AD 160/2021
Protección de Datos: La importancia del principio de transparencia y sus retos
RESUMEN: Uno de los principales objetivos del RGPD es permitir a las personas físicas recuperar el control de sus propios datos personales. Para las personas físicas debe quedar totalmente claro que se están recogiendo, utilizando, consultando o tratando de otra manera datos personales que les conciernen, así como la medida en que dichos datos son o serán tratados (Considerando 39 RGPD).
Para ello, el RGPD impone a las empresas la obligación de garantizar el principio de transparencia, que va ligado al deber de información, lo que no es tarea fácil para los responsables de tratamiento. El responsable de tratamiento debe informar de forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo, en particular cualquier información dirigida específicamente a un niño.
Entre otros retos con los que se encuentran las empresas a la hora de aplicar este principio de transparencia, destacan cómo comunicar la compleja información relativa a los tratamientos de datos personales, así como lidiar con la expectativa razonable de privacidad del usuario/cliente.
La transparencia en el tratamiento de datos se asienta como pilar para demostrar la diligencia y la responsabilidad proactiva ante la Autoridad de Control y como medida de confianza ante los sujetos cuyos datos son tratados. Es importante el esfuerzo conjunto de concienciación de la sociedad por parte de la Autoridad de Control y el proceso de mejora continua por parte de las empresas para que los usuarios ejerzan realmente el control de sus datos.
PALABRAS CLAVE: Transparencia, información, datos personales, retos, expectativa razonable de privacidad, buenas prácticas.
¿Alguna vez has tenido la sensación de que estás siendo espiado? ¿te has preguntado por qué justo cuando decides organizar tu próxima escapada no paras de ver anuncios en Internet sobre tu destino? ¿Cómo lo saben las empresas? ¿Quién les ha dado esa información? Si te ha ocurrido esto, probablemente, tú mismo hayas proporcionado esa información y autorizado su uso sin ser consciente de ello.
En el mundo globalizado e hiperconectado en el que vivimos, las tecnologías han adquirido un peso importante en nuestra vida, modificando nuestros hábitos, nuestra forma de relacionarnos y creando dependencia de dispositivos en los que depositamos toda nuestra información. Redes sociales, mensajería instantánea, comercio electrónico y otros servicios en línea, aplicaciones, buscadores, domótica, wearables y demás dispositivos inteligentes de Internet de las cosas (o, más bien, de “Internet del todo”) … son solo algunos ejemplos de tecnologías con las que interactuamos en nuestro día a día sin prestar demasiada atención a qué ocurre con la información que proporcionamos.
La cuarta revolución industrial en la que estamos inmersos permite a las empresas conocer mejor al cliente y desarrollar procesos más eficientes, lo que se traduce en personalización e inmediatez para el cliente. Es esta inmediatez a la que nos hemos acostumbrado la que, unida a los atractivos servicios que permiten las nuevas tecnologías, hace que, por lo general, el usuario proporcione sus datos personales sin consultar la información sobre privacidad, perdiendo así el control absoluto de sus datos. Aún más, a veces el usuario ni siquiera es consciente sobre la información personal que está compartiendo.
Una de las principales finalidades del Reglamento (UE) 2016/679 de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (RGPD) es precisamente permitir a las personas físicas recuperar el control de sus propios datos personales, imponiendo para ello obligaciones a las empresas que tratan datos como es, entre otras, la obligación de garantizar el principio de transparencia. Pero ¿está consiguiendo el RGPD su objetivo?
Para tratar de dar respuesta a esta pregunta en el presente artículo analizaremos brevemente qué es el principio de transparencia y los principales retos a la hora de aplicarlo.
¿Qué es el principio de transparencia?
El principio de transparencia en relación con el tratamiento de datos ya se contemplaba en la Directiva (UE) 2016/680. El GT29 incluía, entre las recomendaciones recogidas en su Opinión 8/2014[i], la autodeterminación informativa por la que el usuario tiene derecho a permanecer siempre en el dominio y control de sus datos de carácter personal, lo que conlleva conocer cómo y para qué se van a utilizar sus datos.
