Qué es la Política de privacidad y cómo hacerla según el RGPD + INFOGRAFÍA

¿Sabes que, según el RGPD, estás obligado a informar a los usuarios de tu web o blog de qué haces con sus datos? ¿Y que la forma más sencilla de hacerlo es tener una buena Política de privacidad?

Hace unos días te presenté una guía sobre cómo cumplir con el RGPD en tu blog, algo obligatorio en cualquier web (independientemente de que se generen ingresos a través de ella). En ese artículo te hice varias promesas y hoy vengo a cumplir una de ellas.

Aquí encontrarás todo sobre la política de privacidad: qué es una Política de privacidad, cómo hacer una buena Política de privacidad y una infografía para aclararnos las ideas.


Te puede interesar:

🔹 Guía para cumplir con el RGPD en tu blog + CHECKLIST

🔹 Las 25 mejores cuentas de twitter para saberlo todo sobre privacidad


🔴 Qué es la Política de privacidad

Como ya te he aventurado en la introducción, una Política de privacidad es un documento que contiene la información sobre protección de datos que estamos obligados a facilitar a las personas como responsables del tratamiento de los datos de su web.

Esta obligación se refuerza con el RGPD y la LOPD (L.O. 3/2018), aunque ya existía con la vieja L.O. 15/1999, la antigua LOPD.

Sí, quienes tenemos una web somos los responsables de los datos de nuestros usuarios, suscriptores, clientes, etc., según proceda. Y debemos garantizar a las personas físicas su derecho a la información o, dicho de otro modo, tenemos el deber de informar.

Como ya te he comentado otras veces, la Agencia Española de Protección de Datos recomienda que cumplamos con nuestro deber de informar a través de un sistema de doble capa. Esto quiere decir que en un primer momento podemos ofrecer a las personas una información básica, y al final de esa información básica (y especialmente si nos lo solicitaran), les facilitaríamos el sitio donde encontrarán la información ampliada.

De esta manera, las leyendas que ves en los blogs que ya se han adaptado donde pone “Responsable….. Finalidad….”, etc., sirven como información básica, mientras que la Política de privacidad contiene la información ampliada sobre protección de datos. Así es como podemos aplicar el sistema de dos capas en un blog.

Pero, ¿por qué es tan importante tener una Política de privacidad?

 

🔴 Por qué debo tener una buena Política de privacidad

Por dos razones: porque te puede caer un multón enorme, y porque en realidad, te beneficia. Vayamos por partes:

 

🔓 Sanciones por no tener una Política de privacidad

La primera respuesta a esta pregunta que verás en todos los sitios tiene como protagonista la desmesurada cantidad de las sanciones posibles. Como en España tenemos normalmente (aunque cada vez menos) una actitud más reactiva que proactiva ante las cosas, lo primero que nos viene a la mente cuando surge una obligación es el posible castigo que se nos impondría si la incumpliéramos.

Es cierto, las sanciones pueden llegar a ser grandes. Enormes. Los tramos se sitúan en 0-40.000€ (sanciones que prescriben al año), 40.001-300.000€ (sanciones que prescriben a los dos años) y de 300.001€… a 20 millones de € (las que prescriben a los tres).

En particular no informar de ninguna manera a los interesados implica una infracción muy grave, mientras que informar parcialmente conlleva infracción leve:

Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

Artículo 72. Infracciones consideradas muy graves.

1. En función de lo que establece el artículo 83.5 del Reglamento (UE) 2016/679 se consideran muy graves y prescribirán a los tres años las infracciones que supongan una vulneración sustancial de los artículos mencionados en aquel y, en particular, las siguientes: (…)

h) La omisión del deber de informar al afectado acerca del tratamiento de sus datos personales conforme a lo dispuesto en los artículos 13 y 14 del Reglamento (UE) 2016/679 y 12 de esta ley orgánica.

(…)

Artículo 74. Infracciones consideradas leves.

Se consideran leves y prescribirán al año las restantes infracciones de carácter meramente formal de los artículos mencionados en los apartados 4 y 5 del artículo 83 del Reglamento (UE) 2016/679 y, en particular, las siguientes:

a) El incumplimiento del principio de transparencia de la información o el derecho de información del afectado por no facilitar toda la información exigida por los artículos 13 y 14 del Reglamento (UE) 2016/679.

