Drücke „Enter”, um zum Inhalt zu springen.
Hinweis zu diesem Datenschutz-Blog:
Anscheinend verwenden Sie einen Werbeblocker wie uBlock Origin oder Ghostery, oder einen Browser, der bestimmte Dienste blockiert.
Leider wird dadurch auch der Dienst von VG Wort blockiert. Online-Autoren haben einen gesetzlichen Anspruch auf eine Vergütung, wenn ihre Beiträge oft genug aufgerufen wurden. Um dies zu messen, muss vom Autor ein Dienst der VG Wort eingebunden werden. Ohne diesen Dienst geht der gesetzliche Anspruch für den Autor verloren.

Ich wäre Ihnen sehr verbunden, wenn Sie sich bei der VG Wort darüber beschweren, dass deren Dienst anscheinend so ausgeprägt ist, dass er von manchen als blockierungswürdig eingestuft wird. Dies führt ggf. dazu, dass ich Beiträge kostenpflichtig gestalten muss.

Durch Klick auf folgenden Button wird eine Mailvorlage geladen, die Sie inhaltlich gerne anpassen und an die VG Wort abschicken können.

Nachricht an VG WortMailtext anzeigen

Betreff: Datenschutzprobleme mit dem VG Wort Dienst(METIS)
Guten Tag,

als Besucher des Datenschutz-Blogs Dr. DSGVO ist mir aufgefallen, dass der VG Wort Dienst durch datenschutzfreundliche Browser (Brave, Mullvad...) sowie Werbeblocker (uBlock, Ghostery...) blockiert wird.
Damit gehen dem Autor der Online-Texte Einnahmen verloren, die ihm aber gesetzlich zustehen.

Bitte beheben Sie dieses Problem!

Diese Nachricht wurde von mir persönlich abgeschickt und lediglich aus einer Vorlage generiert.
Wenn der Klick auf den Button keine Mail öffnet, schreiben Sie bitte eine Mail an info@vgwort.de und weisen darauf hin, dass der VG Wort Dienst von datenschutzfreundlichen Browser blockiert wird und dass Online Autoren daher die gesetzlich garantierten Einnahmen verloren gehen.
Vielen Dank,

Ihr Klaus Meffert - Dr. DSGVO Datenschutz-Blog.

PS: Wenn Sie meine Beiträge oder meinen Online Website-Check gut finden, freue ich mich auch über Ihre Spende.
✓ Kostenlos

Website-Analyse in Echtzeit

Erhalten Sie sofort detaillierte Einblicke

DSGVO-Check

La política de privacidad en los sitios web: Contenido y orientación

0
recommendations for content and structure of the privacy policy
Dr. DSGVO Newsletter detected: Extended functionality available
More articles · Website-Checks · Live Offline-AI

Todos los sitios web públicos deben disponer de una política de privacidad. Además de los textos estándar, debe contener explicaciones sobre todas las herramientas utilizadas y todas las operaciones de tratamiento de datos. Sin embargo, la política de privacidad por sí sola no es suficiente.

Introducción

La política de privacidad en sitios web es obligatoria. Esto se desprende del Artículo 12, así como del Artículo 13 RGPD y el hecho de que las direcciones de red son datos personales. Casi cualquier sitio web ofrece un servicio. Si una página es casi vacía, puede no necesitar una política de privacidad. Solo el aviso sobre su campo de actividad (empresarial) es suficiente para cumplir con el carácter de oferta (ver ejemplo, donde faltan las políticas de privacidad). También consulte mi investigación sobre el concepto de recolección de datos y la responsabilidad que se deriva de ella.

Por razones legales es mejor denominar la página de protección de datos con el título "Información sobre protección de datos" o "Informaciones sobre protección de datos". En este artículo se utiliza en su lugar la antigua y menos crítica denominación "Declaración de protección de datos". Vgl. aquí la sentencia del 27.12.2018 – 23 U 196/13.

Con experiencia sé que los peligros (queja, amonestación, multa) en primer lugar no surgen de los textos de protección de datos, sino de herramientas incorporadas ilegalmente, faltantes certificados SSL, preguntas de consentimiento no funcionales, demasiada información solicitada en formularios o enlaces ausentes a la política de privacidad.

