Categoría: adaptación página web

¿Cómo me adapto al RGPD?

Adaptarse al RGPD

Si el mes pasado hablábamos de que la Agencia Española de Protección de Datos había publicado una guía u hoja de ruta para que las Administraciones públicas pudieran dar los pasos oportunos para adaptarse al Reglamento General de Protección de Datos europeo (RGPD), este mes tenemos que hablar de la misma guía, pero para el sector privado (empresas y profesionales y otras entidades privadas), igualmente publicada por la Agencia en su web.

Si eres por tanto un profesional autónomo, asociación privada, fundación privada o empresario, te interesa esta información, y debes tener en cuenta que la nueva normativa se aplicará plenamente desde el 25 de mayo de 2018.

La breve guía se puede consultar en este enlace oficial:

http://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/common/infografias/Adaptacion_RGPD_sector_privado.pdf

Estos son los pasos a seguir:

1º. Nombramiento de un Delegado de Protección de Datos. Ojo, que no todos los profesionales, entidades o empresas tienen que designarlo. Sólo procede en los casos que indica la normativa. Como siempre que aparece una legislación nueva (o no tan nueva) empiezan a circular infinidad de bulos y datos erróneos. Este es uno de ellos. Son muchas las personas que me llaman preocupadas porque les han asegurado que tienen que designar un Delegado de protección de datos. En la mayoría de los casos eso es totalmente incorrecto.

2º. Redactar el Registro de Actividades de Tratamiento. No lo aclara la Agencia, pero se hará cuando la Ley lo exija. También aquí hay excepciones en el RGPD.

3º. Realizar un análisis de riesgos: este sí que lo tienen que hacer todos los responsables de tratamiento y encargados de tratamiento. Pero también es cierto que en unos casos será un trámite muy sencillo y en otros, será más complicado.

4º. Revisión de medidas de seguridad destinadas a la protección de los datos de carácter personal, teniendo en cuenta el análisis de riesgos anterior.

5º. Crear mecanismos y procedimientos para la notificación de las violaciones de seguridad de los datos de carácter personal.

6º. Elaborar un informe de Evaluación de Impacto cuando proceda (ni mucho menos es aplicable a todos los responsables y encargados de tratamiento).

7º. Modificar las cláusulas informativas que se puedan firmar con clientes, que pueda haber en las webs y en otros supuestos.

8º. Adaptar mecanismos y procedimientos para facilitar el ejercicio de los derechos de los ciudadanos (acceso, rectificación, supresión, oposición, etc…).

9º. Revisar y actualizar los contratos de encargados de tratamiento y verificar si estos últimos cumplen las exigencias del RGPD.

10º. Revisar la política de privacidad de la entidad en general.

11º. Por último, se insiste en la importancia de dejar documentada la realización de todo lo anterior.

 

 

Formularios web para recogida de datos

La Resolución de la Agencia Española de Protección de datos, de 22 de octubre de 2014 (resolución nº R/02359/2014), dictada en el procedimiento nº A/00221/2014, trata el tema de la falta de información al interesado (artículo 5.1 LOPD) en un formulario web, a través del cual se recogían datos personales.

Ni en la web, ni en el propio cuadro del formulario se incluía texto alguno sobre la finalidad de la recogida, destinatario de la información ni ninguno de los demás requisitos legales.

Recordemos que el artículo 5.1 de la referida norma, exige que los interesados que van a proporcionar datos personales, sean previa y expresamente informados:

a) De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.

b) Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.
c) De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.

d) De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.

e) De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.

A lo que se añade en el párrafo 2º que:

Cuando se utilicen cuestionarios u otros impresos para la recogida, figurarán en los mismos, en forma claramente legible, las advertencias a que se refiere el apartado anterior.

Una vez comprobado por la Agencia que –efectivamente- la web no contaba con información alguna, la misma concluye que existe incumplimiento de la LOPD y que la conducta estaría tipificada en como infracción leve en su artículo 44.2.c).

En este caso la Agencia decidió no imponer sanción a la empresa denunciado, sino apercibirle para que acreditase el cumplimiento de su obligación legal de información. Aunque al final ni siquiera fue preciso el apercibimiento, ya que la denunciada procedió a cumplir el requisito previamente.

No obstante, lo que debe quedar claro es que se trata de una conducta sancionable, que deberías tener en cuenta en todo momento, en relación con cualquier formulario de contacto o recogida de datos que pueda existir en tu web.

 

Cookies: segunda capa de informacion

Me gustaría hacer una breve reseña sobre el informe de la Agencia Española de Protección de Datos nº 196/2014, que detalla y aclara cuál debe ser el contenido de la segunda capa de información del aviso sobre cookies en las webs.

Como sabemos, la Ley 9/2014, de 9 de mayo, de Telecomunicaciones, ha introducido una serie de modificaciones en el artículo 22.2 de la LSSICE, que ha supuesto –a su vez- la necesidad de adaptar una serie de páginas web que usaban determinado tipo de cookies.

En resumidas cuentas, los usuarios de la web debían ser informados y dar su consentimiento para la instalación de las mencionadas cookies.

La Agencia Española de Protección de Datos ya publicó en su día una Guía sobre el uso de las cookies, con la finalidad de orientar a los titulares de páginas web sobre la forma de llevar a cabo la adaptación y cumplimiento del artículo 22.2 LSSICE.

Como sistema válido de cumplimiento, la Agencia proponía el sistema de información por capas, indicando que:

1º. “… en una primera capa se mostraría la información esencial sobre la existencia de cookies, si son propias o de terceros y las finalidades de las cookies empleadas, así como los modos de prestar el consentimiento y la información sobre un procedimiento de rechazo de cookies […], el aviso de cookies contenido en la primera capa ha de ser suficientemente visible, es decir aparecer a primera vista y de forma destacada, y no puede entenderse cumplida dicha primera capa con la existencia de una política de privacidad, o incluso política de cookies en el sitio web en cuestión.”

2º. “Y en una segunda capa a la que se accede mediante enlace o hipervínculo de la primera se ofrecería información adicional sobre las cookies. En particular, dicha información adicional debería versar sobre qué son y para qué se utilizan las cookies, los tipos de cookies utilizadas y su finalidad, así como la forma de desactivar o eliminar las cookies enunciadas a través de las funcionalidades facilitadas por el editor, las herramientas proporcionadas por el navegador o el terminal o través de las plataformas comunes que pudieran existir, para esta finalidad, y la forma de revocación del consentimiento ya prestado. Finalmente, debe en esta segunda capa ofrecerse información sobre la identificación de quién utiliza las cookies, esto es, si la información obtenida por las cookies es tratada solo por el editor y/o también por terceros contratados o cuyos servicios ha decidido utilizar el editor, con identificación de estos terceros.”

En el informe jurídico que hemos citado al inicio, se le planteó a la Agencia Española de Protección de datos, la cuestión de si es o no necesario incluir –en la segunda capa de información- el “nombre, cometido y funciones de cada una de las cookies” o si cabe una descripción más general.

La conclusión de la AEPD es muy clara:

“…no es necesario mostrar la segunda capa de información en una tabla o de otro modo en que se especifiquen los nombres de todas y cada una de las cookies.”

Cuestión distinta es que el titular de la web quiera facilitar esa información: nada impide que lo haga.

Sencillamente se dejaría más informado al usuario.