes en EE. UU. y Canadá.
Así es como lo hace Towergate en su Aviso de tratamiento correcto. Puede incluir una cláusula similar en su Política de Privacidad:
Towergate indica claramente a los usuarios qué son ellos quienes controlan sus datos. Toda la información que suministren los usuarios será conservada por Towergate.
Quién es su Delegado de protección de datos (DPD) e información de contacto
No todas las empresas están obligadas a contar con un Delegado de protección de datos con arreglo al RGPD.
Sin embargo, si es su caso, tendrá que incluir información al respecto en su Política de Privacidad, así como los datos de contacto del DPD.
GitHub incluye una tabla en su Política de Privacidad en la sección Resolución de quejas que contiene los datos de contacto del DPO.
Si utiliza los datos para tomar decisiones automatizadas
El RGPD le obliga a informar a sus clientes si utiliza decisiones automatizadas (por ejemplo, para valorar la solvencia o establecer perfiles de usuarios) con el fin de suministrar productos/servicios a sus usuarios.
Así lo hace Towergate:
Informar a los usuarios de los 8 derechos a su disposición en virtud del RGPD
El RGPD le obliga a informar a sus usuarios de sus 8 derechos en virtud del RGPD, a saber:
- El derecho a ser informado
- El derecho de acceso
- El derecho a la rectificación
- El derecho a la eliminación
- El derecho a limitar el tratamiento
- El derecho a la portabilidad de los datos
- El derecho de oposición
- Derechos relativos a la toma de decisiones automatizadas y la elaboración de perfiles
Puede incluir esos derechos en una cláusula más larga dentro de su Política de Privacidad como hace Direct Travel aquí en su Política:
O puede incluir cada derecho en una cláusula independiente con información más personalizada.
Este es otro ejemplo de una cláusula de uSwitch que incluye los derechos de los usuarios con arreglo al RGPD:
uSwitch informa a sus clientes de su derecho a poner fin al tratamiento de su información personal con fines de marketing. El usuario puede ejercer ese derecho seleccionando o deseleccionando casillas en los formularios en los que se recopilan sus datos, o posteriormente por correo electrónico.
Así es como GameStop notifica a sus usuarios su derecho de acceso a través de su Política de Privacidad:
Tenga en cuenta que es muy importante que gestione las solicitudes de acceso a la privacidad correctamente.
En su Política de Privacidad, Twitter incluye una cláusula relativa a la portabilidad que explica que los usuarios pueden seguir una serie de instrucciones enlazadas para descargar la información que han compartido a través del sitio web.
Twitter también cuenta con una cláusula independiente para acceder y rectificar los datos personales que instruye a los usuarios para rectificar sus datos personales directamente a través de la página de configuración de cuenta.
Mientras los 8 derechos estén incluidos en algún punto de su Política de Privacidad, puede hacerlo de diferentes formas.
Si cede datos a nivel internacional
Si cede datos a nivel internacional, deberá mencionarlo en su aceptación de la Política de Privacidad. Deberá mencionar también cualquier «protección de la privacidad» aplicable a su empresa.
Debenhams lo ilustra como sigue:
Debenhams informa a sus usuarios de que cede los datos de usuario a un tercero ubicado fuera del Espacio Económico Europeo (EEE). También indica a sus clientes de que cumplirá la Ley de Protección de Datos de 1998 en dichas cesiones.
Su base jurídica para el tratamiento de los datos
El RGPD le obliga a desvelar la base jurídica para el tratamiento de datos personales de los clientes. Existen 6 bases jurídicas, que son:
- El interesado ha autorizado el tratamiento
- El tratamiento es necesario para ejecutar un contrato entre ambas partes
- El tratamiento es necesario para cumplir una obligación legal
- El tratamiento es necesario para proteger intereses vitales del interesado
- El tratamiento es necesario para proteger un interés público o ejercer una autoridad oficial
- El tratamiento es necesario a los efectos de intereses legítimos, siempre que no se infrinjan derechos o libertades fundamentales
Como verá, es más sencillo limitarse a obtener la autorización del tratamiento de los datos personales, lo que se explicará en breve en este artículo.
El sexto motivo es también una base jurídica común ya que lo que se considera un «interés legítimo» es muy amplio.
Esta información se incluye normalmente en una cláusula acerca de «Cómo utilizamos los datos que recopilamos» como en este ejemplo de Trello:
Trello cuenta también con una cláusula dedicada exclusivamente a las Bases jurídicas para el tratamiento (para usuarios del EEE):
Su base jurídica probablemente incluya intereses legítimos como ofrecer soporte al cliente, marketing y otros intereses empresariales habituales. Debe mencionarlo en su Política de Privacidad de forma que los usuarios sepan por qué necesita recopilar sus datos.
Y, como ya hemos dicho, la mejor forma de hacerlo es siempre obtener la autorización antes de recopilar o utilizar datos personales.
Cómo obtener el consentimiento
El RGPD le obliga a pedir y obtener un consentimiento claro antes de recopilar información personal de sus usuarios finales (como nombre, teléfono, etc.). Si la información recopilada es de carácter muy sensible (como el número de tarjeta de crédito, el número de la Seguridad Social, etc.), deberá obtener su consentimiento explícito.
También deberá obtener la aceptación de las condiciones de su Política de Privacidad por parte de los usuarios.
Para obtener el consentimiento de los usuarios, se recomienda utilizar casillas de verificación y un sistema clickwrap. Lo siguiente son algunos ejemplos que muestran cómo obtener el consentimiento de los usuarios.
Sainsbury's utiliza una casilla de verificación para solicitar el consentimiento de los usuarios y también vínculos con su página de Condiciones Generales. También pide permiso para enviar otra información al usuario con un simple botón de sí/no circular.
The Data Protection Network recoge las Condiciones Generales del sitio web en una página por la que es posible desplazarse con una casilla de verificación para obtener el consentimiento del usuario situada justo encima. Utiliza un botón intuitivo de marca de verificación/cruz para solicitar el consentimiento del usuario al envío de mensajes de correo electrónico. También incluye un enlace con su Política de Privacidad en la misma página.
Esto también sirve para las aplicaciones. Así es como la aplicación de ID de Adobe utiliza un sistema clickwrap para que los usuarios acepten su Política de Privacidad al registrarse:
Conclusión
Probablemente ya disponga de una Política de Privacidad para su empresa, sitio web o aplicación, pero el RGPD le obliga a revisarla y actualizarla para que resulte más informativa, concisa e incluya determinada información específica que antes no era necesaria.
También tendrá que reforzar sus requisitos de consentimiento para utilizar casillas de verificación, botones «Aceptar» y texto claro en torno a dichos elementos que informe a los usuarios de qué es lo que están autorizando exactamente.
