Las políticas de privacidad son un elemento para informar a los usuarios sobre sus datos y una forma de mostrar a los gobiernos que una organización se compromete a cumplir las leyes. El 17 de septiembre, la organización Online Trust Alliance (OTA) de Internet Society publicó el informe «¿Están preparadas las organizaciones para las nuevas leyes de privacidad?«. El informe, que utiliza los datos recopilados por la Auditoría de Confianza en la Red de 2018, analiza las políticas de privacidad de 1.200 organizaciones utilizando 29 variables y tras ello las coteja con los principios generales de tres leyes de privacidad del mundo: el Reglamento General de Protección de Datos (RGPD) en la Unión Europea, la Ley de Privacidad del Consumidor de California (CCPA, por sus siglas en inglés) en Estados Unidos y la Ley de Protección de Información Personal y Documentos Electrónicos (PIPEDA, por sus siglas en inglés) en Canadá.
En muchos casos, las políticas de las organizaciones obvian conceptos clave sobre la cesión de datos. Solo el 1 % de las organizaciones de nuestra auditoría informa sobre los tipos de empresas ajenas con las que comparten los datos. Este es un requisito habitual en todas las leyes de privacidad. No resulta tan oneroso como tener una lista de todas las organizaciones; sencillamente bastaría con indicar categorias generales como «proveedores de pago».
La retención de los datos es otro aspecto en el que fallan muchas organizaciones. Solo un 2 % explicaba cuánto tiempo y por qué mantienen los datos. Muchas organizaciones publican enunciados como «retenemos los datos del usuario durante el tiempo que sea necesario». Este tipo de enunciado no es suficientemente específico para la mayoría de las leyes.
Otros conceptos se refieren a la capacidad de los usuarios para interactuar con sus datos. Dos datos relativamente positivos son que el 70 % de las organizaciones incluye sus datos de contacto y el 50 % aporta información para que el usuario pueda recibir información sobre sus datos. Sin embargo, prácticamente ninguna incluye esta información con el nivel de detalle que exigen leyes como el RGPD.
Por ejemplo, si bien la mayoría tiene una persona de contacto, rara vez se indica si dicha persona se ocupa exclusivamente de la privacidad o si se trata de un Delegado de Protección de Datos (DPO, por sus siglas en inglés). Normalmente, se trata de una dirección de correo electrónico de contacto genérica. Los estándares de la OTA son más bajos ya que la mayoría de las organizaciones de la auditoría están en Estados Unidos y cuando se recopilaron los datos la ley estadounidense no era tan exigente con las organizaciones
Por último, la OTA recomienda, y varias leyes de privacidad lo exigen, que las políticas cumplan determinados estándares de legibilidad. Una práctica sencilla que fomenta la OTA, y puede resultar útil para que el usuario consulte políticas de privacidad complejas, consiste en «estructurar». Esto se puede conseguir de varias formas como, por ejemplo, un índice o un resumen de los principios del documento más largo. Menos de la mitad (47 %) de las empresas utiliza documentos estructurados.
Muchas de las prácticas recomendadas por la OTA son relativamente fáciles de aplicar y pueden ayudar a muchas organizaciones a adaptarse a los cambios en el ámbito de la privacidad. Consulta nuestro informe completo para ver todas las prácticas recomendadas por la OTA y su forma de mapear los conceptos de privacidad, o échale un vistazo a la infografía para tener una referencia rápida de algunos de los hallazgos. Si deseas ver todos los datos y la metodología que hemos utilizado para generar la clasificación, consulta la Auditoría de Confianza en la Red y el cuadro de honor.