Las políticas de privacidad son obligatorias por ley

Las políticas de privacidad son obligatorias por ley en todo el mundo si se recopilan datos que puedan utilizarse para identificar a una persona. Esto se debe a que dichos datos están protegidos legalmente por una serie de leyes importantes en todo el mundo que exigen una política de privacidad en tales casos.

En este artículo se analizan algunas de las principales leyes de privacidad a nivel mundial que exigen una política de privacidad.

¿Qué es una Política de privacidad?

Las políticas de privacidad son el lugar donde se divulgan las prácticas relativas a la recopilación, el uso y el tratamiento de los datos personales de los usuarios. Aportan información y transparencia.

¿Qué tipo de datos personales son lo suficientemente personales como para identificar a una persona? Hay muchos que pueden entrar en esa categoría, y aquí hay solo algunos ejemplos:

• Direcciones de correo electrónico
• Nombre y apellidos
• Direcciones de envío o facturación. La mayoría de las tiendas de comercio electrónico necesitarán una política de privacidad, ya que los datos de cada transacción de compra implicarán datos personales de los usuarios.
• Números de la seguridad social
• Fechas de nacimiento
• Nombres de usuario en redes sociales e imágenes de perfil

Los datos anónimos (que no incluyen datos personales) también pueden clasificarse como «información de identificación personal» si se utilizan en relación con otro tipo de datos que puedan dar lugar a la identificación de una persona. Por ejemplo, algunos tipos de direcciones IP son información personal protegida legalmente en virtud de las leyes de privacidad actuales.

*Nota del editor: El vídeo anterior contiene información desactualizada sobre la legislación de la UE. El contenido del artículo está actualizado a fecha de 16 de julio de 2019. Pedimos disculpas por cualquier inconveniente que esto pueda causar.

Leyes de privacidad que exigen una política de privacidad

Existen leyes de privacidad en países de todo el mundo. A continuación se enumeran algunas de las que tienen mayor alcance y mayor impacto en las empresas de todo el mundo.

Política de privacidad obligatoria en Estados Unidos

En EE. UU., en el momento de redactar este artículo, no hay leyes federales que exijan a las empresas contar con una política de privacidad (excepto la COPPA). Sin embargo, existen varias leyes, tanto federales como estatales, que contienen disposiciones sobre la privacidad de los datos.

La FTC (Comisión Federal de Comercio) regula la protección de datos para todos los consumidores en EE. UU., y las siguientes leyes tienen implicaciones en materia de privacidad:

• La Ley de Estadounidenses con Discapacidades
• La Ley de Política de Comunicaciones por Cable de 1984
• La Ley de Protección de la Privacidad Infantil en Internet (COPPA)
• La Ley de Fraude y Abuso Informático de 1986
• La Ley de Seguridad Informática de 1997
• La Ley de Control de Informes de Crédito al Consumidor
• La Ley de Protección de la Privacidad en Línea de California (CalOPPA)
• La Ley de Privacidad del Consumidor de California (CCPA), modificada por la Ley de Derechos de Privacidad de California (CPRA)
• La Ley de Protección de la Información Personal de Maryland (PIPA)
• Ley de Protección de Datos del Consumidor de Virginia (VCDPA)
• Ley de Notificación de Violaciones de Seguridad de Bases de Datos de Luisiana
• Ley de Nueva York para Detener los Hackeos y Mejorar la Seguridad de los Datos Electrónicos (SHIELD)

También existen leyes sobre datos biométricos que añaden un nuevo nivel de protección a la privacidad y los datos de los consumidores. Algunas de estas leyes incluyen:

• Utah: Ley de Privacidad de la Información Genética (GIPA)
• Texas: Ley de Captura o Uso de Identificadores Biométricos (CUBI)
• Arizona: HB 2478
• Oregón: Ley de Protección de la Información del Consumidor (OCIPA)
• Estado de Washington: HB 1493
• Illinois: Ley de Privacidad de la Información Biométrica (BIPA)

La Fundación para la Educación de la Federación de Consumidores de California deja claro que, en virtud de la CalOPPA, cualquier operador de un sitio web comercial o servicio en línea que recopile información de identificación personal a través de Internet sobre consumidores individuales residentes en California debe contar con una Política de privacidad en su sitio web:

La CCPA entró en vigor el 1 de enero de 2020, y las enmiendas de la CPRA a la misma entrarán en vigor el 1 de enero de 2023. Afecta a lo que determinadas empresas que llegan a residentes de California deben revelar en sus políticas de privacidad. La transparencia es clave en este caso, al igual que la concesión de derechos adicionales a los usuarios en lo que respecta al control de lo que ocurre con su información personal.

