Protección Datos advierte falta de claridad en políticas privacidad empresas

La Agencia Española de Protección de Datos (AEPD) ha elaborado un informe difundido hoy en donde pone de manifiesto que las empresas en general no son concisas con sus políticas de privacidad ni facilitan su comprensión, especialmente al enumerar las finalidades para las que recogen datos personales.

Este documento denominado "Políticas de privacidad en internet. Adaptación al RGPD" tiene finalidad preventiva y analiza las políticas de privacidad en internet de varias empresas, con el objetivo de recabar incidencias más comunes y ofrecer recomendaciones para cumplir con el reglamento europeo de protección de datos.

El informe se acompaña de un decálogo que recoge los aspectos más relevantes que deben tener en cuenta los responsables del tratamiento de datos para dar cumplimiento al reglamento europeo, entre otros, informar sobre quién los trata, con qué finalidad, con qué base legal legitima o cuánto tiempo se conserva la información.

Su objetivo es fomentar el cumplimiento de la legislación europea aplicable para todos los países miembros desde el pasado 25 de mayo, promoviendo la sensibilización de las entidades que operan en internet.

La Agencia ha seleccionado como muestra varias entidades de cuatro sectores: hoteles, transporte, comercio electrónico y seguros. Asimismo se han revisado empresas dedicadas a la venta de entradas en internet y servicios de música y contenidos de transmisión en tiempo real.

Como recomendaciones, la AEPD aconseja revisar la extensión de los documentos de privacidad, a fin de que cumplan con el deber de informar al interesado de forma clara y concisa. El informe recomienda a las empresas el uso de una primera capa en la que se proporcione información resumida y una segunda con datos más detallados.

La Agencia aprecia "un esfuerzo" de las empresas a la hora de actualizar conforme al Reglamento sus apartados sobre privacidad y sus formularios de recogida de datos.

No obstante percibe cierta "resistencia" a pasar de un modelo anteriormente basado en el consentimiento, en ocasiones tácito, a otro nuevo, en el que además de poder usar otras bases legales para tratar los datos cuando corresponde, se amplía la información que debe proporcionarse a las personas cuyos datos se pretende tratar y se les exige "una clara" acción positiva cuando se pide su consentimiento.

La Agencia explica que se suele utilizar la recogida del consentimiento de los datos del usuario en bloque y no por separado para cada una de las finalidades del tratamiento de la información, recurriéndose a la fórmula "He leído y acepto la política de privacidad".

La AEPD recomienda agrupar en propósitos afines las finalidades para las que se solicita el consentimiento, de forma que el interesado pueda decidir; se precisa que el silencio, las casillas premarcadas o la inacción no constituyen un consentimiento válido.

En cuanto al lenguaje de las políticas de privacidad, se utilizan "expresiones ambiguas o demasiado genéricas", que no aportan información real al interesado, según el documento.

Se insta a que se dé información clara sobre cuánto tiempo se conservan los datos, y se ofrezca a los usuarios una idea aproximada del plazo establecido por la legislación, o bien indicaciones de la normativa aplicable o información que permita conocer y calcular cuánto tiempo se conservarán los datos personales del usuario.

Se ha detectado que en ocasiones no se menciona o no se explica correctamente la base legal que legitima el tratamiento de datos personales, incluyendo como "interés legítimo" lo que en realidad es un tratamiento necesario para la ejecución de un contrato o encuadrando dentro de este concepto lo que en realidad no es tal.