Explicar algo no significa que esté permitido.

Tomemos el ejemplo de los asesinos a sueldo:

Contrata a un asesino a sueldo y explica su intención a la víctima. ¿Mejorará la situación?

Malentendidos frecuentes sobre las declaraciones de protección de datos

Se permita el comentario de que la creación de textos de protección de datos es en general posible para cualquier persona y a menudo es sensato, no se necesita un abogado para ello. Los riesgos están en otro lugar. Si desea proteger sus páginas web, primero piense en otras cosas aparte de la declaración de protección de datos. Además, afirmo que incluso los abogados suelen no lograr realmente estos textos de advertencia. Entre otras cosas, esto se debe a que para herramientas como Google o Facebook a menudo no está claro, y a muchos no les es exactamente conocido, qué procesamientos de datos tienen lugar por parte de quién.

De experiencia puedo afirmar que para la creación de buenos textos de protección de datos para herramientas, primero es útil tener un entendimiento técnico y segundo un conocimiento básico del derecho. Además, conocer la estructura de los textos de protección de datos es útil, porque todos estos textos tienen la misma estructura básica.

Contenido de la política de privacidad

El contenido de la información sobre protección de datos puede dividirse esencialmente en tres partes:

  • Datos específicos de la página web: Texto de introducción, mención de la persona responsable, mención del DSB, datos de contacto
  • Deberes generales: Estos son siempre iguales (Hasta el 09.08.2021)
  • Información sobre procesos de tratamiento de datos especiales en la página web: Relevante al emplear boletines de noticias, formularios o herramientas como Google Maps

Deberes generales

Antes de nada, deben darse una serie de informaciones generales. A ellas pertenecen:

  • Derechos de los afectados: Textos estándar
  • Bases legales: Textos estándar (que también pueden ser configurados de manera específica adicionalmente)
  • Responsable de la protección de datos: ¿Quién es responsable del tratamiento de datos personales en la página web y cómo se puede contactar con él?
  • Declaración de los datos de contacto del Delegado de Protección de Datos: Puede ser opcional

Los derechos de los interesados pueden explicarse del siguiente modo.

Derechos de los interesados

Los derechos de los afectados se derivan de Art. 15 RGPD. Aquí un texto modelo para la mención de los derechos de los afectados. Por favor, ajustarlo eventualmente. El texto solo debe usarse con un enlace de agradecimiento a https://dr-dsgvo.de.

Tienes derecho:

  • Según el artículo 15 de la RGPD, puede solicitar información sobre los datos personales que he tratado y solicitar información específica sobre las finalidades del tratamiento, las categorías de datos personales, las categorías de destinatarios a quienes se han comunicado o se van a comunicar sus datos, la duración prevista del almacenamiento, el derecho a rectificar, borrar, limitar el tratamiento u oponerse al mismo, el derecho a presentar una queja, la procedencia de los datos, si no fueron recogidos por mí, así como sobre la existencia de decisiones automatizadas incluyendo perfiles y, en su caso, información detallada sobre sus características;
  • de conformidad con el artículo 16 del RGPD, a solicitar inmediatamente la corrección de datos personales incorrectos o incompletos almacenados por mí;
  • exigir la supresión de sus datos personales almacenados por mí de conformidad con el artículo 17 del RGPD, a menos que el tratamiento sea necesario para el ejercicio del derecho a la libertad de expresión e información, para el cumplimiento de una obligación legal, por razones de interés público o para el establecimiento, ejercicio o defensa de reclamaciones legales;
  • de conformidad con el artículo 18 del RGPD, a solicitar la limitación del tratamiento de sus datos personales si usted impugna la exactitud de los mismos, el tratamiento es ilícito pero usted se niega a suprimirlo y ya no necesitamos los datos, pero usted los necesita para la formulación, el ejercicio o la defensa de reclamaciones legales o ha presentado una objeción al tratamiento de conformidad con el artículo 21 del RGPD;
  • de conformidad con el artículo 20 del RGPD, a recibir los datos personales que me haya facilitado en un formato estructurado, de uso común y lectura mecánica, o a solicitar que se transmitan a otro responsable del tratamiento;
  • Según el artículo 7, apartado 3 de la RGPD, puede revocar en cualquier momento mi consentimiento. Esto tiene como consecuencia que no podamos continuar con el tratamiento de datos basado en este consentimiento en lo sucesivo, y
  • De conformidad con el artículo 77 del RGPD, tiene derecho a presentar una reclamación ante una autoridad de control, sin perjuicio de cualquier otro recurso administrativo o judicial. Por regla general, puede ponerse en contacto con la autoridad de control de su lugar de residencia o lugar de trabajo habitual o del lugar de la presunta infracción si el interesado considera que el tratamiento de los datos personales que le conciernen infringe el Reglamento General de Protección de Datos (RGPD) de la UE.

