La política de privacidad de las páginas web

Clientes y usuarios acostumbran a confiar su información personal a diferentes operadores de sitios web. Si un proyecto online presta servicios que demandan información detallada sobre sus usuarios, será imprescindible contar con una política de protección de datos. Para establecer una relación de confianza, los operadores de una página web deben ofrecer a sus usuarios una política de privacidad web completa que informe sobre el tipo de datos que serán recolectados, así como la forma en que se compilarán, y finalmente, cuál será el uso que se les dará. Además, una política de privacidad completa proporcionará información sobre las medidas de seguridad que se aplicarán en el proceso de recopilación de datos.

Definición: Política de privacidad

Una política de privacidad (privacy policy) es una presentación por escrito de todas las medidas que aplica una empresa u organización para garantizar la seguridad y el uso lícito de los datos de los usuarios o clientes que recoge en el contexto de la relación comercial. La política de privacidad web también detalla la forma en que se recolectan, se almacenan y se utilizan estos datos, así como si se envían a terceros y en caso afirmativo, de qué manera.

¿Cuándo es obligatorio tener una política de privacidad web?

La ley orgánica 15/1999, también conocida como Ley Orgánica de Protección de Datos de Carácter Personal (LOPD), era, hasta la aprobación del nuevo Reglamento General de Protección de Datos (RGPD), la ley que recogía el tratamiento de los datos y los ficheros de carácter personal por parte de cualquier tipo de prestador de servicios, entre los que se incluyen los administradores de sitios web y tiendas online. Esta ley obligaba a todo proveedor a que recopilara, utilizara o enviara datos personales a terceros y a informar a sus usuarios de la manera, el alcance y la finalidad del almacenamiento de su información.

Aprobado en 2016 pero aplicado de facto desde mayo de 2018, el nuevo Reglamento refuerza a nivel europeo los derechos del consumidor al respecto del control de su privacidad, que, si bien estaban recogidos en la LOPD, no se ajustaban a la evolución digital que ha tenido lugar desde 1999, fecha en que se aprobó. El nuevo Reglamento establece un marco legal que afecta a todos los estados miembros de la Unión y se aplica sin necesidad de adaptaciones nacionales.

Nota

Aún no está clara la situación legal en cuanto a las direcciones IP, pero se tiende a considerarlas de índole personal, puesto que permiten identificar a sus propietarios.

Mientras que la recopilación de datos y, por lo tanto, una política de privacidad son fácilmente justificables para una tienda online, la situación cambia si se trata de otro tipo de servicios. Cada minuto se recogen y almacenan datos de manera automática –a menudo sin que el mismo propietario de la web lo perciba– como, por ejemplo: las direcciones IP que los servidores web guardan en los archivos de registro, los datos personales ligados al uso de los botones sociales y las cookies que almacenan información sobre los usuarios y sus hábitos de navegación. Otro tema sensible son las herramientas de análisis web como Google Analytics, que se encargan de registrar el tráfico web. Esta herramienta de Google resulta especialmente problemática en cuanto a los estándares de protección de datos, pues las direcciones IP de los usuarios se almacenan en servidores ubicados en los Estados Unidos.

Para reducir la gravedad de esta problemática, los encargados de gestionar páginas web pueden reducir una dirección IP al último rango de dígitos, permitiendo así que esta pierda el vínculo con cualquier información personal.

¿Qué consecuencias puede acarrear ignorar estas recomendaciones?

Hasta ahora ha reinado cierta ambigüedad a la hora de aplicar la ley, pero es de suponer que la situación cambie a medida que el nuevo Reglamento vaya permeando las decisiones de los tribunales. El RGPD no solo limita el campo de acción de las empresas en cuanto a la obligación de disponer y formular una política de privacidad, sino que aumenta la cuantía de las sanciones por incumplimiento hasta los 20 millones de euros o a un cuatro por ciento del volumen de negocios mundial anual en el caso de una empresa (se aplicará el valor más alto).

