Las empresas suspenden a la hora de informar a sus usuarios de sus derechos y políticas de privacidad en Internet.
La Agencia de Protección de Datos (AEPD) ha puesto el acento en analizar cómo las empresas han actuado en el proceso de información tras la entrada en vigor del nuevo Reglamento europeo de Protección de Datos y los resultados podrían ser mejores.
La Agencia explica que pese a apreciar un esfuerzo por parte de las empresas a la hora de actualizar conforme al Reglamento sus apartados sobre privacidad y sus formularios de recogida de datos aprecia «cierta resistencia a pasar de un modelo anteriormente basado en el consentimiento, a un nuevo modelo en que, además de poder utilizar otras bases legales para tratar los datos cuando corresponde ?como el interés legítimo o una relación contractual?, se amplía la información que debe proporcionarse a las personas cuyos datos se pretende tratar y se exige que estas realicen una clara acción positiva cuando se solicita su consentimiento.».
El informe Políticas de privacidad en Internet. Adaptación al RGPD, realizado con carácter preventivo, recoge las incidencias más comunes y ofrece recomendaciones para cumplir con el Reglamento. En concreto, aconseja a las compañías revisar la extensión de sus documentos de privacidad, a fin de que cumplan con el deber de informar al interesado de forma clara y concisa. Además, el texto recomienda la utilización de una primera capa en la que se proporcione información resumida y una segunda capa con información más detallada.
Y en esta línea, el informe pone de manifiesto que, con carácter general, las políticas de privacidad que ha analizado «no son concisas y no facilitan su comprensión. Esto resulta especialmente evidente cuando se enumeran las finalidades para las que se recogen los datos personales».
Consentimiento individual
De esta forma, la Agencia advierte de que se suele utilizar la recogida del consentimiento en bloque, es decir, que no se solicita el consentimiento para cada una de las finalidades de tratamiento de datos personales, sino que se acude a la fórmula «He leído y acepto la política de privacidad». Para hacerlo de manera correcta, recomienda agrupar en propósitos afines las finalidades para las que se solicita el consentimiento, de forma que el interesado pueda decidir. «El silencio, las casillas premarcadas o la inacción no constituyen un consentimiento válido», avisa.
En cuanto al lenguaje utilizado en las políticas de privacidad, el análisis ha encontrado «expresiones ambiguas o demasiado genéricas», que no aportan información real al interesado. Entre los casos erróneos encontrados en su análisis, el informe destaca una expresión que no permite conocer el tiempo de conservación de los datos recabados, ya que se utiliza la fórmula «mientras exista interés mutuo».
El Reglamento europeo fija claramente que debe darse información clara sobre cuánto tiempo se conservan los datos, ofreciendo a los usuarios el plazo establecido por la legislación, o indicar la normativa aplicable, o dar información que le permita conocer y calcular cuánto tiempo se van a conservar los datos personales del usuario.
Otro de los asuntos a mejorar por parte de las compañías es la ausencia de mención o la explicación incorrecta de la base legal que legitima el tratamiento de datos personales. «Se incluye como interés legítimo lo que en realidad es un tratamiento necesario para la ejecución de un contrato, o encuadrando dentro del interés legítimo lo que en realidad no es tal», advierte.
Para ir en la buena dirección, la AEPD aporta un decálogo de las medidas más relevantes que deben cumplir los responsables.