Existen muchas buenas prácticas a considerar para incluir en el contenido de este documento informativo, ya que dependen de diferentes factores, y, en concreto, del público objetivo, del tipo de datos recopilados y del sector en el que opere la empresa.

A modo de ejemplo, una persona no facilitará la misma información en el hospital que en una tienda de ropa.

¿Para qué sirve una política de privacidad y protección de datos?

El objetivo de una política de privacidad y protección de datos es informar a las personas interesadas respecto del tratamiento del que son objeto sus datos personales.

En el marco de dicha información, más allá de las cuestiones relativas al contenido y a la forma, conviene tener en cuenta uno de los principios clave del Reglamento Europeo General de Protección de Datos (en adelante el «RGPD») que regirá la redacción de la política: el principio de transparencia. Dicho principio, obliga a las empresas a proporcionar información completa respecto del tratamiento que se va a efectuar. Las personas tienen que saber para qué y cómo se utilizarán sus datos personales.

Metodología en aras de una información clara y transparente

Para que no se nos olvide nada, lo ideal es trabajar por fases mediante un checklist que incluya todos los elementos, tanto de fondo como de forma, que una política de protección de datos debe contemplar.

Otra posibilidad es agrupar los datos por tema.

1. El responsable del tratamiento

El primer grupo hace referencia a la información relativa al responsable del tratamiento, es decir, la identidad e información s de contacto de la persona (física o jurídica) responsable del tratamiento de datos, así como, en su caso, la identidad del delegado de protección de datos (si hubiere designado uno).

2. Tipo de tratamiento, fundamento jurídico y finalidad del tratamiento

El segundo grupo de información hace referencia a los tipos de tratamiento y los fundamentos jurídicos que los respaldan, así como a los fines, es decir, la razón de ser, de dichos tipos de tratamiento.

Conviene asimismo incluir especificaciones propias de cada uno de los fundamentos jurídicos del tratamiento.

  • En la práctica, si tu empresa justifica el tratamiento de datos personales en virtud del fundamento jurídico basado en el consentimiento, deberá especificarse que dicho consentimiento puede revocarse en cualquier momento.
  • De igual manera, si tu empresa justifica el tratamiento en virtud del fundamento jurídico de la protección de intereses legítimos, la política de protección de datos indicará los distintos intereses legítimos que debe satisfacer la empresa.

3. Los derechos de los interesados

El tercer grupo hace referencia a los derechos de los interesados por el tratamiento. La política de protección de datos incluirá una explicación sobre la existencia de los diversos derechos que reconoce el RGPD.

En dicho grupo de información, es importante no olvidar explicar si las decisiones automatizadas, es decir, las decisiones que se toman sin intervención humana (a modo de ejemplo, solo a través de un algoritmo), se adoptan dentro de la empresa. En el supuesto de que tu empresa tome este tipo de decisiones, deberá proporcionarse información respecto de la lógica subyacente, y¡ sobre la importancia y las consecuencias que se prevé que dicho tratamiento tenga en las personas interesadas.

En este tercer grupo, debe asimismo incluirse una mención relativa a la posibilidad de interponer una reclamación que tenga por objeto el tratamiento que se ha llevado a cabo ante la autoridad de control competente.

4. Las transferencias de datos

El cuarto grupo hace referencia a las transferencias de datos realizadas por tu organización, tanto dentro de la Unión Europea como a países fuera de esta.

Por cuanto respecta a las transferencias dentro de la Unión Europea, es necesario indicar quienes son los destinatarios de los datos, es decir, «la persona física o jurídica, autoridad pública, servicio u otro organismo al que se comuniquen los datos personales» (Artículo 4, punto 9 RGPD).

Por cuanto respecta a las transferencias de datos dirigidas a un país tercero o a una organización internacional, es oportuno informar a las personas físicas de la existencia de una decisión de adecuación o de aplicación de las garantías convenientes, o en su caso, de las excepciones.

5. Las categorías de datos recogidos

El quinto grupo de información hace referencia a los datos, a saber:

  1. En primer lugar, qué tipo de datos se recoge, por ejemplo, datos de identificación (apellidos, nombre, dirección) o datos económicos (número de cuenta bancaria).
  2. En segundo lugar, el plazo previsto de conservación de los datos personales.
  3. En tercer lugar, tu empresa deberá informar a los interesados de la obligación de proporcionar datos personales en el marco de un contrato. En este caso, deberá explicarse si el suministro de datos personales está supeditado a la prestación de un servicio y cuáles son las consecuencias en caso de que no se faciliten dichos datos.
  4. Por último, tu empresa deberá especificar las obligaciones legales o reglamentarias vinculadas con el suministro de datos personales.

¿Cómo debe comunicarse la información?

La información debe proporcionarse en principio por escrito o por medios electrónicos, según sea pertinente.

  • La información deberá ser concisa, transparente, comprensible, de fácil acceso y deberá exponerse en términos claros y sencillos. Además, deberá adaptarse en función del público objetivo y de la actividad de la empresa. Asimismo, en los sitios web, la política de protección de datos debe ser de fácil acceso desde cualquier página de la propia web, en todo momento.
  • La mejor manera de proceder, es ponerse en el lugar de los interesados por esta política, a saber, las personas cuyos datos personales recopila y procesa la organización.
  • Una buena manera de trabajar es combinar diferentes niveles de información, dando la posibilidad a las personas interesadas de hacer clic en un tema específico para obtener información. También trasladar los mensajes a través del uso de iconos o pictogramas.
  • También puedes pedir a otras personas que lean la política de protección de datos para evaluar si es clara y comprensible.

Una vez que está redactada, nos olvidamos, ¿no?

No del todo, lo ideal sería revisar periódicamente la política de protección de datos para asegurarse de que es completa, fácilmente comprensible y transparente.

En el marco de la revisión, tu empresa puede tener en cuenta las diversas peticiones o comentarios que se hayan realizado respecto de la claridad de la política y, en su caso, integrar las novedades en materia de recogida y procesamiento de datos.

Por lo tanto, si tu empresa tiene la intención de llevar a cabo un tratamiento con una finalidad distinta de aquella para la que se recogieron inicialmente los datos personales, deberá informarse previamente al interesado.

A modo de ejemplo, si primero recopilaste direcciones de correo electrónico con vistas a crear una cuenta de usuario en tu sitio web (finalidad 1), pero luego quieres utilizar esa misma dirección de correo electrónico para enviar una newsletter (finalidad 2), deberás informar a los interesados.

En caso de que recopile los datos personales directamente de personas físicas, ¿en qué momento debo facilitar la información? La información se comunicará en el momento de la recopilación de tales datos por parte del responsable del tratamiento.

¿Debo informar siempre a las personas interesadas? No, no es necesario que facilites la información a los interesados si ya disponen de toda la información adecuada…

*

Con un buen checklist y una metodología adaptada, ¡ya tienes todo lo necesario para redactar una estupenda política de privacidad y protección de datos!

Este artículo ha sido presentado por Frédéric DECHAMPS, Nathan VANHELLEPUTTE y Adeline BALZA, abogados de Lex4u.