Si bien la LOPD y el RLOPD no dedican un artículo concreto a la regulación de los iconos normalizados, la AEPD en su documento “20 años de Protección de Datos”[1] del año 2013, indica que uno de los principios básicos en materia de protección de datos es el de la claridad y comprensibilidad de la información destinada a los interesados, que puede incluir diferentes niveles de profundidad y recurrir también al uso de iconos que identifiquen los tipos de tratamiento de datos, sus condiciones y sus consecuencias. Asimismo, la AEPD añade que la información al interesado debe adecuarse a las posibilidades de éste para su comprensión en tanto que consumidor medio, o a los conocimientos y capacidades del segmento específico de usuarios a los que vaya dirigida; por ejemplo, en el caso de los menores.
Trasladándonos a las nuevas exigencias legales que el RGPD establece, se observa la inclusión de una serie de requisitos en relación con los mencionados iconos. En este sentido, el Considerando 60[2] determina en base a los principios de tratamiento leal y transparente, el responsable del tratamiento deberá facilitar al interesado toda la información complementaria que sea necesaria para garantizar dichos principios teniendo en cuenta las circunstancias y el contexto específico en que se traten los datos personales. Asimismo, indica el presente Considerando, que dicha información puede transmitirse en combinación con unos iconos normalizados que ofrezcan, de forma fácilmente visible, inteligible y claramente legible, una adecuada visión de conjunto del tratamiento previsto. Asimismo, cuando los iconos se presenten en formato electrónico deberán ser legibles mecánicamente.
Siguiendo con lo dispuesto en el RGPD, el artículo 12[3], relativo al principio de transparencia de la información, en su apartado 7 indica que la información que se facilita al interesado cuando se obtengan sus datos por él mismo o a través de terceros, podrá transmitirse mediante iconos normalizados. Ahora bien, con la condición de que los mismos, tal y como indica el Considerando 60, mencionado anteriormente, sean fácilmente visible, inteligibles y claramente legibles a fin de garantizar que el interesado tenga una visión adecuada del tratamiento que se llevará a cabo con sus datos. Asimismo, tanto el apartado 8[4] del mismo artículo 12, como el Considerando 166[5], establecen la facultad de la Comisión para adoptar actos delegados que especifiquen con más detalle la información que se ha de presentar mediante iconos normalizados, así como los procedimientos que se deberán llevar a cabo para proporcionar dichos iconos.
Por otro lado, cabe mencionar que la AEPD se ha pronunciado en su “Guía del Reglamento General de Protección de Datos para Responsables del Tratamiento”[6] sobre la utilización de los iconos estandarizados. En este sentido, la AEPD indica que se podrá combinar la información que se da a los interesados con distintos iconos estandarizados, siempre y cuando ofrezcan una “visión de conjunto del tratamiento previsto”.
Además, la autoridad de control de Reino Unido, ICO (Information Commissioner’s Office), en su guía “Privacy notices, transparency and control. A code of practice on communicating privacy information to individuals”[7] establece que se podrán utilizar iconos y símbolos cuando se informe por capas a los clientes. Esta autoridad, entiende que podrá aparecer un icono que indique o signifique que la información será utilizada para fines relacionados con actividades de marketing, una vez el usuario haya incorporado su dirección de correo electrónico. Asimismo, se podrá utilizar un icono para que cuando el interesado ponga encima del icono el cursor del ordenador, el icono indique “marketing” y si el usuario desea obtener más información deberá clicar sobre dicho icono.
La mencionada guía también establece que los iconos deberán ser claros y limitados, es decir, cuantos más iconos aparezcan más difícil será para el interesado entender el significado de los mismos. En este sentido, se recomienda realizar pruebas con los usuarios para ver si los iconos que se pretenden utilizar permiten una comprensión fácil y clara por parte del usuario. Así pues, se aconseja incorporar pocos iconos pero entendibles, en vez de muchos iconos difíciles de comprender.
Por lo tanto, de todo lo anterior se concluye que si bien, por un lado, será posible la utilización de iconos normalizados siempre y cuando cumplan los requerimientos legales mencionados del RGPD, entendemos que dicha utilización deberá ser desarrollada de una manera más pormenorizada con el fin de cumplir el objetivo perseguido que no es otro que el de facilitar al usuario, a través de mensajes más cortos y visuales, el entendimiento del tratamiento concreto de sus datos personales
[1] Agencia Española de Protección de Datos.”20 años de Protección de Datos”. La Agencia Española de Protección de Datos permite a los responsables del tratamiento de datos recurrir a la utilización de iconos normalizados para cumplir con el deber de información, siempre que dichos iconos identifiquen fácilmente los tipos de tratamientos de datos que se llevarán a cabo. https://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/common/monografias/20_anos_Proteccion_Datos_Espana.pdf
[2] Considerando 60 del RGPD: “Los principios de tratamiento leal y transparente exigen que se informe al interesado de la existencia de la operación de tratamiento y sus fines. El responsable del tratamiento debe facilitar al interesado cuanta información complementaria sea necesaria para garantizar un tratamiento leal y transparente, habida cuenta de las circunstancias y del contexto específico en que se traten los datos personales. Se debe además informar al interesado de la existencia de la elaboración de perfiles y de las consecuencias de dicha elaboración. Si los datos personales se obtienen de los interesados, también se les debe informar de si están obligados a facilitarlos y de las consecuencias en caso de que no lo hicieran. Dicha información puede transmitirse en combinación con unos iconos normalizados que ofrezcan, de forma fácilmente visible, inteligible y claramente legible, una adecuada visión de conjunto del tratamiento previsto. Los iconos que se presentan en formato electrónico deben ser legibles mecánicamente”.
[3] El artículo 12.7 del RGPD permite que la información que deba facilitarse a los interesados se pueda transmitir mediante la combinación de iconos normalizados que permitan proporcionar de “forma fácilmente visible, inteligible y claramente legible una adecuada visión de conjunto del tratamiento previsto”. Asimismo, los iconos que se presenten en formato electrónico deberán ser legibles mecánicamente.
[4] Añade el apartado 8 del artículo 12 del RGPD que la Comisión estará facultada para adoptar actos delegados de conformidad a fin de especificar la información que se ha de presentar a través de iconos y los procedimientos para proporcionar iconos normalizados.
[5] Considerando 166 del RGPD: “A fin de cumplir los objetivos del presente Reglamento, a saber, proteger los derechos y las libertades fundamentales de las personas físicas y, en particular, su derecho a la protección de los datos personales, y garantizar la libre circulación de los datos personales en la Unión, debe delegarse en la Comisión el poder de adoptar actos de conformidad con el artículo 290 del TFUE. En particular, deben adoptarse actos delegados en relación con los criterios y requisitos para los mecanismos de certificación, la información que debe presentarse mediante iconos normalizados y los procedimientos para proporcionar dichos iconos. Reviste especial importancia que la Comisión lleve a cabo las consultas oportunas durante la fase preparatoria, en particular con expertos. Al preparar y redactar los actos delegados, la Comisión debe garantizar la transmisión simultánea, oportuna y apropiada de los documentos pertinentes al Parlamento Europeo y al Consejo”.
[6] http://www.agpd.es/portalwebAGPD/temas/reglamento/common/pdf/guia_rgpd.pdf
[7] https://ico.org.uk/media/for-organisations/guide-to-data-protection/privacy-notices-transparency-and-control-1-0.pdf