¿Sabías que, desde un punto de vista ético-legal, la gestión de la privacidad en tu empresa es tan importante como cumplir con las obligaciones tributarias? Sí, aunque es cierto que es más probable que te pillen por incumplir las últimas, con las primeras te expones a riesgos igualmente importantes.  

Y no se trata solo de recibir una sanción de la autoridad competente, sino que también la continuidad de tus operaciones, tu reputación y prestigio pueden verse gravemente afectados por dejar de lado la protección de la privacidad.  

Pero, en la realidad, lo cierto es que la privacidad es la pata de la que cojean muchas empresas, desde las más grandes hasta las más pequeñas. Y no es raro que se cometan errores que luego pueden derivar en una inspección y multa o en eventos dañinos para la empresa.  

Por eso, en este artículo hemos recopilado los errores más frecuentes en la gestión de privacidad que han visto nuestros abogados y te daremos las soluciones para ellos.  

Primer error: No entender qué es un dato personal 

Este es, podríamos decir, el error primigenio en la gestión de la privacidad. Porque si no sabes qué es un dato personal, ¿cómo lo vas a proteger? ¿Cómo vas a aplicar las normas establecidas por el Reglamento General de Protección de Datos y la Ley Orgánica de Protección de Datos? 

Entonces para que lo tengas claro, debes saber que un dato personal es toda aquella información sobre una persona identificada o identificable. Y eso incluye, obviamente, cosas como el nombre, el DNI, la edad, el género, el domicilio, el nombre de usuario, el correo electrónico, etc. Pero también, datos no tan obvios si le gustan los perros o los gatos, siempre y cuando este dato, unidos a otra información puedan permitir que se identifique de forma única a una persona o si ya tenemos un dato que nos permita identificarla.  

Segundo error en la gestión de la privacidad: Dar mala información al usuario 

Otro error que no proviene ya del desconocimiento, sino más bien de tomarse un poco a la ligera la normativa es informar de manera incorrecta al usuario. No basta con dar información genérica sobre el tratamiento de datos para aparentar cumplir la normativa, sino que hay que hacerlo siguiendo las directrices mínimas dadas por las autoridades.  

Por ejemplo, uno de los errores que se comete en este ámbito es no presentar una primera capa informativa del tratamiento de datos. Se denomina primera capa informativa a la información mínima que se debe dar en el mismo momento en que se recogen los datos personales. Esta información es básica para que el usuario pueda conocer de forma sencilla cómo tratarás sus datos que recogerás. Luego ya se puede redireccionar a la política de privacidad donde ampliarás toda la información referente a la protección de datos.  

Otro error frecuente al informar al usuario es hacerlo de forma incompleta. Por ejemplo, no considerar la finalidad comercial que se dará a los datos recogidos y solo informar de los usos técnicos. Esto supone una   una manera incorrecta de informar y puede acarrear sanciones.  

Lo correcto para este caso es seguir las directrices de la AEPD para información al usuario sobre el tratamiento de datos. En ellas se refieren a la importancia tanto de la primera como la segunda capa informativa y qué datos se deben detallar en cada una y en otros casos particulares.  

Tercer error: Recolectar mal o no recolectar el consentimiento para cookies 

Lamentablemente, otro error demasiado común en la gestión de la privacidad se da a la hora de recolectar el consentimiento para las cookies. Esto puede ser omitiendo por completo el banner de cookies, instalándolas antes de que el usuario entregue su consentimiento o dando información incompleta sobre su finalidad.  

También puede darse mediante el uso de dark patterns que desorientan al usuario sobre la mejor decisión para proteger sus datos.  

Este error puede tener serias consecuencias para la empresa, porque se trata de uno de los principales requerimientos de la normativa de privacidad: obtener el consentimiento del usuario para instalar cookies, salvo que sean técnicas.  

Por este motivo, si tu sitio utiliza cookies para obtener datos de tus usuarios, es imprescindible comunicárselo antes de recolectarlos. Además, es importante que detalles de forma clara todas y cada una de las finalidades para las que utilizarás esos datos. Solo de esta manera podrá dar un consentimiento válido, según la normativa de privacidad vigente. 

