El texto de política de privacidad de los sitios web debe adaptarse al nuevo Reglamento General de Protección de Datos (RGPD). Esta norma, que entró en vigor el pasado 25 de mayo de 2018, introduce cambios en el tratamiento de la información y la gestión de los datos que recaben las empresas. En líneas generales, el objetivo de esta normativa es resguardar los derechos del usuario, que se explicarán más adelante, y no cumplirla puede acarrear sanciones relevantes para la compañía.
El nuevo reglamento afecta a cualquier organización que trate con datos personales dentro de la Unión Europea. Asimismo, deberán ajustarse a él las empresas ubicadas fuera de Europa, pero que hagan uso de datos procedentes del territorio de la UE. También se aplica la normativa a trabajadores autónomos, siempre que traten con información personal.
La principal novedad del RGPD es que ya no sirve dar por hecho que el usuario cede sus datos si no muestra su rechazo. Tendrá que aceptar la condición de forma explícita. No es algo que se aplique solo a la información sensible, y es que ya se consideran datos personales el nombre y la dirección de correo electrónico que una persona da cuando deja un comentario en una página web.
En estos casos, habrá que implementar una casilla que el usuario tendrá que marcar conforme acepta la política de privacidad. Es importante tener en cuenta que esta casilla no debe estar ya marcada.
El Reglamento General de Protección de Datos considera que el responsable de tratar la información personal ha de tomar una actitud preventiva. Por eso, el primer paso es hacer un análisis de riesgos para decidir qué medidas de seguridad deben tomarse. La nueva normativa considera insuficiente actuar cuando ya se ha producido el robo de datos u otros problemas igualmente graves.
En el caso de que, aun así, haya una violación de la seguridad, habrá que notificarla en 72 horas como mucho a la Agencia de Protección de Datos. También se deberá informar a los afectados si el problema puede tener alguna repercusión sobre ellos, como en el caso de que se haya accedido a datos sensibles.
Es una figura recogida en la normativa, pero que no tiene por qué existir en todas las compañías. Es importante considerar en este punto que no son igual de graves los riesgos que tiene un autónomo cuya web recibe cinco comentarios al día que los que corresponden a una empresa que recoge datos bancarios o médicos de miles de personas.
Por eso, tendrán que contar con un delegado de protección de datos las entidades que accedan a información sensible o que traten con un volumen de datos muy elevado.
Lo primero es saber que es obligatorio según el nuevo reglamento, contar con este texto de política de privacidad. Además, hay que procurar que sea entendible para todos los usuarios, así que se evitará en la medida de lo posible usar tecnicismos que la gente de a pie no vaya a comprender.
Habrá que identificar tanto al responsable de los datos como a los destinatarios, si es que los hay. También habrá que informar si se usa alguna herramienta de automatización o almacenamiento que pueda tener acceso a los datos.
Después se tendrá que explicar el uso que se les va a dar e informar del plazo durante el que se vayan a conservar. En cuanto al uso, se deberá decir si la información se va a usar solo con fines estadísticos o de facturación, si se le dará un uso publicitario y todo lo que pueda interesar al usuario. Luego, habrá que recordarle sus derechos de acceso, rectificación, supresión y limitación.
Por último, habrá que colocar una casilla de aceptación de esta política en cualquier formulario donde el usuario vaya a ceder los datos. Además, el texto de política de privacidad ha de estar en un lugar visible, y es ideal enlazarlo siempre que se pida consentimiento.
Según el RGPD, los usuarios tienen los siguientes derechos:
El usuario puede dirigirse al responsable de los datos y preguntarle si está tratándolos, así como obtener información al respecto.
El usuario puede pedir modificaciones de sus datos si estos son incorrectos o incompletos, sin que esto sufra retrasos indebidos. En algunos casos, puede ser necesario aportar documentación que lo justifique.
El usuario puede pedir la supresión de sus datos bajo ciertas circunstancias, aunque la entidad podría negarse a ello en según qué casos como, por ejemplo, si la información es necesaria para cumplir con una obligación legal.
El usuario tiene derecho a tomar medidas respecto al tratamiento de tus datos. Estas podrían ir en la línea tanto de suspender el tratamiento como de impedir la supresión de la información.
Si el tratamiento de los datos está automatizado, su propietario puede pedirlos en formato estructurado para transmitirlos a un tercero. No obstante, hay excepciones en las que no se puede ejercer este derecho, como los casos en que la información se necesita para cumplir una misión de interés público.
Una persona puede oponerse a que se traten sus datos, dando para ello un motivo legítimo y justificado.
Es el derecho a no verse afectado por una decisión basada únicamente en los datos, como la evaluación de aspectos personales.
Es el derecho del titular de los datos a ser informado debidamente por quien los trata. Aquí es donde tiene un papel relevante el texto de política de privacidad.
Estos son los derechos que pretende resguardar el Reglamento General de Protección de Datos, y el texto de política de privacidad es una herramienta fundamental para ello. Es importante darle la relevancia que merece, pues no cumplir con la normativa puede conllevar la aplicación de elevadas sanciones.
