Son susceptibles de ser sancionadas por la AEPD, como le ha ocurrido a una empresa que disponía de una página WEB que carecía de una Política de Privacidad adecuada al RGPD.
La AEPD apercibe por una infracción al art. 13 del RGPD. La política de privacidad es considerada escasa, ya que no se da la opción al usuario de oponerse al uso de sus datos, ni la posibilidad de interponer reclamación ante la Agencia Española de Protección de Datos.
https://www.aepd.es/es/documento/ps-00260-2020.pdf
Qué información debe incluir una Política de Privacidad, esta debe ser transparente, que incluya de forma sencilla y accesible el uso que las empresas, es decir, los Responsables del Tratamiento, van a hacer de los datos personales de los usuarios de sus servicios.
Que debe incluir la Política de Privacidad:
- Identidad y datos de contacto del responsable del tratamiento.
- Datos de contacto del Delegado de Protección de Datos, en caso de haber sido designado.
- Finalidades del tratamiento previstas y la base jurídica que legitima cada una de ellas.
- Cuando los datos solicitados sean de aportación obligatoria, debe informarse al interesado si tiene una obligación legal o si es un requisito necesario para la suscripción de un contrato, explicando, asimismo, las posibles consecuencias de no facilitar tales datos.
- Si se tratarán los datos para adoptar decisiones automatizadas, incluida la elaboración de perfiles, debe informarse de la existencia de estas decisiones y dar información clara y simple sobre la lógica aplicada.
- Si está previsto que los datos sean transferidos fuera del Espacio Económico Europeo se debe informar al interesado de las transferencias previstas y de la existencia de decisiones de adecuación, garantías, normas corporativas vinculantes o situaciones específicas aplicables a dichas transferencias. Tal y como indica la AEPD en su “Decálogo para la adaptación al rgpd de las políticas de privacidad en internet” no es suficiente el uso de fórmulas genéricas como “la aplicación de garantías adecuadas”. Además, debe explicarse el procedimiento para obtener una copia de las garantías aplicadas.
- Plazo de conservación de los datos en relación con la finalidad que justifica su recogida.
- Si se van a ceder datos a terceros, la Política de Privacidad debe contener información sobre los destinatarios de los datos, o las categorías de destinatarios si estos no están determinados previamente.
- Información clara sobre los derechos de los interesados y cómo ejercitarlos; indicando la posibilidad de presentar una reclamación ante la autoridad de control si consideran que el derecho ejercitado no ha sido debidamente atendido.