Sanción de 10.000 euros por la Política de Privacidad

La última semana de octubre la Agencia Española de Protección de Datos interpuso una sanción de diez mil euros al titular de una web de automovilismo por no tener una Política de Privacidad en forma.

¿Qué problema tenía la web?

Al entrar en la web, se pueden introducir datos personales (correo electrónico y nombre del usuario) en un formulario de registro que se puede obtener desplegando el menú del lateral de la web, como en la mayoría de sitios. De la misma manera, se pueden introducir datos personales a la pestaña de “Contacta con nosotros”.

El problema con estas interfaces es que deben tener una cláusula de recogida del consentimiento del usuario, y no de cualquier manera.

Y cómo tenía la cláusula de recogida del consentimiento esta web? Pues mal. Como ocurre a menudo, para enviar el formulario de registro, se debe aceptar una casilla dónde pone “He leído y aceptado la Política de Privacidad” con el link que dirige al documento legal en cuestión. Pero lo cierto es la cláusula de recogida del consentimiento debe ser más completa, incluyendo:

• Quién es el responsable de la recogida de datos personales
• La/s finalidad/es de la recogida de datos personales
• La existencia de transferencias de datos a terceros
• Los derechos del usuario y contacto para ejercerlos
• Y sí, el link de la “Política de Privacidad”

Puede que te preocupe que la cláusula quede muy larga o muy farragosa, por lo que los clientes tengan una mala experiencia de interacción con la web. Con Lawwwing esto no ocurre, ya que uno de los servicios que hace nuestro software al escanear tu web es detectar dónde recoges el consentimiento y te genera una cláusula específica, ajustada a la norma y fácil de entender para todos. ¿Recoges datos para contactar por Whatsapp? Estás protegido. ¿Recoges datos para un formulario de contacto? Estás protegido. ¿Recoges datos para la creación de un perfil de usuario? Estás protegido. Cada una con su cláusula específica, diseñada para garantizar una experiencia agradable al usuario que visita tu web.

Seguimos con la sanción, porque ahí no termina todo. Hemos visto que tenía la cláusula de recogida del consentimiento mal, pero una vez desplegada la “Política de Privacidad”, esta redirigir al usuario a la “Política de Privacidad” de otra web (con dominio diferente y de ¡otro titular!). Osea, que para ahorrarse la “Política de Privacidad” (seguramente porque “nadie se lo lee…”) dirigían los usuarios a la web de otra empresa.

Esto es una infracción del artículo 13 del RGPD, tipificada en el Artículo 83.5 del RGPD, por no facilitar al usuario, en el momento de obtener los sus datos personales, toda la información necesaria sobre el tratamiento de los mismos.

Además de todo lo anterior, en ningún sitio de la web original se redirigía al usuario a la verdadera “Política de Privacidad”, de obligado cumplimiento para las páginas webs que recojan datos personales (RGPD), dejando así una web totalmente desprotegida.

Cabe apuntar que la web si tenía un “Aviso Legal” al cuál se llegaba de forma indirecta en un segundo nivel (en la página de “home” de la web, haciendo clic en unas marcas horizontales del menú”). Esto NO es suficiente, porque la AEPD ha reiterado en numerosas ocasiones que los textos legales deben de ser fáciles de acceder por parte de todos los usuarios, con lenguaje claro y sencillo. Las Directrices sobre transparencia del Reglamento (UE) 2016/679, emitidas por el Grupo de Trabajo del Artículo 29 (GT29), indican que "la información sobre tratamiento de datos personales debe ser fácilmente accesible, sin necesidad de búsqueda activa por parte del usuario". Por ejemplo, un enlace claro y visible a la declaración de privacidad debe estar presente en cada página de un sitio web, bajo términos comunes como "Política de privacidad".

En este caso, el sitio no cumplía con el artículo 13 del RGPD, ya que el enlace en el formulario redirigía a una política sin la información relevante para el usuario. El GT29 recomienda que esta información esté en el mismo punto de recogida de datos o en un solo lugar, estructurada en niveles, para facilitar la toma de decisiones informada del usuario.

En Lawwwing estamos hartos de ver textos infernalmente largos, ilegibles y sinsentido. Encontrar un formulario para ejercer tu derecho de supresión o la política de envíos de una tienda online no debe de ser nunca una prueba de aptitudes tecnológicas para entrar a la NASA. Nuestra plataforma os generará un texto bien organizado, corto y aún así, 100% acorde a las normativas legales vigentes.

Ahora la sanción está pendiente de una resolución del Tribunal Supremo por interés casacional, al poner el caso en jaque los artículos 57 y 58.2 del Reglamento (UE) de Protección de Datos por una denuncia anterior al mismo responsable, esa vez por tratar con cookies sin avisarlo en la Política de Cookies ni Aviso Legal. Pero una vez termine el procedimiento, el responsable deberá pagar los 10.000 euros que la Agencia le pide.

Quieres evitar que te pase lo mismo? Vamos con algunos consejos para que puedas protegerte:

TIPS

• La Política de Privacidad y el Aviso Legal siempre accesibles en tu Web
• No dirigir a textos legales de otras empresas: los documentos deben ser tuyos y te representan a tí
• Debes dar tu información en el Aviso Legal como responsable : nombre de la empresa, correo electrónico, registro mercantil,e ntre otros.
• Recoge el consentimiento de forma adecuada, con las cláusulas apropiadas. (Aunque sea habitual, no sirve un simple “He leído y Acepto la Política de Privacidad”)
• Si utilizas cookies, tienes la obligación de decirlo sea en tu Aviso Legal o en un texto aparte (Política de Cookies)
• Los links que redirigen a la “Política de Privacidad” deben asignarse con los textos correspondientes.

Puedes leer la sanción aquí