La política de pri­va­ci­dad de las páginas web

Aprobado en 2016, pero aplicado de facto desde mayo de 2018, el Re­gla­me­n­to General de Pro­te­c­ción de Datos (RGDP) refuerza a nivel europeo los derechos del co­n­su­mi­dor al respecto del control de su pri­va­ci­dad. El re­gla­me­n­to establece un marco legal que afecta a todos los estados miembros de la Unión. Para adaptarse a las nuevas exi­ge­n­cias europeas, se aprobó en España, en diciembre de 2018, la Ley Orgánica de Pro­te­c­ción de Datos Pe­r­so­na­les y garantía de los derechos digitales (LOPD-GDD), que reemplazó así a la LOPD de 1999.

En la ac­tua­li­dad es prá­c­ti­ca­me­n­te imposible gestionar un sitio web sin recopilar datos. Por ello todo sitio web debería contar con su política de pri­va­ci­dad. De esta forma, no solo evitarás posibles sanciones, sino que también estarás pro­po­r­cio­na­n­do un im­po­r­ta­n­te servicio a tus vi­si­ta­n­tes.

Aunque, mientras que la re­co­pi­la­ción de datos y, por lo tanto, la redacción de una política de pri­va­ci­dad, son fá­ci­l­me­n­te ju­s­ti­fi­ca­bles para una tienda online, la situación cambia si se trata de otro tipo de servicios. Cada minuto se recogen y almacenan datos de manera au­to­má­ti­ca –a menudo sin que el mismo pro­pie­ta­rio de la web lo perciba– como, por ejemplo: las di­re­c­cio­nes IP que los se­r­vi­do­res web guardan en los archivos de registro, los datos pe­r­so­na­les ligados al uso de los botones sociales y las cookies que almacenan in­fo­r­ma­ción sobre los usuarios y sus hábitos de na­ve­ga­ción. Otro tema sensible son las he­rra­mie­n­tas de análisis web como Google Analytics, que se encargan de registrar el tráfico web. Esta he­rra­mie­n­ta de Google resulta es­pe­cia­l­me­n­te pro­ble­má­ti­ca en cuanto a los es­tá­n­da­res de pro­te­c­ción de datos, pues las di­re­c­cio­nes IP de los usuarios se almacenan en se­r­vi­do­res ubicados en los Estados Unidos.

Para reducir la gravedad de esta pro­ble­má­ti­ca, los en­ca­r­ga­dos de gestionar páginas web pueden reducir una dirección IP al último rango de dígitos, pe­r­mi­tie­n­do así que esta pierda el vínculo con cualquier in­fo­r­ma­ción personal.

Conforme al RGPD, es necesario señalar en la política de pri­va­ci­dad los datos de contacto de la empresa o de sus re­pre­se­n­ta­n­tes. Además del nombre, tienen que indicarse las di­re­c­cio­nes postales y ele­c­tró­ni­cas actuales, así como un número de teléfono. Si la sede de la compañía o del re­s­po­n­sa­ble principal se encuentra fuera del te­rri­to­rio de la UE, se deben indicar los datos de contacto de su re­pre­se­n­ta­n­te oficial. Este párrafo podría re­da­c­tar­se de la siguiente forma:

Si al menos son 20 los empleados in­vo­lu­cra­dos de forma regular en el pro­ce­sa­mie­n­to au­to­ma­ti­za­do de datos o el núcleo de la actividad de la empresa lo compone la tra­n­s­fe­re­n­cia comercial de datos pe­r­so­na­les, se tendrá que nombrar de forma obli­ga­to­ria a un delegado de pro­te­c­ción de datos (art. 37, RGPD; art. 34 LOPD-GDD). Lo mismo puede decirse cuando se trabaja con ca­te­go­rías es­pe­cia­les de in­fo­r­ma­ción personal como las opiniones políticas, las co­n­vi­c­cio­nes re­li­gio­sas o la pro­ce­de­n­cia étnica. En este caso, es necesario también mostrar en la política de pri­va­ci­dad los datos de contacto de esta persona.