¿Qué debe incluir una política de privacidad?

En teoría, todo administrador web debe informar a sus usuarios sobre la recolección y protección de sus datos e información personal antes de iniciar cualquier tipo de actividad. En la práctica resulta un poco complicado, por lo que es común que se informe a los usuarios en el mismo momento de la recolección de sus datos. Como en el caso del Aviso Legal, la política de privacidad debe ser clara y accesible desde cualquier página, por lo que es necesario crear una página única y exclusivamente para este fin. Es crucial prestar atención a la redacción: debe ser exacta, precisa y clara, evitando, por ejemplo, el uso de términos muy técnicos o legalmente complicados. También hay que tener en cuenta que los enlaces a la política de privacidad no se vean obstaculizados por banners o cualquier otra acción publicitaria y que pueda visualizarse correctamente con cualquier navegador y en todos los dispositivos.

Si hasta ahora no estaba muy claro qué aspectos no podían faltar en una política de privacidad, el nuevo Reglamento enumera en el artículo 13 ("Información que deberá facilitarse cuando los datos personales se obtengan del interesado") la información que los encargados de las páginas web han de presentar en su política de privacidad y que básicamente comprende la identidad del encargado de procesar los datos personales, el motivo por el que se recolectan estos datos y durante cuánto tiempo y el derecho del usuario a reclamarlos o a cancelar su utilización. A continuación explicamos estos derechos más ampliamente.

Datos de contacto del responsable o de su representante

Conforme al RGPD, es necesario señalar en la política de privacidad los datos de contacto de la empresa o de sus representantes. Además del nombre, tienen que indicarse las direcciones postales y electrónicas actuales así como un número de teléfono. Si la sede de la compañía o del responsable principal se encuentra fuera del territorio de la UE, se deben indicar los datos de contacto de su representante oficial. Este párrafo podría redactarse de la siguiente forma:

Plantilla para la información de contacto

El responsable del tratamiento de los datos de índole personal conforme al RGPD es:

Nombre de la empresa/responsable/representante

Calle Principal, 1
12345 Villarriba
España
Tel.: 123456789
E-mail: email@ejemplo.es

Datos de contacto del delegado de protección de datos (DPD)

Cuando de forma regular sean más de diez los empleados involucrados en el procesamiento automatizado de datos o el núcleo de la actividad de la empresa lo componga la transferencia comercial de datos personales, se tendrá que nombrar de forma obligatoria a un delegado de protección de datos (art. 37, RGPD). Lo mismo puede decirse cuando se trabaja con categorías especiales de información personal como las opiniones políticas, las convicciones religiosas o la procedencia étnica. En este caso es necesario también mostrar en la política de privacidad los datos de contacto de esta persona.

Plantilla para los datos de contacto del DPD

El delegado de protección de datos de acuerdo con el RGPD es:

Nombre del DPD

Calle Principal, 1
12345 Villarriba
España
Tel.: 123456789
E-mail: email@ejemplo.es

Licitud del procesamiento de los datos

Es deber de los propietarios o gestores de las páginas web informar debidamente al usuario de la licitud de la recolección y el tratamiento de sus datos personales, que viene determinada por el cumplimiento de al menos una de las condiciones descritas en el artículo 6 del RGPD:

“[…]

  1. el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos;
     
  2. el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales;
     
  3. el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento;
     
  4. el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física;
     
  5. el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;
     
  6. el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño. […]”

Plantilla para informar de la licitud del tratamiento de los datos

El responsable del tratamiento de los datos personales del interesado te informa de que estos datos serán tratados de conformidad con lo dispuesto en las normativas vigentes en protección de datos personales, el Reglamento (UE) 2016/679 de 27 de abril de 2016 (RGPD), la Ley Orgánica (ES) 15/1999 de 13 de diciembre (LOPD) y el Real Decreto (ES) 1720/2007 de 21 de diciembre (RDLOPD), por lo que se le facilita la siguiente información del tratamiento:

En tanto en cuanto contamos con el consentimiento del interesado para el tratamiento de los datos personales, rige el apartado a) del punto 1) del artículo 6 del RGPD como base jurídica.