En virtud de la CCPA (CPRA), una empresa debe revelar qué tipos de información personal recopila y cómo utilizará cada tipo. Debe realizar esta revelación antes de recopilar cualquier información personal. Esto puede hacerse mediante una política de privacidad informativa que cumpla con la CCPA.

Los derechos que tienen los consumidores en virtud de la CCPA (CPRA) también deben divulgarse en la política de privacidad de cualquier empresa que entre en el ámbito de aplicación de la CCPA (CPRA).

Al igual que con la CalOPPA, no importa si su empresa está constituida o ubicada en California a la hora de determinar si se aplica la CCPA (CPRA). Si su empresa llega a residentes de California —lo cual es probable—, debe contar con una Política de privacidad que divulgue sus prácticas de privacidad.

La enmienda de la CPRA a la CCPA establece algunos requisitos específicos para las empresas que entran en su ámbito de aplicación.

La CPRA amplió los requisitos de la CCPA, por lo que conlleva requisitos y obligaciones adicionales.

Política de privacidad obligatoria en Australia

En Australia, la Ley de Privacidad de 1988 es la ley que regula la privacidad de los datos. La Ley de Privacidad de Australia de 1988 exige a las empresas australianas disponer de una Política de privacidad.

Esta ley regula el tratamiento de la información personal de los individuos y aborda la recogida, el uso, el almacenamiento y la divulgación de dicha información.

Recoge 13 principios de privacidad que debe seguir toda empresa sujeta a la Ley de Privacidad.

El primer Principio de Privacidad consiste en contar con una Política de Privacidad y mantenerla actualizada.

Para cumplir con la normativa, la Política de Privacidad debe presentarse en un formato fácil de leer, ser gratuita e incluir la siguiente información:

• Qué tipo de información personal recopila y conserva la empresa
• Cómo se recopila y conserva esta información
• Por qué se recopila, conserva y (si procede) se divulga a terceros esta información
• Cómo pueden las personas acceder y corregir cualquier información personal que se conserve sobre ellas
• Cómo pueden las personas presentar una reclamación por incumplimiento de los Principios de Privacidad de Australia u otro código vinculante, y cómo se gestionarán dichas reclamaciones
• Si es probable que la empresa divulgue información personal a destinatarios en el extranjero y, en tal caso, los países en los que es probable que se encuentren dichos destinatarios, si es posible

Política de privacidad obligatoria en el Reino Unido

La Ley de Protección de Datos de 1998 (o DPA) es la ley sobre privacidad del Reino Unido que hace obligatoria la existencia de una Política de Privacidad.

Las empresas que deben cumplir con la ley DPA del Reino Unido deben seguir los 8 principios, que se resumen aquí:

• Cualquier tipo de datos personales de los usuarios debe recopilarse de forma específica y lícita. Además, los datos no pueden tratarse de ninguna manera que sea incompatible con ese fin.
• Los datos personales que recopile deben ser adecuados, pertinentes y no excesivos en relación con la finalidad para la que los recopila.
• Los datos personales deben mantenerse actualizados y ser exactos.
• Cualquier tipo de datos personales recopilados de los usuarios no debe conservarse más tiempo del necesario para la finalidad para la que se recopilaron.

Uno de los derechos más importantes que la DPA otorga a los residentes del Reino Unido es el derecho a ser informados sobre cómo se utilizan sus datos. Aquí es donde una Política de privacidad se convierte en un requisito crucial. Sin ella, está violando los derechos de sus clientes al no ser informativo y transparente.

Si opera en el Reino Unido, asegúrese de crear una Política de privacidad informativa que revele, como mínimo:

• Qué información personal recopila y con qué finalidad legal específica
• Cómo utiliza los datos de acuerdo con dicho fin
• Qué derechos tienen los usuarios y cómo pueden ejercerlos
• Durante cuánto tiempo conserva los datos, en general
• Cómo mantiene seguros y protegidos los datos recopilados

Política de privacidad obligatoria en Canadá

La PIPEDA, Ley de Protección de la Información Personal y de los Documentos Electrónicos, es la principal ley de Canadá para la protección de los datos de los usuarios.

