Cómo el responsable del tratamiento suele mezclar «las churras con las merinas»
Licencia Pixabay https://pixabay.com/es/service/license/
La política de privacidad, no es una política cualquiera …
Vemos en casi la totalidad de las páginas web la inclusión de una política de privacidad, a la que se puede acceder a través de un vínculo, y cuando accedemos a la misma, nos encontramos, casi siempre, con la siguiente información: quién es el responsable del tratamiento de los datos personales, finalidad o finalidades del tratamiento de los datos, conservación de los datos y posibles comunicaciones y cesiones, y los derechos de los interesados; y poco más.
Esta es la información que el artículo 13 del RGPD exige que se facilite al interesado cuando se recaben sus datos personales.
¿Es esto una política de privacidad? ¿Se puede considerar esta información una política de privacidad? ¿Viene regulada en el RGPD o LOPD la política de privacidad?
Se ha admitido, por costumbre, por práctica continuada o quizás por una falta de estudio o tratamiento del tema en profundidad, que esta mención preceptiva legal es una política de privacidad, y si bien dicha información cumple con algunos de los objetivos de una política privacidad no lo es realmente.
¿Hay alguna mención o referencia a la política de privacidad en la normativa?
El considerando 78 del RGPD dice que:
“A fin de poder demostrar la conformidad con el presente Reglamento, el responsable del tratamiento debe adoptar políticas internas y aplicar medidas que cumplan en particular los principios de protección de datos desde el diseño y por defecto.”
El artículo 24 del RGPD menciona que:
Artículo 24. Responsabilidad del responsable del tratamiento
2. Cuando sean proporcionadas en relación con las actividades de tratamiento, entre las medidas mencionadas en el apartado 1 se incluirá la aplicación, por parte del responsable del tratamiento, de las oportunas políticas de protección de datos.
La última mención que encontramos a la política de privacidad es en el artículo 39 del RGPD, en relación a las funciones del Delegado de protección de datos:
Artículo 39. Funciones del delegado de protección de datos
1. El delegado de protección de datos tendrá como mínimo las siguientes funciones:
b) supervisar el cumplimiento de lo dispuesto en el presente Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes;
En ningún apartado del RGPD se habla de forma estricta o específica de “política de privacidad” solamente de políticas internas, políticas del responsable o política de protección de datos.
De lo regulado podemos deducir en primer lugar que la política de protección de datos que se adopte por el responsable del tratamiento, se contempla como una medida proactiva para poder demostrar el cumplimiento (artículo 5.2 RGPD responsabilidad proactiva) como una más de sus políticas internas, y que será una más de las medidas a adoptar cuando sean proporcionadas en relación con las actividades de tratamiento. También el DPD, si se hubieran adoptado alguna política, debería supervisar su cumplimiento.
Por ello, no es obligatorio, en todo caso solamente aconsejable, la adopción de políticas de protección de datos por parte del responsable del tratamiento y en modo alguno, ya que ningún precepto del RGPD ni de la LOPD, exige u obliga a que se publique alguna de esas políticas internas que el responsable haya podido adoptar en su caso. Una vez más, se adolece de un conocimiento apropiado … y se sigue la costumbre de copiar lo que se ve en otro sitio sin saber lo que se rotula o lo que se muestra
¿Por qué no se indica simplemente que es la información que el RGPD exige que es necesario facilitar al interesado?
Si bien es obligatorio ofrecer esta información por exigencia legal, no lo es mostrar, exponer o proporcionar la política de privacidad que mantenga el profesional, la empresa o la entidad que trate datos personales.
Si se quiere o se ve oportuno se puede ofrecer la política de privacidad, dándole la oportunidad al interesado que la conozca, pero no obligándole ni siquiera que la acepte, sería abusivo que la aceptara cuando lo único exigible, para el responsable del tratamiento es ofrecer la información (si siquiera la política que ha de mantener).
En todo caso sería la política de privacidad en relación al contexto donde figura y en todo caso a los tratamientos que se realizaran con los datos que se recaban desde dicha web.
Emplear la información que el articulo 13 RGPD exige facilitar cuando se obtengan datos del interesado como una política de privacidad, denota e implica que se desconoce el concepto de política (en el contexto de una organización) en general y el de política de privacidad en concreto.
