En los últimos años se ha subestimado con frecuencia el impacto de la Gdpr en los sitios web. Muchos operadores del sector pensaban que la redacción de una simple política de privacy podría, de alguna manera, bastar para que el sitio web cumpliera con el Gdpr. Sin embargo, el proceso de cumplimiento de un sitio web pasa inevitablemente por un análisis a fondo del sitio, de los componentes técnicos que lo componen y de los datos que recoge y procesa.
La primera consideración que hay que hacer está relacionada con los datos que se recogen en el sitio y cómo. Un sitio web recoge múltiples tipos de datos, tanto a través de los formularios que el usuario puede rellenar, como automáticamente sólo a través de la navegación de las páginas que lo componen. Además, casi todos los sitios web liberan cookies, pequeños archivos de texto guardados en la computadora del usuario que se utilizan para operar el sitio o para reunir información sobre el usuario.
Una vez identificados los datos que el controlador de datos recoge a través del sitio, es necesario definir cómo se recogen esos datos, con qué fines, para qué se almacenan y a quién se comunican.
Por lo tanto, será necesario elaborar, para cada formulario del sitio y, por consiguiente, para cada fin para el que se recojan los datos, una información específica de conformidad con el artículo 13 del Reglamento europeo 2016/679. Será necesario entonces prever la obtención del consentimiento para cada actividad de procesamiento que lo requiera como condición de legalidad y establecer un sistema especial de almacenamiento de dicho consentimiento con fines probatorios.
Otro principio contenido en el Reglamento que influirá en la aplicación y gestión de los sitios web es el de la minimización. De hecho, el Gdpr establece que los datos personales deben ser adecuados, pertinentes y limitados a lo que sea necesario con respecto a los fines para los que se procesan. Este principio implica que los formularios deben hacerse teniendo en cuenta únicamente los datos necesarios para lograr los fines indicados en el aviso de información.
También se debe informar al usuario sobre los datos que el sitio recoge automáticamente, como la dirección IP del enlace y las páginas visitadas por cada usuario. A este respecto, la Política de Privacy tiene por objeto describir cómo se procesan los datos personales de los usuarios que visitan el sitio y debe contener la misma información que se exige en el ‘art.13 del Gdpr.
En lo que respecta a la gestión de las cookies, la llegada de la normativa europea trae consigo un fuerte cambio en la gestión de la bandera. De hecho, en virtud de los principios establecidos en el Gdpr sobre el consentimiento, el usuario debe poder elegir qué categorías de cookies aceptar y debe poder hacerlo antes de que se descarguen en su dispositivo.
Además, dado que el consentimiento debe ser informado, libre y específico, el consentimiento relativo a las cookies debe ser separado para cada categoría (marketing, estadísticas, perfiles, etc…) y no preseleccionado.
En conclusión, la actividad necesaria para que un sitio web cumpla con el Gdpr no puede limitarse a la preparación de información estándar, sino que debe pasar por un análisis exhaustivo de los procesos que conlleva el tratamiento de los datos personales recogidos a través del sitio. Este análisis sólo puede ser realizado por un equipo con competencias transversales (técnicas, organizativas y jurídicas). FUENTE: FEDERPRIVACY