Por su parte, conforme el RGPD[ii] (art. 5), los datos personales han de tratados de manera lícita, leal y transparente en relación con el interesado. El RGPD no define el principio de transparencia, pero en su considerando 39 establece: «Para las personas físicas debe quedar totalmente claro que se están recogiendo, utilizando, consultando o tratando de otra manera datos personales que les conciernen, así como la medida en que dichos datos son o serán tratados. El principio de transparencia exige que toda información y comunicación relativa al tratamiento de dichos datos sea fácilmente accesible y fácil de entender, y que se utilice un lenguaje sencillo y claro. Dicho principio se refiere en particular a la información de los interesados sobre la identidad del responsable del tratamiento y los fines del mismo y a la información añadida para garantizar un tratamiento leal y transparente con respecto a las personas físicas afectadas y a su derecho a obtener confirmación y comunicación de los datos personales que les conciernan que sean objeto de tratamiento […]».
El principio de transparencia está, por tanto, ligado al deber de información. Los usuarios han de tener un mayor control sobre el uso de su información personal y más visibilidad en el funcionamiento interno de las organizaciones a las que dan sus datos.
El Reglamento establece de forma clara que el principio de transparencia debe regir en todo proceso de tratamiento de datos personales, independientemente de la base legal que se utilice para procesar datos. Toda información dirigida al público y al propio interesado ha de ser concisa, fácilmente accesible y fácil de entender, y con un lenguaje claro y sencillo (art. 12 RGPD). Pero, aun queriendo ser transparente, ¿cómo es posible proporcionar tanta información técnica y detallada de forma concisa y sencilla?
Este es, en mi opinión, uno de los principales retos con los que se encuentran los responsables de tratamiento: la brecha que existe entre el usuario y la complejidad de la información relativa a los tratamientos de datos personales.
La información que debe facilitarse al interesado (artículos 13 y 14 RGPD, así como cualquier comunicación con arreglo a los artículos 15 a 22 y 34) es mucha y, por lo general, no sencilla o al menos no tan sencilla como para poder comprenderla y, en su caso, aceptarla, de un vistazo, con la inmediatez con la que se desenvuelve el usuario en Internet. Además, no solo hablamos de políticas de privacidad, también, con mayor frecuencia, las cookies o tecnologías similares proliferan por Internet con sus correspondientes políticas de cookies y soluciones de gestión de consentimiento.
La información está ahí pero el usuario no la percibe como breve y fácil de entender y, por ello, no le presta la atención debida y luego se sorprende cuando una empresa, a la que cedió sus datos sin saberlo, le contacta o cuando sus datos se ven afectados por una brecha de seguridad en un país con el que nunca supo que tenía relación.
Los responsables de tratamiento se enfrentan al reto de encontrar la forma más cercana, inteligible, concisa y accesible con que comunicar y explicar a los usuarios cómo tratan y protegen su información personal. Esta dificultad se intensifica en grandes multinacionales que utilizan herramientas globales. Si bien, no cabe duda de que el reto mayor es cómo ser transparente y facilitar esa información a menores. Es muy complicado explicar con un lenguaje sencillo para que lo entienda un niño conceptos básicos como, entre otros, qué es el responsable de tratamiento, la existencia de transferencias internacionales de datos y los posibles riesgos que conlleva el tratamiento, todo ello, además, de forma breve.
Es cierto que existe la posibilidad de informar con iconos normalizados que permiten proporcionar de forma fácilmente visible y claramente legible una adecuada visión de conjunto del tratamiento previsto, pero es difícil que de esta manera se pueda llegar al detalle que exigen la normativa y la Autoridad de Control.
En España, a diferencia de otros países de Europa, se ha dado un gran paso posibilitando compartir la información relativa a privacidad de forma granular («Información por capas»[iii]), facilitando al afectado la información básica e indicándole una dirección electrónica u otro medio que permita acceder de forma sencilla e inmediata a la restante información (Artículo 11 LOPDGDD[iv]). Esta es una solución por la que apuestan gran parte de las empresas y que garantiza que al menos el interesado, de forma inmediata, conozca quién trata sus datos y para qué, si bien, la mayor parte de los usuarios no llegan a acceder a la segunda capa.
Otras veces, el reto no está tanto en cómo o dónde ser transparente sino en que el tratamiento de datos personales se adecúe a la expectativa razonable de privacidad del Interesado, bien porque el interesado no sea consciente de estar compartiendo información personal (como, por ejemplo, su comportamiento con las cookies o Internet de las cosas) o bien porque cree que está proporcionando sus datos a una empresa distinta del responsable del tratamiento.
