Desde la entrada en vigor del Reglamento General de Protección de Datos (RGPD) en 2018, las páginas web están obligadas a establecer una política de privacidad completa, clara y actualizada. En este artículo explicaremos qué es la política de privacidad web, qué debe incluir y cómo hacerla.
En este artículo hablamos de:
- ¿Qué es la política de privacidad?
- ¿Cuándo es obligatorio tener una política de privacidad web?
- ¿Qué debo incluir en la política de privacidad de mi página web?
- Información del responsable del tratamiento o de su representante
- Datos del responsable en materia de protección de datos
- Información sobre la finalidad del tratamiento
- Terceros destinatarios de los datos personales
- Transferencias internacionales
- Plazo de conservación de los datos
- Derechos ARSULIPO
- Explicación sobre el uso de decisiones individuales automatizadas
- Ejemplo política de privacidad página web
- ¿En qué parte de mi web debo incluir la política de privacidad?
- ¿Qué consecuencias puede acarrear no disponer de una política de privacidad?
- ¿Tu web cumple con el RGPD? Contacta con uno de nuestros expertos para que te asesore con la política de privacidad de tu web/e-commerce o cualquier otro texto legal
- Últimos cambios que establece el RGPD en la política de privacidad web
- Exigencias para que una política de privacidad se ajuste al RGPD y la ePrivacy
¿Qué es la política de privacidad?
La política de privacidad de una página web es un documento legal en el que el titular de la web debe informar sus clientes y usuarios sobre los datos personales que se recopilan al navegar en el sitio, a través de que medios se recogen estos datos, se almacenan y sobre el tratamiento que se realizará de los mismos.
La política de privacidad también debe recoge las medidas empleadas para garantizar la seguridad y el uso legal de los datos personales recogidos en la web, es decir, para garantizar la privacidad de los datos.
De acuerdo al artículo 12 de la ley RGPD, la política de privacidad de una web debe ser sencilla, concisa, transparente y comprensible, es decir, no debe estar redactada en términos ambiguos o demasiado técnicos.
Así mismo, la política de privacidad debe cumplir con una serie de principios:
- Principio de transparencia lealtad y licitud: Se necesita el consentimiento expreso del usuario para poder realizar el tratamiento de datos personales.
- Principio de minimización: Solo se recabarán los datos imprescindibles para poder llevar a cabo los servicios solicitados por el usuario.
- Principio de limitación del plazo: Los datos personales se destruirán una vez se haya cumplido la finalidad para que fueron recabados.
- Principio de confidencialidad e integridad: Se debe asegurar que se cumplen y toman todas las precauciones para que terceros no autorizados no puedan acceder a los datos.
¿Necesitas redactar la Política de privacidad de tu web? En Grupo Atico34 nos encargamos de ello.
¿Cuándo es obligatorio tener una política de privacidad web?
Incorporar la política de privacidad web es obligatorio en el momento en que la página o sitio web recopila algún dato de carácter personal, por ejemplo, el registro de la IP por alguna cookie de terceros alojada en la web (como puede ser un botón de una red social o banner de publicidad).
Básicamente, cualquier página web, sea del tipo que sea, tiene la obligación de incorporar una página de política de privacidad en ella para cumplir con el RGPD y la LOPDGDD. Incluso un blog personal si tiene activados los comentarios, deberá contar con ella.
¿Qué debo incluir en la política de privacidad de mi página web?
Como ya dijimos, este texto legal debe ser claro y conciso, pero ¿cómo hacer la política de privacidad de mi web? ¿Qué debe incluir? La respuesta la encontramos en el artículo 13 del RGPD y consiste en una serie de contenidos mínimos que vamos a ver a continuación.
Información que debe incluir la política de privacidad de una página web
Información del responsable del tratamiento o de su representante
Lo primero que debe suministrar la política de privacidad web es la información del responsable del tratamiento o de su represente, es decir, el nombre de la empresa o de quien la representa, si procede.
Datos del responsable en materia de protección de datos
En la política de privacidad web deben figurar los datos de contacto del responsable del tratamiento de los datos personales o de su representante (si procede). Así, se indicará el nombre o razón social y NIF, las direcciones electrónicas y postales y el número de teléfono del responsable de tratamiento o su representante.
También se facilitarán los datos del delegado de protección de datos, si se cuenta con esta figura.
Información sobre la finalidad del tratamiento
Se informará sobre la finalidad del tratamiento, es decir, para qué serán usados los datos personales que se recojan (por ejemplo, fines estadísticos o para el envío de información). También se debe especificar la legitimación jurídica con la que se han obtenido los datos.
