¿Cumple la página web de tu empresa con el RGPD?
Las empresas se preocupan por tener una página web que impacte y atraiga clientes dado que es la carta de presentación en internet y por tanto en todo el mundo y quieren dar una buena imagen. Sin embargo, la mayoría de las empresas descuida los textos legales que debe contener la página web para cumplir la normativa de protección de datos.
Proyectar una buena imagen en internet requiere ser consciente de la importancia que tiene cumplir con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 26 de abril de 2026 ( “RGPD”) y poner, por tanto, cuidado en la redacción de la política de privacidad, política de cookies y en identificar debidamente a la empresa a través del aviso legal.
Pero además como veremos a continuación, descuidar estos textos legales pueden conllevar la imposición de sanciones por la Autoridad competente en materia de protección de datos.
Política de Privacidad.
La política de privacidad es esencial en la página web puesto que permite cumplir con el deber de información que impone el artículo 13 y 14 RGPD, de manera que a través de ella se informa tanto a los usuarios de la web como a los clientes de como se tratan sus datos personales. La preocupación de las personas físicas de que se recaben más datos personales de los necesarios, de que los mismos se usen para distintas finalidades de aquellas para las que fueron inicialmente recogidas o de que se vendan o cedan dichos datos a terceros crece día a día, debiendo por tanto las empresas y organizaciones ser conscientes de la importancia de cumplir escrupulosamente con la normativa de protección de datos. Si un cliente tiene una incidencia o controversia con una empresa, va a examinar con lupa el comportamiento de esta y el escaparate que supone una página web es una buena manera de poder verificar este comportamiento.
La política de privacidad, debe ser visible en todo momento y accesible desde cualquier parte de la página web, y estar en una pestaña independiente. Además, debe ser sencilla, redactándose de forma clara, de modo que resulte comprensible para cualquier persona física y no induzca a confusión ni anime al usuario de la web a no leerla por ser demasiada extensa.
¿Qué debe reflejar la política de privacidad de una web?
No obstante, hay determinada información que en todo caso debe reflejar la política de privacidad de una web, como:
- La identidad del responsable del tratamiento y sus datos de contacto y en su caso de su representante (cuando el responsable no esté establecido en la UE).
- Los datos de contacto del Delegado de Protección de Datos.
- La finalidad para la que se usan los datos que se recogen a través de la página web e información, en su caso, sobre los fines ulteriores para los que usarán los datos recogidos.
- La legitimación del tratamiento que está íntimamente ligada a la finalidad. Si la base de legitimación es el interés legítimo deberá identificarse este debidamente.
- El plazo de conservación o en su defecto los criterios para determinarlo.
- Los destinatarios de los datos o la categoría de destinatarios, indicando si el responsable va a ceder los datos a terceros o si tiene intención de realizar transferencias internacionales.
- La existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales relativos al interesado, y su rectificación o supresión, o la limitación de su tratamiento, o a oponerse al tratamiento, o el derecho a la portabilidad de los datos, así como la posibilidad de retirar el consentimiento cuando este haya sido la base de legitimación para realizar el tratamiento.
- El derecho a presentar una reclamación ante una autoridad de control.
- Si la comunicación de datos personales es un requisito legal o contractual, o un requisito necesario para suscribir un contrato y si el interesado está obligado a facilitar los datos personales y está informado de las posibles consecuencias de no facilitar tales datos.
- La existencia, en su caso, de decisiones automatizadas, incluida la elaboración de perfiles.
Además en todos los formularios de la web a través de los que se recogen datos personales, debe incluirse un enlace a la política de privacidad con una casilla que no esté pre marcada para que los usuarios puedan confirmar que han leído la política de privacidad y también con casillas adicionales en el caso de que se necesite obtener el consentimiento para determinadas finalidades del tratamiento o para la cesión de datos a terceros.
Aviso legal.