Como ves, el tema no es ninguna tontería. Tienes la obligación de informar a tus usuarios de qué haces con los datos que recoges de ellos. La Política de privacidad es la forma más sencilla de hacerlo y, además, te permite acreditar que trasladas esa información públicamente.

🔹 Es verdad que las sanciones de la Agencia Española de Protección de Datos (AEPD) también pueden terminar en un apercibimiento, pero el tema no es baladí. La protección de datos en la web, aunque ya estaba aquí, ha llegado para quedarse. Cuanto antes te adaptes, mejor que mejor.

 

🔓 Ventajas de tener una Política de privacidad

Personalmente, tiendo a preferir ver lo bueno en las obligaciones que se nos vienen impuestas. Y ya que estamos obligados a tener una Política de privacidad, por lo menos veamos en qué puede beneficiarnos.

Tener una buena Política de privacidad (una Política de privacidad completa, clara, sencilla y accesible) puede suponer:

  • Una declaración de transparencia ante nuestros usuarios
  • Una ventaja competitiva, conociendo la cantidad de webs que hay por ahí aún sin adaptar al RGPD
  • Una forma de dar prestigio e incluso humanizar tu marca personal, al demostrar que la persona o el equipo detrás de la página web conoce sus obligaciones
  • Una oportunidad para comunicarte con tus usuarios de forma creativa, reforzando tu marca, sea personal o corporativa
  • Una manera de revisar las condiciones en las que tratas los datos personales, dándote una perspectiva sobre tu propio respeto de la privacidad de otros

Todo eso, y disminuir (no anular) la probabilidad de ser sancionado, vale.

Ahora que estás un poco más convencido de que necesitas una Política de privacidad decente, vamos a ver cómo hacerla.

 

🔴 Cómo hacer una Política de privacidad adaptada al RGPD

Para hacer una buena Política de privacidad que se ajuste al RGPD y a las indicaciones de la Agencia Española de Protección de Datos (AEPD), te convendría tener a mano estos dos documentos de la propia AEPD:

🔹 Guía para el cumplimiento del deber de informar

🔹 Informe sobre políticas de privacidad en internet – Adaptación al RGPD

Pero como casi nadie se quiere leer 50 páginas cuando se puede leer un post, no te preocupes que yo te explico cómo hacer una buena Política de privacidad adaptada al RGPD.

 

🔓 Contenido básico de la Política de privacidad

El RGPD establece que el deber de informar implica facilitar información sobre:

  • El responsable del tratamiento (quién trata los datos)
  • La finalidad del tratamiento (para qué los trata)
  • La base legal o legitimación para tratar los datos (no, aquí no va el nombre completo del Reglamento)
  • Los destinatarios de los datos (a quién se le envían los datos)
  • El ejercicio de los derechos (la posibilidad de ejercerlos, y cuáles)
  • La procedencia de los datos (siempre que no hayan sido obtenidos de la persona en sí)

Ahora bien, estamos hablando de que la Política de privacidad proporciona una información ampliada, así que deberá ser sustancialmente más extensa que la información básica que ponemos como leyenda antes del botón “enviar” de los formularios.

Y para que veas lo que debe contener la Política de privacidad, te traigo la siguiente infografía:

 

Cómo hacer política privacidad RGPD
Infografía: Contenido de una política privacidad adaptada al RGPD

 

🔓 7 Consejos para hacer una buena Política de privacidad

Espera: antes de ponerte a escribir tu Política de privacidad poseído/a por el espíritu cumplidor y proactivo del RGPD, te recomiendo que valores una serie de consejos.

Te los traigo, entre otras razones, porque el pasado verano de 2018 la AEPD publicó un informe sobre el cumplimiento del RGPD de Políticas de privacidad en varios sectores, donde reiteraba una serie de recomendaciones. Y digo reiteraba porque la mayoría ya estaba en la Guía que había publicado anteriormente. (Son los dos documentos que te he enlazado al principio de este apartado)

Échale un ojo a estos 7 consejos para elaborar tu Política de privacidad adaptada al RGPD:

 

✔️ #1. La información debe ser clara, concisa, transparente y accesible

Si estás pensando en hacer un documento legal que te va a quedar enrevesado, difícil de leer, oscuro y nada sencillo, para. ¿Cómo crees que se puede ser transparente de verdad si se redactan los textos legales de forma confusa? Presenta la información que debes presentar, aunque sea una Política de privacidad un poco larga, pero que sea accesible, y mejor si es fácilmente navegable.

