RGPD: Formularios web y la obligación de informar

por | 21/02/2019 | RGPD

RGPD: Formularios Web (Infracciones)

Como profesional en cumplimiento online del RGPD, cada vez que visito una web, no sé si por curiosidad o por deformación profesional, la analizo (de forma visual) para comprobar su grado de cumplimiento con el RGPD.

Los resultados son cuando menos preocupantes. El número de webs que incumplen el RGPD es altísimo y lo peor de todo es que muchas de esas webs, pertenecen a empresas que de algún modo u otro están vinculadas con la protección de datos, incluso en muchas ocasiones, se dedican profesionalmente a ello.

Los incumplimientos que observo son muchos y diversos, desde los más delatadores que se ven a simple vista como los cometidos en formularios web (contacto, comentarios, suscripción, registro, presupuestos, etc…), hasta los que no son tan visibles pero igual de importantes para el cumplimiento del RGPD como son las implementaciones de las medidas de seguridad y control necesarias para “evitar” (en la media de lo posible) tanto la pérdida como el robo de datos personales.

Por motivos de extensión, en este artículo voy a centrarme únicamente en el incumplimiento de la obligación de informar en formularios web

Incumplimientos de la obligación de informar en Formularios Web

Los incumplimientos que se repiten con mayor frecuencia en formularios web en cuanto a la obligación de informar y que invalidan el tratamiento son lo siguientes:

1.- Primera capa de información básica sobre protección de datos inexistente.
2.- Primera capa de información básica sobre protección de datos incompleta.
3.- Primera capa de información básica sobre protección de datos fuera del campo de visión de los usuarios.

1.- Primera capa de información básica inexistente

Con los nuevos requisitos y principios introducidos por el RGPD respecto a la obligación de informar, la simple remisión a la política de privacidad desde los formularios web ya no es suficiente para cumplir con esta obligación.

La AEPD, en su Guía para Responsables de Tratamiento, establece como una obligación, la de informar a los usuarios evitando fórmulas farragosas con enlaces a los textos legales.

AEPD - Obligaciones Principios de Transparencia e Información

Con el fin de facilitar a los Responsables del Tratamiento, la integración de estos nuevos requisitos en el diseño de los formularios, las Autoridades de Protección de Datos de la Unión Europea, recomiendan (permiten) utilizar un modelo de información por capas, presentando una primera capa, con una información básica sobre protección de datos y remitir desde la misma, de forma sencilla e inmediata a una segunda capa con la información restante.

Otro fin que se persigue con el modelo de información por capas es que los usuarios obtengan la información más relevante de forma rápida y simplificada, pero sin que ello suponga ningún menoscabo de los principios de licitud, lealtad y transparencia que establece el RGPD.

En la Guía para el Cumplimiento del Deber de Informar, la AEPD establece que esta primera capa informativa tiene que reunir los siguientes requisitos:

  • La información se debe poner a disposición de los interesados en el momento en que se soliciten los datos, previamente a la recogida o registro.
  • Esta obligación se debe cumplir sin necesidad de requerimiento alguno, y el responsable deberá poder acreditar con posterioridad que la obligación de informar ha sido satisfecha.
  • Debe estar claramente identificada con un título tal como “Información básica sobre protección de datos”.
  • El responsable del tratamiento tiene que garantizar que dicha información quede “dentro del campo de visión” del interesado.
  • Los interesados tienen que recibir una copia donde se incluya dicha información básica.

Sin embargo, incomprensiblemente son muchos muchísimos los formularios web que a día de hoy hacen caso omiso a estos requerimientos obligatorios y en el mejor de los casos, se limitan a remitir a los usuarios a la política de privacidad. De acuerdo con el RGPD y con la nueva LOPD (LOPDGDD) , se estaría incumplimiento con la obligación de informar y con los principios de información y transparencia, por lo que los tratamientos de datos realizados desde estos formularios, bajo mi punto de vista, serían ilícitos.

La LOPDGDD en su artículo 72 tipifica como INFRACCIÓN MUY GRAVE la omisión del deber de informar al afectado acerca del tratamiento de sus datos personales conforme a lo dispuesto en los artículos 13 y 14 del Reglamento (UE) 2016/679 (RGPD).

2.- Primera capa de información básica incompleta

También observo formularios que aun mostrando dicha primera capa informativa lo hacen de forma incompleta. La AEPD , en su Guía para el cumplimiento del deber de informar, deja muy claro cual debe de ser obligatoriamente la información mínima que se debe mostrar a los usuarios previamente a la recogida o registro de sus datos personales: 

 

  • Identidad del Responsable del tratamiento.
  • Descripción sencilla de la finalidad del tratamiento, incluida la elaboración de perfiles.
  • Base jurídica del tratamiento (legitimación).
  • Destinatarios de los datos. Previsión o no de cesiones y de transferencias a terceros países.
  • Referencia al ejercicio de Derechos.
  • Procedencia de los datos cuando no procedan del interesado
  • Remisión a la información adicional en un segundo nivel, donde se presentarán detalladamente el resto de las informaciones.

