¿Qué se entiende por política de privacidad?

Quien gestiona un blog o un sitio web tiene una idea fija: la adecuación al RGPD y la redacción de su propia política de privacidad. Pero, ¿por qué es necesario redactar un documento que ilustre claramente cómo se recopilan y gestionan los datos y, sobre todo, qué debe contener?

Cuando se navega por Internet, a menudo hay que dejar datos personales como nombre, apellidos, dirección, así como muchas otras informaciones que pueden permitir la identificación del usuario y el rastreo de su comportamiento en internet. En los últimos años, el legislador ha puesto especial énfasis en la recogida de los datos referidos al comportamiento de los usuarios con vistas a la elaboración de perfiles por parte de los sitios web, y ha establecido que su uso solo se autoriza previo consentimiento informado del usuario. El Parlamento europeo ha regulado la cuestión con el Reglamento General de Protección de Datos (RGPD 2016/679) que, entre otras cosas, obliga a todos los gestores de sitios en Internet a redactar una política de privacidad.

Proteger la privacidad online de los usuarios es el objetivo primario establecido por el legislador, un objetivo que todo gestor de blog o de sitio web debe tener en cuanta.

Como hemos dicho, la obligación de redactar una política de privacidad para todos los sitios online nace del reglamento UE: veamos de qué se trata y qué establece.

El Reglamento General para la Protección de los Datos personales 2016/679 (General Data Protection Regulation o RGPD) regula y armoniza en 99 artículos y 173 “considerandos” toda las leyes europeas al respecto; cada Estado de la Unión debe por tanto implementarlo sin márgenes de libertad. El Reglamento fue publicado en la Gaceta Oficial Europea el 4 de mayo de 2016 y entró en vigor en 25 de mayo de 2018. A partir de esa fecha la adecuación al RGPD se ha hecho obligatoria para todos los Estados de la UE.

El reglamente establece que los datos deben tratarse exclusivamente previo consentimiento informado del interesado, el cual debe saber cómo se han recogido y usado los datos, así como los posibles riesgos en relación con su tratamiento. No se trata del simple derecho a la protección de los datos personales, por lo demás ya establecido por la directiva 95/46, sino de una visión propietaria del dato donde la autodeterminación informativa es el principio fundamental.

De aquí también la importancia de que cada gestor de sitio web se dote de un documento sobre la política de privacidad de su sitio web lo más claro y detallado posible.

La declaración se dirige al usuario y tiene el objetivo de informarle acerca de las finalidades y las modalidades del tratamiento de datos realizado por el responsable. Debe ser, por tanto, clara, exhaustiva y lo más detallada posible, dividida en apartados donde se indiquen el responsable del tratamiento de los datos, los derechos del usuario, el tipo di datos tratados, su  conservación, el lugar y los fines del tratamiento, las cookies enviadas por el sitio y los enlaces a contenido externos (más las modalidades para modificar los ajustes).

Asegurar la transparencia y corrección del tratamiento, de la recogida a la gestión, es un deber del titular del tratamiento, el cual debe también demostrar que puede hacerlo en cualquier momento.

Sintetizando al máximo, la política de privacidad debe indicar:

• el responsable del tratamiento y el encargado de la protección de los datos;
• los datos personales objeto de tratamiento;
• el lugar y las finalidades del tratamiento;
• la base jurídica del tratamiento;
• los destinatarios
• las transferencias de los datos personales (sobre todo si se hace a Países fuera de la UE);
• las modalidades y el período de conservación;
• los derechos del interesado;
• modalidades de reclamación;
• las cookies enviadas;
• los enlaces a contenidos externos;
• las formas de modificar los ajustes.

En caso de sitios de e-commerce, el RGPD considera expresamente que todo propietario sea responsable del tratamiento y garantice la seguridad de su gestión, demostrándola  al Organismo de control mediante los registros de los tratamientos.

La política de privacidad deberá ser redactada por el Responsable del tratamiento, es decir, el representante legal del sitio web, que está obligado a establecer los fines y medios con los que recoger y tratar los datos. Puede también delegar en un colaborador cercano, o Director de privacidad, siempre que en el documento se indique claramente de quién se trata.

La Declaración debe centrarse lo más posible en el caso específico, es decir, debe haber sido diseñada a la medida del sitio web y no “copiada”. Por ello es conveniente recurrir a profesionales en el tema.

La política de privacidad es un documento indispensable para todo sitio web, es una obligación y no una opción, porque la gestión de los datos de quienes visitan el sitio es, por un lado, importante desde el punto de vista profesional, y por otro está expresamente regulada. Recoger, conservar y analizar información es una actividad fundamental para un profesional del marketing en la web, porque permite estudiar y llevar a cabo campañas extremadamente personalizadas y, por tanto, eficaces. Pero es igualmente importante hacerlo respetando plenamente las reglas de privacidad.