Esto quiere decir que es necesario contar con el consentimiento expreso de los usuarios o clientes para registrar y tratar sus datos personales. Esto se consigue incluyendo un check box de aceptación en los propios formularios (contendrá el enlace a la página de política de privacidad).
En los casos en que se lleve a cabo una compra o la contratación de un servicio online, la base jurídica será el propio contrato.
- *Te puede interesar: Política de privacidad tienda online
Terceros destinatarios de los datos personales
El texto de política de privacidad debe informar a los usuarios de los terceros destinatarios a quienes enviaremos los datos personales, si esta cesión de datos se produce (por ejemplo, un e-commerce con contratistas externos como una plataforma de pago). En estos casos, informaremos de quiénes son esos encargados de tratamiento.
Aquí también es necesario informar, si procede, de las cookies de terceros que están presentes en nuestro sitio web, puesto que están registran datos personales de nuestros usuarios. Es decir, debemos identificar también a estos terceros destinatarios como otros encargados de tratamiento, que podrán tener acceso a los datos personales del usuario, si este da su consentimiento para ello.
Transferencias internacionales
Si se van a transferir datos fuera de países de la Unión Europa, también debemos de informar de ello en la política de privacidad web (es el caso de empresas que tengan sus servidores en EE.UU., por ejemplo).
Plazo de conservación de los datos
Se indicará el plazo máximo durante el que se conservarán los datos personales facilitados por los usuarios.
Derechos ARSULIPO
Tampoco puede faltar en la política de privacidad de la web la información referente a cómo pueden ejercer los usuarios sus derechos ARSULIPO (anteriores derechos ARCO, acceso, rectificación, supresión, limitación, portabilidad y oposición) y a través de qué canal hacerlo. Lo habitual es facilitar un enlace o dirección de correo electrónico para que el usuario pueda ponerse en contacto para la defensa de sus derechos o para presentar una reclamación del servicio.
- *Te puede interesar: Texto LOPD para correo electrónico
Explicación sobre el uso de decisiones individuales automatizadas
Si en tu página web basas decisiones en el tratamiento automatizado de datos que puedan afectar al usuario, como la que se produce con la elaboración de perfiles de usuario, en la política de privacidad web debes explicar la lógica en la que te fundamentas para ello.
El artículo 22 del RGPD dice que es un derecho fundamental del usuario el «no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente de modo similar».
Por ello es necesario explicar los efectos y el alcance que el proceso automatizado tiene sobre él.
Ejemplo política de privacidad página web
Si necesitas un modelo de política de privacidad para web, en Internet se pueden encontrar diferentes plantillas y generadores de las mismas, que te pueden orientar para redactar la política web de tu página.
Pero recuerda, estos ejemplos solo deberías usarlos para guiarte y no para copiarlos; tener la política de privacidad gratis puede ser tentador (nada más fácil que copiar o pegar un texto o generarlo con una plantilla), sin embargo, podrías incurrir en alguna infracción al no incluir en tu política de privacidad toda la información necesaria y pertinente de acuerdo a los tratamientos de datos que vas a realizar en tu web, según tu negocio y actividad y eso podría acarrearte denuncias y sanciones.
En cualquier caso, a continuación te mostramos un ejemplo de política de privacidad de página web que cumple con los actuales requisitos del RGPD. Puedes tomar este texto como ejemplo y adaptarlo para la tuya.
Protección de datos de carácter personal según la LOPDDD
_____________________________, en aplicación de la normativa vigente en materia de protección de datos de carácter personal, informa que los datos personales que se recogen a través de los formularios del Sitio web: ________________________________, se incluyen en los ficheros automatizados específicos de usuarios de los servicios de _______________________________
La recogida y tratamiento automatizado de los datos de carácter personal tiene como finalidad el mantenimiento de la relación comercial y el desempeño de tareas de información, formación, asesoramiento y otras actividades propias de ______________________________________
Estos datos únicamente serán cedidos a aquellas entidades que sean necesarias con el único objetivo de dar
cumplimiento a la finalidad anteriormente expuesta.
_______________________________________ adopta las medidas necesarias para garantizar la seguridad, integridad y confidencialidad de los datos conforme a lo dispuesto en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de los mismos.