Base jurídica

Las bases legales deberían ser nombradas en general. Además, puede haber una mención específica por cada proceso de procesamiento de datos, siempre y cuando no sea obvia. Aquí un texto modelo. El texto solo debe usarse con un enlace de agradecimiento a https://dr-dsgvo.de.

Procesamos los datos que se generan cuando visita nuestro sitio web o utiliza las opciones de contacto ofrecidas de conformidad con las disposiciones del Reglamento General de Protección de Datos europeo (RGPD) y la Ley Federal de Protección de Datos alemana (BDSG). Dependiendo del asunto por el que se ponga en contacto con nosotros a través del sitio web, existen diferentes bases jurídicas para ello. La base jurídica específica para el tratamiento de datos depende del contexto y de la finalidad para la que recibimos sus datos. Por regla general, la base jurídica para el tratamiento de datos resulta de las opciones que se indican a continuación:

El art. 6 I lit. a RGPD sirve de base jurídica para las operaciones de tratamiento para las que obtenemos el consentimiento para un fin de tratamiento específico. El consentimiento otorgado puede revocarse en cualquier momento.

Si la elaboración de datos personales es necesaria para cumplir un contrato en el que la persona afectada es parte, como ocurre con procesos de tratamiento relacionados con la entrega de bienes o la prestación de una otra forma de servicio o contraprestación, entonces la elaboración se basa en Artículo 6 I lit. b del RGPD. Lo mismo es aplicable a los procesos de tratamiento necesarios para llevar a cabo las medidas previas al contrato, como cuando se reciben solicitudes sobre nuestros productos o servicios.

Estamos sometidos a una obligación legal que hace necesario el tratamiento de datos personales, como por ejemplo para cumplir con las obligaciones fiscales, y en este caso la base del tratamiento es Artículo 6 I lit. c RGPD.

Finalmente podrían basarse en el tratamiento de Artículo 6 I lit. f RGPD . Los procesos de tratamiento que se basan en esta base legal son aquellos que no están cubiertos por ninguna de las bases legales anteriores, siempre y cuando la gestión sea necesaria para proteger un interés legítimo de nuestra empresa o de un tercero, a condición de que los intereses, derechos fundamentales y libertades del afectado no sean prevalentes.

Texto de ejemplo para la citación de fundamentos jurídicos

Tenga en cuenta que no es posible visitar un sitio web sin que se procesen datos personales. Por lo tanto, no debe afirmarse que es posible visitar el sitio web sin facilitar datos personales.

Información sobre operaciones especiales de tratamiento de datos

Para cada proceso de tratamiento de datos en la página web deben hacerse declaraciones concretas. Ver también Artículo 15 RGPD. Secciones comunes son:

