Seleccionar página

Infracciones RGPD: Formularios Web

por | 11/12/2018 | RGPD / LOPDGDD

RGPD: Formularios Web (Infracciones)

Como profesional en cumplimiento online del RGPD, cada vez que visito una web, no sé si por curiosidad o por deformación profesional, la analizo (de forma visual) para comprobar su grado de cumplimiento con el RGPD.

Los resultados de estos análisis son cuando menos preocupantes. El número de webs que incumplen el RGPD es altísimo y lo peor de todo es que muchas de esas webs, pertenecen a empresas que de algún modo u otro están vinculadas con la protección de datos, incluso en muchas ocasiones, se dedican profesionalmente a ello.

Los incumplimientos que observo son muchos y diversos, desde los más delatadores que se ven a simple vista como los cometidos en formularios web (contacto, comentarios, suscripción, registro, presupuestos, etc…), hasta los que no son tan visibles pero igual de importantes para el cumplimiento del RGPD como son las implementaciones de las medidas de seguridad y control necesarias para “evitar” (en la media de lo posible) tanto la pérdida como el robo de datos personales.

Por motivos de extensión, en este artículo voy a centrarme únicamente en las infracciones cometidas en formularios web. Periódicamente publicaré nuevos artículos hasta abarcar todos los incumplimientos que he observado.

Incumplimientos del RGPD en Formularios Web

Los incumplimientos que se repiten con mayor frecuencia en formularios web y que invalidan el tratamiento de datos personales realizados desde los mismos son lo siguientes:

1.- Primera capa de información básica sobre protección de datos inexistente.
2.- Primera capa de información básica sobre protección de datos incompleta.
3.- Primera capa de información básica sobre protección de datos fuera del campo de visión de los usuarios.

1.- Primera capa de información básica inexistente

Con los nuevos requisitos y principios introducidos por el RGPD respecto a la obligación de informar, la simple remisión a la política de privacidad desde los formularios web ya no es suficiente para cumplir con esta obligación.

La AEPD, en su Guía para Responsables de Tratamiento, establece como una obligación, la de informar a los usuarios evitando fórmulas farragosas con enlaces a los textos legales.

AEPD - Obligaciones Principios de Transparencia e Información

Con el fin de facilitar a los Responsables del Tratamiento, la integración de estos nuevos requisitos en el diseño de los formularios, las Autoridades de Protección de Datos de la Unión Europea, recomiendan (permiten) utilizar un modelo de información por capas, presentando una primera capa, con una información básica sobre protección de datos y remitir desde la misma, de forma sencilla e inmediata a una segunda capa con la información restante.

Otro fin que se persigue con el modelo de información por capas es que los usuarios obtengan la información más relevante de forma rápida y simplificada, pero sin que ello suponga ningún menoscabo de los principios de licitud, lealtad y transparencia que establece el RGPD.

En la Guía para el Cumplimiento del Deber de Informar, la AEPD establece que esta primera capa informativa tiene que reunir los siguientes requisitos:

  • La información se debe poner a disposición de los interesados en el momento en que se soliciten los datos, previamente a la recogida o registro.
  • Esta obligación se debe cumplir sin necesidad de requerimiento alguno, y el responsable deberá poder acreditar con posterioridad que la obligación de informar ha sido satisfecha.
  • Debe estar claramente identificada con un título tal como “Información básica sobre protección de datos”.
  • La forma de presentación preferente de esta primera capa es en forma de tabla, garantizando que dicha información quede “dentro del campo de visión” del interesado.

Sin embargo, incomprensiblemente son muchos muchísimos los formularios web que a día de hoy hacen caso omiso a estos requerimientos obligatorios y en el mejor de los casos, se limitan a remitir a los usuarios a la política de privacidad. De acuerdo con el RGPD y con la nueva LOPDGDD (ya en vigor), se estaría incumplimiento con la obligación de informar, por lo que los tratamientos de datos realizados desde estos formularios serían ilícitos.

La LOPDGDD en su artículo 72 tipifica como INFRACCIÓN MUY GRAVE la omisión del deber de informar al afectado acerca del tratamiento de sus datos personales conforme a lo dispuesto en los artículos 13 y 14 del Reglamento (UE) 2016/679 (RGPD).

2.- Primera capa de información básica incompleta

También observo formularios que aun mostrando dicha primera capa informativa lo hacen de forma incompleta. El RGPD , en sus artículos 13 y 14 (en su caso), deja muy claro cual debe de ser obligatoriamente la información mínima que se debe mostrar a los usuarios previamente a la recogida o registro de sus datos personales:
 

  • Identidad del Responsable del tratamiento y en su caso, de su representante.
  • Los datos de contacto del delegado de protección de datos (en su caso).
  • Descripción sencilla de la finalidad del tratamiento, incluida la elaboración de perfiles.
  • Base jurídica del tratamiento (legitimación).
  • El plazo durante el cual se conservarán los datos personales o los criterios utilizados para determinar este plazo.
  • Destinatarios de los datos. Previsión de cesiones y de transferencias a terceros países (en su caso).
  • Referencia al ejercicio de Derechos que tienen los usuarios y como ejercerlos. Derechos de acceso, rectificación, supresión y portabilidad de sus datos, y la limitación u oposición a su tratamiento. Derecho a retirar el consentimiento prestado (en su caso) y Derecho a reclamar ante la Autoridad de Control.
  • Remisión a la información adicional en un segundo nivel, donde se presentarán detalladamente el resto de las informaciones (normalmente es la política de privacidad).

