No hay que confundir Política de Protección de Datos con Política de Privacidad. Esta última, es un término que se aplica a las cláusulas informativas que dan cumplimiento a las obligaciones de transparencia del Reglamento General de Protección de Datos (RGPD).
Así, si analizamos el término “política” que nos facilita la RAE, podemos decir que se trata del conjunto de directrices que rigen la actuación de una organización en un asunto o campo determinado. Por tanto, la política de protección de datos se puede definir como un modo de actuar de la organización ante los tratamientos de datos personales a lo largo de todo su ciclo de vida.
Esta forma de actuar se llama gobierno o gobernanza de datos, que, en otras palabras, se define como el proceso por el que se implementan políticas y procedimientos para garantizar una gestión efectiva y eficiente de la información en la entidad. En virtud del principio de responsabilidad proactiva, la política de protección de datos ha de ser la norma base y principal donde se recoge el verdadero compromiso por parte de la organización. Sin embargo, la política de privacidad no es más que una cláusula informativa sobre el tratamiento de datos personales en un sitio web.
El RGPD hace mención de la política de protección de datos en varias ocasiones, como, por ejemplo, en el considerando 78, donde declara que; “… el responsable del tratamiento debe adoptar políticas internas…” o el artículo 24.2 donde se establece que; “Cuando sean proporcionadas … la aplicación … políticas de protección de datos”.
A su vez, se puede concluir la necesidad de tener una política de privacidad de lo dispuesto en el artículo 5 del RGPD, donde se exige que los datos personales sean tratados de manera lícita, leal y transparente en relación con el interesado, lo que, según el considerando 58 y siguientes, quiere decir que: El principio de transparencia exige que toda información dirigida al público o al interesado sea concisa, fácilmente accesible y fácil de entender, y que se utilice un lenguaje claro y sencillo, y, además, en su caso, se visualice. Esta información podría facilitarse en forma electrónica, por ejemplo, cuando esté dirigida al público, mediante un sitio web.
(…) El responsable del tratamiento debe facilitar al interesado cuanta información complementaria sea necesaria para garantizar un tratamiento leal y transparente, habida cuenta de las circunstancias y del contexto específicos en que se traten los datos personales.
(…) Se debe facilitar a los interesados la información sobre el tratamiento de sus datos personales en el momento en que se obtengan de ellos.
En definitiva, como podemos comprobar, ambos conceptos en cuestión tienen una misión muy distinta y, por lo tanto, más allá de la terminología utilizada en cada caso, son dos conceptos que no se pueden confundir.