Creo que el que cuelga “esa” política de privacidad, e incluso exige que se acepte dicha política antes de recabar datos personales (tampoco se menciona en ningún precepto normativo que el interesado deba aceptar la política de privacidad, tan solo que se le informe sobre el tratamiento a realizar y en su caso que preste su consentimiento expreso e inequívoco para el tratamiento de sus datos) ¿conoce el concepto de “política” o más concretamente “política de privacidad”?
Tampoco se exige que se acepte la política de privacidad por parte de los interesados, por la sencilla y simple razón que la política de privacidad establece objetivos y compromisos para el responsable del tratamiento no para el interesado. En estricto sentido la acción de manifestar que se acepta una política de privacidad no conlleva por si misma que se esté prestando el consentimiento para el tratamiento de los datos, y si lo que se pretende es que el consentimiento sea expreso, mucho menos …
Lo que se exige es que se pueda demostrar que el consentimiento sea libre, expreso e informado (artículo 7 del RGPD y artículo 6 de la LOPD) y se cree o se pretende que si se acepta la política de privacidad ya lo es. ¿Tan difícil es poner simplemente “doy mi consentimiento expreso para el tratamiento de mis datos” o una expresión similar?
También está la cuestión de acreditar que se ha informado (para que el consentimiento sea informado) por eso esa tendencia a que se acepte la política de privacidad, en este supuesto se ha de condicionar el envío de los datos a una manifestación de que se ha accedido a ella “He leído – Comprendo cómo se van a tratar mis datos” ….
Quizás la costumbre de solicitar que se acepte la política de privacidad derive de las páginas .com en las que no existe una normativa RGPD-LOPD salvo las normas que la empresa determine siendo un pacto entre ésta y el usuario, sí teniendo este caso sentido de que se acepte esta forma en la que se van a tratar los datos.
Si los servicios se dirigieran a los usuarios europeos tampoco tendría sentido que se aceptara la política de privacidad porque la normativa aplicable sería la europea (RGPD)
Artículo 3. Ámbito territorial
1. El presente Reglamento se aplica al tratamiento de datos personales en el contexto de las actividades de un establecimiento del responsable o del encargado en la Unión, independientemente de que el tratamiento tenga lugar en la Unión o no.
2. El presente Reglamento se aplica al tratamiento de datos personales de interesados que se encuentren en la Unión por parte de un responsable o encargado no establecido en la Unión, cuando las actividades de tratamiento estén relacionadas con:
a) la oferta de bienes o servicios a dichos interesados en la Unión, independientemente de si a estos se les requiere su pago, o
b) el control de su comportamiento, en la medida en que este tenga lugar en la Unión.
Origen y significado del término “política”
En un sentido amplio y común la política es la actividad de los que gobiernan; puede haber política de izquierdas, de derechas o de centro, y sus objetivos y finalidades serán distintos para cada una de ellas. Este concepto también se emplea en la actividad y actuación de entidades, organizaciones y empresas; así pueden adoptar una determinada política de ventas, de devoluciones, de admisión, etc …
Según la Real Academia Española de la lengua, una de las acepciones de “política” es la de “Orientaciones o directrices que rigen la actuación de una persona o entidad en un asunto o campo determinado.” siendo una orientación la información o consejo en relación con un determinado fin, y una directriz una instrucción o norma que ha de seguirse en la ejecución de algo.
Encuadrando así el término, una política, conforme a los estándares ISO (International Organization for Standardization -Organización Internacional de Estandarización-) es una declaración de alto nivel requerida por las normas ISO, que son un conjunto de estándares con reconocimiento internacional que fueron creados con el objetivo de ayudar a las empresas a establecer unos niveles de homogeneidad en relación con la gestión, prestación de servicios y desarrollo de productos, así por ejemplo la Norma ISO 9001 que determina los requisitos para un Sistema de Gestión de la Calidad, requerirá una política de calidad, o la Norma ISO 27001 de Gestión de la Seguridad de la Información, requerirá una política de seguridad de la información, y acercándonos más a nuestra área, la Norma ISO 27701, de gestión de la privacidad de la información, requerirá una política de gestión de la privacidad de la información.
Si la una entidad o empresa adopta, por ejemplo, esas normas ISO, es la alta dirección de una entidad o empresa quién ha de elaborar y aprobar las correspondientes políticas con el fin de plasmar sus intenciones generales y orientaciones en materia de calidad, seguridad o privacidad.
