Logotipo grande de Academy Europe
  • 11 de mayo de 2024
  • Última actualización 7 de mayo de 2023 10:40 am
  • Hannover

Reglamento General de Protección de Datos (RGPD)

Inicio - Reglamento General de Protección de Datos (RGPD)

Academy Europe confirma aplicar el cumplimiento de GDPR bajo la ley de la Unión Europea:

https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32016R0679

El Reglamento General de Protección de Datos (RGPD) es la ley de privacidad y seguridad más estricta del mundo. Aunque fue redactado y aprobado por la Unión Europea (UE), impone obligaciones a las organizaciones en cualquier lugar, siempre que apunten o recopilen datos relacionados con personas en la UE. La regulación entró en vigor el 25 de mayo de 2018. El RGPD impondrá duras multas a quienes violen sus estándares de privacidad y seguridad, con sanciones que alcanzarán las decenas de millones de euros.

GDPR.eu se le proporciona como un recurso útil para encontrar rápidamente los 99 artículos y los 173 considerandos del Reglamento, así como guías útiles y listas de verificación que lo guiarán a través de cómo el Reglamento puede aplicarse a usted.

https://gdpr.eu/tag/gdpr/

La transparencia e informar al público sobre cómo se utilizan sus datos son dos objetivos básicos del RGPD. Este artículo explica qué es un aviso de privacidad y ofrece una plantilla de aviso de privacidad para ayudarlo a cumplir con la ley.

El Reglamento General de Protección de Datos (GDPR) de la UE es un primer paso para dar a los ciudadanos y residentes de la UE más control sobre cómo las organizaciones utilizan sus datos. Si su empresa maneja información personal de personas en la UE, entonces debe cumplir con el RGPD, sin importar en qué parte del mundo se encuentre. Las multas por violar los nuevos derechos de privacidad de las personas pueden ser de hasta el 4 por ciento de sus ingresos globales o 20 millones de euros, lo que sea mayor.

Un aviso de privacidad de GDPR es una forma importante de ayudar a sus clientes a tomar decisiones informadas sobre los datos que recopila y usa. Hemos reunido información de la propia ley y de los documentos de orientación de la UE para ayudarlo a comprender los componentes de un buen aviso de privacidad. Y en la parte inferior, hemos incluido una plantilla de aviso de privacidad que puede adaptar a su propia organización.

¿Qué es un aviso de privacidad?

Un aviso de privacidad es un documento público de una organización que explica cómo esa organización procesa los datos personales y cómo aplica los principios de protección de datos. Artículos 121314 del RGPD proporcionan instrucciones detalladas sobre cómo crear un aviso de privacidad, poniendo énfasis en que sean fáciles de entender y accesibles. Si está recopilando datos directamente de alguien, debe proporcionarle su aviso de privacidad en el momento en que lo haga.

Tenga en cuenta que los términos "aviso de privacidad" y "política de privacidad" en realidad no aparecen en el texto del RGPD y son esencialmente intercambiables. Las pautas explicadas en este artículo se aplican a cualquier documento público en el que su organización describa sus actividades de procesamiento de datos a los clientes y al público.

Según el RGPD, las organizaciones deben proporcionar a las personas un aviso de privacidad que sea:

  • De forma concisa, transparente, inteligible y de fácil acceso
  • Escrito en un lenguaje claro y sencillo, en particular para cualquier información dirigida específicamente a un niño
  • Entregado en tiempo y forma
  • Proporcionado de forma gratuita

El RGPD también estipula qué información debe compartir una organización en un aviso de privacidad. Existe una ligera variación en los requisitos dependiendo de si una organización recopila sus datos directamente de un individuo o los recibe como un tercero.