El usuario podrá en cualquier momento ejercitar los derechos de acceso, oposición, rectificación y cancelación
reconocidos en el citado Reglamento (UE). El ejercicio de estos derechos puede realizarlo el propio usuario a través de email a: _________________________________ o en la dirección: ________________________________________
El usuario manifiesta que todos los datos facilitados por él son ciertos y correctos, y se compromete a mantenerlos
actualizados, comunicando los cambios a _________________________________________
Finalidad del tratamiento de los datos personales:
¿Con qué finalidad trataremos tus datos personales?
En __________________________________, trataremos tus datos personales recabados a través del Sitio Web:
______________________________, con las siguientes finalidades:
1. En caso de contratación de los bienes y servicios ofertados a través de ____________________________, para
mantener la relación contractual, así como la gestión, administración, información, prestación y mejora del
servicio.
2. Envío de información solicitada a través de los formularios dispuestos en ____________________________
3. Remitir boletines (newsletters), así como comunicaciones comerciales de promociones y/o publicidad de
______________________________ y del sector.
Te recordamos que puedes oponerte al envío de comunicaciones comerciales por cualquier vía y en cualquier momento, remitiendo un correo electrónico a la dirección indicada anteriormente.
Los campos de dichos registros son de cumplimentación obligatoria, siendo imposible realizar las finalidades expresadas si no se aportan esos datos.
¿Por cuánto tiempo se conservan los datos personales recabados?
Los datos personales proporcionados se conservarán mientras se mantenga la relación comercial o no solicites su
supresión y durante el plazo por el cuál pudieran derivarse responsabilidades legales por los servicios prestados.
Legitimación:
El tratamiento de tus datos se realiza con las siguientes bases jurídicas que legitiman el mismo:
1. La solicitud de información y/o la contratación de los servicios de ___________________________, cuyos
términos y condiciones se pondrán a tu disposición en todo caso, de forma previa a una eventual contratación.
2. El consentimiento libre, específico, informado e inequívoco, en tanto que te informamos poniendo a tu
disposición la presente política de privacidad, que tras la lectura de la misma, en caso de estar conforme, puedes
aceptar mediante una declaración o una clara acción afirmativa, como el marcado de una casilla dispuesta al
efecto.
En caso de que no nos facilites tus datos o lo hagas de forma errónea o incompleta, no podremos atender tu solicitud, resultando del todo imposible proporcionarte la información solicitada o llevar a cabo la contratación de los servicios.
Destinatarios:
Los datos no se comunicarán a ningún tercero ajeno a _________________________________, salvo obligación legal.
Como encargados de tratamiento, tenemos contratados a los siguientes proveedores de servicios, habiéndose
comprometido al cumplimiento de las disposiciones normativas, de aplicación en materia de protección de datos, en el momento de su contratación:
(ENCARGADO) ______________________________________________________, con domicilio en
___________________________________________, NIF/CIF nº ________________________, presta servicios de ________________________________________ .
Puede consultar la política de privacidad y demás aspectos legales de la compañía en el siguiente
enlace: ____________________________________________
(ENCARGADO) ____________________________________________, con domicilio en
____________________________________________, NIF/CIF nº _________________________, presta servicios de ___________________________________________ .
Puede consultar la política de privacidad y demás aspectos legales de la compañía en el siguiente
enlace: ______________________________________________
Datos recopilados por usuarios de los servicios
En los casos en que el usuario incluya ficheros con datos de carácter personal en los servidores de alojamiento
compartido, _______________________________________ no se hace responsable del incumplimiento por parte del usuario del RGPD.
Retención de datos en conformidad a la LSSI
______________________________________ informa de que, como prestador de servicio de alojamiento de datos y en virtud de lo establecido en la Ley 34/2002 de 11 de julio de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI), retiene por un periodo máximo de 12 meses la información imprescindible para identificar el origen de los datos alojados y el momento en que se inició la prestación del servicio. La retención de estos datos no afecta al secreto de las comunicaciones y sólo podrán ser utilizados en el marco de una investigación criminal o para la salvaguardia de la seguridad pública, poniéndose a disposición de los jueces y/o tribunales o del Ministerio que así los requiera.
La comunicación de datos a las Fuerzas y Cuerpos del Estado se hará en virtud a lo dispuesto en la normativa sobre protección de datos personales.
Derechos propiedad intelectual ______________________________
_________________________________ es titular de todos los derechos de autor, propiedad intelectual, industrial, “know how” y cuantos otros derechos guardan relación con los contenidos del sitio web _______________________ y los servicios ofertados en el mismo, así como de los programas necesarios para su implementación y la información relacionada.
No se permite la reproducción, publicación y/o uso no estrictamente privado de los contenidos, totales o parciales, del sitio web __________________________________ sin el consentimiento previo y por escrito.
