Informar al RGPD

El deure d’informar al RGPD: la primera capa d’informació

Transcorregut més d’un any des de la plena aplicació del Reglament General de Protecció de Dades (“RGPD”), encara sorprèn el baix grau de compliment en relació al deure d’informar quan es recullen dades personals en un entorn web, i especialment a la primera capa informativa que exigeix la normativa i de la qual parlarem aquí. Son habituals les converses amb clients o desenvolupadors webs, en que aquests et manifesten la seva sorpresa quan els hi parles de la informació en “dues capes”. “Doncs jo no ho he vist enlloc” o “Primera notícia”, son respostes molt habituals.

El deure de la informació en dues capes, és una obligació que la pròpia AEPD es va encarregar de deixar molt clara inclús abans del fatídic 25 de maig de 2018 i hi ho va fer en la seva Guia del Deure d’Informar.

Què vol dir la informació en dues capes?

Essencialment el que això significa, és que els titulars de pàgines web o d’altres entorns digitals on es recullin dades, han de facilitar la informació mínima als usuaris en dos formats diferents. Com diem aquí parlarem de la informació de la primera capa o informació bàsica, ja que és en la que s’observa un grau de compliment més baix.

protecció de dades

Informació bàsica (Primera Capa):

Aquest és el punt on més “baralles” tenim els advocats amb els dissenyadors web i és que la guia exigeix que aquesta informació mínima estigui al “mateix camp de visió” del lloc on es recullen les dades. Per tant cal que la informació que a continuació s’indica, estigui al mateix lloc visual del lloc on es demanin les dades (habitualment un formulari). El que hauria de mostrar-se en aquest lloc és:

  • Les dades bàsiques del titular de la web. Denominació social complerta, si el titular de la web és una empresa o entitat o nom complert, si fos un autònom.
  • Què es pretén fer amb les dades. Cal analitzar bé realment què es pretén fer amb les dades. És a dir que si recollim dades en un formulari amb la intenció de resoldre els dubtes que ens plantegin, la finalitat és aquesta, ara si volem usar aquestes dades per informar als contactes de futures promocions comercials, ja tenim una segona finalitat.
  • Què ens permet tractar les dades. Él RGPD preveu sis supòsits en que el tractament de dades és lícit. El consentiment és només un d’aquests sis. És habitual que aquí es posi consentiment per defecte però cal pensar el següent: si diem que tractem les dades per què tenim el consentiment: (1) cal obtenir-lo de manera expressa i (2) el consentiment és revocable per definició, per tant cal preguntar-nos què passaria si qui ens ha donat el consentiment per tractar les seves dades, el retirés. Per tant, analitzeu bé els sis supòsits i sigueu rigorosos amb l’opció escollida. Entre els més habituals que la gent es deixa hi ha: el compliment d’un contracte entre el titular de la web i qui dona les dades o el compliment d’una obligació legal.
  • Els destinataris de les dades. Els proveïdors de serveis, no son destinataris. Els departaments de la mateixa empresa, tampoc. Cal entendre com a destinatari qualsevol tercer que accedeixi a les dades per fer-ne un ús de manera independent. Pensar també, si les dades recollides es cedeixen també a les Administracions Públiques.
  • Els drets del interessats. No té massa misteri. Els drets son en essència sempre els mateixos.
  • Un enllaç a la Política de Privacitat sencera. Menys misteri encara, enllaç al text complert o segona capa informativa de la que parlarem en el següent post.

Acabem amb un exemple de procediment sancionador de l’AEPD contra la Reial Federació Espanyola de Futbol per no incloure la informació mínima en el procés de recollida de dades. En aquest cas es va arxivar el procediment ja que en el transcurs del mateix la RFEF va modificar els termes i contingut de la seva Política de Privacitat.

Deixa un comentari

L'adreça electrònica no es publicarà. Els camps necessaris estan marcats amb *

Serveis
  • Protecció de dades
  • Contractes tecnològics
  • Marques
 
  • Propietat Intel·lectual
  • Comerç electrònic
  • Prevenció blanqueig de capitals