POLÍTICA DE PRIVACIDAD

POLÍTICA DE PRIVACIDAD

Hace unos meses fue noticia la App ZAO, con la que se podía, mediante inteligencia artificial, incluir en los videos de escenas de películas una imagen nuestra sobre el rostro del famoso, simulando con ello que éramos nosotros quienes protagonizábamos la escena. Y fue noticia porque a raíz de las quejas de los usuarios sobre la cesión que se hacía de las imágenes a los titulares de esta aplicación, atribuyéndose éstos la libertad absoluta para hacer con ellas lo que deseasen, tuvieron que rectificar y modificar la política de privacidad indicando que ya solo harían uso de las imágenes para lo que permitiese el propio usuario.

También suele ser noticia los cambios en las políticas de privacidad de las redes sociales, bien porque modifican los servicios que ofrecen y con ello establecen condiciones nuevas sobre cómo y que harán con la información personal, o bien porque lo que se atribuyen los titulares de las redes sociales sobre la información de los usuarios es cuestionada o sancionada y vienen obligados a rectificar y con ello modificar las políticas.

Estas políticas se elaboran muchas veces para cumplir con las obligaciones de la normativa sobre protección de datos o los servicios de la sociedad de la información y comercio electrónico, a la vez que informar sobre cuestiones de propiedad intelectual y alguna otra normativa aplicable en cada caso concreto.

Pero teniendo en cuenta que una política sería la directriz o declaración sobre las intenciones y orientación en una materia concreta, el uso que se le da a la política de privacidad muchas veces no es la que se pretende con el contenido que se recoge en ellas, bien porque se incluye información que no sería la que corresponde incluir en una política sino más bien en unas condiciones del servicio o producto que se acuerda entre las partes, y otras veces porque se le atribuyen unas funciones que no se cumplen dada la forma de presentarse o facilitarse a los destinatarios.

Una de las principales funciones para las que se utiliza una política es la de informar y dar a conocer cierto contenido que bien por una exigencia legal o por un interés o necesidad del titular de la política, pretende que sea accesible para los destinatarios. Como sería el caso de la obligación de cumplir con el principio de transparencia exigido en la normativa sobre protección de datos, incluyendo en ella la descripción de los tratamientos, la necesidad de recabar los datos personales, sus destinatarios, la información sobre el tiempo que se mantendrán estos datos por quien los recoge y la forma de ejercitar los derechos que tienen los interesados sobre sus propios datos personales. Pero lo que muchas veces se atribuye o se pretende con las políticas de privacidad es utilizarlas para, en el caso del manejo de datos personales, obtener la legitimación del tratamiento o la comunicación de datos a terceros, cuando por el formato o procedimiento utilizado para facilitar esta política de privacidad, no se puede conseguir ese propósito de recabar consentimientos que legitimen los tratamientos o las cesiones.

La obtención del consentimiento ya sea para el tratamiento de los datos o la comunicación a terceros debe realizarse con una manifestación de voluntad libre, especifica, informada e inequívoca, por lo que si se incluye el propósito de obtener el consentimiento en la política de privacidad y se da por obtenido indicándole al usuario que conoce y acepta la política de privacidad ya sea al enviar el formulario, instalar una App o marcar una casilla, puede suponer una recogida del consentimiento no válida, si se acumula en la política de privacidad la recogida de más de un consentimiento, para, por ejemplo, diferentes tratamientos de datos que requieren la aceptación del usuario o las cesiones de datos a terceros, agrupándose con ello en la aceptación de la política de privacidad todos los consentimiento sin discriminación posible, entre los que son aceptados y los que son rechazados.

Habría que diferenciar claramente cada uno de los consentimientos solicitados y no aglutinarlos en la política de privacidad para obtenerlos en bloque, sino que debe establecerse un procedimiento específico para facilitar al usuario la posibilidad de decidir libremente, cual consentimiento otorga y cual no, sin vincular el conocer la política de privacidad a la aceptación de todos ellos.

El atribuir al conocimiento de la propia política la obtención de los consentimientos y no en un procedimiento independiente, puede conllevar otro problema cuando se actualiza la política modificándose su contenido. Dado que si no se vincula el conocimiento de la política a la obtención ningún consentimiento su modificación simplemente debe indicarse y ponerse a disposición del usuario. Mientras que, si se vincula algún consentimiento al conocimiento de la política, si ésta se modifica deberá volver a aceptarla para que tenga validez y efecto, con el riesgo de que alguien no la acepte, pero haya obligación de seguir aplicando la política anterior no modificada.

También puede suponer un problema esta obtención del consentimiento en la aceptación de toda la política de privacidad, cuando se quiera demostrar el consentimiento otorgado, ya que deberá recabarse una evidencia de los consentimientos otorgados y con la simple publicación de la política de privacidad y en su caso, la confirmación de que se conoce, difícilmente se podrá probar luego que consentimientos entre todos los solicitados consintió o no el usuario, al realizarse en bloque.

La forma de facilitar o presentar la política puede afectar a la función que se pretende con ella, ya sea la de informar o la de recabar consentimientos. Porque si el acceso a ella es complejo y rebuscado a la hora de localizarla tanto si se publica en una página web o en una App, como la forma de estructurar y organizar la información presentada, sin utilizar un orden adecuado, un contenido inequívoco, fácil de entender y con un lenguaje adecuado para el tipo de destinatario para el que va dirigida, podrá no ser válida en cuanto al cometido de informar o ser nulos los consentimientos recabados, por no ser informados o inequívocos. Por lo que es importante la ubicación, su acceso, lo que se publica y como se publica.

A veces se utilizan las políticas como contenido o información relacionada con las condiciones de contratación de un servicio o producto, siendo una de las partes, el proveedor generalmente, el que remite a la política para indicar al cliente cuales son ciertas condiciones contratadas y completar con ellas las estipulaciones o clausulado del contrato o acuerdo. Con el consiguiente problema tanto para el cliente como para el proveedor, por un lado, porque el cliente no tendrá capacidad para negociar mediante la modificación de estas políticas las condiciones a las que se somete del acuerdo suscrito con el proveedor y por otro lado porque estas políticas pueden modificarse en el tiempo y no quedar constancia de cuáles son las existentes en el momento de acuerdo. Ocasionando esto una indefensión para el cliente y una imposibilidad de demostrar el proveedor cuales son las que deben aplicarse si se modificaron.

Por tanto, el uso de las políticas debe servir para divulgar información, pero no conviene que su uso vaya dirigido a recabar la legitimidad, en especial, cuando tenga que facilitarse al usuario la posibilidad de diferenciar que acepta o no, entre todas las posibles opciones que se le deben ofrecer. Y por otro lado esta política no debe ser un extenso contenido de información presentada de forma equivoca, compleja e inentendible, cuando con ella lo que se pretenda es informar de algo que es obligatorio.

Gonzalo M. Flechoso
(Abogado – CISA)