Contenidos
Descubra por qué tener una declaración de privacidad es esencial para las empresas que utilizan datos personales Descubra cómo las regulaciones del RGPD generan la necesidad de una política de privacidad.
Este extracto editado proviene de Cómo utilizar los datos del cliente de Sachiko Scheuing ©2024 y se reproduce con permiso de Kogan Page Ltd.
¿Utilizas datos personales?
Apuesto a que sí porque de lo contrario no estarías leyendo este libro. Si su empresa utiliza datos personales para marketing, contabilidad, recursos humanos o cualquier otro fin, necesita una política de privacidad.
El enfoque tradicional de la protección de datos y la autodeterminación informativa sugiere que un control significativo de sus propios datos sólo es posible si se le informó sobre cómo se utilizarán los datos.
Una de las primeras normas que establece el RGPD en su texto, tras aclarar el alcance de la ley y las diferentes definiciones, es el artículo 5 (legislation.gov.uk, 2016): Article 5 (legislation.gov.uk, 2016
1. Personal data shall be:
(a) processed lawfully, fairly and in a transparent manner in relation to the data subject (‘lawfulness, fairness and transparency’)
1 Los datos personales serán:
(a) procesado de manera legal, justa y transparente en relación con el interesado (“licitud, equidad y transparencia”)
Este mismo requisito desencadena la necesidad de una declaración de privacidad.
Las empresas, en particular, cuando son responsables del tratamiento de datos, deben ser responsables del uso de sus datos y tener una declaración de privacidad. Este requisito también se detalla en el artículo 24(2) del RGPD (legislation.gov.uk, 2016).
Este artículo cubre el tema de la toma de decisiones individuales automatizada, incluida la elaboración de perfiles; no la elaboración de perfiles para marketing que automatiza la selección de anuncios que se mostrarán, etc., sino la elaboración de perfiles que pueden tener un impacto grave en las personas.
El artículo 24(2) dice que dicha elaboración de perfiles solo puede cumplirse si se implementa una política de protección de datos adecuada, que incluya una declaración de privacidad (legislation.gov.uk, 2016).
En cualquier caso, una declaración de privacidad es un documento importante. GDPR dedica dos artículos a enumerar la información precisa que necesita publicar en su política de privacidad;
¿Quién leerá su declaración de privacidad?
En el caso del etiquetado de alimentos, fui yo, como cliente que buscaba un ingrediente en particular, quien leyó esto. ¿Alguna vez te has preguntado quién lee tu declaración de privacidad?
Los clientes y prospectos son un grupo obvio de partes interesadas que están preocupadas por lo que sucederá con sus datos una vez que estén en sus manos. Es posible que los activistas de la privacidad y las organizaciones de protección del consumidor también estén revisando su declaración de privacidad.
Los autores e investigadores académicos en el campo de la protección de datos lo consideran una gran fuente de información, ya que les permite aprender cómo las empresas utilizan los datos personales. Los reguladores, jueces y abogados que trabajan en un caso que involucra a su empresa también muestran gran interés en su aviso de privacidad.
Su imagen corporativa está determinada por cómo se lee su declaración de privacidad. Los clientes, tanto en el mercado de empresa a empresa como de empresa a consumidor, prestan gran atención a sus prácticas de privacidad.
Los socios comerciales y proveedores de su empresa a menudo formalizan la revisión del cumplimiento de la protección de datos de su empresa, haciendo preguntas sobre su declaración de privacidad en sus cuestionarios de diligencia debida.
Sean quienes sean los lectores, es otro “punto de contacto” para una variedad de partes interesadas, incluidas partes generadoras de ingresos como clientes y socios.
Quiere que tengan una buena impresión de sus prácticas de privacidad y la primera oportunidad que tiene para mostrar esto puede ser su declaración de privacidad. Tomando prestadas las palabras de la ICO, una buena declaración de privacidad «ayuda a generar confianza, evita la confusión y permite que todos sepan qué esperar». ICO, 2023
¿Cuánto tiempo debe durar mi declaración de privacidad?
GDPR espera que usted redacte una declaración de privacidad lo suficientemente larga como para que pueda explicar adecuadamente qué datos se recopilan, utilizan y almacenan. Esto hace que su declaración de privacidad sea transparente.
Al mismo tiempo, su declaración de privacidad debe ser concisa, según el artículo 12(1) del RGPD (legislation.gov.uk, 2016). Estos dos requisitos parecen contradecirse a primera vista. Los reguladores de la UE, por tanto, dan algunas explicaciones en sus directrices sobre transparencia (Art 29 WP, 2018). guidelines on transparency (Art 29 WP, 2018)
Si bien una declaración de privacidad tiene como objetivo brindar la información necesaria para que los consumidores puedan tomar decisiones sobre sus datos personales, los reguladores también son conscientes del fenómeno conocido como “fatiga de información” o “sobrecarga de información”.
Cuando se presenta demasiada información, las personas se sienten abrumadas e ignoran la información o toman decisiones ilógicas para afrontar el estrés psicológico que experimentan (Simmel, 1950; Milgram, 1969).
Hay dos estrategias para evitar esto que pueden, al mismo tiempo, proporcionar todos los detalles necesarios.
Tener una estructura clara
Antes de comenzar a redactar un aviso de privacidad, enumere toda la información que debe proporcionar en él. Luego, piense en cómo quiere presentarlo a sus clientes y a otros interesados de forma lógica.