  • Registros del servidor: La mayoría de los servidores guardan protocolos de acceso. Esto debería explicarse
  • Cookies: La mayoría de las páginas web ponen Cookies. Los cookies técnicamente necesarios, como la gestión de registro en sitios web de WordPress o los cookies de VG Wort, son inocuos. Para evitar consultas, también deberían explicarse los cookies inocuos. Por favor tenga en cuenta que los cookies no son archivos de texto, aunque a menudo se afirma lo contrario
  • Formulare: Indique qué ha pasado con los datos. En general, se utilizan los datos solo para responder a la solicitud y posibles consultas o comunicaciones adicionales derivadas de ella
  • Boletín: Indiquen cómo se procesan los datos (al menos la dirección de correo electrónico). Denominen la posibilidad de revocación (desuscribirse del boletín). Establezcan un servicio de boletines y lo denominen. Asegúrense de que en las correos electrónicos de boletines no haya un pixel de seguimiento (y si lo hay, preguntar antes por permiso)
  • Recaudación de datos adicionales: Ofrezcan un servicio de llamada de vuelta a través de la página web o realicen procedimientos de solicitud a través de la página web o procesen datos en la página web por otras razones no explicadas aún, esto debe ser explicado.
  • Herramientas: Para cada herramienta utilizada debe explicarse especialmente:
    • Nombre de la herramienta
    • Proveedor
    • Objetivo
    • Cookies utilizadas. Por cookie: nombre, vida útil, finalidad
    • Datos recogidos
    • Lugares de recogida de datos, si también tienen lugar fuera del domicilio social del proveedor (país)
    • Destinatarios de los datos, si hay otros además del proveedor
    • Posibles riesgos, como la transferencia de datos a terceros países no seguros
    • Garantías existentes, como un contrato de tramitación de pedidos
  • Archivos externos: También para imágenes, fuentes, videos, bibliotecas auxiliares, etc., debe explicarse qué hay detrás de todo eso.

Si tiene un contrato con un proveedor de una herramienta o archivos externos, en casos concretos puede estar permitido no declararlo.

¿Cómo saber realmente qué herramientas y archivos externos están integrados en su sitio web? He aquí algunas respuestas posibles. Sólo una de ellas es correcta:

  1. Adivina
  2. Pregunte a su agencia de Internet
  3. Pregunte a su delegado de protección de datos
  4. Le preguntas a un abogado
  5. Tratan de echar un vistazo de cerca a su sitio web
  6. Utilizas una herramienta que escanea automáticamente todo tu sitio web. Si quieres más seguridad, pagas un poco más por una comprobación manual adicional

Para numerosos herramientas y cookies no existe simplemente un texto de protección de datos. Si el proveedor de un servicio o su exacta denominación empresarial es desconocido, no puede tener lugar una explicación adecuada. A menudo son desconocidos los fines de los cookies o se suponen. Si esto es el caso, no es posible un uso legalmente correcto de herramientas que gestionan dichos cookies, porque las indicaciones obligatorias según Artículo 13 RGPD sobre el cookie no pueden tener lugar.

Para herramientas de análisis y otros instrumentos que recopilan datos, debe proporcionarse al usuario la opción de optar (Opt-Out). La autorización también debe solicitarse para la mayoría de las herramientas.

Estructura típica de un texto de protección de datos para una herramienta

En un posible texto de protección de datos para Google Maps, se mostrará cómo puede estar estructurado un texto de protección de datos para una herramienta. Por favor, tenga en cuenta que aquí faltan las indicaciones sobre cookies porque parece que solo Google lo sabe: qué cookies se utilizan con qué propósito concreto!

Ejemplo de texto de protección de datos (¡falta información sobre cookies!). La imagen se ha traducido automáticamente.

El texto aborda varios aspectos:

  • Nombre del Servicio (Herramientas). Para boletines de noticias simplemente se llamaría Boletín de noticias
  • Proveedor del servicio: Denominación completa incluyendo la dirección y la designación de país más común: USA es seguro que todos lo entiendan. Otros códigos ISO no son comprensibles
  • Objetivo: ¿Para qué se utiliza el servicio?
  • Fundamento jurídico: Este puede ser especificado para un servicio concreto o en un apartado general sin relación con el servicio. A menudo, la base jurídica se deriva de la forma en que un servicio es incorporado. Con una solicitud de consentimiento, la base jurídica es el consentimiento; sin ella, por lo general solo queda el interés legítimo. Una base jurídica específicamente especificada debería ser correcta. Quien escriba "consentimiento" y cargue un servicio sin consentimiento, provoca problemas.
  • Detalles específicos: ¿Qué más debería saber el usuario?
  • Procesamiento de datos: ¿Qué ocurre con los datos que se generan al acceder y utilizar la herramienta?
  • Receptor de datos: ¿Quién puede recibir los datos? En caso de duda, se recomienda una asignación superior
  • Mención de los riesgos: Al hacer transferencias de datos a países terceros inseguros, a menudo un servicio secreto lee con gusto. Esto debería explicarse
  • Información adicional: Un enlace a la política de privacidad del proveedor puede ser útil pero también perjudicial. Las informaciones proporcionadas por Google no son regularmente adecuadas para generar transparencia. Al realizar una vinculación, se debe prestar especial atención a que se refiera a un documento alemán.

