DOCUMENTOS RELACIONADOS CON EL RGPD
El Aviso de privacidad es un documento obligatorio relacionado con el RGPD
Un aviso de privacidad es un documento obligatorio relacionado con el RGPD que la empresa debe elaborar para informar a los interesados sobre el tratamiento de sus datos personales por parte de la empresa.
Qué es un aviso de privacidad
Un Aviso de privacidad es un documento obligatorio relacionado con RGPD y es el documento relacionado con RGPD más común que tienen las empresas. Allí, la empresa informa a los interesados sobre el procesamiento de sus datos personales.
Por ejemplo, la base legal para el procesamiento, la finalidad del procesamiento, los derechos de los interesados, los datos de contacto de la empresa y su posible delegado de protección de datos, así como la autoridad nacional de protección de datos, etc. El contenido de un aviso de privacidad está regulado en el artículo 13 del RGPD y el artículo 14 del RGPD. Es importante que se cumplan los requisitos mínimos.
Las empresas deben informar a los interesados sobre el tratamiento
Los interesados tienen derecho a recibir información sobre el tratamiento de sus datos personales. Esto se aplica tanto antes del inicio del tratamiento como durante el tratamiento si el interesado así lo solicita. Además, es un requisito del RGPD que las empresas deben ser transparentes sobre todo su procesamiento de datos personales. Esto generalmente lo hace la empresa que describe las operaciones de procesamiento en un aviso de privacidad presentado a los interesados. La información sobre el tratamiento se facilitará al interesado, de conformidad con el artículo 13, cuando se obtengan o recopilen los datos personales. Un Aviso de privacidad es un documento obligatorio relacionado con RGPD.
¿Cuál es la diferencia entre una Política de Privacidad y un Aviso de Privacidad?
Muchas personas confunden una política de privacidad con un aviso de privacidad. Aquí está la principal diferencia entre una política de privacidad y un aviso de privacidad:
Política de privacidad
Una política es un documento de gobierno interno que a menudo es elaborado por el consejo de administración o la administración, y esto también se aplica a una política de privacidad. La política es sobre cómo la empresa debe trabajar con la protección de datos y está dirigida a los empleados.
Aviso de privacidad
Un aviso de privacidad es un documento externo que informa a los interesados sobre cómo la empresa procesa los datos personales. El Aviso de privacidad es un documento obligatorio relacionado con RGPD que debe publicarse en el sitio web de la empresa, así como vincularse al final de los correos electrónicos que la empresa envía.
Muchas empresas se olvidan de informar sobre el procesamiento a través de formularios de contacto en el sitio web
Es común que las empresas tengan formularios de contacto en su sitio web que los visitantes pueden usar para hacer preguntas o solicitar servicios / productos de la empresa. A menudo, el visitante necesita completar su información de contacto para que la empresa pueda responder al mensaje. Así, la empresa trata los datos personales cuando ha recibido la solicitud a través del formulario de contacto. Un error común que muchas empresas cometen es no informar sobre el procesamiento en relación con el formulario de contacto, antes de que tenga lugar la recopilación de datos personales. Esto puede hacerse, por ejemplo, enlazando el aviso de privacidad de la empresa en el formulario de contacto, antes del «botón de envío» en el formulario de contacto.
Si los interesados son niños
Si una empresa procesa datos personales pertenecientes a niños, las reglas son más estrictas que si fueran mayores de edad. Esto significa, entre otras cosas, que el lenguaje de un aviso de privacidad debe ser comprensible para los niños. Además, debe redactarse en el idioma nacional y ser relativamente conciso con oraciones simples para leer y comprender.
Una gran empresa fue multada ya que su Aviso de Privacidad estaba en inglés
En los Países Bajos, una gran empresa internacional tuvo que pagar una multa por, entre otras cosas, redactar su aviso de privacidad en inglés. La compañía tiene muchos niños como usuarios y, por lo tanto, el aviso de privacidad para los interesados (los niños) debería haber estado en holandés. La multa fue de 750 000 euros.
Ejemplos de qué contenido debe tener un Aviso de privacidad
Responsable del tratamiento [artículo 13, apartado 1, letras a) y b), del RGPD]
El aviso de privacidad contendrá la identidad del responsable del tratamiento (número de identidad de la empresa y nombre legal), los datos de contacto de la empresa y de una persona de contacto y, en su caso, del delegado de protección de datos.