 

✔️ #2. Facilita toda la información de la cual dispongas

No te guardes información porque crees que es “demasiado” para ponerlo. Tienes que facilitar tus datos identificativos y de contacto al principio del documento: los ciudadanos tienen derecho a saber a quién deben dirigirse para presentar una reclamación.

También tienes que indicar todas las finalidades para las cuales tratas datos personales, sin olvidarte ninguna. Y debes distinguir qué base legal respalda qué finalidad, si es que tratas datos personales basándote en más de una. Y si coges datos distintos para cada base y/o para cada finalidad, también debes indicarlo.

Si utilizas el interés legítimo como base, di en qué consiste.  Ah, y si en tu caso no se pueden ejercer ciertos derechos, entonces no los pongas.

 

✔️#3. Comprueba quiénes son tus destinatarios

¿Qué entidades hacen posible tu blog? ¿Cuáles acceden a tus datos? ¿Alguna está fuera de la UE? Esta información debe ser facilitada especialmente en el caso de que envíes datos fuera de la UE (hola, Mailchimp), junto con las garantías que amparan esta transferencia internacional de datos y las razones por las que se utiliza.

 

✔️ #4. Informa siempre de que elaboras perfiles de los usuarios

Si tienen lugar decisiones automatizadas, cuéntalo. Es decir, si segmentas la newsletter y presentas productos distintos a según qué suscriptores, di qué haces con la información para llegar a esas conclusiones. Si los datos que recopilan tus cookies permiten identificar la huella digital del usuario con mayor o menor exactitud, cuéntalo.

Debes explicar que elaboras perfiles de los usuarios (aunque sea a través de un tercero), para qué los elaboras, qué importancia tiene esto para la persona y las consecuencias que acarrea para él. Todo eso.

Olvídate del “se recogen datos para personalizar tu experiencia” y del “guardamos tu información para conocerte mejor“. Sé claro y transparente: guardo X datos para Y, y las consecuencias para el usuario son Z.

 

✔️ #5. No te olvides de los derechos

Lo más común es que menciones acceso, rectificación, supresión/olvido y oposición. Pero también puede darse la posibilidad de que el usuario solicite una portabilidad y la limitación del tratamiento. O puede ocurrir que ciertos derechos no sean aplicables en tu caso.

Además, debes recordar (especialmente en las webs basadas en el consentimiento) que los usuarios tienen derecho a retirar su consentimiento en cualquier momento y a oponerse a recibir publicidad de forma inmediata. También, por supuesto, a presentar una queja ante la AEPD.

 

✔️ #6. Aprende cómo proteger los datos de los usuarios

Esto va más allá de la Política de privacidad. Para garantizar a las personas el ejercicio de sus derechos deberás saber en qué consiste cada uno y cuándo se aplican. También deberás ser capaz de resolver las dudas de quienes lean la Política de privacidad, así que facilita un email también al final, aunque se repita en tus datos de contacto al principio del todo.

 

✔️ #7. Comunícate con tus usuarios de forma creativa

Aprovecha tu obligación legal de informar al usuario a través de la Política de privacidad para continuar la conversación con él, también aquí. El RGPD y la LOPD obligan a informar “de forma clara y sencilla”, pero no dice que no puedas utilizar un tono u otro, más o menos acorde con tu marca.

Podrás incluso maquetar la Política de privacidad, facilitando la lectura de la misma. Los profesionales del Grupo Secuoya lo han hecho muy bien en su Política de privacidad. Las reglas han cambiado y en parte te parecerá un fastidio… pero en cada crisis, una oportunidad (Paulo Coelho dixit, o algo así, creo).

 

🔴 Bonus: ¿y qué pasa con los formularios de mi web?

