Política de Privacidad según el RGPD

por Maria P.
Política de Privacidad según el RGPD

El Reglamento General de Protección de Datos (RGPD) es una legislación de la UE que pretende conceder a los residentes de la UE más control sobre sus datos. En virtud de dicha legislación, las organizaciones que gestionan datos de residentes en la UE tienen que cumplir determinadas normas en materia de datos y privacidad.

Uno de los requisitos principales es que su Política de Privacidad debe actualizarse para reflejar las exigencias del RGPD. En algunos casos, puede que tenga que enviar o publicar un Aviso actualizado acerca de los cambios en su Política de Privacidad.

El objetivo de esta publicación es que se familiarice mejor con el RGPD y mostrarle cómo debería ser su aceptación de la Política de Privacidad teniendo en cuenta el RGPD.


¿Qué es el RGPD y por qué debe cumplirlo?

El RGPD es una nueva ley de seguridad de los datos y privacidad desarrollada por el Parlamento y Consejo Europeo para proteger los derechos sobre los datos de los ciudadanos de la UE. Las empresas (incluyendo sitios web, aplicaciones para móviles y de escritorio, etc.) que realizan transacciones comerciales con ciudadanos de la UE se van a ver afectadas por este reglamento.

El 25 de mayo de 2018, el RGPD sustituyó a la ley de protección de datos existente, es decir, la Directiva de Protección de Datos que había estado en vigor desde 1995. Si su empresa recopila o trata los datos de ciudadanos de la UE, deberá cumplir con ese reglamento. Su incumplimiento puede dar lugar a cuantiosas multas de hasta 20 millones de euros o al 4 % de sus ingresos anuales, en función de la cifra más alta.

Uno de los principales objetivos y requisitos del RGPD es mantener a los ciudadanos de la UE informados de cómo las empresas recopilan, utilizan, comparten, protegen y tratan sus datos personales.

Con arreglo al RGPD, deberá informar a sus clientes acerca de por qué trata sus datos y durante cuánto tiempo los va a conservar. Deberá explicarles con lenguaje claro y sencillo cómo utiliza sus datos. Toda esa información debe hacerse llegar de forma gratuita. Si los usuarios son niños, deberá informarles con un lenguaje que puedan entender, sin jerga legal.

Info sobre el RGPD: Texto completo del Considerando 58: El principio de transparencia

Una de las formas más sencillas de mantener la transparencia e informar a sus usuarios es a través de su Política de Privacidad.

Su Política de Privacidad acorde al RGPD

En virtud del RGPD, deberá elaborar una Política de Privacidad completa pero sencilla y ponerla a disposición de sus usuarios.

Antes del RGPD, se aceptaba y esperaba que la mayoría de las Políticas de Privacidad contuvieran la siguiente información:

  • Los datos personales que recopila
  • Cómo los recopila
  • Para qué los utiliza
  • Cómo los protege
  • Si los comparte con terceros
  • Los controles que los usuarios tienen sobre esto

Ahora, sin embargo, el RGPD ha ampliado los requisitos relativos a lo que debe incluir su Política de Privacidad.

Need a Privacy Policy? Our Privacy Policy Generator will help you create a custom policy that you can use on your website and mobile app. Just follow these few easy steps:

  1. Click on "Start creating your Privacy Policy" on our website.
  2. Select the platforms where your Privacy Policy will be used and go to the next step.
  3. PrivacyPolicies.com: Privacy Policy Generator - Select platforms - Step 1

  4. Add information about your business: your website and/or app.
  5. PrivacyPolicies.com: Privacy Policy Generator - Add your business info - Step 2

  6. Select the country:
  7. PrivacyPolicies.com: Privacy Policy Generator - Add your business info - Step 2

  8. Answer the questions from our wizard relating to what type of information you collect from your users.
  9. PrivacyPolicies.com: Privacy Policy Generator - Answer questions from our wizard - Step 3

  10. Enter your email address where you'd like your Privacy Policy sent and click "Generate".

    PrivacyPolicies.com: Privacy Policy Generator - Enter your email address - Step 4

    And you're done! Now you can copy or link to your hosted Privacy Policy.

Vamos a fijarnos ahora en algunas actualizaciones y cláusulas específicas del RGPD que debería incluir su Política de Privacidad.

Quién es su Responsable del tratamiento e información de contacto

Si controla la información personal de sus clientes o la trata para otra empresa, informe de ello a sus clientes. Dígales quién es usted y cuál es su rol en lo relativo a sus datos.