Al hacerlo, es posible que desee leer las declaraciones de privacidad de grandes marcas de consumo y organizaciones gubernamentales y descubrir cómo están estructuradas sus declaraciones de privacidad.
Es muy probable que sus avisos de privacidad sean preparados por abogados internos con experiencia o por bufetes de abogados especializados en protección de datos. La idea es tener una idea de cómo son las excelentes declaraciones de privacidad.
Es posible que también desee leer las declaraciones de privacidad de sus competidores, así como las de sus socios en su campo comercial.
Pregúntele a su responsable de privacidad qué competidores tienen buena reputación con respecto a sus prácticas de protección de datos, o quizás ya sepa quiénes son. Basta con ver cómo están estructurados sus avisos de privacidad. También puede simplemente adoptar la estructura de la plantilla de política de privacidad de ICO.
Hagas lo que hagas, la clave es mejorar la legibilidad de tu declaración de privacidad dándole una estructura lógica.
Prepare avisos de privacidad en capas
Otro enfoque, respaldado por los reguladores, es el llamado enfoque por niveles (Art. 29 WP, 2018).
Suponiendo que el aviso de privacidad estará en línea, puede hacer que su política de privacidad sea interactiva mediante el uso de enlaces, de modo que los usuarios puedan hacer clic en ellos cuando quieran obtener más información, u omitirlos y permanecer en la información resumida de primer nivel si así lo desean.
De esta manera, los mensajes clave se simplifican y los lectores de su declaración de privacidad tendrán una buena visión general de la primera capa de la declaración.
Regulators recommend the following information should be visible on the first layers of the privacy notice (Art 29 WP, 2018, p 19, para 36):
- Details of the purposes of processing
- The identity of the data controller
- Description of the data subjects’ rights
- Information on the processing which has the most impact on the data subject
- Information on the processing which could surprise them.
Los reguladores recomiendan que la siguiente información esté visible en las primeras capas del aviso de privacidad (Art. 29 WP, 2018, p. 19, párrafo 36):
- Detalles de los fines del procesamiento
- La identidad del responsable del tratamiento
- Descripción de los derechos de los interesados
- Información sobre el tratamiento que tiene mayor impacto en el interesado
- Información sobre el tratamiento que podría sorprenderles.
¿Cuándo tengo que presentar la declaración de privacidad?
Se debe informar a los consumidores lo antes posible para qué datos se recopilan, por ejemplo con fines de marketing.
Cuando recopila datos directamente de sus clientes, debe presentar su aviso de privacidad en el momento en que recopila los datos (consulte el artículo 13(1) del RGPD; legislación.gov.uk, 2016).
En un escenario en el que obtiene licencia sobre los datos de otras organizaciones, como fuentes públicas o proveedores de datos de marketing, el Artículo 14(3)a y b exige que la información de privacidad se proporcione de la siguiente manera (legislation.gov.uk, 2016)
- within a reasonable period after obtaining the personal data, but at the latest within one month, having regard to the specific circumstances in which the personal data are processed;
- if the personal data are to be used for communication with the data subject, at the latest at the time of the first communication to that data subject; or
- if a disclosure to another recipient is envisaged, at the latest when the personal data are first disclosed.
- dentro de un plazo razonable después de la obtención de los datos personales, pero a más tardar en el plazo de un mes, teniendo en cuenta las circunstancias específicas en las que se procesan los datos personales;
- si los datos personales van a utilizarse para la comunicación con el interesado, a más tardar en el momento de la primera comunicación a ese interesado;
- si se prevé una divulgación a otro destinatario, a más tardar cuando los datos personales se comuniquen por primera vez.
En definitiva, para los datos licenciados que no sean datos de contacto, se deberá comunicar el aviso de privacidad en el plazo de un mes.
Si utiliza datos de contacto como nombres, números de teléfono, direcciones de correo electrónico y direcciones físicas, debe comunicarles la declaración de privacidad la primera vez que les envíe un mensaje comercial.
En la práctica, las empresas incorporan un enlace a la declaración de privacidad en mensajes de correo electrónico o imprimen ese enlace en piezas de correo directo para cumplir con este requisito.
Referencias:
- Art. 29 WP (2018) Grupo de Trabajo sobre Protección de Datos del Artículo 29, WP260 rev.01 Directrices sobre transparencia en virtud del Reglamento 2016/679, adoptadas el 29 de noviembre de 2017, revisadas por última vez y adoptadas el 11 de abril de 2018, https://ec.europa.eu
- ICO (2023) Oficina del Comisionado de Información del Reino Unido: Directrices detalladas sobre marketing directo de transparencia, https://ico.org.uk/for-organisations/advice-for-smallorganisations/frequency-asked-questions/transparency-cookies-and-privacynotices/ (
- Legislación.gov.uk (2016)’Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, 27 de abril de 2016, www.legislation.gov.uk/eur/2016/679/contents (archivado en https:/
- Milgram, S (1969) La experiencia de vivir en ciudades, Science 167, 1461–1468
- Simmel, G (1950) La metrópolis y la vida mental, en K H Wolff (ed.), The Sociology of Georg Simmel, Free Press, Nueva York, Estados Unidos.
Para leer el libro completo, los lectores de SEJ tienen un código de descuento exclusivo del 25% y envío gratuito a EE. UU. y Reino Unido. Utilice el código de promoción SEJ25 en koganpage.com aquí. koganpage.com here
Más recursos:
Imagen destacada: Rawpixel.com/Search Engine Journal
Leer el articulo original en Search Engine Journal.