- De aquí a mayo de 2018 las empresas deben adaptar sus formularios
- La información a los usuarios debe ser mucho más detallada
En mayo de 2018 entra en vigor el Reglamento Europeo de Protección de Datos, una norma que supone una auténtica revolución para las obligaciones de las empresas en el ámbito de la privacidad y el tratamiento de los datos personales de consumidores y usuarios. La Agencia Española de Protección de Datos (AEPD), para evitar que el esfuerzo de adaptación pueda ser inabordable para algunas pequeñas y medianas empresas (pymes), se ha fijado como objetivo para 2017 la elaboración de distintas guías, manuales y formularios que pretenden facilitar el cumplimiento de las nuevas exigencias.
Uno de los aspectos más relevantes que introduce la nueva normativa es la reforma del deber de información que tiene la empresa que recoge y trata datos personales (la responsable del tratamiento) con el consumidor o usuario. Para ello, la AEPD ha publicado a través de su web la Guía para el cumplimiento del deber de informar.
TAMBIÉN PUEDES VER AQUÍ ABAJO
Las exigencias de información se adaptan al medio a través del cual se recogen los datos: formularios en papel, formularios web, entrevistas telefónicas, el registro de una app, etc. En todo caso, la comunicación con el interesado debe hacerse con un lenguaje claro y sencillo, y de forma concisa, transparente, inteligible y de fácil acceso para que éste comprenda, entre otros detalles, sus derechos, el uso que se va a hacer de sus datos y a quién debe dirigirse en caso de que se produzca algún conflicto.
Las empresas deben evitar, en los formularios, las citas legales, la jerga confusa o términos ambiguos o que sean de difícil comprensión para el destinatario.
¿Cuándo y a quién debe informar la pyme?
La pyme debe dar al interesado la información que exige la normativa en el momento en que se le soliciten sus datos, antes de su registro. En caso de que los datos no los obtenga directamente del particular, sino a través de otra empresa u organismo (una portabilidad, por ejemplo), el responsable del tratamiento deberá informar a las persona afectada antes de un mes desde que la obtención de los datos; antes o en la primera comunicación con él; o antes de que los datos se comuniquen a un tercer destinatario.
La empresa debe cumplir esta obligación sin necesidad de que el consumidor o usuario se lo requiera. Además, en caso de conflicto, será la compañía quien deba acreditar que la obligación de informar fue satisfecha.
Información por capas
Para equilibrar las mayores exigencias de información con la concisión y la fácil comprensión, la Agencia Española de Protección de Datos recomienda adoptar un modelo de información por capas. Es decir: dentro de cada apartado, se presentará una primera capa de información básica de forma resumida (lo que podrá ver el usuario en un primer vistazo), dando la opción de acceder un mayor grado de detalle y extensión en una segunda capa.
Hay cinco epígrafes informativos que deberán aparecer en todo caso: responsable, finalidad, legitimación, destinatarios y derechos. Y, cuando los datos no se hayan obtenido directamente del interesado sino a través de un tercero, deberá añadirse un sexto: procedencia.
En el cuadro aparece, de forma esquemática, qué información básica debe proporcionarse en cada capa de cada epígrafe. Ésta puede ampliarse según el tipo de empresa o tratamiento que vaya a realizarse con los datos proporcionados.
Ejemplo de un formulario
La AEPD recomienda presentar la información en forma de tabla, garantizando que quede todos los apartados queden en el mismo campo de visión del usuario y con un título que identifique claramente el contenido del cuadro (por ejemplo, «información básica sobre protección de datos»).
Este sería un ejemplo de un de un formulario web para, por ejemplo, solicitar la descarga de cierta información que implica darse de alta en una lista de distribución de información comercial.
¿Y si los datos no se obtienen a través de Internet?
El supuesto más corriente en la actualidad de tratamiento de datos se produce a través de Internet, pero el Reglamento prevé cómo deben actuar las empresas que no operen a través de la red (por ejemplo, una recogida de datos telefónica o través de medios escritos).
En el caso de que se proporcione la información básica en una entrevista telefónica, la nueva normativa exige que esta debe ofrecerse con una locución clara y concisa. También debe asegurarse que el interlocutor haya comprendido la información suministrada antes de proceder a recoger la información. Además, debe ofertarse al interesado la opción de poner a su disposición información adicional por otro medio o una locución complementaria que le amplíe cualquiera de los epígrafes.
Cuando la información se proporcione en papel, la segunda capa puede introducirse en el reverso, en un anexo o separata que se entregue al interesado, o exponerla en carteles, paneles o trípticos claramente visibles o de los que se pueda pedir una copia que el solicitante pueda conservar.
FUENTE: EL ECONOMISTA @elEconomistaes
