Las claves para diseñar un formulario digital transparente en privacidad

Tu diseño no es muy legal

María Romero
10 min readNov 30, 2019

Seguro que has visto decenas de diseños de pantallas que parecen impecables en Dribbble, aplicaciones o sitios web que usas en tu día a día, sin embargo, seguro que no te imaginas que muchos de ellos no se ajustan a la ley y que su utilización puede suponer para las empresas en cuestión un riesgo de multas, en algunos casos, millonarias.

En este punto es posible que digas: «bueno, pero yo soy diseñador, no tengo por qué saber nada de leyes». Así es, no tienes por qué, pero es recomendable, entre otras, por las siguientes razones:

  • Podrás prever los cambios que el equipo legal hará (o al menos debería) a tu diseño al auditarlo, ya sea antes o después de su lanzamiento, y actuar en consecuencia.
  • En ocasiones simplemente no habrá equipo legal, y de cara al cliente, si has hecho miles de formularios digitales durante tu trayectoria esperará que seas tú quien tenga unas nociones del contenido básico de las mismas.
  • Dará valor añadido a tu trabajo. Un trabajo bien hecho debe ser viable y funcional, e incumplir la ley no es muy funcional para tu producto.

Con todo, el Derecho puede ser un terreno farragoso, así que he decidido escribir una serie de artículos sobre las cuestiones que se esconden detrás de malas prácticas a nivel jurídico que son muy recurrentes en aplicaciones y páginas web, y quizás así ayudar a ver la luz a diseñadores de producto digital en apuros con ejemplos reales de malas y buenas prácticas.

Este tema da, y para mucho, así que he decidido dejar para más adelante asuntos extensos como las cookies en los sitios web o información obligatoria que se debe tener en cuenta en plataformas dirigidas a consumidores, como los e-commerce. En esta ocasión, voy a centrarme en un tema que genera muchas cuestiones: formularios digitales.

¿Qué vamos a ver?

Recientemente, la normativa de protección de datos personales se actualizó para proteger los datos de los usuarios a nivel europeo, y eso afecta al diseño de producto digital. En definitiva, esta normativa ha reforzado los derechos de los usuarios respecto a sus datos personales, y no solo en plataformas de la Unión Europea, en numerosos casos también afecta a plataformas extranjeras. En esta serie sobre formularios digitales (que voy a dividir en varias partes para que no se haga eterno) voy a limitarme a hablar de los dos derechos o principios que, a mi parecer, tienen mayor impacto en los formularios digitales:

  • Derecho a que los datos personales se usen con una justificación legal (también conocido como el derecho a la licitud del tratamiento).
  • Derecho a estar informado sobre cómo se usan los datos (también conocido como deber de informar o el principio de transparencia).

En esta entrega vamos a ver solo el último, el deber de informar, ya que de primeras puede resultar un tanto complejo. Igualmente, el derecho a la licitud del tratamiento, que incluye el famoso consentimiento del usuario, es un tema que es mejor abordar de forma extendida más adelante.

Aunque primero, es necesario un poco de contexto.

Conceptos básicos

¿Qué es un dato personal?

Debes tener en cuenta que esta normativa solo afecta a un tipo de información específica: datos personales de personas físicas.

Un dato personal es toda información de una persona física identificada o identificable (es decir, cuya identidad pueda determinarse de alguna manera a partir de ese dato).

Por ejemplo: nombre, email, número de identificación de empleado, datos de localización, o incluso uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona, siempre y cuando nos haga posible identificar a una persona concreta en el contexto que nos encontremos.

¿Qué es un tratamiento de datos personales? ¿En qué afecta esto a los formularios?

Una vez identificados los datos personales, lo importante es lo que se hace con ellos, esto es a lo que llamamos tratamiento de los datos personales. El tratamiento de datos se refiere a cualquier operación realizada sobre ellos. Por ejemplo: su destrucción, su difusión, su conservación, su registro, su recogida o su modificación.

En concreto, los formularios (tanto digitales como físicos) se componen de campos que se deben rellenar con cierta información que, por lo general, suelen solicitar datos personales como el nombre, el apellido, la fecha de nacimiento o el correo electrónico. La finalidad de los formularios es recoger información y luego comunicarla, conservarla o registrarla, entre otros, dependiendo de la finalidad para la que se quiera usar la información. Por lo tanto, los formularios realizan recogida de datos, si resulta que son datos personales, le será aplicable la normativa de protección de datos personales.