La ley PIPEDA exige a las empresas de Canadá disponer de una Política de privacidad, y dicha política debe ser fácil de leer y comprender. Esto significa que no debe contener jerga jurídica ni cláusulas excesivamente complicadas.

Según la PIPEDA, se entiende por información personal:

cualquier información identificable sobre una persona, esté registrada o no, y se aplica a la recogida, el uso y la divulgación de información personal por parte de organizaciones durante actividades comerciales.

Cualquier empresa que entre en el ámbito de aplicación de la PIPEDA está obligada a poner a disposición del público información sobre la forma en que gestiona la información personal.

Según la Oficina del Comisionado de Privacidad de Canadá, contar con una buena política de privacidad es una de las formas más importantes en que una empresa puede cumplir con esta obligación y, a su vez, generar confianza pública y ganarse la fidelidad de los clientes.

Algunos consejos sobre políticas de privacidad ofrecidos por el Comisionado de Privacidad incluyen lo siguiente:

• Sea muy claro y específico sobre lo que realmente hace su empresa. Asegúrese de que sus lectores puedan entender lo que divulga y de que no se limite a dar información general. No utilice jerga jurídica y mantenga un lenguaje sencillo.
• Divulgue todas las opciones que ofrece en lo que respecta al control que tienen los usuarios sobre el uso de su información personal. Por ejemplo, si permite que los usuarios se den de baja del marketing personalizado, deje claro que ofrece esta opción y cómo pueden hacerlo.
• Deja claro cómo pueden los usuarios acceder a la información personal que tienes sobre ellos y cómo pueden solicitar la corrección o eliminación de los datos.
• Mantén tu política actualizada para que refleje siempre con precisión tus prácticas reales.
• Facilita el contacto contigo para resolver dudas.
• Haga que su Política de privacidad sea fácil de encontrar y acceder.

También existe la Carta Digital, que ayuda a las personas a tomar el control de su información personal en un mundo cada vez más digital.

Política de privacidad obligatoria en la Unión Europea (UE)

El Reglamento General de Protección de Datos (RGPD) regula el tratamiento de datos personales dentro de la Unión Europea. Este reglamento establece requisitos estrictos y globales para las empresas que tienen usuarios ubicados en la UE.

Uno de los principales requisitos del RGPD es que disponga de una Política de privacidad que sea fácil de acceder y comprender.

Uno de los principales requisitos del RGPD es que disponga de una Política de privacidad que sea fácil de consultar y comprender.

Su Política de privacidad conforme al RGPD deberá incluir, como mínimo, la siguiente información:

• Qué tipos de datos personales trata
• Cómo la trata
• Su base jurídica para el tratamiento
• Durante cuánto tiempo la conserva y qué ocurre tras el periodo de conservación
• Si comparte o no información personal con terceros
• Si transfiere información personal al extranjero y, en caso afirmativo, qué medidas de seguridad tiene establecidas
• Los 8 derechos de los usuarios y cómo pueden ejercerlos
• Datos de contacto, como mínimo, de su empresa, así como de su delegado de protección de datos (DPO) o representante en la UE, cuando proceda

El consentimiento es fundamental en el RGPD, por lo que, si este reglamento le afecta, le conviene familiarizarse con los cambios que se producirán en los requisitos de consentimiento.

Política de privacidad obligatoria en Brasil

La principal ley de privacidad de Brasil es la Ley General de Protección de Datos (LGPD). La LGPD afecta a empresas de todo el mundo si recopilan información personal de personas ubicadas en Brasil.

La LGPD exige la divulgación de la siguiente información a través de una política de privacidad:

• Por qué se trata la información personal
• Por qué se lleva a cabo el tratamiento y su duración
• La identidad y los datos de contacto del responsable del tratamiento
• Si se compartirán los datos personales y, en caso afirmativo, con qué fines
• Cuáles son las responsabilidades de los responsables y encargados del tratamiento que procesarán la información personal
• Información sobre los derechos de la persona en lo que respecta a sus datos personales

Política de privacidad obligatoria en China

La Ley de Protección de la Información Personal de China (PIPL) entró en vigor el 1 de noviembre de 2021. Uno de los aspectos más importantes de esta ley son los derechos de privacidad que otorga a las personas en China.