Además de la información que debe proporcionarse al usuario de la web a través de la política de privacidad, debe facilitarse información adicional en la propia página web que permita identificar de forma sencilla a la empresa que está prestando o publicitando un producto o servicio. La información que debe proporcionarse es la que señala el artículo 10 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (LSSI)
Además de la información referida, la página web debe contener los términos de usos de la web, incluir información sobre hipervínculos e indicar la jurisdicción aplicable. Asimismo, es recomendable incluir también un enlace a la política de privacidad y a la política de cookies. |
Al proporcionar esta información la empresa cumple con el principio de transparencia del RGPD, permitiendo a los usuarios de la web identificar debidamente a la empresa prestadora del servicio y conocer así quien va a gestionar y tratar sus datos personales. De hecho, la AEPD incluye el aviso legal en la misma pestaña que la política de privacidad.
Política de cookies.
El uso de cookies está autorizado por el artículo 22 LSSI, pero debe facilitarse información al usuario de la web sobre que son las cookies, las clases, funciones y finalidad de las cookies, duración, quien instala las cookies, si son propias o de terceros y como se pueden configurar o deshabilitar las cookies según el navegador que utilice el usuario.
Puesto que a través de las cookies pueden recabarse datos personales, previamente a la instalación de las mismas es necesario que el usuario de la web preste su consentimiento. Por ello, la web debe contener un banner o ventana emergente en el que aparece:
a) Un solicitud del consentimiento
b) Una casilla que permite aceptar las cookies, rechazarlas o configurarlas.
c) Un link que ofrece las opciones de configuración y en el que solo vienen pre marcadas por defecto las cookies técnicas necesarias.
La política de cookies al igual que la política de privacidad debe aparecer en una pestaña independiente y ser accesible desde cualquier lugar de la web.
Sanciones por incumplimiento
Carecer de política de privacidad en la web o no cumplir debidamente con el deber de información a través de dicha política supone una infracción del artículo 13 del RGPD y la AEPD ha impuesto sanciones de hasta 5.000 € por esta infracción.
Además las infracciones pueden acumularse y sancionarse de forma independiente cada una de ellas. Un buen ejemplo es la reciente Resolución de la AEPD (PS/00080/2023) que sanciona con 12.000 € a una empresa por la comisión de las siguientes infracciones:
por la infracción del artículo 13 del RGPD, (consistente en falta de claridad y precisión en la política de privacidad sobre los fines del tratamiento y su base jurídica, no detallando de forma clara los intereses legítimos y no haciendo referencia a a la intención de llevar a cabo transferencias internacionales), impone una multa de 2.000 €.
-
por la infracción del artículo 13 del RGPD, (consistente en falta de claridad y precisión en la política de privacidad sobre los fines del tratamiento y su base jurídica, no detallando de forma clara los intereses legítimos y no haciendo referencia a a la intención de llevar a cabo transferencias internacionales), impone una multa de 2.000 €.
-
por la infracción del artículo 5.1.a) del RGPD, por no cumplir con los principios de licitud, lealtad y transparencia al utilizar patrones oscuros de sobrecarga (overloading) y de ocultación (skipping), que provocan que el interesado se encuentre con una lista de unas 130 proveedores, de los cuales, más de la mitad tienen marcadas por defecto la casilla de “aceptar tratamiento de datos por Interés legítimo”, obligando al usuario que quiera oponerse al tratamiento a marcar una a una a lo largo de toda la lista, por no existir la opción de poder oponerse indicándolo una sola vez o un número de veces razonable. La sanción impuesta por esta infracción al considerarse grave pudo hacer sido sancionada con multa de 20.000.000 € como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, de acuerdo con el artículo 83.5.a) del RGPD, si bien la AEPD atendiendo a las circunstancias del caso concreto graduó la sanción e impuso una multa de 5.000 €.
-
por la infracción del artículo 22.2 LSSI como consecuencia de la utilización de cookies de terceros que no son técnicas o necesarias, la imposibilidad de rechazar las cookies de terceros y la falta de información en la “política de cookies”, se impuso una multa de 5.000 € si bien la multa podría haber alcanzado la cantidad de 30.000 de acuerdo con el artículo 39 LSSI.