Es posible que haya formularios digitales a los que no les aplique la normativa. Esto es así si la información que pide no constituyen datos personales, es decir, que no permiten identificar de ninguna manera a una persona física. Por ejemplo, un formulario que únicamente te pide tu peso y tu altura, ya que estos dos números sin ningún otro contexto no permiten identificar a ninguna persona concreta.

El deber de informar: el usuario tiene derecho a estar informado sobre cómo se tratarán sus datos

La normativa es muy específica sobre cuándo y cómo se debe informar al usuario acerca de la forma en la que se van a tratar sus datos personales. El Reglamento General de Protección de Datos (RGPD) exige que el tratamiento de datos personales sea transparente, esto se traduce en que la persona cuyos datos están siendo tratados tiene derecho a estar informada de cómo, por qué y para qué se van a tratar (o ya se están tratando) sus datos personales.

¿Qué información debe facilitarse?

En el RGPD se detalla a la perfección en sus artículos 13 y 14 qué información debe proporcionarse, y es mucha, pero que no cunda el pánico. El objetivo es que el usuario comprenda fácilmente la información importante y que pueda acceder al resto de información si lo necesita. La normativa ha tenido en cuenta que el usuario no va a leerse un texto extenso cuando lo que quiere es realizar la acción en cuestión, por lo que se recomienda utilizar una técnica de información por capas. La información por capas consiste en mostrar solo la información más importante en el formulario (información básica o de 1ª capa) y poner un enlace al resto de la información, que suele coincidir con la Política de Privacidad (información adicional o de 2ª capa). Así, hay tres elementos de información que deberán estar presentes en el formulario en todo caso:

  1. Indicación de qué campos de información es obligatorio rellenar.
  2. Información de 1ª capa.
  3. Enlace u otro medio para acceder de forma sencilla e inmediata a la información de 2ª capa (o Política de Privacidad)

Esa información de 1ª capa no puede ser cualquiera, concretamente se recomienda que incluya al menos los siguientes aspectos:

  • Identidad de quién va a tratar los datos (se le denomina Responsable del Tratamiento), es decir, por lo general la empresa que va a recibir esos datos y los va a usar, por ejemplo, para gestionar una consulta de un usuario.
  • Finalidad del tratamiento, es decir, para qué se van a tratar los datos. Por ejemplo: gestionar y contestar las consultas enviadas por el usuario a través del formulario web.
  • Legitimación del tratamiento, es decir, la justificación legal que se tiene para tratar esos datos. Por lo general, en casos de formularios digitales la legitimación será el consentimiento del usuario.
  • Previsión de transferencia de estos datos a terceros, y si están en otros países donde la protección de los datos puede ser más débil.
  • Referencia a los derechos que tienen los usuarios respecto a sus datos personales (derechos de acceso, rectificación, oposición, supresión…).

No obstante, de nuevo, que no cunda el pánico, la Ley Orgánica de Protección de Datos (LOPDGDD) establece en España que podemos limitar aun más esa información de 1ª capa a los siguientes aspectos:

  • La identidad de quién va a tratar los datos, por lo general será la denominación social de la empresa en cuestión (el Responsable del Tratamiento).
  • La finalidad para la que se van a tratar los datos.
  • La posibilidad de ejercer los derechos que tienen los usuarios.

¿Cuándo debe proporcionarse la información?

En el momento de la recogida u obtención de los datos personales. Por ello, la información debe presentarse en el propio formulario y siempre antes de que el usuario haya enviado los datos personales. Esto es importante porque si el usuario tiene que dar su consentimiento para el tratamiento de los datos, tiene que estar correctamente informado para que ese consentimiento sea válido.

Será así en la mayoría de los casos pero, como todo, tiene sus excepciones. Es posible que el usuario ya tenga parte de esa información y no tenga por qué mostrarse, por ejemplo, al tratarse de un formulario interno de empresa en ciertas ocasiones.

¿Cómo debe ser esta información?

En primer lugar, debe identificarse la información con un título tal como “Información básica de protección de datos”. El contenido debe presentarse de forma «concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo» (art. 12.1 RGPD), esto significa que hay que tener cuidado con el tamaño de la tipografía, dónde se coloca la información en el formulario (debe estar dentro del “campo de visión” del interesado) y que el copy que se use no sea muy técnico.

