A estas alturas sería de esperar que tu política de privacidad web esté perfectamente actualizada. Has contado con tiempo suficiente desde el pasado mes de mayo.
Pero es muy probable que si estás leyendo este post o no lo hayas hecho o no estés convencido de que tu publicación cumpla con los requisitos vigentes e incluya toda la información. Ante la duda has tomado el mejor camino.ClickDatos.
Por qué es obligatorio el aviso de política de privacidad del site
Hemos partido de suponer que tienes un aviso de política de privacidad desactualizado o incompleto. Pero quizás te encuentres en el caso de tantos que todavía no tienen ni el aviso de política de privacidad del site activado.
Si es este tu caso has de saber que es obligatorio tanto para un simple blog corporativo como para una cadena de multitiendas online. En el momento en que por cualquier medio se recojan datos personales de los usuarios es imprescindible disponer de un aviso visible y ajustar la política de privacidad al RGPD. Debes tener en cuenta que el solo hecho de contar con una lista de suscripción ya supone recabar datos personales.
Cómo debes redactar tu política de privacidad
Según el último informe de la AEPD sobre el grado de las empresas de adaptación de la política de privacidad al Reglamento General de Protección de Datos, los mayores problemas que observan son la falta de concisión y la de claridad.
De esta forma, establecen una serie de consejos entre los que destacan el de redactar el aviso de privacidad en dos capas y el de evitar las expresiones ambiguas, utilizando un lenguaje directo, asequible y que no dé lugar a interpretaciones.
Redacción en dos capas de la política de privacidad del site
La agencia propone, para acentuar la concreción y transparencia, un primer nivel en el que se expongan los epígrafes principales con total claridad y los elementos que los conforman. Este primer nivel o capa sería seguida por un segundo nivel al que el usuario puede acceder si desea más detalles sobre un punto particular.
Simplificar el lenguaje
Sobre todo se trata de evitar expresiones ambiguas o abiertas. Por ejemplo, en el caso de la duración del tratamiento de datos, se observan frecuentemente frases como «mientras exista un interés mutuo» o «mientras se mantenga la relación».
El aviso debe dar una información precisa sobre cuánto tiempo se van a mantener sus datos o facilitar herramientas que permitan al usuario calcular dicho tiempo.
Redacción de la finalidad de los datos
La AEPD observa que en los avisos de privacidad analizados es muy frecuente la expresión de estas finalidades en bloque con una opción de aceptación global.
Esta fórmula es del todo inadecuada. Cada finalidad ha de expresarse individualmente y ofrecer al usuario la posibilidad de decidir sobre qué finalidades y usos autoriza y cuáles no.
En este sentido la agencia es clara. No valen ni siquiera las casillas premarcadas para certificar un consentimiento expreso del usuario, sino que han de ser marcadas por él mismo. A estos efectos debe existir, como mínimo, una casilla en blanco.
La recomendación que establece la AEPD en el punto 3 de su «DECÁLOGO PARA LA ADAPTACIÓN AL RGPD DE LAS POLÍTICAS DE PRIVACIDAD EN INTERNET» es que se agrupen las finalidades por propósitos y se habilite una fórmula para que el usuario marque específicamente aquellos que autoriza.
La especial importancia de la denominada «base legal»
Entramos aquí más en un asunto de conceptos que de redacción. La base legal es lo que te justifica para llevar a cabo la recogida y el tratamiento de los datos de terceros.
Esta base legal ha de acompañar cada finalidad o propósito del tratamiento de los mismos y no basta con acudir a fórmulas genéricas del tipo «en base al interés legítimo».
Por ejemplo, si uno de los propósitos del tratamiento de los datos personales del usuario va a ser el de mandarle correos con información de novedades, promociones y noticias, la base legal es el interés manifestado por el usuario.
En definitiva hay dos objetivos que debe garantizar la política de privacidad desde el punto de vista de la redacción:
– Informar con precisión y exactitud al usuario, evitando cualquier ambigüedad.
– Facilitar un consentimiento expreso y selectivo que le permita decidir para qué fines autoriza el tratamiento de sus datos y cuáles son los que no desea autorizar.
Estilo y presentación de la política de privacidad del site
Dónde debe aparecer la política de privacidad
Lógicamente debes exponer tu política de privacidad de una forma bien visible y que haga necesaria su lectura anticipada. La mayoría de las empresas hasta ahora utilizan un pop up o ventana emergente.
Sin embargo, como hemos visto, la posibilidad de que esta ventana emergente ofrezca al usuario la opción de leer la política o aceptar directamente y seguir navegando ya no es planteable. Al menos no lo es desde el punto de vista de un consentimiento expreso e informado.
Cuando se vayan a recoger datos será necesario solicitar el consentimiento expreso mediante un formulario que exponga las características y condiciones principales del mismo, como hemos visto más arriba.
Formatos
Las recomendaciones de la AEPD son claras. Una letra con un tamaño cómodo de leer; párrafos y frases breves que animen a la lectura; y una extensión moderada.
Por eso se hace hincapié en el formato de dos niveles. Por ejemplo, en la información sobre los derechos de los usuarios se enumerarían los mismos y se daría la posibilidad de establecer enlaces a una información detallada del contenido del derecho o de su proceso de tramitación.
Asimismo, se aconseja la división de los contenidos mediante una estructura clara de epígrafes que facilite la orientación del usuario a través de la información.
Tu política de privacidad web debe estar permanentemente actualizada y ofrecer a los usuarios una información precisa y clara que procure, en todo momento, conseguir un consentimiento expreso e informado para el tratamiento de sus datos personales. Esto has de hacerlo dejando perfectamente definidos los fines diversos del tratamiento y las bases legales que te legitiman para llevarlo a cabo.
