Nuevo informe de la AEPD sobre la adaptación al RGPD de las políticas de privacidad de las páginas web

Autor: Isabel García

Fecha: 8.11.2018

Con fecha de septiembre de 2018 la Agencia Española de Protección de Datos (en adelante, “AEPD” o la “Agencia”) ha publicado nuevo informe, en particular relativo a la adaptación del entorno online de las empresas al Reglamento (UE) 2016/679, de 27 de abril, General de Protección de Datos (en adelante, “RGPD”). El informe, elaborado sobre la base de un análisis de las páginas web de una muestra de empresas pertenecientes a cuatro sectores de actividad diferentes, detecta los incumplimientos más comunes en materia de protección de datos de carácter personal en los que las empresas incurren. Las áreas analizadas han sido: 

a. la información que proporcionan a los usuarios en sus políticas de privacidad y formularios online de recogida de datos;

b. la forma en que se presenta dicha información; y

c. la forma en que se solicita el consentimiento online para aquellos tratamientos que lo requieren.

En cuanto al contenido de la información que se proporciona a los usuarios, destacan los siguientes puntos e incumplimientos que se presentan como los más recurrentes: 

1) Se hace hincapié en la falta de información sobre la identidad y datos de contacto del representante del responsable. Si bien esta identificación no constituye una obligación a la luz del RGPD, que sí obliga a identificar al responsable del tratamiento y, en su caso, también al Delegado de Protección de Datos, deducimos que la identificación del representante del responsable se considera una buena práctica que facilita a los interesados el contacto con el mismo.

2) Además de indicar las finalidades del tratamiento de los datos personales, hay que recordar que también se debe indicar cuál es la base jurídica que legitima cada una de las actividades de tratamiento y, cuando la base legal sea el interés legítimo del responsable, hay que indicar, además, cuál es ese interés, debiendo evitarse las menciones genéricas.

3) Mención especial merece el interés legítimo, cuando es usado como base legal para justificar los tratamientos de datos personales de los usuarios. Además de tener que detallar cuál o cuáles son esos intereses legítimos en concreto, no hay que olvidar que el RGPD exige que, para poder realizar el tratamiento con dicha base, es necesario haber realizado a priori una ponderación entre los intereses que se alegan por parte del responsable y el derecho de los interesados a la protección de sus datos personales; ponderación que, además, debe quedar documentada. El interés legítimo debe ser utilizado con cautela, no puede servir de cajón de sastre, pues una utilización poco meditada de esta base legitimadora puede aumentar el riesgo de incumplimiento. 

4) En el caso de que se vayan a realizar transferencias internacionales de los datos personales, el RGPD establece que es obligatorio proporcionar la información al respecto de forma detallada. Esto se traduce en que se hace necesario indicar claramente si existe o no una decisión de adecuación de la Comisión al respecto y, en caso negativo, habrá que indicar qué garantías adecuadas se han proporcionado, ya sea mediante la firma de cláusulas contractuales tipo aprobadas por la Comisión, mediante normas corporativas vinculantes o cualquier otra garantía prevista en el RGPD, sin que sea válida la mención genérica de “mediante garantías adecuadas”. Además, es buena práctica indicar al usuario el procedimiento para obtener una copia de las mismas o de cualquier otro documento que justifique que se han prestado las garantías indicadas.

5) Se debe informar al interesado si tiene una obligación legal de facilitar los datos personales o si constituye un requisito contractual y sobre las consecuencias que una negativa a proporcionarlos tendría para el interesado, siendo insuficiente la indicación de que el usuario no podrá completar la acción deseada si no facilita los datos requeridos.

En cuanto a las peticiones de consentimiento que se incluyen en los formularios online, es importante destacar los siguientes extremos:

1) Es muy importante tener en cuenta que será necesario pedir el consentimiento para cada una de las finalidades del tratamiento de los datos de forma separada, sin perjuicio de que se puedan agrupar finalidades afines dentro de una misma petición de consentimiento.

2) El  consentimiento debe ser prestado mediante un acto afirmativo claro, es decir, ni el silencio ni la inactividad ni las casillas pre-marcadas son válidas. 

3) En relación con ambos puntos anteriores, no es válida una casilla para marcar con la indicación “He leído y acepto la política de privacidad”. La política de privacidad es información a los usuarios sobre el tratamiento de sus datos personales, no un texto sobre el que deben consentir. Si hay tratamientos sujetos al consentimiento del usuario, se pedirá ese consentimiento de forma separada, de manera que no se induzca a error al interesado sobre cuáles tratamientos requieren su consentimiento y cuáles están legitimados por distinta base jurídica.

4) El consentimiento debe ser informado, es decir, la solicitud debe ir acompañada de la información relativa a los tratamientos de datos que requieren dicho consentimiento de conformidad con el art. 13 del RGPD.

Por último, en cuanto al modo de presentar la información, la Agencia reitera que ésta debe facilitarse al interesado de forma clara y concisa, utilizando un lenguaje sencillo y teniendo en cuenta que el objetivo es que el usuario pueda tomar decisiones informadas sobre el tratamiento de sus datos personales. Se pone especial énfasis en que la extensión de las explicaciones sea proporcionada, a fin de no desalentar su lectura y entendimiento. La AEPD vuelve aquí a aludir a la idoneidad de presentar la información por capas.

Las conclusiones del informe destacan que las empresas que trabajan online muestran una “cierta resistencia” a pasar del anterior modelo de consentimiento tácito al nuevo que requiere una ampliación de la información que se debe proporcionar a los usuarios y que exige la prestación de consentimiento mediante una clara acción positiva por su parte cuando éste se hace necesario.