Si se encuentra dentro del ámbito de aplicación de la PIPL, deberá revelar una serie de datos en una Política de privacidad, entre los que se incluyen los siguientes:

• El nombre y la información de contacto del responsable del tratamiento de datos personales de su empresa
• Información sobre terceros que puedan recibir transferencias de datos
• Qué derechos tienen las personas en virtud de la PIPL y cómo ejercerlos
• Qué tipos de datos personales recopila, por qué los recopila, cómo los almacena y durante cuánto tiempo

Política de privacidad obligatoria en Singapur, Malasia, Corea del Sur y Vietnam

En el sudeste asiático, diversas leyes nacionales exigen que las empresas cuenten con un acuerdo de política de privacidad. Algunas de estas leyes son las siguientes:

• En Singapur es la Ley de Protección de Datos Personales de 2012 (PDPA).
• En Malasia también se denomina Ley de Protección de Datos Personales (PDPA). La Ley PDPA de Malasia entró en vigor en noviembre de 2013.
• En Corea del Sur se denomina Ley de Protección de la Información Personal y entró en vigor en 2012.
• En Vietnam, es el artículo 21 de la Ley de Tecnología de la Información

Dado que estas leyes no son tan estrictas como algunas de la UE y Estados Unidos en este momento, puedes estar bastante seguro de que las cumples si te aseguras de cumplir los requisitos del RGPD o la CalOPPA.

Requisitos de la política de privacidad en otros lugares del mundo

Hay otros países en el mundo que cuentan con leyes de privacidad que exigen una política de privacidad. Consulte nuestro artículo «Leyes de privacidad por país» para ver algunas de las otras leyes, así como para obtener una visión más completa de algunas de las leyes mencionadas anteriormente.

Requisitos de la política de privacidad de terceros

Los terceros suelen exigir una política de privacidad si utilizas sus servicios.

Por ejemplo, si tu aplicación recopila información personal, se aplicarán los siguientes requisitos de privacidad de terceros:

Todas las aplicaciones de iOS necesitan una política de privacidad. Las Directrices de revisión de la App Store de Apple lo establecen explícitamente:

Las aplicaciones de Android tienen el mismo requisito de contar con una política de privacidad. El Acuerdo de distribución para desarrolladores de Google Play Store exige que se disponga de procedimientos y avisos de privacidad:

Incluso si gestiona un sitio web sencillo y solo utiliza Google Analytics, seguirá necesitando una Política de privacidad. Las Condiciones de servicio de Google Analytics exigen que todos los usuarios de Analytics cuenten con una Política de privacidad:

La Política de la plataforma de Facebook para desarrolladores exige que dispongas de una Política de privacidad para las aplicaciones de Facebook que puedas desarrollar:

Si utilizas «Iniciar sesión con Amazon», la Guía para desarrolladores de Amazon para sitios web exige que dispongas de una Política de privacidad antes de poder utilizar la función de inicio de sesión:

Si un servicio de terceros no exige explícitamente que cuentes con una Política de privacidad para utilizar el servicio, puedes estar seguro de que existe algún tipo de cláusula en las Condiciones de uso que te obliga a cumplir todas las leyes aplicables al utilizar el servicio.

Si su sitio web o aplicación recopila información personal y activa alguna de las leyes de privacidad vigentes que exigen una Política de privacidad, dicha cláusula le obligará a cumplir esa ley para poder utilizar el servicio. Es una forma indirecta, pero eficaz, de exigir el cumplimiento.

En algunos casos, aunque no recopiles ninguna información personal, un servicio de terceros puede exigirte que incluyas una Política de privacidad que indique este hecho, simplemente por transparencia.

Debes conocer las leyes que protegen a tus usuarios, independientemente de dónde se encuentren. Asegúrate de leer y revisar los Términos y condiciones o los acuerdos de Condiciones de uso para conocer los requisitos de terceros para los servicios que tu sitio web o aplicación pueda utilizar.

Resumen

*Nota del editor: La presentación anterior contiene información desactualizada sobre la legislación de la UE. El contenido del artículo está actualizado a fecha de 16 de julio de 2019. Pedimos disculpas por cualquier inconveniente que esto pueda causar.

Si recopila información personal desde cualquier parte del mundo y de personas ubicadas en todo el mundo, es prácticamente seguro que necesitará disponer y publicar una Política de privacidad. Si está sujeto a cualquier ley que lo exija, deberá crear y mostrar una Política de privacidad que cumpla con la normativa.

Muchas de las leyes tienen requisitos que se solapan, lo que significa que si cumple con una, es posible que también cumpla con otra. Sin embargo, debe conocer todas las leyes jurisdiccionales que debe cumplir para garantizar el cumplimiento total.