Si ahora se piensa en cómo hacer las indicaciones para Google Maps, se verá que esto no es posible. Sólo la indicación del propósito anterior "Usamos la carta para mostrar nuestro emplazamiento." debería dar lugar a la pregunta: ¿Se necesita realmente la carta o qué utilidad tiene?

Otras recomendaciones

Las explicaciones deberían ser fáciles de entender, y es decir para el ciudadano normal sin conocimientos técnicos o jurídicos. Esto se desprende de Artículo 12 RGPD.

En general no está prohibido, pero te recomiendo que la Declaración de Protección de Datos se encuentre en una página propia o al menos sea accesible desde cada página mediante un enlace propio.

Enlace a la política de privacidad debe estar accesible en máximo dos clics. Al diseñar responsivamente para smartphones, el enlace no solo debería aparecer en un menú hamburguesa, sino también siempre visible en la barra inferior. También debe haber un enlace en supuestas páginas de inicio de sesión secretas.

El enlace a la política de privacidad debería ser nombrado de manera clara, es decir, con política de privacidad, privacidad o similares. Actualización: se recomiendan las denominaciones avisos de protección de datos o información sobre protección de datos para evitar problemas legales.

Nombren al Delegado de Protección de Datos (DPD) en la Declaración de Protección de Datos. Si no tienen un DPD propio, deben nombrar al responsable de la gestión de datos.

Cada empresa que encargue a más de 19 empleados la tratamiento de datos personales debe nombrar un Delegado de Protección de Datos (DPD). Esto suele ser el caso cuando dicha cantidad de empleados tiene un puesto de trabajo en computadora. Las empresas con más de 250 empleados también deben designar un DPD.

Además, es aplicable la obligación de contratación del DSB para muchos negocios que regularmente procesan datos personales (vgl. Artículo 37 Abs. 1 b RGPD). A esta categoría pertenecen, según mi opinión, todos los negocios con un sitio web público, porque desde el año 2017 se consideran direcciones de red como datos personales.

Política de privacidad demasiado extensa

A menudo se planteaba la cuestión de si demasiado texto en la política de privacidad era un problema y si incluso había que temer una advertencia. Mi opinión al respecto:

  • Estructure su política de privacidad en secciones claramente reconocibles
  • Si hay algunos textos de más, no hay problema
  • No te pases
  • Si ha utilizado recientemente una herramienta pero ya no lo hace, no elimine el texto hasta que esté seguro de que no hay cachés activas
  • Si tiene previsto utilizar próximamente una herramienta (formulario de contacto, boletín, script, herramienta de análisis, etc.), incluya de antemano el texto de protección de datos

El último punto en particular deja claro que no puede haber problemas por exceso de texto (si se mantiene dentro de lo razonable): ¿Cómo va a demostrar alguien que no tiene previsto utilizar en breve una herramienta declarada pero aún no desplegada? Además, también se puede mantener una única página con información sobre protección de datos para varios sitios web al mismo tiempo, aunque yo lo desaconsejo por varias razones. Sin embargo, los textos sobre protección de datos sólo deben estar presentes si son realmente necesarios. De lo contrario, ofrecen un objetivo innecesario.

Política de privacidad en inglés

Si un sitio web se dirige también a mercados distintos de Alemania, Austria y Suiza, la política de privacidad debe existir al menos también en inglés. Para el mercado alemán debe facilitarse una declaración en alemán.

También interesante

Sobre el autor
Me llamo Klaus Meffert. Soy doctor en informática y llevo más de 30 años dedicándome profesional y prácticamente a las tecnologías de la información. También trabajo como experto en informática y protección de datos. Obtengo mis resultados analizando la tecnología y el Derecho. Esto me parece absolutamente esencial cuando se trata de protección de datos digitales.

Cookies emergentes: cinco razones por las que no pueden funcionar