Las políticas de privacidad de las empresas no son concisas y no facilitan su comprensión

Según Protección de Datos, Las políticas de privacidad de las empresas, con carácter general, no son concisas y no facilitan su comprensión, lo que es "especialmente evidente" cuando se enumeran las finalidades para las que se recogen los datos personales de los usuarios.

Así se recoge en el informe 'Políticas de privacidad en Internet. Adaptación al RGPD' de la Agencia Española de Protección de Datos (AEPD) que examina la adaptación de las empresas al Reglamento General de Protección de Datos (RGPD) en sus políticas de privacidad 'online'. El organismo ha seleccionado como muestra varias entidades de cuatro sectores (hoteles, transporte, comercio electrónico y seguros). También se han revisado empresas dedicadas a la venta de entradas 'online' y a los servicios de música y contenidos de transmisión en tiempo real.

La investigación concluye que se suele utilizar la recogida del consentimiento en bloque, es decir, que no se solicita el consentimiento para cada una de las finalidades de tratamiento de datos personales, sino que se acude a la fórmula 'He leído y acepto la política de privacidad'. En relación con el lenguaje utilizado en las políticas de privacidad, el estudio ha detectado "expresiones ambiguas o demasiado genéricas", que no aportan información real al interesado. 

El informe destaca, como ejemplo, una expresión que no permite conocer el tiempo de conservación de los datos recabados, ya que se utiliza la fórmula "mientras exista interés mutuo". Por otro lado, se ha detectado que en ocasiones no se menciona o no se explica correctamente la base legal que legitima el tratamiento de datos personales, incluyendo como interés legítimo lo que en realidad es un tratamiento necesario para la ejecución de un contrato, o encuadrando dentro del interés legítimo lo que en realidad no es tal. 

La Agencia destaca en su informe que ha apreciado un esfuerzo por parte de las empresas a la hora de actualizar conforme al Reglamento sus apartados sobre privacidad y sus formularios de recogida de datos. No obstante, también aprecia "cierta resistencia" a pasar de un modelo anteriormente basado en el consentimiento, en el que se utilizaba en ocasiones el consentimiento tácito, a un nuevo modelo en que, además de poder utilizar otras bases legales para tratar los datos cuando corresponde --como el interés legítimo o una relación contractual--, se amplía la información que debe proporcionarse a las personas cuyos datos se pretende tratar y se exige que estas realicen una clara acción positiva cuando se solicita su consentimiento.