Es deber de los pro­pie­ta­rios o gestores de las páginas web informar de­bi­da­me­n­te al usuario de la licitud de la re­co­le­c­ción y el tra­ta­mie­n­to de sus datos pe­r­so­na­les, que viene de­te­r­mi­na­da por el cu­m­pli­mie­n­to de al menos una de las co­n­di­cio­nes descritas en el artículo 6 del RGPD:

“[…]

1. el in­te­re­sa­do dio su co­n­se­n­ti­mie­n­to para el tra­ta­mie­n­to de sus datos pe­r­so­na­les para uno o varios fines es­pe­cí­fi­cos;
    
2. el tra­ta­mie­n­to es necesario para la ejecución de un contrato en el que el in­te­re­sa­do es parte o para la apli­ca­ción a petición de este de medidas pre­co­n­tra­c­tua­les;
    
3. el tra­ta­mie­n­to es necesario para el cu­m­pli­mie­n­to de una obli­ga­ción legal aplicable al re­s­po­n­sa­ble del tra­ta­mie­n­to;
    
4. el tra­ta­mie­n­to es necesario para proteger intereses vitales del in­te­re­sa­do o de otra persona física;
    
5. el tra­ta­mie­n­to es necesario para el cu­m­pli­mie­n­to de una misión realizada en interés público o en el ejercicio de poderes públicos co­n­fe­ri­dos al re­s­po­n­sa­ble del tra­ta­mie­n­to;
    
6. el tra­ta­mie­n­to es necesario para la sa­ti­s­fa­c­ción de intereses legítimos pe­r­se­gui­dos por el re­s­po­n­sa­ble del tra­ta­mie­n­to o por un tercero, siempre que sobre dichos intereses no pre­va­le­z­can los intereses o los derechos y li­be­r­ta­des fu­n­da­me­n­ta­les del in­te­re­sa­do que requieran la pro­te­c­ción de datos pe­r­so­na­les, en pa­r­ti­cu­lar cuando el in­te­re­sa­do sea un niño. […]”

En la de­cla­ra­ción de pri­va­ci­dad de tu proyecto has de añadir a la base de licitud los objetivos que persigues al re­co­le­c­tar y tratar los datos de tus usuarios. Para ello, y para mostrar tra­n­s­pa­re­n­cia, es re­co­me­n­da­ble enumerar todos los co­m­po­ne­n­tes de tu web que colectan este tipo de in­fo­r­ma­ción, como pueden ser estos:

• fo­r­mu­la­rios de contacto,
• registro para el boletín,
• campos de entrada de datos, por ejemplo, para indicar los datos bancarios al final de una compra,
• códigos de se­gui­mie­n­to,
• plugins de terceros (botones sociales),
• contenido de terceros (YouTube),
• concursos,
• cookies.

Si en tu caso es relevante el punto 1.f) del artículo 6 del RGPD me­n­cio­na­do arriba, entonces deberías concretar cuáles son tus intereses legítimos al tiempo que co­m­prue­bas si también estás pro­te­gie­n­do los intereses y los derechos fu­n­da­me­n­ta­les del usuario. Algunos de los objetivos más ha­bi­tua­les ligados al tra­ta­mie­n­to de los datos son el análisis del co­m­po­r­ta­mie­n­to en la página del usuario para su op­ti­mi­za­ción, para diseñar contenido más pe­r­so­na­li­za­do o con fines de marketing.

La política de pri­va­ci­dad también es el contexto en el que se comunica al usuario si se envían datos pe­r­so­na­les a terceros. Este sería el caso de una tienda online que incluye a co­n­tra­ti­s­tas externos, como pro­vee­do­res o pla­ta­fo­r­mas de pago online, en sus procesos co­me­r­cia­les.

Este es también el apartado donde se reseñan im­ple­me­n­ta­cio­nes de cookies y ex­te­n­sio­nes de terceros, cuyo uso siempre va ligado a una entrega de datos pe­r­so­na­les. Es el momento de nombrar a los códigos de se­gui­mie­n­to y a los botones sociales. En ambos casos, el re­s­po­n­sa­ble puede ju­s­ti­fi­car su uso con un interés legítimo, pero es co­n­ve­nie­n­te hacerlo con el co­n­se­n­ti­mie­n­to explícito del usuario. En el caso de los botones sociales se ha de co­n­si­de­rar también la apli­ca­ción de un pro­ce­di­mie­n­to conforme con la pro­te­c­ción de datos como una solución en dos clics.

Algunos servicios pu­bli­ci­ta­rios como Google AdSense o AdWords también se han de mencionar como re­ce­p­to­res de datos si se utilizan para financiar el proyecto.

Otra in­fo­r­ma­ción con la que lograrás dar tra­n­s­pa­re­n­cia a tu tra­ta­mie­n­to de los datos guarda relación con el tiempo durante el cual al­ma­ce­na­rás los datos. Si no puedes fo­r­mu­lar­lo con exactitud, puedes hacer re­fe­re­n­cia a los criterios que impactan en el plazo de co­n­se­r­va­ción. Puedes, por ejemplo, hacer re­fe­re­n­cia al plazo que has co­n­fi­gu­ra­do para la eli­mi­na­ción au­to­má­ti­ca de las di­re­c­cio­nes IP (ano­ni­mi­za­das) de los archivos de registro. Si trabajas con cookies que permiten ide­n­ti­fi­car al usuario mientras dura su sesión, el plazo de co­n­se­r­va­ción de sus datos estará muy ligado a la duración de la sesión.