No facilitar a los usuarios toda la información exigida en los artículos 13 y 14 del RGPD es un incumpliendo del principio de transparencia de la información y la LOPDGDD lo contempla como una infracción en su artículo 74 letra a).

3.- Primera capa de información básica fuera del campo de visión

Otro incumplimiento grave sería el de no garantizar que dicha información (primera capa) quede dentro del campo de visión de los usuarios en el momento en que se soliciten los datos. Recordemos que la AEPD, en su Guía para el Cumplimiento del Deber de Informar, requiere a los responsables del tratamiento que dicha información se muestre al interesado previamente a la recogida o registro (antes de enviar el formulario),  garantizando su visualización dentro del campo de visión del interesado y que esté claramente identificada con un título tal como “Información básica de protección de datos”.

Además, el responsable debe poder acreditar a posteriori que la obligación de informar ha sido satisfecha. Si la primera capa informativa se coloca por debajo del botón “Enviar” de un formulario, no se puede garantizar que la información quede dentro de nuestro campo de visión, por lo que cualquier usuario, podría rellenar y enviar el formulario sin haber leído -ni tan siquiera visto- previamente dicha información.

 

 

En la imagen anterior se muestra como se ve nuestro formulario de contacto desde la pantalla de un ordenador, si la primera capa informativa estuviese situada por debajo del botón “enviar” no podríamos garantizar su visualización y el formulario podría enviarse sin cumplir con la obligación de informar. La infracción aún es más notable si visualizamos el mismo formulario desde la pantalla de un teléfono móvil como se aprecia en la imagen siguiente:

 

 

Recordemos que el responsable del tratamiento está obligado a garantizar su visualización dentro del campo de visión del usuario. Además, debe poder acreditar con posterioridad que la obligación de informar ha sido satisfecha.

El lugar correcto para situar la primera capa informativa es en el mismo campo de visión que el lugar donde se solicita el consentimiento (siempre por encima del botón “enviar”).

Algunos colegas argumentan que situarla en el “lugar correcto” rompe la estética del formulario y dificulta la usabilidad. Sinceramente pienso que esto no tiene por qué ser así y no se me ocurre mejor ejemplo para demostrarlo que con nuestro propio formulario de contacto:

Contacto VG

Cuestionario

Responsable: Víctor Galindo Cifre.
Finalidad: Gestionar tu solicitud o consulta.
Legitimación: Tu consentimiento para la finalidad descrita.
Destinatarios: No se cederán datos a terceros no necesarios para el desarrollo de la actividad, salvo por obligación legal. No se harán transferencias de datos a terceros países.
Derechos: Puedes acceder, rectificar y suprimir tus datos, así como otros derechos, como se explica en la información adicional.
Información adicional y detallada: Política de Privacidad.

Podrás ver que el formulario cumple con todos los requerimientos exigidos de forma elegante y sin dificultar la usabilidad:

1.- La visualización de la primera capa informativa es previa a la recogida y/o registro. Si no se visualiza dicha capa no se puede enviar el formulario.

2.- Hay total garantía que la primera capa informativa se muestra dentro del campo de visión del usuario, independientemente del dispositivo que se esté utilizando (ordenador, tablet, smartphone, etc…).

3.- Al utilizar un checkbox (obligatorio) también queda registrado el cumplimiento de la obligación de informar y así poderlo demostrar con posterioridad llegado el momento.

4.- Al enviar el formulario, el usuario recibe automáticamente en su buzón de correo una confirmación del envío junto con una copia de la información básica sobre protección de datos.

No garantizar la visualización de la primera capa informativa dentro del campo de visión del usuario podría considerarse como una INFRACCIÓN MUY GRAVE por omisión del deber de informar.

Concusión final

Como habrás visto, tener formularios que cumplan con todos los requerimientos que establece el RGPD es posible. Sin embargo, la inmensa mayoría de páginas web utilizan formularios que no los cumplen ni de lejos.

No es mi deseo que la AEPD empiece a poner sanciones a diestro y siniestro pero sí sería beneficioso para todos que diese algún toque de atención a este respecto, sobre todo para que el cumplimiento del RGPD en el mundo online se tomase más en serio.

No he querido abordar en este post (por motivos de extensión) otro gran incumplimiento que de forma casi generalizada se está cometiendo a la hora de solicitar el consentimiento de los usuarios. Lo dejo para un próximo artículo. 

Espero haber aportado mi granito de arena para despejar dudas y para hacer que cada día más formularios web cumplan correctamente con todos los requerimientos que establece el RGPD.

Pin It on Pinterest

Share This