miércoles, 14 de agosto de 2013

Políticas de Privacidad (Vol. II)

Continuando con mi último post, he aquí algunas cuestiones que no deben Ustedes incluir en las "Políticas de Privacidad" de una web:

- Tratamiento de datos por encargo. Cuando se produce el supuesto descrito en el art. 12 de la LOPD, no es necesario recabar el consentimiento y tampoco informar. Así pues, párrafos como el siguiente está de más en nuestros avisos legales:

"El usuario autoriza expresamente al Responsable del fichero a comunicar sus datos a terceras entidades contratadas para la prestación de servicios como gestión informática de esta web y otros".

- Medidas de seguridad aplicadas. El art. 5 de la LOPD no nos exige informar sobre las medidas de seguridad adoptadas en el tratamiento de los datos. Y si lo hacemos, no estaría mal incluir un texto con contenido, y no una mera repetición de lo que indica el art. 9 de la LOPD. Por eso, párrafos como éste me parecen totalmente prescindibles:

"Los Datos Personales se tratarán confidencialmente. A estos efectos, los Responsables de los Ficheros implantarán las medidas técnicas, organizativas y de seguridad necesarias para evitar la alteración, pérdida, tratamiento o acceso no autorizado a dichos datos."
- Coherencia del texto. Leyendo algunas "Políticas de Privacidad", uno se da cuenta de que han cortado y pegado lo que pone en los contratos de la compañía o un texto que les ha pasado su servicio jurídico. Aquí un ejemplo de lo que les cuento. Cuando uno busca la casilla a la que se refiere el párrafo, no la encuentra:
"Cesión de datos. Los datos personales del Usuario podrán ser cedidos a la entidad matriz del Grupo (en la actualidad, France Telecom, S.A., situada en Francia) o a cualesquiera de aquéllas sociedades que conforman dicho Grupo, cuya actividad es la prestación de servicios de telecomunicaciones y/o comunicaciones electrónicas. La finalidad de dichas cesiones será la realización de una gestión integrada de los productos y servicios del Grupo Societario, así como labores publicitarias y de promoción comercial. Si no desea que sus datos sean cedidos en los términos aquí descritos, por favor, marque la casilla habilitada al efecto en este contrato. En cualquier caso, dicho consentimiento podrá ser revocado en cualquier momento siguiendo el mismo procedimiento establecido en la presente cláusula para el ejercicio del derecho de oposición.
- Y luego hay cosas que simplemente Usted no debe incluir porque son ridículas, como esto que figura en la "Política de Privacidad" de El País:
"4. EDICIONES EL PAIS tiene plena conciencia del uso y tratamiento que se debe dar a los datos personales que se puedan requerir o que se puedan obtener de los usuarios en sus páginas web con el fin de gestionar los servicios ofrecidos o para remitirles comunicaciones comerciales de productos o servicios que puedan resultar de su interés."

lunes, 12 de agosto de 2013

Cómo redactar una Política de Privacidad

Si Usted no se encuentra todavía de vacaciones, o si desde la playa (¡ay!), se ve obligado a atender de urgencia a un cliente, quizás estará interesado en este post. Sí, querido lector. Hoy le explicaré cómo redactar de una forma sencilla y práctica eso que los horteras llaman "Política de Privacidad".

¿Qué por qué no me gusta este nombre? Pues entre otros motivos, porque es un anglicismo. En España, a ese derecho que nace sin nombre en el art. 18.4 de la Constitución, el Legislador Negativo decidió llamarlo derecho fundamental a la protección de datos. En otros ordenamientos, por ejemplo en el mexicano, sí se puede hablar de Aviso de Privacidad para referirse a las cláusulas informativas, pero en nuestro país, constituye una imprecisión (vamos, que es como hablar de homicio en primer grado, algo que espero que todos Ustedes sepan que no existe en nuestro Código Penal).

Pero además, debemos tener en cuenta que algunas empresas anglosajonas incluyen en sus webs bajo el epígrafe de "Política de Privacidad" verdaderas políticas internas, no avisos informativos legales. En algunos países, se considera un signo de transparencia y, por tanto, se valora positivamente, hacer pública la política en la que la organización explica con detalle cómo trata los datos recogidos y muestra su compromiso, su implicación, en realizar un tratamiento leal y legítimo de los datos. Estos textos suelen ser extensos, e incluyen un contenido que no se corresponde exactamente con el que nosotros estamos obligos a facilitar a los interesados de acuerdo con la legislación española. Por eso, si los tomamos como ejemplo para redactar nuestro aviso, si los traducimos y los ponemos en nuestra web tal cual, vamos a quedar como personas poco instruidas en cuestiones jurídicas.

¿Entonces qué deben contener las "Políticas de Privacidad"? La única obligación legal que existe en nuestro derecho es la de informar de los aspectos recogidos en el art. 5 LOPD cuando se recojan datos de carácter personal. De hecho, si no recogemos datos de carácter personal a través de nuestra web (es decir, si tenemos una página sin formularios de contacto y ni siquiera instalamos unas míseras cookies) no tendríamos que utilizar ninguna "Política de Privacidad". En fin, que lo que debe incluir nuestra política es qué datos son obligatorio y cuáles son opcionales, qué consecuencias tiene no facilitar los datos obligatorios, quién es el responsable del fichero y su dirección, para qué se van a utilizar los datos, qué derechos asisten al interesado y cómo ejercitarlos.

Yo les recomiendo que, sin llegar a utilizar iconos como parece que se están planteando ahora en la UE para desconcierto de la Manoli, redacten estas políticas en un lenguaje sencillo y accesible.

Recuerden, por otra parte, que no siempre es necesario poner aquello de "Usted consiente expresamente...". No en todo caso, necesitamos recoger el consentimiento del interesado de acuerdo al art. 6 de la LOPD..).

Si recurrimos a cookies (y ojo, aunque la información que almacenen estos programas no sean datos personales), ya saben que Monsieur le Directeur recomienda utilizar un aviso separado, una "Política de Cookies". Se lo comentaré en otro post. Con esto, doy por finalizado el de hoy. Me voy a desayunar al Círculo, que es uno de los pocos sitios en donde me tratan como merezco.

PD. Síganme en twitter, que me hace ilusión: @AdEdictum.