Finalidades del tratamiento [artículo 13, apartado 1, letra c), del RGPD]
Todo tratamiento de datos personales debe tener una finalidad. Debe ser claro y específico. Por ejemplo, «entrega de servicios». Tenga en cuenta que el tratamiento de datos personales no está permitido porque «puede ser bueno para el futuro».
Bases jurídicas Finalidad [artículo 13, apartado 1, letra c), del RGPD]
Se especificará la base jurídica aplicable a cada operación de tratamiento. Por ejemplo, de conformidad con el artículo 6, apartado 1, letra b), del RGPD, la «ejecución de un contrato con el interesado» se utiliza cuando los clientes adquieren un servicio de la empresa y esta trata los datos personales del cliente con el fin de prestar el servicio y cumplir el contrato. Además, de conformidad con el artículo 6, apartado 1, letra a), del RGPD, el «consentimiento» puede utilizarse como base jurídica para el tratamiento de datos personales con fines estadísticos a través de cookies en el sitio web, etc. Tenga en cuenta que, en caso de consentimiento, el aviso de privacidad de conformidad con el artículo 13, apartado 2, letra c), del RGPD debe contener información de que el interesado puede retirar el consentimiento en cualquier momento.
Indique el interés legítimo [artículo 13, apartado 1, letra d), del RGPD]
Si una empresa utiliza la base jurídica «interés legítimo» de conformidad con el artículo 6, apartado 1, letra f), del RGPD, el interés legítimo también debe indicarse en el aviso de privacidad. En tales casos, también debe hacerse referencia al derecho del interesado a solicitar la evaluación del interés legítimo (LIA) realizada y documentada.
Destinatarios de los datos personales [artículo 13, apartado 1, letra e), del RGPD]
Es importante informar si los datos personales se compartirán con terceros, como un proveedor o una autoridad gubernamental, o empresas dentro del mismo grupo de empresas. El aviso de privacidad debe contener información sobre los destinatarios o categorías de destinatarios a los que se divulgarán los datos personales.
Transferencia de datos personales [artículo 13, apartado 1, letra f), del RGPD]
Si la empresa tiene la intención de transferir los datos personales a un tercer país o a una organización internacional, se indicará en el aviso de privacidad. También indicará la existencia o ausencia de una decisión de adecuación por parte de la Comisión Europea. Además, debe hacerse referencia a las salvaguardias adecuadas y a la forma en que puede obtenerse una copia de ellas.
Categorías de datos personales [artículo 14, apartado 1, letra d)]
Si la empresa ha recibido los datos personales de otra persona que no sea el interesado, el aviso de privacidad debe contener información sobre las categorías de datos personales procesados. Algunos datos personales son más importantes y sensibles que otros. Es bueno tener una lista general de las categorías con las que trata la empresa. Por ejemplo, nombres de clientes, datos financieros como números de tarjetas de crédito, datos personales sensibles como bajas por enfermedad de empleados, etc.
Origen [artículo 14, apartado 2, letra f)]
Si la empresa no recibe los datos personales directamente del interesado, indicará cómo los recibió la empresa. Por ejemplo, de registros públicos.
Los derechos [artículo 13, apartado 2, letra b), del RGPD]
Las empresas deben informar a los interesados de sus derechos. Por ejemplo, el derecho a oponerse cuando la base jurídica sea un interés legítimo, el derecho a que sus datos personales sean rectificados, borrados, etc.
Duración del almacenamiento [artículo 13, apartado 2, letra a), del RGPD]
Las empresas no pueden procesar datos personales indefinidamente. Se suprimirán o anonimizarán cuando ya no sean necesarios para los fines para los que fueron recogidos. El período de conservación se comunicará a los interesados.
Reclamaciones ante la autoridad de control [artículo 13, apartado 2, letra d), del RGPD]
Los datos de contacto de la autoridad nacional de protección de datos a la que los interesados pueden presentar reclamaciones se indicarán en el aviso de privacidad.
APRENDE MÁS
Plan de continuidad
Con el fin de preparar a la empresa y a los empleados para una posible crisis, para que sepan cómo actuar entonces, es bueno establecer un plan de continuidad del negocio. En otras palabras, un plan sobre cómo debe actuar la empresa en caso de una interrupción o crisis grave. Además, es útil establecer una Política de Recuperación de Desastres, que es la parte técnica de un plan de continuidad del negocio. Al estar preparado para una crisis y tener instrucciones para los empleados, así como probarlos y mejorarlos regularmente, puede facilitar la gestión de una crisis y minimizar las consecuencias.