Si el tratamiento de los datos personales es necesario para la ejecución de un contrato con el interesado o de medidas precontractuales rige el apartado b) del punto 1) del artículo 6 del RGPD.

Si el tratamiento de los datos personales es consecuencia de una obligación legal por nuestra parte, nos remitimos al apartado c) del punto 1) del artículo 6 del RGPD.

Si el tratamiento de los datos personales tiene como objeto proteger los intereses vitales del interesado o de otra persona natural, nos basamos en el apartado d) del punto 1) del artículo 6 del RGPD.

Si el tratamiento de los datos personales es necesario para cumplir una tarea de interés público o en el ejercicio de una obligación pública nos remitimos al apartado e) del punto 1) del artículo 6 del RGPD.

Mientras que el tratamiento de los datos sea necesario para satisfacer los intereses legítimos del responsable o de un tercero sin poner en riesgo los intereses, los derechos o las libertades fundamentales del interesado, la base legal está establecida por el apartado f) del punto 1) del artículo 6 del RGPD.

Propósitos del tratamiento de los datos

En la declaración de privacidad de tu proyecto has de añadir a la base de licitud los objetivos que persigues al recolectar y tratar los datos de tus usuarios. Para ello, y para mostrar transparencia, es recomendable enumerar todos los componentes de tu web que colectan este tipo de información, como pueden ser estos:

  • formularios de contacto,
  • registro para la newsletter,
  • campos de entrada de datos, por ejemplo, para indicar los datos bancarios al final de una compra,
  • códigos de seguimiento,
  • plugins de terceros (botones sociales),
  • contenido de terceros (YouTube),
  • concursos,
  • cookies.
Nota

En el futuro cabrá ser aún más cuidadoso cuando se trate de integrar contenido ajeno, puesto que el RGPD fortalece la necesidad de informar al usuario antes de que tenga lugar la recogida de datos. Muchos proveedores de contenido, como YouTube, sin embargo, envían los datos por defecto al abrir la página. Google ya ha reaccionado aplicando el modo ampliado de protección de datos en las opciones de integración de los vídeos de la plataforma audiovisual. Si se activan, se genera un código de incrustación que solo envía los datos cuando se inicia el vídeo.

Si en tu caso es relevante el punto 1f) del artículo 6 del RGPD mencionado arriba, entonces deberías concretar cuáles son tus intereses legítimos al tiempo que compruebas si también estás protegiendo los intereses y los derechos fundamentales del usuario. Algunos de los objetivos más habituales ligados al tratamiento de los datos son el análisis del comportamiento en la página del usuario para su optimización, para diseñar contenido más personalizado o con fines de marketing.

Plantilla para explicar por qué se tratan los datos personales

Para hacer que tu visita sea lo más agradable posible y poder ofrecerte todas las funciones disponibles, recopilamos una serie de datos sobre el dispositivo que estás utilizando en el momento de visitarnos. Se trata de:

  • dirección IP,
  • sistema operativo,
  • tipo y versión del navegador,
  • fecha y hora de la visita,
  • etc.

Estos datos no se procesan con propósitos de marketing.

Destinatarios o categorías de destinatarios de los datos

La política de privacidad también es el contexto en el que se comunica al usuario si se envían datos personales a terceros. Este sería el caso de una tienda online que incluye a contratistas externos, como proveedores o plataformas de pago online, en sus procesos comerciales.

Este es también el apartado donde se reseñan implementaciones de cookies y extensiones de terceros, cuyo uso siempre va ligado a una entrega de datos personales. Es el momento de nombrar a los códigos de seguimiento y a los botones sociales. En ambos casos, el responsable puede justificar su uso con un interés legítimo, pero es conveniente hacerlo con el consentimiento explícito del usuario. En el caso de los botones sociales se ha de considerar también la aplicación de un procedimiento conforme con la protección de datos como una solución en dos clics.