El propio RGPD (art. 12.7) recomienda presentar esta información en combinación con iconos normalizados para que resulte más accesible para los usuarios, no obstante, los especialistas en esta materia no acaban de estar de acuerdo con que esta práctica facilite la comprensión de la información por los usuarios. Una práctica altamente recomendada para presentar la información es mostrarla en forma de tabla.

La Agencia Española de Protección de Datos, en su «Guía del Deber de Informar» recomienda mostrar la información de la siguiente forma:

«(…) debería situarse en el mismo campo de visión que el lugar donde haya de manifestarse la conformidad con lo solicitado (la firma, si es en papel, o el botón de “enviar”, si es un formulario electrónico) (…). Si, por restricciones del diseño, no fuese factible, debe incorporarse una nota o llamada en el campo de visión de la firma, informando sobre dónde se sitúa la tabla con la información sobre protección de datos».

Quizás parece una obviedad, pero debe prestarse de forma gratuita y sin que el usuario la tenga que pedir, lo que implica que no podrá exigirse, por ejemplo, que se envíe una carta por correo postal para poder recibirla.

Ejemplos de malas y buenas prácticas

Para que comprendas mejor todo esto, vamos a ver ejemplos de buenas y malas prácticas de diseño en formularios electrónicos de empresas que seguro conoces, para que veas que en estos casos copiar muchas veces no es la mejor opción.

Malas prácticas:

Este es el formulario de registro de Glovo. Como puedes ver, ni indica qué información es obligatoria ni muestra la información básica de protección de datos. Simplemente tiene el enlace a la Política de Privacidad (o información de 2ª capa).
En este formulario de registro de Deliveroo únicamente se proporciona información incompleta y en enlace a la información adicional.
En este caso, Adsmurai sí indica qué información es obligatoria, pero no hay ni rastro de la información ni dónde encontrarla.
Sin palabras.

Buenas prácticas:

El formulario de registro de Bershka usa una tabla con la información básica o de 1ª capa, que se abre al pinchar en el enlace de Política de Privacidad y que enlaza con la información de 2ª capa por temática.
En Paradigma Digital han optado por mostrar la información mínima con otro desplegable que remite a la Política de Privacidad o información de 2ª capa.

Este formulario de registro de Mango quizás no debería considerarse una buena práctica, pero es una muestra interesante sobre cómo aplicar mal la normativa y, al mismo tiempo, “cumplirla”. Mango incluye toda la información necesaria de 1ª capa en su forma más extendida, al igual que añade el enlace a la información adicional y un texto introductorio para informar al usuario. No obstante, no está bien colocado, ya que se sitúa después del CTA, de forma que el usuario puede enviar el formulario clicando el botón de “Regístrate” sin haber visto la información, y por otro lado, no hace falta decir que la disposición de la información en ningún caso invita al usuario a leerla, de forma que realmente no acaba de cumplir el propósito de informarle, aparte de que empeora con creces la experiencia de usuario en la web.

¿La consecuencia?

Si aun sigues pensando que merece la pena correr el riesgo de no prestarle mucha atención a este asunto de la información en protección de datos, te interesará saber que la omisión del deber de informar sobre el tratamiento de datos personales y/o no facilitar toda la información exigida se puede sancionar con multas de hasta 20 millones de euros o el 4% del volumen de negocio anual.

¡Muchas gracias por leer hasta aquí! Espero que te haya servido de ayuda. Te recuerdo que este artículo solo tiene un propósito informativo y orientativo básico, en ningún caso debe tomarse como asesoramiento legal. En caso de que tengas alguna cuestión que exceda de la información ofrecida en el mismo te recomiendo acudir a un especialista en la materia para que te asista de forma personalizada. Igualmente, si quieres profundizar, te adjunto algunos de los materiales más importantes en el tema y puedes contactar conmigo para cualquier cuestión.

Materiales:

Reglamento (UE) 2016/679 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD) https://www.boe.es/doue/2016/119/L00001-00088.pdf

Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) https://boe.es/boe/dias/2018/12/06/pdfs/BOE-A-2018-16673.pdf

Guía para el cumplimiento del deber de informar de la Agencia Española de Protección de Datos. https://www.aepd.es/media/guias/guia-modelo-clausula-informativa.pdf

Nota técnica de la AEPD: El deber de informar y otras medidas de responsabilidad proactiva en apps para dispositivos móviles. https://www.aepd.es/sites/default/files/2019-11/nota-tecnica-apps-moviles.pdf

--

--

María Romero
María Romero

Written by María Romero

Interaction Designer @ BBVA | Data protection & IT Legal Advisor

No responses yet