Si hasta hace unos años los requisitos en materia de datos personales se basaban en la lógica del abuso efectivo de los datos recogidos, hoy se habla de obligación de gestionar la privacidad, de obligación de elaborar un sistema documental, regularmente actualizado y conforme al RGPD.

Se trata de la lógica de la responsabilización, es decir, de la correcta organización y de la trazabilidad obligatoria de las actividades de seguimiento. Quien no asegura una correcta gestión y recogida de los datos incurre en sanciones (independientemente del abuso).

Multas: qué sucede si un sitio web no tiene política de privacidad

El usuario que considere violado su derecho a la privacidad transmite al responsable del tratamiento su petición de cese inmediato de la conducta ilícita; si la respuesta no llegase antes de 30 días, o si el interesado la considerase insuficiente, podría enviar un recurso, una reclamación o una denuncia al Garante.

El RGPD prevé sanciones de hasta 20 millones de euros en caso de violación de los datos personales y, para verificar que la normativa se respete, ha introducido la figura del Oficial de Protección de Datos (OPD).

Las sanciones se dividen en dos escalones, que intervienen en función de la gravedad de la conducta:

• el primero llega hasta un máximo de 10 millones de euros o al 2 % de la facturación si supera esa cifra;
• la secunda hasta un máximo de 20 millones o al 4 % de la facturación.

En caso de que la infracción haya tenido también consecuencias con daños para el titular de los datos, deberá incluirse también su indemnización.

Para redactar una política de privacidad eficaz, basta con seguir lo que la normativa solicita. Para la declaración de privacidad de un sitio web, el modelo RGPD ofrece información muy detallada. Ciertamente, no debe ser un documento escrito en lenguaje burocrático, sino simple y directo. Puede publicarse en el sitio web con enlace a la Página de Inicio.

La política de privacidad deberá personalizarse conforme a las características específicas del sitio web, por ello no se aconsejan en modo alguno los procedimientos de “copiar y pegar” de otros sitios. Para hacerlo, se puede recurrir también a la ayuda que ofrecen algunos CSM.

Crear la política de privacidad con WordPress

WordPress es probablemente uno de los Content Management System o Sistemas de Gestión del Contenido (CMS) más famosos, y ofrece también asistencia para la creación de la política de privacidad. En la sección Privacidad del menú, de hecho, se puede encontrar un modelo estándar de política de privacidad para sitios web modificable y personalizable. El CMS ofrece guías completas para la redacción de políticas de privacidad válidas con numerosos complementos dedicados. Esto, sin embargo, nunca dará la certeza absoluta de tener una política de privacidad correcta, ni de evitar el riesgo de sanciones.

En el ámbito de los datos personales también se citan a menudo las cookies; pero ¿que son las cookies en los sitios web?

Para simplificar, pueden representarse como pequeños archivos de texto guardados en el navegador cuando se navega por un sitio web, y se dividen en dos tipos:

• cookies de primera parte –son las que se guardan en el dominio en que el usuario está navegando;
• cookies de tercera parte – las que se guardan en un dominio distinto al visitado por el usuario.

Las cookies de tercera parte permiten efectuar el seguimiento del comportamiento de un usuario en la web y, por tanto, entender sus hábitos e intereses.

Por el lado de la privacidad, la atención se ha centrado precisamente en las cookies de tercera parte, lo que ha llevado a que los navegadores más importantes, como Firefox, Edge y Safari las abandonen, y que Google Chrome haya propuesto un proceso gradual de eliminación que llegará hasta 2023.

La política de privacidad siempre deberá indicar las cookies que incluye y las formas de inhabilitarlas.

El Garante ha especificado que la sección de cookies deberá ser parte integrante de la política de privacidad y no un documento aparte y, en caso de que se tratase de una página distinta, deberá siempre incluir el enlace a la declaración.

En caso de que en este período de transición, desde ahora hasta 2023, se tomasen datos de terceros, la política de privacidad deberá indicar:

• las categorías de datos personales objeto del tratamiento;
• la fuente en la que tienen origen los datos personales.

Por último, la política de privacidad puede actualizarse, tanto en caso de cambio del Responsable del tratamiento, como en caso de implementaciones tecnológicas del sitio. Por esta razón, se invita a los usuarios a visitarla periódicamente.

En conclusión, no hay que subestimar la importancia del adecuarse al Reglamento europeo en materia de privacidad, ni dejarse llevar por el pánico.