Propiedad intelectual del software
El usuario debe respetar los programas de terceros puestos a su disposición por ____________________________, aun siendo gratuitos y/o de disposición pública.
__________________________ dispone de los derechos de explotación y propiedad intelectual necesarios del software.
El usuario no adquiere derecho alguno o licencia por el servicio contratado, sobre el software necesario para la prestación del servicio, ni tampoco sobre la información técnica de seguimiento del servicio, excepción hecha de los derechos y licencias necesarios para el cumplimiento de los servicios contratados y únicamente durante la duración de los mismos.
Para toda actuación que exceda del cumplimiento del contrato, el usuario necesitará autorización por escrito por parte de _______________________________, quedando prohibido al usuario acceder, modificar, visualizar la configuración, estructura y ficheros de los servidores propiedad de _______________________________, asumiendo la responsabilidad civil y penal derivada de cualquier incidencia que se pudiera producir en los servidores y sistemas de seguridad como consecuencia directa de una actuación negligente o maliciosa por su parte.
Propiedad intelectual de los contenidos alojados
Se prohíbe el uso contrario a la legislación sobre propiedad intelectual de los servicios prestados por
_______________________________ y, en particular de:
• La utilización que resulte contraria a las leyes españolas o que infrinja los derechos de terceros.
• La publicación o la transmisión de cualquier contenido que, a juicio de ________________________, resulte
violento, obsceno, abusivo, ilegal, racial, xenófobo o difamatorio.
• Los cracks, números de serie de programas o cualquier otro contenido que vulnere derechos de la propiedad
intelectual de terceros.
• La recogida y/o utilización de datos personales de otros usuarios sin su consentimiento expreso o contraviniendo
lo dispuesto en Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016,
relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre
circulación de los mismos.
• La utilización del servidor de correo del dominio y de las direcciones de correo electrónico para el envío de
correo masivo no deseado.
El usuario tiene toda la responsabilidad sobre el contenido de su web, la información transmitida y almacenada, los enlaces de hipertexto, las reivindicaciones de terceros y las acciones legales en referencia a propiedad intelectual,
Derechos de terceros y protección de menores.
El usuario es responsable respecto a las leyes y reglamentos en vigor y las reglas que tienen que ver con el
funcionamiento del servicio online, comercio electrónico, derechos de autor, mantenimiento del orden público, así como principios universales de uso de Internet.
El usuario indemnizará a ___________________ por los gastos que generara la imputación de
______________________________ en alguna causa cuya responsabilidad fuera atribuible al usuario, incluidos
honorarios y gastos de defensa jurídica, incluso en el caso de una decisión judicial no definitiva.
Protección de la información alojada
______________________________ realiza copias de seguridad de los contenidos alojados en sus servidores, sin
embargo no se responsabiliza de la pérdida o el borrado accidental de los datos por parte de los usuarios. De igual
manera, no garantiza la reposición total de los datos borrados por los usuarios, ya que los citados datos podrían haber sido suprimidos y/o modificados durante el periodo del tiempo transcurrido desde la última copia de seguridad.
Los servicios ofertados, excepto los servicios específicos de backup, no incluyen la reposición de los contenidos
conservados en las copias de seguridad realizadas por ______________________________, cuando esta pérdida sea imputable al usuario; en este caso, se determinará una tarifa acorde a la complejidad y volumen de la recuperación, siempre previa aceptación del usuario.
La reposición de datos borrados sólo está incluida en el precio del servicio cuando la pérdida del contenido sea debida a causas atribuibles a ________________________________
Comunicaciones comerciales
En aplicación de la LSSI. _______________________________ no enviará comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas.
En el caso de usuarios con los que exista una relación contractual previa, ______________________________ sí está autorizado al envío de comunicaciones comerciales referentes a productos o servicios de
____________________________ que sean similares a los que inicialmente fueron objeto de contratación con el cliente.
En todo caso, el usuario, tras acreditar su identidad, podrá solicitar que no se le haga llegar más información comercial a través de los canales de Atención al Cliente.
Muchas webs incluyen al final una casilla de verificación con el mensaje “Acepto la política de privacidad“, “He leído y acepto”, “Acepto las condiciones de uso del servicio y la política de privacidad”, para garantizar que el usuario es consciente del uso que se hará de sus datos y que consiente su tratamiento.
¿En qué parte de mi web debo incluir la política de privacidad?
La política de privacidad web es uno de los textos legales para web y debe estar visible o accesible cuando se vayan a recoger datos personales de los usuarios. Se recomienda separar el aviso legal de la política de privacidad, es decir, presentarlos en dos textos diferentes en secciones separadas.
