Qué debe incluir una política de privacidad
La política de privacidad es el documento legal más importante para cualquier web que recoja datos de usuarios. El RGPD (artículo 13) especifica exactamente qué información debe contener. No se trata de incluir más o menos texto: se trata de incluir los apartados correctos.
En esta guía repasamos cada elemento obligatorio con ejemplos concretos para que puedas evaluar si tu política actual los cubre.
¿Cuándo es obligatoria?
La política de privacidad es obligatoria siempre que tu web recoja datos personales, es decir, cualquier información que identifique o permita identificar a una persona. En la práctica, esto incluye:
- Formularios de contacto (aunque solo pidas nombre y email).
- Formularios de suscripción a newsletter.
- Tiendas online (datos de facturación y envío).
- Webs con zona de usuarios registrados.
- Cualquier web que use Google Analytics u otras herramientas de analítica que traten IPs.
Si tu web es puramente informativa, sin formularios ni cookies de analítica, podrías argumentar que no recoges datos personales. Pero en la práctica es casi imposible: incluso el servidor web registra IPs en los logs.
Los apartados obligatorios según el RGPD
El artículo 13 del RGPD establece la información mínima que debes proporcionar cuando recoges datos directamente de la persona (que es el caso habitual en webs).
1. Identidad del responsable del tratamiento
Quién está detrás del tratamiento de datos: nombre completo o razón social, domicilio y datos de contacto. Si tienes un Delegado de Protección de Datos (DPD), también hay que identificarlo, aunque para la mayoría de autónomos y PYMEs no es obligatorio tenerlo.
2. Finalidades del tratamiento
Para qué vas a usar los datos que recoges. Hay que ser concreto: "atender consultas de contacto", "enviar la newsletter semanal", "gestionar el pedido y el envío". Frases genéricas como "mejorar el servicio" sin más detalle no cumplen el requisito de especificidad que exige el RGPD.
3. Base jurídica de cada tratamiento
El RGPD (art. 6) solo permite tratar datos cuando existe una base jurídica válida. Las más habituales para webs son:
- Consentimiento (art. 6.1.a): el usuario acepta expresamente. Típico en newsletters.
- Ejecución de contrato (art. 6.1.b): necesario para cumplir el servicio solicitado. Típico en datos de compra.
- Interés legítimo (art. 6.1.f): el responsable tiene un interés legítimo que prevalece. Típico en logs de seguridad.
- Obligación legal (art. 6.1.c): la ley obliga a tratar esos datos. Típico en datos de facturación.
4. Plazos de conservación
Durante cuánto tiempo conservas los datos. No basta con decir "el tiempo necesario": hay que concretar. Por ejemplo: "Los datos del formulario de contacto se conservan durante el tiempo de tramitación de la consulta y hasta 2 años después". Los datos de facturación suelen conservarse 6 años por obligación tributaria.
5. Destinatarios o cesiones a terceros
Si compartes datos con terceros, debes indicarlo. Esto incluye proveedores que actúan como encargados del tratamiento (empresa de hosting, plataforma de email marketing, pasarela de pago) y cualquier cesión a terceros que traten los datos de forma independiente.
6. Transferencias internacionales
Si utilizas proveedores fuera del Espacio Económico Europeo (EE.UU. es el caso más habitual), debes mencionarlo y explicar las garantías aplicadas. Google Analytics, Meta Pixel, Mailchimp, Stripe, etc. implican transferencias internacionales.
7. Derechos del interesado
El RGPD reconoce los derechos de acceso, rectificación, supresión, oposición, limitación del tratamiento y portabilidad. La política debe explicar cómo ejercerlos: a qué dirección escribir, en qué plazo responderás y dónde reclamar si no están satisfechos con la respuesta (la AEPD en España).
8. Derecho a retirar el consentimiento
Cuando la base jurídica es el consentimiento, el usuario tiene derecho a retirarlo en cualquier momento. La política debe indicar cómo puede hacerlo y confirmar que la retirada no afecta a la licitud del tratamiento anterior.
Errores más comunes
- Usar una política genérica descargada de internet que no refleja lo que realmente hace tu web.
- No mencionar herramientas concretas de terceros (Google Analytics, Meta Pixel, etc.).
- Poner plazos de conservación vagos o no ponerlos.
- No incluir el procedimiento para ejercer derechos o incluirlo con datos de contacto incorrectos.
- No actualizar la política cuando cambias de herramientas o añades nuevas funcionalidades.
- Copiar la política de privacidad de otra web (que puede estar desactualizada o no adaptada a tu caso).
¿Qué diferencia una política básica de una avanzada?
Una política básica cubre los requisitos mínimos del artículo 13 del RGPD para una web estándar sin tratamientos complejos. Es adecuada para la mayoría de autónomos y PYMEs.
Una política avanzada va más allá e incluye:
- Tabla detallada de finalidades con su base jurídica asociada.
- Descripción granular de los encargados del tratamiento con referencias a sus propias políticas.
- Mención explícita de transferencias internacionales y los mecanismos de garantía (SCCs, Data Privacy Framework).
- Cláusulas sobre decisiones automatizadas y elaboración de perfiles si usas remarketing o analítica avanzada.
- Procedimiento detallado de ejercicio de derechos con plazos concretos.
Genera tu política adaptada a tu web. LegalGen analiza tu dominio, detecta las herramientas que usas (analytics, pixel, ecommerce, formularios) y genera una política de privacidad personalizada en menos de 2 minutos. Sin plantillas genéricas.