Cuarto error: No cumplir con los plazos de atención a los usuarios 

Algo que sucede muy a menudo está relacionado con la atención al ejercicio de derechos de los usuarios: no se cumple con los plazos de atención a las solicitudes. Por ejemplo, si una persona pidió la rectificación de sus datos, pero transcurrido un mes desde que fue conocido por el responsable, no obtuvo respuesta, se considera una infracción (salvo excepciones). 

Muchas veces esto sucede por una falta de organización o descuido. Pero, para evitarlo tenemos tres recomendaciones prácticas:  

  • Designar a una persona encargada específicamente para realizar esta tarea.  
  • Tener plantillas de respuesta para facilitar la contestación de las solicitudes. 
  • Utilizar un gestor de tareas que permita recordar los plazos, a quién y cómo contestar a los usuarios. 

Quinto error: La denominación social del responsable no coincide con la marca 

A veces las empresas suelen presentar sus productos o servicios bajo el nombre de una marca o de una persona reconocida, pero el público no lo asocia con la razón social de la empresa, debido a falta de transparencia. La empresa prefiere que lo asocien con su marca o sus caras públicas por motivos reputacionales. Hasta que, de repente, un día el cliente se da con la sorpresa de que quien trata sus datos es un holding o grupo empresarial que desconocen. 

Esto es un problema para el ejercicio de los derechos de los usuarios, porque no conocen quién es el verdadero responsable del tratamiento de sus datos. Por lo tanto, no tienen la garantía de que se respeten las normativas que los protegen. Además, es reputacionalmente perjudicial, ya que manifiesta una relación poco transparente y manipuladora hacia el usuario.

Y es un error desde el punto de vista legal. Porque informar claramente de su identidad es parte del deber de informar de cualquier institución o empresa que trate datos personales. De no cumplirse con este deber de informar de la identidad del responsable, podría derivar en un procedimiento sancionador.  

La solución en este caso es mantener una cultura de transparencia que empiece desde los socios hasta el último de los empleados. En donde prime ser leal con los clientes, sobre la imagen de grupo, o la venta de datos. Porque, por ejemplo, no es transparente tener como cara pública a un influencer, pero que en términos reales es solo un presentador. 

Sexto error de gestión de la privacidad: No actualizar las políticas  

Ni las empresas, ni las normativas son estáticas e inamovibles, siempre hay cambios. Pero en ocasiones sucede que esos cambios no se reflejan en la información que se da sobre la gestión de la privacidad en la empresa. Específicamente, en las políticas de privacidad. Una razón para ello puede ser porque, sencillamente, se olvidó que era necesario hacerlo y, otra, porque no se considera importante.  

Pero, cualquiera que sea la razón, esto es un error, porque -una vez más- no se cumple con el deber de informar al usuario ordenado por la normativa. Y, como ya hemos dicho, esto trae como consecuencia que quien entrega sus datos no conozca cómo puede ejercer sus derechos ni cómo se afecta a su privacidad.  

Algunas sugerencias que podemos dar para solucionar estos inconvenientes son: 

  • Programar periódicamente la revisión de los documentos de privacidad. 
  • Establecer en los manuales de procedimientos la revisión obligatoria de las políticas de privacidad cada vez que se contrate con un tercero para realizar actividades que impliquen un tratamiento de datos o cada vez que se establezca un nuevo servicio o actividad.  

Recomendaciones finales 

Recuerda que una mala gestión de la privacidad, puede dar lugar a una queja ante la AEPD, que consecuentemente puede derivar en una investigación en tu empresa. Y esto, a su vez, culminar con una sanción monetaria, que afectará la estabilidad financiera de tu empresa. 

Muchos de estos errores a veces se cometen por una falta de conocimiento adecuado sobre la normativa de protección de datos. Quizá la mejor solución es contar con la asesoría de especialistas en el tema, como los de Talos Abogados. Contáctanos para guiarte en la prevención o solución de estos problemas.  

 

Foto de Kostiantyn Li en Unsplash