Si una organización recopila información de un individuo directamente, debe incluir la siguiente información en su aviso de privacidad:

  • La identidad y datos de contacto de la organización, su representante y su Delegado de Protección de Datos
  • El propósito para que la organización procese los datos personales de un individuo y su base legal
  • Los intereses legítimos de la organización (o de un tercero, en su caso)
  • Cualquier destinatario o categorías de destinatarios de los datos de una persona
  • Los detalles sobre cualquier transferencia de datos personales a un tercer país y las medidas de seguridad adoptadas
  • El período de retención o los criterios utilizados para determinar el período de retención de los datos
  • La existencia de los derechos de cada interesado
  • El derecho a retirar el consentimiento en cualquier momento (cuando corresponda)
  • Derecho a presentar una reclamación ante una autoridad de control
  • Si el suministro de datos personales es parte de un requisito u obligación legal o contractual y las posibles consecuencias de no proporcionar los datos personales
  • La existencia de un sistema automatizado de toma de decisiones, incluida la elaboración de perfiles e información sobre cómo se ha configurado este sistema, la importancia y las consecuencias.

Si una organización obtiene sus datos indirectamente (a través de otra organización), su aviso de privacidad debe proporcionar toda la misma información, excepto:

  • Si el suministro de datos personales es parte de un requisito u obligación legal o contractual y las posibles consecuencias de no proporcionar los datos personales

y en su lugar debe add:

  • Las categorías de datos personales obtenidos

Según el Artículo 14(3), si obtiene datos personales de un tercero, debe comunicar la información anterior al interesado: a más tardar un mes después de haber obtenido los datos, en el momento en que se comunica por primera vez con los datos tema, o antes de compartir los datos con otra organización.

Generalmente, un aviso de privacidad se proporcionará por escrito y, en su caso, se suministrará electrónicamente. Toda organización que mantenga un sitio web debe publicar allí su aviso de privacidad, bajo el título “Política de privacidad”, y debe ser accesible a través de un enlace directo desde cada página web. Si un sitio web recopila datos personales en línea, se debe proporcionar el aviso de privacidad o un enlace al mismo en la misma página donde se realiza la recopilación de datos. El RGPD también establece que los avisos de privacidad deben estar disponibles de forma oral previa solicitud para garantizar la comprensión y ayudar a las personas con discapacidad visual.

Prácticas recomendadas del aviso de privacidad del RGPD

Los avisos de privacidad deben evitar el uso de calificadores como "puede", "podría", "algunos", "a menudo", etc., ya que son deliberadamente vagos. La escritura debe estar en tiempo activo y las oraciones y los párrafos deben estar bien estructurados, usando viñetas para resaltar puntos específicos de nota. Evite terminología innecesariamente legalista y técnica.

Según la Comisión Europea Directrices de GDPR, las frases siguientes no son suficientemente claras en cuanto a los fines del procesamiento. (Tomamos estos ejemplos directamente del documento).

  • “Podemos usar sus datos personales para desarrollar nuevos servicios” (ya que no está claro cuáles son los “servicios” o cómo los datos ayudarán a desarrollarlos)
  • “Podemos utilizar sus datos personales con fines de investigación” (ya que no está claro a qué tipo de “investigación” se refiere)
  • "Podemos usar sus datos personales para ofrecer servicios personalizados" (ya que no está claro qué implica la "personalización")
  • En cambio, este tipo de frases son mucho mejores:
    “Conservaremos su historial de compras y utilizaremos los detalles de los productos que ha comprado anteriormente para hacerle sugerencias sobre otros productos que creemos que también le interesarán” (está claro qué tipos de datos se procesarán, que el el sujeto de datos estará sujeto a anuncios dirigidos de productos y que sus datos se utilizarán para permitir esto)
  • “Retendremos y evaluaremos la información sobre sus visitas recientes a nuestro sitio web y cómo se mueve por las diferentes secciones de nuestro sitio web con fines analíticos para comprender cómo las personas usan nuestro sitio web para que podamos hacerlo más intuitivo” (está claro qué tipo de serán tratados los datos y el tipo de análisis que vaya a realizar el responsable del tratamiento)
  • “Mantendremos un registro de los artículos de nuestro sitio web en los que haya hecho clic y utilizaremos esa información para dirigirle publicidad en este sitio web que sea relevante para sus intereses, que hayamos identificado en función de los artículos que haya leído” (es claro en qué consiste la personalización y cómo se han identificado los intereses atribuidos al interesado)