El Reglamento General de Protección de Datos (GDPR) de la Unión Europea está diseñado para ayudar a los residentes de la UE a tomar decisiones informadas sobre cómo se recopilan y utilizan sus datos personales.
Es por eso que un aviso de privacidad es una manera importante de informar a los clientes cómo su organización recopila y utiliza sus datos y un paso clave para cumplir con el GDPR.
¿Qué es un aviso de privacidad de GDPR?
Su aviso de privacidad es un documento externo que explica a los usuarios y clientes cómo su empresa recopila sus datos personales privados, cómo los procesa, con quién los comparte y con qué fines.
Un aviso de privacidad o algún tipo de declaración que explique en lenguaje claro las prácticas de privacidad de una organización es requerido por el GDPR. Este aviso también debe ofrecer a los usuarios la opción de optar por no permitir el procesamiento de datos personales.
Dado que el GDPR se ocupa principalmente de brindar a los consumidores un mayor conocimiento y control sobre quién recopila sus datos y por qué, este aviso debe ser "fácilmente accesible". Muchas organizaciones lo colocan en su sitio web para cumplir con este requisito.
Es importante notar que un aviso de privacidad es diferente de una política de privacidad, aunque esos términos a menudo se usan indistintamente.
El GDPR no requiere una política de privacidad interna formal que dicte cómo su equipo maneja los datos personales. Sin embargo, es una buena idea crear este tipo de política y compartirla con los empleados para delinear cómo se deben manejar y proteger los datos personales para cumplir con el GDPR.
Requisitos del Aviso de Privacidad del GDPR
De acuerdo con los requisitos del GDPR, un aviso de privacidad debe ser conciso, transparente, inteligible y fácilmente accesible y estar escrito en un lenguaje claro y sencillo.
Una práctica común es vincular su aviso de privacidad en un lugar muy visible de su sitio web, como el pie de página, además de en cualquier lugar donde recopile información personal, como nombres e información de contacto.
El GDPR también incluye requisitos sobre qué información debe incluirse en un aviso de privacidad. Aunque estos varían ligeramente dependiendo de si una organización recopila sus datos directamente de un individuo o los recibe como tercero, un aviso de privacidad generalmente cubre:
- Exactamente qué categorías de datos personales está recopilando
- Por qué está recopilando datos personales de los usuarios (su base legal o lícita bajo el GDPR)
- Cómo está recopilando datos personales, incluyendo si usted es el controlador de datos o el procesador de datos (o ambos)
- Cómo va a utilizar los datos personales que recopila (es decir, con fines de marketing), cuánto tiempo los conservará y cómo los eliminará
- Cómo los usuarios pueden optar por no permitir y/o solicitar la eliminación de sus datos personales, incluido un número de teléfono o dirección que pueden usar para contactarlo
Directrices del Aviso de Privacidad del GDPR
La Comisión Europea (CE) publicó algunas directrices para ayudar a las organizaciones a redactar avisos de privacidad que cumplan con el RGPD. A continuación, se presentan algunos de esos consejos:
- Evitar el uso de calificativos como “puede”, “podría”, “algunos” y “a menudo”
- Usar el tiempo activo
- Usar viñetas para resaltar contenido importante
- Evitar estructuras de oraciones complejas
- Evitar jerga legal y técnica
La CE incluyó algunos ejemplos de lenguaje claro que debe usarse en un aviso de privacidad, así como lenguaje poco claro que debe evitarse.
- Claro: “Conservaremos tu historial de compras y utilizaremos los detalles de los productos que has comprado anteriormente para hacerte sugerencias de otros productos que creemos que también te interesarán.”
- Poco Claro: “Podemos usar tus datos personales para desarrollar nuevos servicios”
Ahora echemos un vistazo a algunos avisos de privacidad actuales que se pueden encontrar en los sitios web hoy en día.
Ejemplos de Avisos de Privacidad RGPD
Siempre que estés creando una nueva política para tu negocio, puede ser especialmente útil ver ejemplos de cómo lo han hecho otras organizaciones. A continuación, compartimos algunos ejemplos de avisos de privacidad que puedes usar como inspiración para redactar el tuyo.
The Walt Disney Company
The Walt Disney Company es famosa por su nivel de personalización: ya sea que estés viendo uno de sus sitios web, navegando por su plataforma de streaming o visitando sus parques temáticos. La capacidad de Disney para crear experiencias de usuario tan detalladas se basa en gran medida en su capacidad para recopilar datos relevantes y adaptar tu experiencia según tus preferencias y comportamientos pasados.
