La AEPD publica un informe sobre las políticas de privacidad en internet

El pasado mes de septiembre la Agencia Española de Protección de Datos (AEPD) publicaba un informe sobre la adaptación al Reglamento General de Protección de Datos (RGPD) de las políticas de privacidad en internet.

El documento cuenta con un doble objetivo: por un lado, llevar a cabo una evaluación sobre como se ha llevado a cabo la adaptación al RGPD de las políticas de privacidad en Internet y, por otro, dictar recomendaciones para su correcta aplicación con el fin de eliminar las deficiencias detectadas.

Debido a la gran magnitud de la materia abordada, la AEPD ha optado por estructurar su análisis en torno a cuatro sectores (hoteles, transporte, comercio electrónico y seguros) procediendo a analizar los mismos asuntos en cada uno de ellos. Por otra parte, también han incluido la revisión de empresas dedicadas a la venta de entradas online y a los servicios de música y contenidos en streaming.

La evaluación se ha realizado mediante la comparación de la información proporcionada en las políticas de privacidad de las empresas objeto de la muestra y de los formularios que utilizan para obtener el consentimiento del interesado cuando así lo exige la normativa.

Como resultado de esta comparativa, la Agencia hace especial hincapié en la falta de claridad y transparencia en la redacción y elaboración que ha detectado en gran parte de las políticas de privacidad online analizadas y, en este sentido, recomienda la utilización de una primera capa en la que se proporcione información resumida y una segunda capa con información más detallada.

Otro de los puntos débiles en cuanto a la adaptación al RGPD en las políticas de privacidad en el entorno online que la Agencia ha detectado, hace alusión a la forma en la que se recaba en consentimiento.  En este sentido, la Agencia ha apreciado que se suele utilizar la recogida del consentimiento en bloque, es decir, que no se solicita el consentimiento para cada una de las finalidades de tratamiento de datos personales, sino que se acude a la fórmula “He leído y acepto la política de privacidad”. En este sentido, la AEPD, recuerda que el RGPD exige un consentimiento expreso e informado por parte del usuario y, en consecuencia, “las casillas premarcadas o la inacción no constituyen un consentimiento válido”.

Otro de los aspectos analizados es el lenguaje utilizado en las políticas de privacidad. De este modo, el informe concluye que, en muchas ocasiones, se emplean “expresiones ambiguas o demasiado genéricas” como puede ser la expresión “mientras exista interés mutuo” como justificante del tiempo de conservación de los datos recabados. Así, la Agencia recuerda que debe proporcionarse información clara sobre el tiempo de conservación de los datos, la normativa aplicable y las bases legales que legitiman el tratamiento de los datos de los interesados.

Por otra parte, y para facilitar el cumplimiento del RGPD, la publicación de este informe está acompañada de un Decálogo que recoge los aspectos más relevantes que deben tener en cuenta los responsables para dar cumplimiento a lo establecido en la citada normativa. En este sentido, la Agencia nos recuerda que deben expresarse de manera clara:

  • ¿Quién trata los datos?
  • ¿Con qué finalidad se tratan los datos y cuál es la base que legitima el tratamiento?
  • Consentimiento
  • ¿Cuánto tiempo se conservan los datos?
  • ¿Qué derechos existen y cómo ejercerlos?
  • ¿A quién se ceden los datos?
  • ¿Qué datos son obligatorios?
  • ¿Se toman decisiones automatizadas?
  • ¿Se realizan transferencias internacionales de datos?
  • ¿Cómo presentar la información?

Con la publicación de este informe de carácter preventivo, la AEPD pretende promover la sensibilización de las entidades que operan en internet, así como fomentar el cumplimiento y la correcta adaptación a la legislación vigente en materia de protección de datos que, y a tenor de los resultados del informe, todavía cuenta con grandes deficiencias.