A pesar que el Reglamento General de Protección de Datos (RGPD) empezó a aplicarse el pasado 25 de Mayo y que la UE concedió a las empresas dos años de moratoria para adaptarse a la nueva normativa, que en definitiva, impone un mayor número de obligaciones para otorgar mayor seguridad y transparencia respecto a los datos personales de los ciudadanos; tras casi cinco meses, la tónica general hace pensar que la adecuación a este Reglamento es dispar y no es del todo adecuada y que aunque las compañías han hecho grandes esfuerzos no han alcanzado el nivel esperado puesto que no son claras y concisas en sus políticas de privacidad y mucho menos facilitan su comprensión al usuario, es decir, se necesita por parte de las empresas que utilicen un lenguaje más comprensible para los usuarios evitando en lo posible el uso de tecnicismos y se exponga la información de manera correcta, clara y precisa.

Por todo lo anteriormente expuesto, consideramos que los puntos que pasamos a desarrollar a continuación, constituyen lo que podría denominarse una “Guía para una correcta adaptación al RGPD”:

1.- Responsable del tratamiento. Debe informarse acerca de la identidad del responsable de tratamiento de los datos personales y facilitar información de contacto en el apartado dedicado a su política de privacidad. Es importante el hecho de contar con un formulario electrónico habilitado por las empresas para que los usuarios que así lo requieran puedan contactar con él representante para cuestiones relacionadas con la utilización de sus datos.

2.- Finalidad. Hay que diferenciar claramente las finalidades del tratamiento de los datos y cuál es la base jurídica que legitima estas actividades, es decir, la mayoría de las empresas utilizan los datos personales para la prestación de un servicio contratado pero bien es cierto que existen problemas en cuanto a la exposición de motivos de la finalidad del tratamiento. Esta exposición de motivos a la que hacemos referencia, ha de ser clara, ya que si nos ponemos a detallarlas extensamente conseguiremos justamente el efecto contrario.

3.- No es suficiente que se acepte en bloque la política de privacidad. El silencio no constituye un consentimiento, el usuario debe poder marcarse una casilla en blanco para cada finalidad de tratamiento.

4.- Conservación de los datos. Debe darse información sobre el plazo durante el cual se conservarán los datos, ya que en la mayoría de los casos se da la explicación que éstos se conservarán mientras sean necesarios para cumplir con las finalidades para las que se recogen ó para el correcto cumplimiento de una relación contractual.

5.- Hay que advertir al usuario sobre la existencia de sus derechos y facilitar un formulario electrónico para su ejercicio.

6.- Si el responsable tiene intención de ceder los datos personales, la empresa ha de comunicar quiénes serán esos destinatarios. Es importante solicitar el consentimiento del usuario para cada finalidad del tratamiento de datos. En la gran mayoría de los formularios de recogida de datos únicamente se pide el consentimiento para el envío de comunicaciones comerciales mientras que para las demás finalidades se aprueban en bloque al aceptar la política de privacidad correspondiente.

7.- Comunicar al usuario si tiene una obligación legal de facilitar los datos personales ó si es un requisito necesario para suscribir un contrato.

8.- La comunicación debe ser clara y concisa. El objetivo es que el usuario pueda tomar decisiones conscientes sobre la utilización de sus datos personales.

9.- Informar al interesado sobre la existencia de transferencia de datos a terceros países.

10.- El usuario deberá estar al corriente del posible tratamiento de datos para elaborar perfiles.

En definitiva, debe haber mayor claridad en cuanto a la presentación de la información al usuario con documentos comprensibles redactados en un lenguaje fácil, sencillo y directo que faciliten su lectura.