Algunos servicios publicitarios como Google AdSense o AdWords también se han de mencionar como receptores de datos si se utilizan para financiar el proyecto.

Plantilla para informar de los destinatarios de los datos (ejemplo: plugin de Facebook)

Esta página web utiliza un plugin social de Facebook desarrollado y operado por Facebook Inc. (1 Hacker Way, Menlo Park, California 94025 USA) y que puede reconocerse por el logo de Facebook. Este plugin crea una conexión directa entre tu navegador y los servidores de Facebook tan pronto como se activa presionando el botón. Sobre el tipo y la cantidad de los datos que se envían a Facebook por este método no tenemos ninguna influencia. En el siguiente enlace puedes leer la explicación de la empresa al respecto: www.facebook.com/help/186325668085084.

Nota

Si tienes la intención de enviar datos personales a un tercer país o a una organización internacional, este apartado es el lugar en el que indicarlo.

Plazo de conservación de los datos

Otra información con la que lograrás dar transparencia a tu tratamiento de los datos guarda relación con el tiempo durante el cual almacenarás los datos. Si no puedes formularlo con exactitud puedes hacer referencia a los criterios que impactan en el plazo de conservación. Puedes, por ejemplo, hacer referencia al plazo que has configurado para la eliminación automática de las direcciones IP (anonimizadas) de los archivos de registro. Si trabajas con cookies que permiten identificar al usuario mientras dura su sesión, el plazo de conservación de sus datos estará muy ligada a la duración de la sesión.

Plantilla para informar acerca del plazo de conservación de los datos

Todos los datos personales que recopilamos mediante cookies de sesión durante tu visita se borran automáticamente tan pronto como el motivo de tal recolección se ha cumplido. De este modo, los datos de la sesión se guardarán hasta que pongas fin a tu sesión abandonando o cerrando la página.

Nota

Si guardas los datos personales de tus usuarios en servidores fuera de la UE lo has de indicar explícitamente haciendo referencia a posibles diferencias en la regulación de la protección de los datos.

Referencia a los derechos del interesado

Los usuarios o interesados cuyos datos se recolectan tienen derechos sobre ellos. El derecho a la información recogido en el artículo 15 garantiza que el usuario pueda informarse sobre los objetivos del tratamiento de sus datos, sus posibles destinatarios, el plazo de su conservación y su origen. Los usuarios también tendrían derecho a la rectificación, tal como se recoge en el artículo 16 e, incluso, según las circunstancias, a la eliminación de sus datos, el llamado “derecho al olvido” del artículo 17.

Plantilla para informar de los derechos de los interesados

De acuerdo con el RGPD se considera interesado a la persona cuyos datos personales se procesan, motivo por el cual puede beneficiarse de los derechos reconocidos por esta directiva fundamental sobre protección de datos, que son: el derecho a la información (art. 15), de rectificación (art. 16), de supresión (art. 17), a la limitación del tratamiento (art. 18), de oposición (art. 21), a presentar una reclamación ante una autoridad de control (art. 77) y a la portabilidad (art. 20).

Deber legal o contractual de recolectar datos

Si es imprescindible disponer de los datos personales por imperativo legal o porque lo requiere la ejecución de un contrato se ha de informar debidamente al usuario, así como también de las consecuencias que resultarían de no disponer de ellos.

Plantilla para explicar la obligación de recoger datos personales

La recolección de tus datos personales es necesaria para poder celebrar un contrato y cumplir con las obligaciones y prestaciones que este contrato implica, de modo que si no contamos con tu consentimiento no podemos celebrar el contrato ni prestar los servicios acordados.

