Auditoría & Co

La Agencia Española de Protección de Datos (AEPD) publicó el informe ‘Políticas de Privacidad en Internet. Adaptación al RGPD, el cual tiene por objeto analizar la adaptación, el nuevo Reglamento General de Protección de Datos (RGPD), de la política de privacidad online de diferentes empresas.

Se puede consultar el texto del informe siguiendo este enlace.

Este análisis ha ayudado a la AEPD a ser consciente del esfuerzo que han hecho las empresas para adaptarse a las nuevas exigencias legislativas pero, también, ha puesto de manifiesto la diversidad de criterios a la hora de realizar la adaptación. Por este motivo y, con el objetivo de fomentar la correcta aplicación del RGPD, el informe incluye diferentes recomendaciones.

Se recomienda revisar la extensión de los documentos de privacidad porque a menudo son demasiado extensos, poco concisos y de difícil comprensión. No hay que perder de vista que el objetivo de facilitar esta información es que el usuario pueda tomar decisiones sobre el tratamiento de sus datos personales y, por tanto, se ha de facilitar su lectura y comprensión. Para facilitar la lectura la AEPD sugiere la utilización de una primera capa a la que se proporcione la información resumida y una segunda capa donde se facilite la información más detallada. Y, en cuanto a la comprensión, se debería evitar el uso de expresiones ambiguas y de términos excesivamente técnicos y/o jurídicos que no aportan información real al interesado. Podemos utilizar como ejemplo la fórmula “mientras exista interés mutuo” la cual no indica de manera clara cuánto tiempo se conservarán los datos ni facilita al interesado una idea aproximada del plazo establecido por la legislación o normativa aplicable.

En cuanto al consentimiento, la AEPD indica que, para que éste sea válido, se deberá solicitar por cada una de las finalidades del tratamiento, resultando inapropiada la fórmula genérica utilizada en los formularios de recogida de datos de “He leído y acepto la política de privacidad” que recoge el consentimiento en bloque. Se propone la opción de agrupar las finalidades para las que se solicita el consentimiento, por lo que no se trate de un consentimiento en bloque pero tampoco resulte complicado controlar la utilización de los datos.

Por otra parte, el informe nos recomienda identificar adecuadamente la base legal que legitima el tratamiento de los datos personales porque suele ser frecuente incluir como interés legítimo lo que en realidad es un tratamiento necesario para la ejecución de un contrato.

Junto con este informe, la AEPD ha publicado el “Decálogo para la adaptación al RGPD de las políticas de privacidad en internet” donde recoge los puntos a tener en cuenta para la correcta aplicación del RGPD como son informar sobre quién trata los datos personales, la base legal que legitima el tratamiento, el tiempo de conservación, los derechos de los usuarios y la forma de ejercerlos, entre otros.

Se puede consultar el Decálogo siguiendo este enlace.