Como ejemplo de este segundo supuesto podemos pensar en los agregadores de comida a domicilio (delivery partners) que recogen datos de clientes para gestionar la entrega del producto y actúan como intermediadores del pago. ¿De quién es el cliente, del agregador o del restaurante? ¿El cliente acude a la plataforma del agregador por el agregador o porque quiere ordenar un pedido a un restaurante en concreto? Lo cierto es que, a día de hoy, cada agregador ha optado por un enfoque distinto.
Otro ejemplo en el que la expectativa razonable de privacidad del interesado puede no coincidir con la realidad es el caso de las franquicias. En un sistema de régimen de franquicias como McDonald’s, el cliente que acude a un restaurante lo hace sin conocer si ese restaurante está explotado por un franquiciado o directamente por la compañía. El cliente exige responsabilidad a la compañía cuando cada franquiciado, como empresario autónomo, es responsable del tratamiento de datos que realiza en su restaurante.
En conclusión, la transparencia en el tratamiento de datos se asienta como pilar para demostrar la diligencia y la responsabilidad proactiva ante la Autoridad de Control y como medida de confianza ante los sujetos cuyos datos son tratados. La forma en que una empresa protege los datos personales es un reflejo del carácter de la organización y un factor determinante de la lealtad los clientes, proporcionando ventajas competitivas y creando oportunidades de negocio, pero no es tarea fácil para las empresas lograr que los interesados comprendan el alcance del tratamiento. Parece que las tecnologías, la sociedad y las leyes van a un ritmo distinto, lo que conlleva importantes desafíos para las empresas.
Por ello, considero que la concienciación de la sociedad por parte de la Autoridad de Control y el proceso de mejora continua por parte de las empresas deben ser una constante para que las personas físicas controlen realmente su información personal.
Las empresas deben continuar esforzándose por ser transparentes y accesibles para sus clientes. En este sentido, se está observando como los programas de fidelización son clave para generar confianza y compromiso del cliente con la empresa.
No puedo finalizar este artículo sin citar una serie de buenas prácticas que, si bien no son las únicas, ayudan a aplicar este principio de transparencia: empoderar a los clientes permitiéndoles establecer sus preferencias para compartir datos; implementar configuraciones de privacidad por defecto “robustas”; mantener las políticas actualizadas; lanzar mensajes concisos reiterativos no intrusivos ni desproporcionados; diseñar procesos, aplicaciones, productos y servicios “con el usuario en mente”, anticipándose a sus necesidades; utilizar herramientas que permitan anonimizar datos para reducir el riesgo; tener un Delegado de Protección de Datos disponible y con habilidades de comunicación; promover una cultura de privacidad dentro y fuera de la empresa; y, fomentar el establecimiento de mecanismos de certificación y sellos y marcas de protección de datos, que permitan a los interesados evaluar con mayor rapidez el nivel de protección de datos de los productos y servicios correspondientes (Considerando 100 RGPD).
Rocío Bolás
21 de octubre de 2021
Rocío Bolás es Abogado y doble Máster en Asesoría Jurídica de Empresas y en Protección de Datos. Desde mayo de 2017, Rocío es Responsable de Privacidad de McDonald’s en España, ejerciendo las funciones del Delegado de Protección de Datos. Rocío forma parte además del Equipo Global de Privacidad de McDonald’s que lidera la transformación digital de la compañía.
Es miembro del Departamento Legal y presta asesoramiento en las áreas de Protección de Datos, Derecho Digital y Nuevas Tecnologías; así como en Derecho Societario. Antes de unirse a McDonald’s, Rocío trabajó durante más de 5 años en el Departamento Mercantil de un despacho internacional.
Rocío participa como ponente en foros de Nuevas tecnologías; e imparte clases en diferentes Masters de Instituciones y Universidades Españolas sobre aspectos jurídicos en materia de Privacidad y Protección de Datos.
[i] Grupo de Trabajo del artículo 29 Directrices sobre la transparencia en virtud del Reglamento (UE) 2016/679 Adoptadas el 29 de noviembre de 2017 Revisadas por última vez y adoptadas el 11 de abril de 2018
[ii] Reglamento (UE) 2016/679 de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (RGPD)
[iii] Guía para el cumplimiento del deber de informar (AEPD)
[iv] Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales
Muy interesante.