Explicación sobre el uso de decisiones individuales automatizadas (profiling incluido)

Si en tu página tomas decisiones basadas en el tratamiento automatizado de los datos que afectan al interesado, incluida la elaboración de perfiles de usuario, estás obligado a explicar en detalle la lógica que lo fundamenta. Se trata sobre todo de explicar los efectos y el alcance que estos procesos tienen sobre el interesado, porque tu usuario tiene el derecho fundamental “a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente de modo similar.”, tal como se explica en el artículo 22. Pero este derecho no se aplica cuando el proceso automatizado es necesario para celebrar o ejecutar un contrato, está autorizado por el Derecho de la Unión o de los Estados Miembros o cuenta con el consentimiento del usuario.

Plantilla para avisar sobre las decisiones automatizadas (elaboración de perfiles)

Antes de cerrar el contrato llevamos a cabo un análisis crediticio para confirmar tu solvencia.

¿Qué sacamos en claro del nuevo RGPD?

El nuevo Reglamento General de Protección de Datos aporta transparencia y seguridad a la protección de la información personal en los estados miembros de la UE al tiempo que la hace más comprensible para el consumidor. La principal motivación para ello es la necesidad de contar con una política de privacidad completa y descrita correctamente, en especial para aquellos propietarios de páginas web que acostumbran a trabajar con cantidades ingentes de datos personales muy diversos.

Si ya contabas en tu proyecto con una política de privacidad anterior a la reforma, seguramente te llamarán la atención dos puntos de los enumerados arriba como las mayores novedades: la revelación de la licitud del tratamiento y las explicaciones acerca de los derechos de los usuarios.

Naturalmente, estos no son ni de lejos los únicos aspectos que distinguen a las nuevas políticas de privacidad web acordes con el RGPD respecto al viejo modelo. Ahora más que nunca, los responsables tienen la misión de explicar por qué y con qué propósito se tratan los datos y de hacerlo con claridad suficiente para que se entienda con facilidad y no deje cuestiones sin aclarar. Y si fuera necesario, bien el responsable de la web o el encargado de la protección deben atender al usuario. El Reglamento destaca, además, que la información debe facilitarse cuanto antes, concretamente antes de recoger los datos.

Nota

¿Eres cliente de IONOS? Aquí encuentras una lista especialmente elaborada para los clientes de 1&1 IONOS, esa enumera las informaciones importantes que cada propietario de sitio web debe seguir para garantizar que su sitio web cumpla con el nuevo RGDP.

Esta nueva regulación es más homogénea y facilita a los tribunales hacer frente a hipotéticas infracciones futuras. Teniendo en cuenta las sanciones previstas de hasta veinte millones de euros, cabe ser cuidadoso a la hora de elaborar una política de privacidad web.

Política de privacidad web: generadores y plantillas online

En Internet existe una gran cantidad de herramientas gratuitas con las que es posible crear una política de privacidad. Aquí es fundamental encontrar una plantilla que se adapte a los servicios que ofrece la web y a las necesidades de los usuarios. Es común encontrarse con plantillas generales para la recogida de datos y otras para las categorías especiales, tales como redes sociales (Facebook, Twitter, etc.), cookies, formularios de contacto o envío de newsletters. También es posible encontrar modelos en los que se esbozan los requerimientos para páginas que usan herramientas de análisis web como Google Analytics y que incluyen, por lo general, un enlace para aquellos usuarios que no están de acuerdo con la recolección y difusión de sus datos.

Además de las plantillas, existen generadores gratuitos de políticas de privacidad que recopilan los textos necesarios y les dan la forma definitiva. El resultado suele estar disponible como texto o como código HTML.

Las plantillas y los generadores online son de gran ayuda para la redacción de la política de privacidad de páginas web propias. Sin embargo, no se debe confiar ciegamente en ellos. A pesar de que los modelos suelen ser correctos, siempre es necesario complementar o adaptar pequeños detalles a las necesidades propias. Si no estás seguro de si la política de privacidad de tu web se ciñe a la ley actual, es recomendable que te dirijas a un abogado o a un experto en protección de datos para evitar posteriores dolores de cabeza.

Por favor ten en cuenta el aviso legal relativo a este artículo.