Hemos visto qué incluir en una Política de privacidad y hemos pasado de puntillas sobre la información básica o de primera capa que debe aparecer en otros sitios de tu web.

Esta información básica presenta resumida cada uno de los epígrafes de la infografía y se debe incluir en todos los lugares de tu web donde se recojan datos: formulario de cometarios en el blog, formulario de contacto, formulario de registro, de compra…

De esta manera, estaremos cumpliendo con algo esencial para contribuir a que el consentimiento del tratamiento de los datos de las personas sea libre e informado: trasladar la información antes de la recogida de los datos.

Precisamente, una cosa son las leyendas informativas de los formularios (que sirven para que cumplas con tu deber de informar), y otra cosa son las casillas para otorgar el consentimiento para tratar los datos o comprobar la lectura de la Política de Privacidad.

Y otra cosa es la casilla para solicitar consentimiento para el envío de publicidad (que el usuario ya decidirá si acepta, o no). Estas diferencias son importantes, pero eso tendrá que esperar… a otro post. De momento, baste con ese pequeño guiño en la infografía.

 

CURIOSIDAD

En febrero de 2019 Francisco Javier Sempere publicaba en el blog Privacidad Lógica un artículo comentando un hecho interesante.

Recordemos que el RGPD establece que se debe informar de quién es el responsable, con qué finalidad se tratan los datos, qué base legitima el tratamiento, si hay o no destinatarios y si se elaboran o no perfiles, que existe la posibilidad de ejercer los derechos en materia de protección de datos y cuál es la procedencia de la información si es que no procede del propio interesado.

Sin embargo, la LOPD, que había salido en diciembre (L.O. 3/2018), establecía que la primera capa de información debía contener, como mínimo, información sobre quién es el responsable (y su representante, si hubiera), para qué finalidad se tratan los datos y la posibilidad de ejercer los derechos que hemos comentado.

Como mínimo” significa que, obviamente, se puede incluir más información. Pero no deja de ser curioso que una Ley Orgánica que, en teoría, desarrolla un Reglamento Europeo, limite de esta manera uno de los derechos que se reconocen; en este caso, el de información.

 

Espero que te haya resultado útil este artículo donde te explico qué es una Política de privacidad y cómo elaborarla de acuerdo con el RGPD.

Si tienes alguna duda, recuerda que siempre puedes dejarme un comentario.

¿Hablamos?

7 comentarios en “Qué es la Política de privacidad y cómo hacerla según el RGPD + INFOGRAFÍA”

  1. Hola Noemí,
    Mil gracias de verdad por este artículo tan interesante, lo guardo para revisarlo con detenimiento para resolver mis dudas que en este tema son muchísimas.
    Explicas este tema tan complicado (al menos para mí) de una manera muy clara y sencilla.
    Super útil.
    Un abrazo

  2. Gracias por el artículo,
    Haces que lo difícil sea fácil. Posiblemente para ti que sabes del tema esto esté clarísimo, pero para los que no somos expertos es un dolor de cabeza terrible.
    Muy útil, de verdad.
    Un saludo.

  3. Muy interesante el artículo, gracias Noemí. Mi especialidad es el marketing y tener ayuda sobre la Política de Privacidad de manera tan sencilla es siempre una gran ayuda. De nuevo mil gracias.

  4. Hola Noe, que buen articulo.
    La verdad que en el tema de la Política de Privacidad, hay tantas cosas por ahí de relleno, que muchas veces no sabemos cómo hacerlo correctamente. Muchas Gracias por aportar luz en este tema, tan importante tanto para Agencias de marketing como para Freelance en cualquier proyecto online!!
    Me lo guardo para tener a mano
    Gracias
    Toñi Rodriguez
    Vatoel

Deja un comentario

Información sobre protección de datos
Responsable: Noemí Carro Sánchez Finalidad: Gestión de comentarios de la web Legitimación: Consentimiento de quien comenta Destinatarios: Ninguno, salvo obligación legal y Wordpress Derechos: acceso, rectificación, supresión, portabilidad de los datos, oposición y limitación del tratamiento, retirar el consentimiento, presentar una reclamación ante la AEPD Contacto: contacto@noemicarro.es Más información: Política de privacidad