El Reglamento General de Protección de Datos (RGPD) empezó a aplicarse el pasado 25 de mayo. La UE otorgó a las empresas dos años de moratoria para que se adaptaran a esta nueva normativa que imponía multitud de obligaciones para otorgar una mayor seguridad y transparencia respecto a los datos personales de los ciudadanos.
Tras casi cinco meses, la adecuación a este reglamento parece dispar y no del todo adecuada, según se desprende de los resultados del Informe sobre políticas de privacidad en Internet. Adaptación al RGPD, que la Agencia Española de Protección de Datos (AEPD) hizo público ayer.
Este documento, que ha investigado la labor de entidades del sector hotelero, del transporte, del comercio electrónico y de los seguros, así como de las empresas dedicadas a la venta de entradas, servicios de música y de contenidos de transmisión en tiempo real, evidencia que aunque las compañías han realizado importantes esfuerzos no han alcanzado el nivel esperado, puesto que no son concisas en sus políticas de privacidad ni facilitan su comprensión. De hecho, la AEPD recomienda que se revise la extensión de los textos sobre privacidad, que se utilice un lenguaje más comprensible y se exponga la información de forma correcta.
Entre las principales conclusiones de esta evaluación de la autoridad española se pueden destacar los siguientes puntos.
Responsable de tratamiento
El informe identifica que todas las empresas analizadas informan sobre la identidad del responsable de tratamiento de los datos personales y proporcionan información de contacto en el apartado dedicado a su política de privacidad. Sin embargo, la AEPD también destaca que sólo una cuarta parte de estas mismas empresas cuenta con un formulario electrónico habilitado para contactar con este representante para cuestiones relativas a la utilización de datos. Además, las entidades que facilitan un número de teléfono directo de contacto son la excepción.
Finalidad
Aunque la AEPD señala que todas las compañías analizadas utilizan los datos personales para la prestación del servicio o producto contratado, también explica que percibe problemas en cuanto a la exposición sobre la finalidad del tratamiento. “En líneas generales”, apuntan desde la agencia, “las finalidades suelen detallarse extensamente, lo cual no siempre redunda en claridad, más bien producen el efecto contrario, ya que un usuario medio es poco probable que lea y comprenda políticas de privacidad que enumeran 30 finalidades distintas de tratamiento de datos”.
DPO
El informe sobre el cumplimiento del RGPD apunta que cerca de un tercio de las empresas analizadas no cuenta entre su plantilla con la figura de un delegado de protección de datos (DPO, por sus siglas en inglés). El estudio añade que, en el sector hotelero, esta cifra se incrementa drásticamente y que dos de cada tres de estos establecimientos carece de este perfil de trabajador.
Conservación
Más de la mitad de las entidades revisadas explica que conservan los datos personales mientras sean necesarios para cumplir con las finalidades para las que se recogen o para el correcto cumplimiento de una relación contractual.
Solicitud de consentimiento
Sólo una de cada cuatro empresas solicita el consentimiento del usuario para cada finalidad del tratamiento de datos. Del resto, en más de la mitad de los formularios de recogida de datos únicamente se pide el consentimiento para el envío de comunicaciones comerciales, mientras que para las demás finalidades se aprueba en bloque al aceptar la política de privacidad correspondiente.
Retirada de consentimientos
Sólo algunas empresas del sector hotelero y del de seguros dejan de informar sobre el derecho del interesado a retirar, en cualquier momento, su consentimiento para el tratamiento de sus datos personales. Entre las compañías que sí lo hacen, las dos terceras partes no lo hacen en el formulario en el que se recoge el consentimiento, sino que lo mencionan únicamente en sus apartados de privacidad.
Información
En cuanto a la presentación de la información al usuario, la AEPD afirma que la mitad de las compañías no aporta dicha comunicación de manera concisa, más bien lo contrario, puesto que son documentos largos que pueden resultar disuasorios para su lectura. En cuanto a la forma en que se presenta esta información, el estudio asegura que en la mayoría de los casos, el lenguaje es difícil y poco claro.