No facilitar a los usuarios toda la información exigida en los artículos 13 y 14 del RGPD es un incumpliendo del principio de transparencia de la información y la LOPDGDD lo contempla como una infracción en su artículo 74 letra a).

3.- Primera capa de información básica fuera del campo de visión

Otro incumplimiento grave sería el de no garantizar que dicha información (primera capa) quede dentro del campo de visión de los usuarios en el momento en que se soliciten los datos.

Recordemos que la AEPD, en su Guía para el Cumplimiento del Deber de Informar, requiere a los responsables del tratamiento que dicha información se muestre al interesado previamente a la recogida o registro (antes de enviar el formulario),  garantizando su visualización (dentro del campo de visión del interesado), que esté claramente identificada (con un título tal como “Información básica de protección de datos”), y además, el responsable deberá poder acreditar a posteriori que la obligación de informar ha sido satisfecha.

Si la primera capa informativa se coloca por debajo del botón “Enviar” de un formulario, no se puede garantizar que la información quede dentro de nuestro campo de visión, por lo que cualquier usuario, podría rellenar y enviar el formulario sin haber leído -ni tan siquiera visto- previamente dicha información.

Imagen 1.- Capa informativa fuera del campo de visión en pantalla de ordenador:

Capa informativa fuera del campo de visión

Se puede apreciar en la imagen anterior que la primera capa informativa no se visualiza al estar esta fuera de nuestro campo de visión. Recordemos que el responsable del tratamiento está obligado a garantizar su visualización dentro del campo de visión del usuario. Además, debe poder acreditar con posterioridad que la obligación de informar ha sido satisfecha.

Imagen 2.-Capa informativa fuera del campo de visión en pantalla de un smartphone:

Capa informativa fuera del campo de visión desde pantalla de móvil

En la imagen anterior se reproduce de nuevo el mismo problema pero desde la pantalla de un smartphone. La capa informativa queda fuera del campo de visión del usuario y el formulario podría enviarse perfectamente sin verla.

Hacer las cosas bien no cuesta tanto. En la siguiente imagen muestro una copia de mi formulario de contacto donde se cumplen todos los requerimientos sin romper la estética del formulario.

Imagen 3.- Capa informativa dentro del campo de visión + registro de acreditación para poder demostrar a posteriori que la obligación de informar ha sido satisfecha:

Capa Informativa dentro del campo de visión - RGPD - Formulario de contacto

Como se puede apreciar en la imagen anterior, se cumplen todos los requerimientos exigidos:

1.- La visualización de la primera capa informativa es previa a la recogida y/o registro. Si no se visualiza dicha capa no se puede enviar el formulario.

2.- Total garantía que la primera capa informativa se muestra dentro del campo de visión del usuario, independientemente del dispositivo que se esté utilizando (ordenador, tablet, smartphone, etc…).

3.- El responsable del tratamiento puede demostrar a posteriori que la obligación de informar ha sido satisfecha al quedar registrado en la base de datos, además de recibir el usuario en su buzón de email una copia automática con dicha información.

No garantizar la visualización de la primera capa informativa dentro del campo de visión del usuario podría considerarse como una INFRACCIÓN MUY GRAVE por omisión del deber de informar.

Concusión final

Como habrás visto, tener formularios que cumplan con todos los requerimientos que establece el RGPD es posible. Sin embargo, la inmensa mayoría de páginas web españolas cuentan con formularios que no los cumplen ni de lejos.

No es mi deseo que la AEPD empiece a poner sanciones a diestro y siniestro pero sí sería beneficioso para todos que diese algún toque de atención a este respecto, sobre todo para que el cumplimiento del RGPD en el mundo online se tomase más en serio.

En próximos artículos hablaré también de otras infracciones que sin ser tan visibles son también igual de graves, como por ejemplo:

  • No realizar los registros de los consentimientos correctamente.
  • No tener implantadas correctamente las medidas de seguridad y control en la web.

Espero haber aportado mi granito de arena para despejar dudas y para hacer que cada día más formularios web cumplan con todos los requerimientos que establece el RGPD.

flechas abajo

¿Hablamos?

Contacta conmigo a través de este formulario. Puedes utilizarlo para hacerme cualquier pregunta sobre mis servicios, proponerme un proyecto o invitarme a dar una charla sobre el cumplimiento del RGPD en páginas web. Te responderé en menos de 24 horas.

Contacto VG

Cuestionario

Responsable: Víctor Galindo Cifre. Finalidad: Contactar contigo para dar respuesta a la consulta que realices. Legitimación: Tu consentimiento. Destinatarios: Tus datos no se cederán a ningún tercero. Se ubicarán y custodiarán a modo de histórico de comunicaciones en los servidores de mi proveedor de hosting y correo electrónico Soluciones Web On Line, S.L., con Centro de Datos ubicado en España. Derechos: Podrás ejercer en cualquier momento los derechos de acceso, rectificación, cancelación, oposición, limitación, portabilidad y supresión, así como el derecho a retirar el consentimiento desde el formulario de acceso al ejercicio de derechos habilitado para tal fin, o si lo prefieres, por alguna de las alternativas descritas en mi Política de Privacidad. También tienes derecho a presentar una reclamación ante la autoridad de control. Información adicional: Puedes consultar la información detallada sobre protección de datos en mi página de Política de Privacidad.

Pin It on Pinterest

Share This