¿Quién lee la política de privacidad antes de aceptar unas cookies o abrir una cuenta en una red social? Casi nadie, y, sin embargo, ese texto que solemos pasar por alto es una de las piezas clave para saber qué hacen realmente las organizaciones con nuestros datos personales.
El problema no es solo de pereza de la persona usuaria, muchas políticas de privacidad están escritas en un lenguaje casi críptico, pensado para juristas, no para ciudadanos, lo que pone en cuestión que se esté cumpliendo de verdad con las obligaciones en Protección de Datos.
Desde 2018, las modificaciones normativas han cambiado la lógica, ya no basta con “colgar” un texto legal en la web, sino que hay que informar de forma clara, comprensible y en el momento oportuno. Es decir, el centro deja de ser el cumplimiento formal y pasa a ser la capacidad real del ciudadano para entender qué se hace con sus datos.
QUÉ EXIGE REALMENTE EL RGPD CUANDO HABLA DE INFORMAR
La normativa establece el llamado “deber de información”, que no es otra cosa que la obligación de explicar a las personas, antes o en el momento de recoger sus datos, varios elementos fundamentales.
Entre otros, el responsable debe indicar:
- Quién trata los datos (identidad y contacto del responsable, y, en su caso, del delegado de protección de datos).
- Para qué se van a utilizar esos datos, es decir, las finalidades del tratamiento.
- En qué se basa jurídicamente ese tratamiento (consentimiento, obligación legal, contrato, interés legítimo, etc.).
- Durante cuánto tiempo se conservarán los datos o, al menos, los criterios para fijar ese plazo.
- Si se comunicarán a terceros o se realizarán transferencias internacionales.
- Qué derechos tiene la persona afectada y cómo puede ejercerlos.
Todo esto debe facilitarse de forma “concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo”, evitando las fórmulas farragosas y las remisiones constantes a textos legales que nadie entiende.
La normativa, por tanto, no obliga a redactar un documento interminable, sino a ofrecer información útil y comprensible.
INFORMACIÓN POR CAPAS. RESUMIR SIN OCULTAR
Ante la complejidad de la información que hay que proporcionar, las autoridades de protección de datos han impulsado el modelo de la “información por capas”. La idea es sencilla, ofrecer primero una visión esencial, muy clara y visible, y permitir que quien lo desee pueda acceder a un texto más extenso con todos los detalles legales.
En la primera capa, que suele aparecer junto al formulario de recogida de datos o en un aviso destacado, deberían incluirse al menos:
- Quién es el responsable del tratamiento.
- Para qué se usarán los datos principales que se recaban en ese momento.
- Cuáles son los derechos básicos de la persona (acceso, rectificación, supresión, oposición, etc.) y un enlace o referencia clara a la política completa.
La segunda capa, a la que se accede mediante un enlace del tipo “Más información” o “Política de privacidad completa”, desarrolla el resto de cuestiones, bases jurídicas concretas, plazos de conservación detallados, cesiones, transferencias internacionales, elaboración de perfiles, así como todos los matices que exige la normativa.
Lo importante es que los aspectos clave no queden enterrados en párrafos interminables, sino que cualquier persona pueda hacerse una idea rápida del tratamiento con un simple vistazo.
TRANSPARENCIA, ALGO MÁS QUE UN TRÁMITE
La normativa coloca la transparencia como uno de sus principios fundamentales, junto a la licitud y la lealtad en el tratamiento de datos. Esto significa que la información no puede ser un mero trámite formal, sino un elemento central de la relación entre la organización y el ciudadano.
Ser transparente implica, entre otras cosas:
- Ofrecer la información en el momento oportuno: cuando se recogen los datos, no después.
- Adaptar el formato a los distintos dispositivos, de forma que la política de privacidad sea igual de accesible en un móvil que en un ordenador.
- Usar un lenguaje accesible, evitando tecnicismos y giros jurídicos innecesarios, y recurriendo, cuando sea útil, a iconos o resúmenes visuales que faciliten la comprensión.
- Diseñar contenidos específicos cuando se dirigen a menores o colectivos especialmente vulnerables, teniendo en cuenta su capacidad de comprensión.
El objetivo final es que el ciudadano pueda tomar decisiones informadas, saber qué implica marcar una casilla de consentimiento, qué ocurre si no aporta un dato o cómo puede revocar un permiso dado anteriormente.
LOS DERECHOS DEL CIUDADANO, ALGO MÁS QUE UNA LISTA
Informar bien también es explicar qué puede hacer la persona con sus datos. La normativa reconoce a las personas interesadas un conjunto de derechos que deben aparecer claramente identificados en la política de privacidad.
Entre ellos destacan:
- Derecho de acceso: conocer qué datos se tratan y para qué.
- Derecho de rectificación: corregir datos inexactos o incompletos.
- Derecho de supresión: pedir que se borren los datos cuando ya no sean necesarios o el tratamiento sea ilícito, articulando el conocido “derecho al olvido” en determinados contextos.
- Derecho a la limitación del tratamiento: restringir temporalmente el uso de los datos en ciertas situaciones.
- Derecho a la portabilidad: recibir los datos en un formato estructurado y transmitirlos a otro responsable cuando el tratamiento se base en el consentimiento o un contrato.
- Derecho de oposición: negarse a determinados tratamientos por motivos relacionados con la situación particular de la persona, como la publicidad personalizada o ciertos tratamientos basados en intereses legítimos.
Cuando la base jurídica del tratamiento es el consentimiento, debe explicarse con claridad que este puede retirarse en cualquier momento, con la misma facilidad con la que se prestó. Además, la organización tiene que indicar un canal claro para ejercer estos derechos (correo electrónico, formulario web, dirección postal) y recordar que está obligada a responder, como regla general, en el plazo de un mes, prorrogable dos meses más en casos especialmente complejos.
MÁS ALLÁ DEL TEXTO, CONFIANZA O DESCONFIANZA EN UN CLIC
Al final, una política de privacidad que nadie entiende no es una verdadera política de privacidad, es un texto de descargo de responsabilidades diseñado para proteger a la organización, no a la persona. En una sociedad donde las grandes decisiones comerciales y públicas dependen cada vez más de los datos, la forma en que se informa sobre su uso se ha convertido en un indicador claro de la cultura de cumplimiento y de respeto al ciudadano.
Las organizaciones que apuestan por la claridad, la brevedad y la accesibilidad no solo reducen el riesgo de sanciones, sino que generan mayor confianza en sus clientes, usuarios y contribuyentes.
La diferencia, en ocasiones, está en algo tan sencillo como sustituir un párrafo incomprensible por una explicación llana y directa que responda a la pregunta que todos nos hacemos cuando hacemos clic en “Acepto”, qué van a hacer con mis datos, durante cuánto tiempo y qué puedo hacer yo si no estoy de acuerdo.
Isaac Díaz
Procade