Para el caso de que nuestra página web recoja datos personales mediante formulario para crear un perfil y dejar un comentario, participar en un foro, inscribirse en una suscripción para recibir newsletter… La política de privacidad online debe estar inmediatamente después del formulario y justo antes de realizar el registro de datos. Y para que se pueda realizar correctamente y de forma legal el tratamiento de datos de los clientes y usuarios, al final del texto legal del formulario de contacto los usuarios deben marcar expresamente el check box o casilla habilitada (esta casilla nunca debe aparece premarcada).
También se debe incluir un enlace a la política de privacidad desde otros textos legales como la política de cookies, para ofrecer al usuario una segunda capa informativa.
¿Qué consecuencias puede acarrear no disponer de una política de privacidad?
No tener una política de privacidad y la protección de datos en página web bien implementada, puede acarrear como consecuencia una imposición de sanciones por incumplimiento.
La cuantía de estas sanciones (en función de su gravedad) puede alcanzar hasta los 20 millones de euros o un 4 % del volumen de negocios mundial anual en el caso de una empresa (se aplica el valor más alto).
¿Tu web cumple con el RGPD? Contacta con uno de nuestros expertos para que te asesore con la política de privacidad de tu web/e-commerce o cualquier otro texto legal
¿Necesitas ayuda para hacer la política de privacidad de tu página web? En Grupo Atico34 brindamos a nuestros clientes una herramienta con la que elaborar este texto legal de forma rápida y sencilla.
Como empresa líder en protección de datos con más de 12 años de experiencia en el sector, ayudamos a todo tipo de empresas y particulares a cumplir con lo dispuesto en el RGPD y la LOPD.
Te garantizamos que con nosotros los textos legales de tu tienda online, de tu web o blog, estarán adaptados a las exigencias del RGPD y la LOPDGDD. Pero este es solo uno de nuestros servicios. Podemos ayudarte en cualquier aspecto relativo a la protección de datos.
Ponte en contacto con nosotros sin compromiso, cuéntanos tu caso y descubre las ventajas de contar con el soporte de una consultora líder en el sector de la privacidad y protección de datos.
Últimos cambios que establece el RGPD en la política de privacidad web
Aparte todos los aspectos relacionados con la licitud del tratamiento, los derechos de los usuarios y la necesidad de que la política de privacidad web sea lo más clara y comprensible posible, los últimos cambios que establece el RGPD para esta están relacionados con las cookies, ya que una vez se apruebe el Reglamento ePrivacy, este funcionará como ley especial dentro del RGPD.
En concreto ya no se podrá recurrir a la opción «seguir navegando» como forma válida para aceptar todas las cookies de la página web, sino que es necesario contar con un método válido de consentimiento, es decir, uno que requiera que el usuario realice una acción para aceptar el uso de cookies.
- *Te puede interesar: Modelo de consentimiento protección de datos
En ese sentido, los muros de cookies deberán permitir que el usuario configure el uso de cookies, aceptando o no aquellas para las que debe dar su consentimiento expreso. Así mismo, se debe informar de la política de cookies en un documento aparte, al que el usuario puede acceder con facilidad. Las únicas cookies que pueden quedar premarcadas serán las técnicas, es decir, las estrictamente necesarias para que funcione correctamente la web.
Exigencias para que una política de privacidad se ajuste al RGPD y la ePrivacy
Para que la política de privacidad web en 2021-2022 se ajuste al RGPD y la Directiva ePrivacy es necesario cumplir con las exigencias recogidas en estos dos reglamentos y que, de una forma y otra, ya hemos visto a lo largo de este artículo, pero que resumimos a continuación.
En la política de privacidad web debe informarse al usuario sobre:
- Identidad, ubicación e información de contacto del titular de la web (tanto si es persona física como jurídica).
- Qué datos personales se recogen, almacenan y tratan.
- Qué métodos se emplean para recoger dichos datos.
- La finalidad para la que se recogen los datos.
- Cómo se almacena y se aseguran los datos recogidos.
- Cuándo y cómo pueden dar su consentimiento para la recogida y tratamientos de sus datos. Y qué derechos tienen sobre ellos y cómo ejercerlos.
- Qué servicios de terceros estás usando para recoger, procesar y almacenar los datos personales.
Toda esta información, además, debe proporcionarse a los usuarios de forma clara, concisa, transparente, comprensible, siendo fácil acceder a ella y de forma gratuita.