Esta iniciativa se ha realizado con carácter preventivo y tiene como finalidad fomentar el cumplimiento de la legislación aplicable desde el pasado 25 de mayo, para promover la sensibilización de las entidades que operan en Internet. La Agencia señala que, debido a la magnitud de la materia analizada, ha seleccionado como muestra varias entidades de cuatro sectores (hoteles, transporte, comercio electrónico y seguros) y asimismo, ha revisado empresas dedicadas a la venta de entradas online y a los servicios de música y streaming.
Esta iniciativa tiene como finalidad fomentar el cumplimiento de la legislación aplicable desde el pasado 25 de mayo.
La publicación del informe va acompañada de un Decálogo que recoge los aspectos más relevantes que deben tener en cuenta los responsables para poder dar cumplimiento al nuevo reglamento. Entre estos aspectos se encuentra: informar sobre quién trata los datos, con qué finalidad, qué base legal legitima el tratamiento, cuánto tiempo se conservan, los derechos de los usuarios y cómo ejercerlos, si los datos se van a ceder a terceros, si se toman decisiones automatizadas o si se van a realizar transferencias internacionales.
Principales puntos analizados y recomendaciones pertinentes
Para empezar, la Agencia aconseja a las empresas revisar la extensión de sus documentos de privacidad, para que cumplan con el deber de informar al interesado "de forma clara y concisa". El informe recomienda la utilización de una primera capa en la que se proporcione información resumida y una segunda con información más detallada.
En este sentido, los resultados muestran que, con carácter general, "las políticas de privacidad no son concisas y no facilitan su comprensión", aspecto que resulta especialmente evidente cuando se enumeran las finalidades para las que se recogen los datos personales.
Por otra parte, el documento precisa que se suele utilizar la recogida del consentimiento en bloque, lo que significa que no se solicita el consentimiento para cada una de las finalidades de tratamiento de datos personales, sino que se acude a la fórmula "He leído y acepto la política de privacidad". Así pues, para que se haga de forma adecuada, la Agencia recomienda agrupar en propósitos afines las finalidades para las que se solicita el consentimiento, de manera que el interesado pueda decidir. Además, el silencio, las casillas premarcadas o la inacción no constituyen un consentimiento válido.
La Agencia aconseja a las empresas revisar la extensión de sus documentos de privacidad, la recogida del consentimiento, el lenguaje utilizado o la explicación de la base legal.
En cuanto al lenguaje utilizado en las políticas de privacidad, el análisis ha encontrado “expresiones ambiguas o demasiado genéricas”, que no aportan información real al interesado. El informe destaca, como ejemplo, una expresión que no permite conocer el tiempo de conservación de los datos recabados, ya que se utiliza la fórmula “mientras exista interés mutuo”. Por ello, la AEPD establece que debe darse información clara sobre cuánto tiempo se conservan los datos, para ofrecer a los usuarios una idea aproximada del plazo establecido por la legislación, indicar la normativa aplicable, o dar información que le permita conocer y calcular cuánto tiempo se van a conservar sus datos personales.
Además, se ha detectado que en ocasiones no se menciona o no se explica correctamente la base legal que legitima el tratamiento de datos personales, incluyendo como interés legítimo lo que en realidad es un tratamiento necesario para la ejecución de un contrato, o encuadrando dentro del interés legítimo lo que en realidad no es tal.
En último lugar, la Agencia destaca en su informe que ha apreciado un esfuerzo por parte de las empresas a la hora de actualizar conforme al reglamento sus apartados sobre privacidad y sus formularios de recogida de datos. No obstante, también aprecia "cierta resistencia a pasar de un modelo anteriormente basado en el consentimiento, en el que se utilizaba en ocasiones el consentimiento tácito, a un nuevo modelo en que, además de poder utilizar otras bases legales para tratar los datos cuando corresponde (como el interés legítimo o una relación contractual), se amplía la información que debe proporcionarse a las personas cuyos datos se pretende tratar y se exige que estas realicen una clara acción positiva cuando se solicita su consentimiento".
Si (
No(