En este ejemplo, Slack - una empresa en la nube - informa a sus usuarios de que su empresa en Irlanda controla y trata la información de usuario autorizada de los clientes fuera de EE. UU. y Canadá. También menciona que su empresa en EE. UU. controla y trata información de usuario autorizada de los clientes en EE. UU. y Canadá.

Política de Privacidad de Slack: Delegado de protección de datos e identificación del Responsable de los datos y cláusulas relativas al Encargado del tratamiento

Así es como lo hace Towergate en su Aviso de tratamiento correcto. Puede incluir una cláusula similar en su Política de Privacidad:

Aviso de tratamiento correcto de Towergate: «Quiénes somos»: Información de contacto del Responsable de los datos según el RGPD

Towergate indica claramente a los usuarios qué son ellos quienes controlan sus datos. Toda la información que suministren los usuarios será conservada por Towergate.

Quién es su Delegado de protección de datos (DPD) e información de contacto

No todas las empresas están obligadas a contar con un Delegado de protección de datos con arreglo al RGPD.

Sin embargo, si es su caso, tendrá que incluir información al respecto en su Política de Privacidad, así como los datos de contacto del DPD.

GitHub incluye una tabla en su Política de Privacidad en la sección Resolución de quejas que contiene los datos de contacto del DPO.

Declaración de privacidad de GitHub: Cláusula de resolución de quejas con información de contacto del DPD

Si utiliza los datos para tomar decisiones automatizadas

El RGPD le obliga a informar a sus clientes si utiliza decisiones automatizadas (por ejemplo, para valorar la solvencia o establecer perfiles de usuarios) con el fin de suministrar productos/servicios a sus usuarios.

Así lo hace Towergate:

Aviso de tratamiento correcto de Towergate: Sección «Sus derechos»: Toma de decisiones automatizadas: RGPD

Informar a los usuarios de los 8 derechos a su disposición en virtud del RGPD

El RGPD le obliga a informar a sus usuarios de sus 8 derechos en virtud del RGPD, a saber:

  1. El derecho a ser informado
  2. El derecho de acceso
  3. El derecho a la rectificación
  4. El derecho a la eliminación
  5. El derecho a limitar el tratamiento
  6. El derecho a la portabilidad de los datos
  7. El derecho de oposición
  8. Derechos relativos a la toma de decisiones automatizadas y la elaboración de perfiles

Puede incluir esos derechos en una cláusula más larga dentro de su Política de Privacidad como hace Direct Travel aquí en su Política:

Política de Privacidad de Direct Travel: Cláusula de derechos del interesado: RGPD

O puede incluir cada derecho en una cláusula independiente con información más personalizada.

Este es otro ejemplo de una cláusula de uSwitch que incluye los derechos de los usuarios con arreglo al RGPD:

Política de Privacidad de uSwitch: Cláusula Sus derechos: RGPD

uSwitch informa a sus clientes de su derecho a poner fin al tratamiento de su información personal con fines de marketing. El usuario puede ejercer ese derecho seleccionando o deseleccionando casillas en los formularios en los que se recopilan sus datos, o posteriormente por correo electrónico.

Así es como GameStop notifica a sus usuarios su derecho de acceso a través de su Política de Privacidad:

Política de Privacidad de GameStop: Cláusula Puede acceder, modificar o cambiar su información personal

Tenga en cuenta que es muy importante que gestione las solicitudes de acceso a la privacidad correctamente.

En su Política de Privacidad, Twitter incluye una cláusula relativa a la portabilidad que explica que los usuarios pueden seguir una serie de instrucciones enlazadas para descargar la información que han compartido a través del sitio web.

Política de Privacidad de Twitter: Cláusula Portabilidad

Twitter también cuenta con una cláusula independiente para acceder y rectificar los datos personales que instruye a los usuarios para rectificar sus datos personales directamente a través de la página de configuración de cuenta.

Política de Privacidad de Twitter: Cláusula Acceso o rectificación de sus datos personales

Mientras los 8 derechos estén incluidos en algún punto de su Política de Privacidad, puede hacerlo de diferentes formas.

Si cede datos a nivel internacional

Si cede datos a nivel internacional, deberá mencionarlo en su aceptación de la Política de Privacidad. Deberá mencionar también cualquier «protección de la privacidad» aplicable a su empresa.

