Los diez aspectos más relevantes para cumplir con GDPR

También puedes leer... DNS Security for Dummies Diez capas de seguridad para contenedores 20 Casos de uso de CASB Los riesgos de Blockchain Diez consejos sobre la gestión de Bots

En este decálogo, que acompaña a su informe “Políticas de privacidad en Internet. Adaptación al RGPD”, la AEPD recoge algunos de los puntos más importantes en los que hay que detenerse para dar cumplimiento a la normativa, entre ellos, cómo informar sobre quién trata los datos, con qué finalidad, qué base legal legitima el tratamiento, cuánto tiempo se conservan los datos, los derechos de los usuarios y cómo ejercerlos, si los datos se van a ceder a terceros, si se toman decisiones automatizadas o si se van a realizar transferencias internacionales, etc.   

La AEPD recuerda que debe informarse sobre la identidad y datos de contacto del responsable del tratamiento de datos personales y su representante, junto con los datos de contacto del Delegado de Protección de Datos (DPD), si dispone de uno. “Para ponerse en contacto con el responsable del tratamiento o el DPD, lo más adecuado es proporcionar una dirección de correo electrónico o habilitar un formulario electrónico”, explica.

Por otro lado, hay que diferenciar, además de las finalidades del tratamiento de los datos personales del interesado, cuál es la base jurídica que legitima cada actividad de tratamiento. En este sentido, subraya que “cuando el tratamiento de los datos se base en la satisfacción de intereses legítimos, debe indicarse también cuáles son, sin que sea suficiente una mención genérica al “interés legítimo” o el uso de una fórmula abstracta (“para conocerte mejor”)”.

En el tercero de los puntos aborda la cuestión del consentimiento. Al respecto, dice que cuando se incluya en el formulario de recogida de datos una solicitud de consentimiento, ésta debe distinguirse del resto de la relación del interesado con el responsable del tratamiento. No es suficiente que se acepte en conjunto las condiciones de la política de privacidad. En este caso, hay que tener en cuenta que “el silencio, las casillas ya marcadas o la inacción no constituyen consentimiento, debe poder marcarse una casilla en blanco (o similar) para cada finalidad de tratamiento, si bien se pueden agrupar en propósitos afines. Deberá ser tan fácil retirar el consentimiento como darlo”.

Además, debe darse información clara sobre el plazo durante el cual se conservarán los datos personales o los criterios utilizados para determinar ese plazo. El interesado debe tener una idea aproximada del plazo establecido por la legislación, o indicar la normativa aplicable, o dar información que le permita conocer y calcular por cuánto tiempo los datos personales del interesado serán conservados.

La AEPD recuerda también que se debe informar al interesado sobre la existencia de sus derechos. Para poder ejercitarlos se recomienda facilitar una dirección de correo electrónico o un formulario electrónico. Sería deseable que se explique en qué consiste cada derecho y el procedimiento para su ejercicio.  

Asimismo, si el responsable tiene la intención de ceder los datos personales recogidos, debe detallar quiénes serán los destinatarios o las categorías de destinatarios de estos datos.

En el decálogo también se insiste en que debe informarse al interesado de si tiene una obligación legal o contractual de facilitar los datos personales, o si es un requisito necesario para suscribir un contrato o si está obligado a facilitar sus datos personales. “En tales casos, además, hay que explicar las posibles consecuencias de no facilitar tales datos. Resulta insuficiente no poder completar la acción deseada si no se facilitan los datos personales solicitados”, añade.

Si se adoptaran decisiones automatizadas, incluida la elaboración de perfiles, hay que informar de la existencia de estas decisiones y dar información clara y simple sobre la lógica aplicada, así como sobre la importancia y las consecuencias previstas de este tratamiento para el interesado.

Lo mismo sucede si existe la intención de transferir datos personales a terceros países. Se debe informar al interesado de la existencia de decisiones de adecuación, garantías, normas corporativas vinculantes o situaciones específicas aplicables. No es suficiente con usar fórmulas genéricas como “garantías adecuadas” y, además, debe explicarse el procedimiento para obtener una copia de estas o de que se prestaron.

Finalmente, toda esta información debe facilitarse al interesado de forma clara y concisa, teniendo en cuenta que el objetivo final es que el usuario pueda tomar decisiones informadas sobre la utilización de sus datos personales. Para ello, se recomienda facilitarla en un único documento o en una misma ubicación dentro del sitio web y adoptar un modelo de información por capas o niveles, de tal manera que se presente al interesado una información básica reducida y una información adicional más detallada. En caso de que se solicite el consentimiento del interesado para el tratamiento de sus datos, se sugiere incluir la información básica relativa a esta solicitud en el mismo formulario en que se obtenga este consentimiento. Además, toda la información que se proporcione al interesado debe ser correcta y la extensión de las explicaciones debe ser proporcionada, a fin de no desalentar su lectura y entendimiento por parte del afectado. Para ello, se recomienda también utilizar un tamaño de letra promedio y organizar la información en párrafos o apartados que faciliten su comprensión.