Resumiendo, la política es un documento que debe ser elaborado y redactado por la alta dirección y en el cual se debe describir lo se trata de lograr, así como su compromiso para conseguirlo en cada área de actuación, no bastando que sea una mera repetición o referencia a las exigencias legales aplicables.
La política de privacidad hará referencia a la información que se ha de proporcionar al interesado cuando se recaban sus datos, pero no ha de versar solamente sobre esta cuestión, y además esta referencia será más escueta que la detallada información que legalmente se exige que se proporcione al interesado.
Conclusión
Podemos admitir que la información legal preceptiva se denomine política de privacidad y que se cumple así con la exigencia de poner dicha información a disposición del interesado, pero en puridad, empleando una técnica jurídica más depurada, y desde mi punto de vista más correcta, sería más adecuado ofrecer esta información, tal como se exige legalmente, y de forma voluntaria si se considera oportuno, exponer la política de privacidad ya sea la política de privacidad para el sitio web en cuestión como, si se quiere proporcionar, por motivos de transparencia o imagen, la política privacidad que rige en todos los tratamientos que la empresa o entidad realice.
Así se llamaría cada cosa por su nombre y no se mezclarían términos ni conceptos, y dicho sea de paso, se eliminaría esa obligación – que no consta en ningún precepto legal y que no tiene sentido normativo alguno – de que el usuario tenga que “aceptar la política de privacidad”, pues lo correcto y exigido por la norma es que el interesado quede debidamente informado (de quien es el responsable, la finalidad del tratamiento, etc, es decir de lo que relaciona el artículo 13 del RGPD) y que, en su caso, conste que ha prestado su consentimiento expreso para el tratamiento de sus datos personales.
Adenda
Para disponer de una correcta información RGPD y política de privacidad dispongo de los correspondientes modelos en mi tienda on line (si has leído este artículo puede emplear los códigos de descuento que adjunto para cada uno de ellos).
Como ya hemos indicado la información preceptiva y exigida legalmente es la que se especifica en el artículo 13 del RGPD y se permite, y es más práctico y efectivo, que de forma resumida se indique, conforme establece el artículo 11 de la LOPD.
1. Cuando los datos personales sean obtenidos del afectado el responsable del tratamiento podrá dar cumplimiento al deber de información establecido en el artículo 13 del Reglamento (UE) 2016/679 (LCEur 2016, 605) facilitando al afectado la información básica a la que se refiere el apartado siguiente e indicándole una dirección electrónica u otro medio que permita acceder de forma sencilla e inmediata a la restante información.
2. La información básica a la que se refiere el apartado anterior deberá contener, al menos:
a) La identidad del responsable del tratamiento y de su representante, en su caso.
b) La finalidad del tratamiento.
c) La posibilidad de ejercer los derechos establecidos en los artículos 15 a 22 del Reglamento (UE) 2016/679.
Si los datos obtenidos del afectado fueran a ser tratados para la elaboración de perfiles, la información básica comprenderá asimismo esta circunstancia. En este caso, el afectado deberá ser informado de su derecho a oponerse a la adopción de decisiones individuales automatizadas que produzcan efectos jurídicos sobre él o le afecten significativamente de modo similar, cuando concurra este derecho de acuerdo con lo previsto en el artículo 22 del Reglamento (UE) 2016/679.
El usuario que accede a la página web, si desea contactar por este medio, proporciona sus datos personales de forma voluntaria para las finalidades que se le indiquen, por ello ha de constar que presta de forma expresa su consentimiento que ha de ser informado.
Política de privacidad para una web
Como hemos indicado en una política se incluirán los objetivos, compromisos y principios que el responsable del tratamiento se marca, en este caso, sobre la recogida de datos personales desde una página web y el tratamiento que se realizará de ellos.
Modelo de politica de privacidad web
Cupón descuento: PP-DA04-BLOG
NOTA: Utiliza este cupón descuento solamente para este producto (no en una compra junto con otros documentos)
Información RGPD-LOPD
Esta sería la información preceptiva del artículo 13 RGPD. Está redactada solamente para la finalidad de contactar con el usuario.
Modelo de información RGPD-LOPD
Cupón descuento: PP-DA08-BLOG
NOTA: Utiliza este cupón descuento solamente para este producto (no en una compra junto con otros documentos)