Debenhams lo ilustra como sigue:

Política de Privacidad de Debenhams: Cláusula Cesión de datos a nivel internacional

Debenhams informa a sus usuarios de que cede los datos de usuario a un tercero ubicado fuera del Espacio Económico Europeo (EEE). También indica a sus clientes de que cumplirá la Ley de Protección de Datos de 1998 en dichas cesiones.

Su base jurídica para el tratamiento de los datos

El RGPD le obliga a desvelar la base jurídica para el tratamiento de datos personales de los clientes. Existen 6 bases jurídicas, que son:

  1. El interesado ha autorizado el tratamiento
  2. El tratamiento es necesario para ejecutar un contrato entre ambas partes
  3. El tratamiento es necesario para cumplir una obligación legal
  4. El tratamiento es necesario para proteger intereses vitales del interesado
  5. El tratamiento es necesario para proteger un interés público o ejercer una autoridad oficial
  6. El tratamiento es necesario a los efectos de intereses legítimos, siempre que no se infrinjan derechos o libertades fundamentales

Como verá, es más sencillo limitarse a obtener la autorización del tratamiento de los datos personales, lo que se explicará en breve en este artículo.

El sexto motivo es también una base jurídica común ya que lo que se considera un «interés legítimo» es muy amplio.

Esta información se incluye normalmente en una cláusula acerca de «Cómo utilizamos los datos que recopilamos» como en este ejemplo de Trello:

Política de Privacidad de Trello: Extracto de la cláusula «Información que recopilamos» y que incluye los intereses legítimos, la seguridad y la autorización

Trello cuenta también con una cláusula dedicada exclusivamente a las Bases jurídicas para el tratamiento (para usuarios del EEE):

Política de Privacidad de Trello: Cláusula Intereses legítimos para el tratamiento para usuarios del EEE

Su base jurídica probablemente incluya intereses legítimos como ofrecer soporte al cliente, marketing y otros intereses empresariales habituales. Debe mencionarlo en su Política de Privacidad de forma que los usuarios sepan por qué necesita recopilar sus datos.

Y, como ya hemos dicho, la mejor forma de hacerlo es siempre obtener la autorización antes de recopilar o utilizar datos personales.

Cómo obtener el consentimiento

El RGPD le obliga a pedir y obtener un consentimiento claro antes de recopilar información personal de sus usuarios finales (como nombre, teléfono, etc.). Si la información recopilada es de carácter muy sensible (como el número de tarjeta de crédito, el número de la Seguridad Social, etc.), deberá obtener su consentimiento explícito.

También deberá obtener la aceptación de las condiciones de su Política de Privacidad por parte de los usuarios.

Para obtener el consentimiento de los usuarios, se recomienda utilizar casillas de verificación y un sistema clickwrap. Lo siguiente son algunos ejemplos que muestran cómo obtener el consentimiento de los usuarios.

Sainsbury's utiliza una casilla de verificación para solicitar el consentimiento de los usuarios y también vínculos con su página de Condiciones Generales. También pide permiso para enviar otra información al usuario con un simple botón de sí/no circular.

Formulario de registro de Sainsbury con consentimiento clickwrap de las Condiciones Generales y autorización para contactar

The Data Protection Network recoge las Condiciones Generales del sitio web en una página por la que es posible desplazarse con una casilla de verificación para obtener el consentimiento del usuario situada justo encima. Utiliza un botón intuitivo de marca de verificación/cruz para solicitar el consentimiento del usuario al envío de mensajes de correo electrónico. También incluye un enlace con su Política de Privacidad en la misma página.

The Data Protection Network: Formulario de registro con consentimiento clickwrap de las Condiciones Generales e incorporación a la lista de mailing

Esto también sirve para las aplicaciones. Así es como la aplicación de ID de Adobe utiliza un sistema clickwrap para que los usuarios acepten su Política de Privacidad al registrarse:

Pantalla de registro de Adobe ID: Ejemplo de clickwrap con aceptación de las Condiciones Generales y Política de Privacidad

Conclusión

Probablemente ya disponga de una Política de Privacidad para su empresa, sitio web o aplicación, pero el RGPD le obliga a revisarla y actualizarla para que resulte más informativa, concisa e incluya determinada información específica que antes no era necesaria.

También tendrá que reforzar sus requisitos de consentimiento para utilizar casillas de verificación, botones «Aceptar» y texto claro en torno a dichos elementos que informe a los usuarios de qué es lo que están autorizando exactamente.

Última actualización 24 June 2021

Maria P.