Los usuarios o in­te­re­sa­dos cuyos datos se re­co­le­c­tan tienen derechos sobre ellos. El derecho a la in­fo­r­ma­ción (o derecho al acceso como recoge el artículo 13 del LOPD-GDD) recogido en el artículo 15 garantiza que el usuario pueda in­fo­r­mar­se sobre los objetivos del tra­ta­mie­n­to de sus datos, sus posibles de­s­ti­na­ta­rios, el plazo de su co­n­se­r­va­ción y su origen. Los usuarios también tendrían derecho a la re­c­ti­fi­ca­ción, tal como se recoge en el artículo 16 e, incluso, según las ci­r­cu­n­s­ta­n­cias, a la eli­mi­na­ción de sus datos, con el derecho de supresión recogido en el artículo 17.

Si es im­pre­s­ci­n­di­ble disponer de los datos pe­r­so­na­les por im­pe­ra­ti­vo legal o porque lo requiere la ejecución de un contrato, se ha de informar de­bi­da­me­n­te al usuario, así como también de las co­n­se­cue­n­cias que re­su­l­ta­rían de no disponer de ellos.

Si en tu página tomas de­ci­sio­nes basadas en el tra­ta­mie­n­to au­to­ma­ti­za­do de los datos que afectan al in­te­re­sa­do, incluida la ela­bo­ra­ción de perfiles de usuario, estás obligado a explicar en detalle la lógica que lo fu­n­da­me­n­ta. Se trata sobre todo de explicar los efectos y el alcance que estos procesos tienen sobre el in­te­re­sa­do, porque tu usuario tiene el derecho fu­n­da­me­n­tal “a no ser objeto de una decisión basada úni­ca­me­n­te en el tra­ta­mie­n­to au­to­ma­ti­za­do, incluida la ela­bo­ra­ción de perfiles, que produzca efectos jurídicos en él o le afecte si­g­ni­fi­ca­ti­va­me­n­te de modo similar.”, tal como se explica en el artículo 22. Pero este derecho no se aplica cuando el proceso au­to­ma­ti­za­do es necesario para celebrar o ejecutar un contrato, está au­to­ri­za­do por el Derecho de la Unión o de los Estados Miembros o cuenta con el co­n­se­n­ti­mie­n­to del usuario.

Esta re­gu­la­ción homogénea facilita a los tri­bu­na­les hacer frente a hi­po­té­ti­cas in­fra­c­cio­nes futuras. Teniendo en cuenta las sanciones previstas de hasta veinte millones de euros, cabe ser cuidadoso a la hora de elaborar una política de pri­va­ci­dad web.

En Internet existe una gran cantidad de he­rra­mie­n­tas gratuitas con las que es posible crear una política de pri­va­ci­dad. Aquí es fu­n­da­me­n­tal encontrar una plantilla que se adapte a los servicios que ofrece la web y a las ne­ce­si­da­des de los usuarios. Es común en­co­n­trar­se con pla­n­ti­llas generales para la recogida de datos y otras para las ca­te­go­rías es­pe­cia­les, tales como redes sociales (Facebook, Twitter, etc.), cookies, fo­r­mu­la­rios de contacto o envío de ne­w­s­le­t­te­rs. También es posible encontrar modelos en los que se esbozan los re­que­ri­mie­n­tos para páginas que usan he­rra­mie­n­tas de análisis web como Google Analytics y que incluyen, por lo general, un enlace para aquellos usuarios que no están de acuerdo con la re­co­le­c­ción y difusión de sus datos.

Además de las pla­n­ti­llas, existen ge­ne­ra­do­res gratuitos de políticas de pri­va­ci­dad que recopilan los textos ne­ce­sa­rios y les dan la forma de­fi­ni­ti­va. El resultado suele estar di­s­po­ni­ble como texto o como código HTML.

Las pla­n­ti­llas y los ge­ne­ra­do­res online son de gran ayuda para la redacción de la política de pri­va­ci­dad de páginas web propias. Sin embargo, no se debe confiar cie­ga­me­n­te en ellos. A pesar de que los modelos suelen ser correctos, siempre es necesario co­m­ple­me­n­tar o adaptar pequeños detalles a las ne­ce­si­da­des propias. Si no estás seguro de si la política de pri­va­ci­dad de tu web se ciñe a la ley actual, es re­co­me­n­da­ble que te dirijas a un abogado o a un experto en pro­te­c­ción de datos para evitar po­s­te­rio­res dolores de cabeza.