Cómo hacer una Política de Privacidad adecuada y transparente y su importancia

Cómo hacer una Política de Privacidad adecuada y transparente y su importancia

Los cambios anunciados por WhatsApp en sus Términos y Condiciones y, especialmente su efecto sobre la Política de Privacidad asociada al servicio, han provocado una oleada de reacciones, en general de rechazo, por parte de los usuarios que consideran que el uso de su información previsto por WhatsApp vulnera su privacidad.

Si bien los cambios en la Política de Privacidad de WhatsApp que han generado este rechazo no son aplicables a usuarios europeos, el revuelo generado pone de manifiesto el interés creciente de los usuarios sobre el tratamiento de sus datos personales y destaca, más si cabe, la importancia de hacer Políticas de Privacidad transparentes, que expongan de forma sencilla y accesible el uso que las empresas, Responsables del tratamiento, prevén sobre los datos personales de los usuarios de sus servicios.

Cómo hacer una Política de Privacidad: información que debe tener

  • Identidad y datos de contacto del responsable del tratamiento. Cuando el responsable del tratamiento esté establecido fuera de la Unión Europea (UE) pero ofrezca sus servicios a usuarios europeos, debe constar la identificación del representante designado en la UE.
  • Datos de contacto del Delegado de Protección de Datos, en caso de haber sido designado.
  • Finalidades del tratamiento previstas y la base jurídica que legitima cada una de ellas. Cuando el tratamiento de los datos se base en la satisfacción de intereses legítimos, debe indicarse también cuáles son dichos intereses legítimos perseguidos.
  • Cuando los datos solicitados sean de aportación obligatoria, debe informarse al interesado si tiene una obligación legal o si es un requisito necesario para la suscripción de un contrato, explicando, asimismo, las posibles consecuencias de no facilitar tales datos.
  • Si se tratarán los datos para adoptar decisiones automatizadas, incluida la elaboración de perfiles, debe informarse de la existencia de estas decisiones y dar información clara y simple sobre la lógica aplicada.
  • Si está previsto que los datos sean transferidos fuera del Espacio Económico Europeo se debe informar al interesado de las transferencias previstas y de la existencia de decisiones de adecuación, garantías, normas corporativas vinculantes o situaciones específicas aplicables a dichas transferencias. Tal y como indica la AEPD en su “Decálogo para la adaptación al rgpd de las políticas de privacidad en internet” no es suficiente el uso de fórmulas genéricas como “la aplicación de garantías adecuadas”. Además, debe explicarse el procedimiento para obtener una copia de las garantías aplicadas.
  • Plazo de conservación de los datos en relación con la finalidad que justifica su recogida.
  • Si se van a ceder datos a terceros, la Política de Privacidad debe contener información sobre los destinatarios de los datos, o las categorías de destinatarios si estos no están determinados previamente.
  • Información clara sobre los derechos de los interesados y cómo ejercitarlos; indicando la posibilidad de presentar una reclamación ante la autoridad de control si consideran que el derecho ejercitado no ha sido debidamente atendido.

Para poder exponer toda la información requerida y cumplir con el principio de transparencia, será esencial que el responsable del tratamiento conozca perfectamente los rasgos del tratamiento que va a realizar. Para ello, deberá haber definido todas las finalidades previstas y determinado los datos requeridos para cada una de ellas, la base jurídica que legitima el tratamiento en cada caso, los plazos de duración del tratamiento y conservación de los datos, etc.

Al hacer una Política de Privacidad, además del contenido, deberá prestarse atención a la forma en la que se expone y al medio a través del cual se facilita la información. Debe utilizarse un lenguaje claro y sencillo, exponerse de forma concisa, transparente, inteligible y ser de fácil acceso y adaptada al interesado al que va dirigida, teniendo en cuenta su edad y su nivel de conocimiento.

El incumplimiento del deber de informar puede ser sancionado con multas de hasta 20 millones de euros o hasta el 4% del volumen de negocio del total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía.  Los ejemplos más recientes y destacables por razón de la cuantía, los encontramos en las sanciones impuestas por la Agencia Española de Protección de Datos (AEPD) a CaixaBank y BBVA. En ambos casos, entre otros incumplimientos, se le impone a cada una de estas entidades una sanción de 2 millones de euros por incumplir el deber de informar a los interesados.

Además, cabe tener en cuenta que la información dada al usuario sobre el tratamiento previsto será la base de otros ámbitos de cumplimiento. En particular, brindar al interesado la información de forma incorrecta o incompleta afectará a la validez del consentimiento otorgado, cuando este sea necesario como base jurídica de legitimación del tratamiento.

Pero no se trata simplemente de una cuestión de cumplimiento. La Política de Privacidad vinculada a un producto o servicio refleja la filosofía de la empresa responsable y su grado de compromiso con la protección de los derechos de los usuarios. Es, por lo tanto, un requisito esencial para generar confianza en un público cada vez más concienciado con la privacidad.

Contar con el asesoramiento de abogados especializados en privacidad para hacer su Política de Privacidad permitirá a su empresa cumplir con la normativa vigente y ofrecer a los usuarios información clara y completa sobre el tratamiento de sus datos personales. Contacte con nuestros abogados especializados aquí.

Nelia Ávarez

Abogada del Área de Tecnología, Innovación y Economía Digital

Añadir nuevo comentario