Después de casi 6 meses des de que el Reglamento General de Protección de Datos (RGPD) empezara a ser de aplicación obligatoria, la Agencia Española de Protección de Datos ha emitido un informe en el que se analiza el cumplimiento del nuevo RGPD por parte de las empresas.
Alrededor del 25 de mayo de 2018, hubo una sensación generalizada de nervios y prisas para llegar a la fecha con la nueva normativa implementada en empresas y organizaciones. Transcurridos unos meses, con el ambiente más calmado, es interesante ver el grado de adecuación de empresas y organizaciones a través de este estudio de la AEPD.
ESTUDIOS
Para obtener la información, la AEPD se ha centrado en cuatro sectores: hotelero, transporte, comercio electrónico y seguros. Además, también ha incluido empresas de venta de entradas online. Y finalmente, también servicios de música de transmisión a tiempo real. En todos ellos se han analizado los mismos aspectos con el fin de poder obtener conclusiones comunes.
CONCLUSIONES DE LA AEPD
Tras el análisis realizado la AEPD saca las siguientes conclusiones y ofrece indicadores sobre aspectos en los que se puede mejorar. Su objetivo es garantizar el eficaz cumplimiento de la legislación:
- Las políticas de privacidad, en la mayoría de los casos, son redactadas e informadas de forma poco clara. Es decir, su comprensión en muchos casos resulta difícil. Así pues, la empresa o organización que debe aplicar el RGPD no conoce de forma exacta aquello que realmente debe llevar a la práctica.
- El consentimiento es recogido bajo el término: ‘He leído y acepto la política de privacidad’. Sin embargo, para que realmente el consentimiento sea recibido de la forma adecuada se recomienda agrupar todas las finalidades perseguidas con la concesión del consentimiento y dejar que el interesado pueda decidir.
- Se debe dejar claro que el silencio en las casillas premarcadas o la inacción se presume como consentimiento no valido.
- Las políticas de privacidad, siguiendo la misma línea, contienen expresiones ambiguas o demasiado genéricas. Esto lleva a una aplicación incorrecta de la normativa. El lenguaje utilizado debe ser claro y preciso. Además, no debe dejar margen a la interpretación. Por ejemplo, en general no se informa de manera exacta el tiempo que los datos deben ser conservados.
- La base legal que legitima el tratamiento de datos no es mencionada o explicada correctamente.
En definitiva, la AEPD considera que las empresas u organizaciones en general están intentando adaptarse a las novedades del nuevo RGPD. Pero sigue habiendo una cierta tendencia a seguir arelado al modelo anterior donde en ciertas ocasiones incluso el consentimiento tácito era considerado como válido.
POLÍTICAS DE PRIVACIDAD
Tal como se ha indicado en el apartado anterior, uno de los problemas que se ha detactado con este estudio es la ambigüedad es en las políticas de privacidad. Dichas son expresadas haciendo uso de un lenguaje poco adecuado. En concreto, se concluye que en general dichas políticas son muy extensas haciendo que sea difícil su comprensión. Así pues, si además de un lenguaje poco claro, dicho documento incorpora las finalidades por las cuales se recogen los datos personales requeridos, el problema se hace mayor porque el interesado no llega a comprender para que son necesarios.
En definitiva, una política de privacidad es un texto legal a través del cual se deja por escrito como la empresa u organización en cuestión utiliza cualquier información personal de sus usuarios, clientes, proveedores o empleados. Así pues, debe aplicarse según lo ha establecido el nuevo RGPD y es siguiendo las siguientes directrices:
- Se debe de informar sobre la identidad y datos de contacto del responsable del tratamiento de los datos personales y/o de su representante. Además, también deben aparecer los datos de contacto del Delegado de Protección de Datos (si se dispone de uno).
- Es importante informar de las finalidades del tratamiento de datos personales como también de su base jurídica legitima para el tratamiento de cada actividad de tratamiento.
- La solicitud de consentimiento debe poder distinguirse del resto del formulario de recogida de datos. El silencio, las casillas ya marcadas o la inacción no son fuente de consentimiento.
- El tiempo en que los datos van a ser guardados debe ser informado de forma precisa al interesado o si no es posible, una idea aproximada del plazo establecido por la legislación. Además de los plazos, también se deberá de informar de los criterios utilizados para establecer dicho plazo.
- Se debe informar al interesado sobre la existencia de unos derechos que le pertenecen y reconoce el RGPD como también el procedimiento para su ejercicio con el fin de que pueda ejercerlos.
- En caso de que los datos recogidos sean cedidos a terceros, se debe precisar quiénes serán los destinatarios.
- Aquellos datos personales que el usuario deba transmitir de forma obligatoria deberán ser requeridos por el obligado acompañado de un documento que explique el por qué son datos considerados de transmisión obligatoria.
- En caso de existencia de decisiones automatizadas deberá ser informada su existencia además de una justificación clara y precisa del porque ha sido necesario llevarlas a cabo, incluyendo la importancia y las consecuencias previstas.
- En caso de que se lleven a cabo transferencias internacionales de datos a terceros países debe ser informado al interesado acompañado de la existencia de decisiones de adecuación, garantías, normas corporativas vinculantes o situaciones específicas aplicables.
- Toda esta información sobre el tratamiento de sus datos personales debe ser comunicada de manera clara y concisa al interesado. La mejor manera de hacerlo es través de un solo documento escrito con un lenguaje de fácil comprensión. También, siguiendo un modelo de información por capas o niveles.
CONCLUSIONES
Se puede observar a través del análisi una intención por parte de las empresas de implementar el RGPD. Sin embargo, aún queda mucho camino por hacer. Así pues, la realización de dichos informes se debería de seguir haciendo en un futuro próximo. El primer objetivo es seguir analizando como va la implementación del reglamento. Pero también para informar a las empresas de si realmente lo están llevando a cabo de manera correcta. Por el contrario, podrian recibir duras sanciones. Recordemos que el RGPD ha previsto severos castigos por aquellos que no implementen de forma correcta sus nuevas directrices.