La AEPD nos indica que las páginas web en España no cumplen la LOPDGDD ni el RGPD.

¿Has colocado en tu página web información acerca del nombre de tu empresa, dirección social, registro mercantil, etc..?

¿Has informado a tus clientes acerca de la divulgación o compartición de sus datos y facilitado opciones para consultarlos, cambiarlos o destruirlos?

¿Informas en tu web del propósito de dicha recopilación de datos personales?

¿Envías a tus clientes e-mails comerciales sin que ellos te hayan dado su consentimiento expreso?

Así es como debes cumplir la normativa de Protección de Datos en tu web.

Adaptación de páginas web a la LOPDGDD

Hace unos días se ha aprobado la ley que adapta en España el RGPD, la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD).

En esta ley se regulan los requisitos que deben cumplir las páginas web en materia de protección de datos. Entre ellos,

  • Cómo informar sobre quién trata los datos
  • Con qué finalidad
  • Qué base legal legitima el tratamiento
  • Cuánto tiempo se conservan los datos
  • Derechos de los usuarios y cómo ejercerlos
  • Si los datos se van a ceder a terceros
  • Si se toman decisiones automatizadas o si se van a realizar transferencias internacionales, etc.

A continuación te resumo los principales puntos a tener en cuenta.

1. Información del responsable de la web

Debe informarse sobre la identidad y datos de contacto del responsable del tratamiento de datos personales y su representante, junto con los datos de contacto del Delegado de Protección de Datos (DPD), si dispone de uno.

Para ponerse en contacto con el responsable del tratamiento o el DPD, lo más adecuado es proporcionar una dirección de correo electrónico o habilitar un formulario electrónico.

2. Legitimación del tratamiento

Aparte de indicar las finalidades del tratamiento de los datos personales del interesado, también informaremos sobre cuál es la base jurídica que legitima cada actividad de tratamiento.

En este sentido, cuando el tratamiento de los datos se base en la satisfacción de intereses legítimos, debe indicarse también cuáles son, sin que sea suficiente una mención genérica al “interés legítimo” o el uso de una fórmula abstracta.

3. Consentimiento

En el formulario de recogida de datos es obligatorio incluir una solicitud de consentimiento. La misma se diferenciará del resto de la relación del interesado con el responsable del tratamiento.

No es suficiente que se acepte en conjunto las condiciones de la política de privacidad.

No olvides que las casillas ya marcadas, el silencio o la inacción no se consideran consentimiento. Hay que poder marcar una casilla en blanco (o similar) para cada finalidad de tratamiento, si bien se pueden agrupar en propósitos afines. Deberá ser tan fácil retirar el consentimiento como darlo.

4. Plazo de conservación

Es necesario informar de manera clara sobre el plazo durante el cual se conservarán los datos personales o los criterios utilizados para determinar ese plazo.

El interesado debe tener una idea aproximada del plazo de conservación establecido por la legislación. Tienes que indicar la normativa aplicable, o dar información que le permita conocer y calcular por cuánto tiempo los datos personales del interesado serán conservados.

5. Derechos del interesado

La AEPD recuerda también que se debe informar al interesado sobre la existencia de sus derechos.

Para poder ejercitarlos se recomienda facilitar una dirección de correo electrónico o un formulario electrónico. Sería deseable que se explique en qué consiste cada derecho y el procedimiento para su ejercicio.

6. Cesión de datos

Asimismo, si el responsable tiene la intención de ceder los datos personales recogidos, debe detallar quiénes serán los destinatarios o las categorías de destinatarios de estos datos.

7. Obligación de facilitar los datos

Hay que informar al interesado de si tiene una obligación legal o contractual de facilitar los datos personales, o si es un requisito necesario para suscribir un contrato o si está obligado a facilitar sus datos personales.

Además, tienes que informar sobre las posibles consecuencias de no facilitar tales datos. Resulta insuficiente no poder completar la acción deseada si no se facilitan los datos personales solicitados.

8. Elaboración de perfiles

Si se adoptaran decisiones automatizadas, incluida la elaboración de perfiles, hay que informar de la existencia de estas decisiones y dar información clara y simple sobre la lógica aplicada. Y también sobre los efectos previstos y la importancia de este tratamiento para el interesado.

9. Transferencias internacionales

Si existe la intención de transferir datos personales a terceros países, debes informar al interesado de la existencia de decisiones de adecuación, garantías, normas corporativas vinculantes o situaciones específicas aplicables.

No vale utilizar expresiones generales como “garantías adecuadas” y, además, debe explicarse el procedimiento para obtener una copia de estas o de que se prestaron.

10. Información clara y concisa

Por último, al interesado debe proporcionársele toda esa información de forma clara y concisa, teniendo en cuenta que el objetivo final es que el usuario pueda tomar decisiones informadas sobre la utilización de sus datos personales.

Para ello, se recomienda facilitarla en un único documento o en una misma ubicación dentro del sitio web y adoptar un modelo de información por capas o niveles, de tal manera que se presente al interesado una información básica reducida y una información adicional más detallada.

Si pides el consentimiento del interesado para el tratamiento de sus datos, debes añadir la información básica relativa a esta solicitud en el mismo formulario en que se obtenga este consentimiento.

Toda la información que facilites al interesado debe ser correcta y la extensión de las explicaciones debe ser proporcionada, para no desalentar su lectura y entendimiento por parte del afectado. Para ello, se recomienda también utilizar un tamaño de letra promedio y organizar la información en párrafos o apartados que faciliten su comprensión.

Otros consejos para cumplir la LOPDGDD

Como empresa debes además tomar las medidas adecuadas para proteger los datos personales de tus usuarios. Éstas varían en función de los profesionales que tengas en plantilla o del volumen de datos acumulados y su seguridad. Pero algunas recomendaciones genéricas serían:

  • Aplicar un sistema de pruebas de seguridad de los datos cada cierto tiempo.
  • Cifrar los datos personales de los usuarios.
  • Implementar procedimiento de recuperación de datos en caso de ataque o problemas tecnológicos.

Como ves, aunque son varias las tareas a realizar, es importante que empieces cuanto antes a cumplir con la LOPDGDD.

Las páginas web no cumplen la LOPDGDD
4.5 (90%) 6 votos