Recomendaciones AEPD sobre Políticas de Privacidad

1-Identidad del Responsable:

• Incluir esta información al principio
• Facilitar correo o formulario electrónicos por tratarse de entorno online.DPD
• Facilitar correo o formulario electrónicos por tratarse de entorno online.
• Unificar terminología (DPO, DPD, Delegado de Protección de datos…)

2-Finalidades y base de legitimación:

• Agrupar finalidades por categorías. Por ejemplo, se recomienda por base jurídica de tratamiento.
• Tratamiento de datos con fines de mercadotécnica, publicidad o comunicaciones comerciales:

-A través de medios electrónicos: antes de acudir al interés legítimo (considerando 47 RGPD), hay que tener en cuenta el Art. 21 LIS, que requiere que hayan sido autorizadas o solicitadas expresamente por los destinatarios, o bien, se cumpla con los siguientes requisitos: relación contractual previa, datos obtenidos de forma lícita y productos/servicios ofrecidos similares a los que fueron objeto de contratación previamente y de la propia empresa. 

-Si se realiza a través de otros medios, no aplica el Art. 21 LIS, pero es necesario que se trate de productos similares a los ya contratados y propios de la empresa.

3-Aplicación del interés legítimo: no basta la referencia a “interés legítimo” ni fórmulas como “conocerte mejor”. Es deseable que se documente la ponderación realizada entre este interés del responsable y el derecho de los usuarios a la protección de sus datos personales.

4-Destinatarios:

• Agrupar por categorías de destinatarios.
• Si no se ceden datos, también se tiene que informar

5-Transferencias Internacionales: no basta con informar, tiene que decirse si existe una decisión de adecuación al respecto de la Comisión y en caso contrario, mencionar las garantías (no utilizar formulas genéricas como “garantías adecuadas”, hay que decir una enumeración sin entrar en detalles) y el procedimiento para obtener una copia de esta o de que se prestaron y evitar que no sea extenso.

6-Plazo de Conservación:

• No sirve “mientras exista un interés mutuo”. Si no se puede determinar, hay que ofrecer criterios que permitan calcula una aproximación
• Ejemplo de buena práctica: conservar datos una vez finalice el compromiso de compra y la posibilidad de reclamación

7-Derechos de los Interesados:

• Recomendable que la información sobre derechos se recoja en apartado separado y se informe del procedimiento de su ejercicio y modo de contacto (mejor mediante e-mail o formulario habilitado). Ejemplo: “Puede ejercitar sus derechos de acceso, rectificación, supresión y portabilidad de datos, de limitación y oposición a su tratamiento, así como a no ser objeto de decisiones basadas únicamente en el tratamiento automatizado de sus datos, cuando procedan, ante XXX, con domicilio en XXX, o en la dirección de correo electrónico XXX”
• En caso de ejercicio de derechos por medios electrónicos: se recomienda implantar mecanismos que permitan acreditar la identidad del interesado, así como la recepción y respuesta dada.

8-Reclamación de Autoridad de Control: informar y facilitar enlace

9-Decisiones Automatizadas: no es suficiente con informar que estos se realicen perfiles, tiene que decirse la lógica aplicada para ello, la importancia de esta actividad para el interesado y las consecuencias que podrían darse para él. Se recomienda evitar fórmulas como “se recogen datos para personalizar tu experiencia” o “para conocerte mejor”.

10-Tratamiento basado en el Consentimiento Informado:

• Requisitos de validez del consentimiento: informar de la identidad del responsable, finalidades para las que se solicita, tipo de datos, dº revocación, información sobre el uso de datos para decisiones automatizadas cuando sea pertinente e información sobre posibles riesgos de transferencias por falta de decisión de adecuación o garantías adecuadas.
• Tipo de datos: se recomienda informar en el mismo formulario en el que se recoge la solicitud del consentimiento, aunque sea resumido. Si se recoge en otro doc. aparte, es importante que se diga qué datos derivan de la obtención del consentimiento.
• Finalidades para el consentimiento: se recomienda incluir en el mismo formulario de obtención del consentimiento, aunque luego se detalle en privacidad.
• Se recomienda utilizar la fórmula “revocar la autorización que dio” o “derecho a oponerse” a determinados fines del tratamiento. Es una buena práctica que se informe en el mismo formulario de solicitud de consentimiento.
• Solicitud para cada finalidad: no solicitarlo en bloque, aunque se recomienda agrupar para que sea más comprensible
• Tiene que ser acto afirmativo claro, sin casillas premarcadas tácito, se recomienda buena práctica informar que tiene que leer y comprender el aviso legal y política de privacidad, así como recordarle al usuario la elección de permisos y solicitar confirmación del consentimiento (solicitar una segunda confirmación del consentimiento, al igual que se hace para la baja en lagunas ocasiones)
• Se recomienda que se emplee letra negrita o grande para la solicitud del consentimiento en lugar de que sea más pequeña o cursiva
• No se considera suficiente obtener el consentimiento del usuario mediante un botón con una leyenda genérica “he leído y acepto las condiciones de la política de privacidad”, pues tiene que distinguirse obtención del consentimiento del resto de la relación. Se recomienda que la solicitud del consentimiento

11-DPD: Se recomienda unificar denominación, valorar nombramiento, aunque no sea obligatorio, incluir sus datos al inicio de la política, en apartado específico, fácilmente accesible, preferiblemente en el apartado de contacto con la empresa o en la sección dedicada a atención al cliente. Por tratarse de entorno online se recomienda email o formulario electrónico. Se considera buena práctica explicar sus funciones y cómo puede ayudar al interesado en la Política de Privacidad.

Laura Iglesias Hevia

liglesias@helasconsultores.com