Todo esto se explica en lenguaje claro en el aviso de privacidad integral de Disney, que incluye secciones sobre los tipos de datos personales que recopilan y con quién los comparten. El aviso de privacidad también incluye una sección específica que explica las protecciones de privacidad para los niños y los derechos de los padres.
Disney también va un paso más allá para hacer que su aviso de privacidad sea accesible para una audiencia general, vinculando términos legales como “responsable de datos” e “información personal” y proporcionando una definición simple.
Ya sea que uses la búsqueda de Google solo de vez en cuando o tengas un conjunto completo de aplicaciones y dispositivos de Google en tu hogar, el aviso de privacidad de Google está diseñado para ayudar a todos los niveles de usuarios a comprender cómo se recopilan y procesan sus datos personales.
Las políticas de privacidad pueden ser desalentadoras para los lectores no iniciados, y está claro que Google pensó detenidamente en ayudar a los usuarios a navegar y comprender su aviso de privacidad. Incluye una tabla de contenidos para que los lectores puedan saltar fácilmente entre las secciones y enlaces a otras políticas clave, incluyendo los Términos de Servicio de Google.
Google también incluye fragmentos de video útiles a lo largo de su aviso de privacidad que explican rápidamente conceptos clave como qué es el aviso de privacidad, por qué Google recopila datos de los usuarios y qué derechos tienen los usuarios sobre sus datos personales.
Meta
El Centro de Privacidad de Meta es similar al de Google, con una tabla de contenidos para una fácil navegación y videos explicativos salpicados a lo largo de la página. Al igual que Disney, también incluye enlaces emergentes que responden preguntas clave y explican los conceptos básicos de privacidad de datos en términos simples.
Este formato facilita a los usuarios comprender el enfoque general de Meta respecto a la privacidad de datos y encontrar rápidamente respuestas a preguntas específicas, mientras que los enlaces de “Saber más” permiten a los lectores interesados profundizar en los detalles de las prácticas de privacidad de Meta.
Una de las cosas que Meta hace particularmente bien es incluir llamados específicos a “Tomar control” que facilitan a los usuarios ejercer sus derechos de privacidad de datos.
Preguntas Frecuentes
¿Cuándo debe proporcionar el aviso de privacidad?
Si su organización está dentro del alcance del GDPR, debe proporcionar un aviso de privacidad, o algún tipo de declaración que explique las prácticas de privacidad de su organización en un lenguaje claro y dé a los usuarios la opción de optar por no participar en el procesamiento de datos personales. Esta información debe proporcionarse por escrito o por otros medios, incluidos los electrónicos o de forma oral si así lo solicita el interesado.
¿Quién debe recibir un aviso de privacidad?
De acuerdo con el GDPR, un aviso de privacidad debe ser "fácilmente accesible" para cualquier sujeto de datos. Para cumplir con esto, muchas organizaciones lo publican en su sitio web.
¿Qué revela un aviso de privacidad?
Un aviso de privacidad revela cómo su empresa recopila datos personales privados, cómo los procesa, con quién los comparte y con qué fines. Más específicamente, si una organización está recopilando información de individuos directamente, entonces su aviso debe divulgar:
- La identidad y los detalles de contacto de la organización y, cuando corresponda, de su representante y del Oficial de Protección de Datos
- La base legal y los propósitos previstos para el procesamiento de los datos
- Los intereses legítimos de la organización (o de terceros, cuando corresponda)
- Cualquier destinatario o categorías de destinatarios de los datos de una persona
- Los detalles sobre cualquier transferencia de datos personales a un tercer país u organización internacional
- El período de retención de los datos, si es posible
- La existencia de derechos de los sujetos de datos
- El derecho a retirar el consentimiento en cualquier momento (cuando sea pertinente)
- El derecho a presentar una queja ante una autoridad de control
- Si la provisión de datos personales es parte de un requisito u obligación legal o contractual y las posibles consecuencias de no proporcionar los datos personales si es así
- La existencia de un sistema de toma de decisiones automatizado
Si una organización obtiene datos personales de forma indirecta, entonces su aviso de privacidad debe divulgar toda la misma información, excepto si la provisión de datos personales es parte de un requisito u obligación legal o contractual. Y, en su lugar, debe agregar las categorías de datos personales obtenidos.