Con la falsa creencia de “no me pasará a mi”, muchas empresas procrastinan la revisión de su página web. Los sitios web que recaban información de usuarios, ya sea por el uso de cookies, la existencia de formularios de recogida de datos, blogs o área de venta online, tienen la obligación de incluir políticas informativas y compromisos de confidencialidad que deberán ser aceptadas por los usuarios en el momento de la recogida de datos. Así lo establece el Reglamento General de Protección de Datos, la Ley Orgánica de Protección de Datos, y la Ley de Servicios de Sociedad de la Información y Comercio Electrónico.
Con la falsa creencia de “no me pasará a mi”, muchas empresas
procrastinan la revisión de su página web.
.
No solo deben incluirse las políticas de privacidad, de cookies y condiciones de contratación, según proceda, sino que el contenido de estos textos deberá cumplir con lo establecido en la norma, facilitándose al usuario toda aquella información legalmente exigida. El corta y pega de textos de otras webs similares entraña un alto riesgo de incluir políticas que nada tengan que ver con el tipo de tratamiento de datos efectuado, lo que sin duda anula el cumplimiento, o, en el mejor de los casos, lo deja incompleto.
Los responsables deben saber que sí existen usuarios que denuncian estas carencias legales y que cada vez son más. Además, existe un ente regulador que sanciona estos incumplimientos.
El corta y pega de textos de otras webs similares entraña un alto
riesgo de incluir políticas que nada tengan que ver
con el tipo de tratamiento de datos efectuado
Así las cosas, la Agencia de Protección de Datos ha sancionado a varias empresas que, a pesar de tener un formulario de recogida de datos y de suscripción a newsletter, no facilitaba a los usuarios información exigida legalmente sobre protección de datos.
A la vista de los hechos que se investigaron en varias reclamaciones, la Subdirección General de Inspección de Datos procedió a la realización de actuaciones previas de investigación para el esclarecimiento de los hechos. Como parte de esta investigación se accedió a la web de las empresas reclamadas constándose que:
-
En algunas webs no constaba la existencia de una política de privacidad.
-
En una de ellas, No constaba la identificación del responsable.
-
Se permitía la creación de cuentas de usuario donde, entre otros, se recogen los datos de nombre, apellidos, dirección de correo electrónico y contraseña, así como se da la opción de marcar “Recibir ofertas de nuestros socios” y “Suscribirse a nuestro boletín de noticias”, sin que se solicitara expresamente consentimiento expreso, ni se facilitara suficiente información sobre el tratamiento de datos.
-
Existía un formulario de contacto donde se introducían los datos de correo electrónico y el mensaje, y donde no se pedía consentimiento expreso e informado para el tratamiento de datos ni se explicaba claramente la finalidad del formulario.
Se sancionó a las empresas por estos incumplimientos. Las resoluciones son publicadas en el registro de la Agencia, lo que perjudica reputacionalmente a las empresas por hacer pública la infracción, menoscabando así la confianza de sus usuarios en relación con la seguridad de sus datos.
Las resoluciones son publicadas en el registro de la Agencia,
perjudicando reputacionalmente a las empresas
y menoscabando así la confianza de sus usuarios
Para graduar las multas la Agencia tuvo en cuenta que se trataba de empresas pequeñas, que no tenían infracciones o apercibimientos previos, y que no obtuvieron beneficios directos de esta conducta. El importe de la sanción en los casos que referimos oscila entre los 1500€ y los 3000€, y como puede verse son importes pagables, sin embargo, la pérdida de reputación probablemente sea irreversible. Ante hechos como éste, no cabe duda de que saldrá siempre más barato y menos gravoso cumplir preventivamente, que pagar a posteriori por los errores cometidos.
Lilliam Valenzuela
Super interesante el post!!!