Documentos · 6 min de lectura

Qué debe incluir una política de privacidad

La política de privacidad es el documento legal más importante para cualquier web que recoja datos de usuarios. El RGPD (artículo 13) especifica exactamente qué información debe contener. No se trata de incluir más o menos texto: se trata de incluir los apartados correctos.

En esta guía repasamos cada elemento obligatorio con ejemplos concretos para que puedas evaluar si tu política actual los cubre.

¿Cuándo es obligatoria?

La política de privacidad es obligatoria siempre que tu web recoja datos personales, es decir, cualquier información que identifique o permita identificar a una persona. En la práctica, esto incluye:

Si tu web es puramente informativa, sin formularios ni cookies de analítica, podrías argumentar que no recoges datos personales. Pero en la práctica es casi imposible: incluso el servidor web registra IPs en los logs.

Los apartados obligatorios según el RGPD

El artículo 13 del RGPD establece la información mínima que debes proporcionar cuando recoges datos directamente de la persona (que es el caso habitual en webs).

1. Identidad del responsable del tratamiento

Quién está detrás del tratamiento de datos: nombre completo o razón social, domicilio y datos de contacto. Si tienes un Delegado de Protección de Datos (DPD), también hay que identificarlo, aunque para la mayoría de autónomos y PYMEs no es obligatorio tenerlo.

2. Finalidades del tratamiento

Para qué vas a usar los datos que recoges. Hay que ser concreto: "atender consultas de contacto", "enviar la newsletter semanal", "gestionar el pedido y el envío". Frases genéricas como "mejorar el servicio" sin más detalle no cumplen el requisito de especificidad que exige el RGPD.

3. Base jurídica de cada tratamiento

El RGPD (art. 6) solo permite tratar datos cuando existe una base jurídica válida. Las más habituales para webs son:

  • Consentimiento (art. 6.1.a): el usuario acepta expresamente. Típico en newsletters.
  • Ejecución de contrato (art. 6.1.b): necesario para cumplir el servicio solicitado. Típico en datos de compra.
  • Interés legítimo (art. 6.1.f): el responsable tiene un interés legítimo que prevalece. Típico en logs de seguridad.
  • Obligación legal (art. 6.1.c): la ley obliga a tratar esos datos. Típico en datos de facturación.

4. Plazos de conservación

Durante cuánto tiempo conservas los datos. No basta con decir "el tiempo necesario": hay que concretar. Por ejemplo: "Los datos del formulario de contacto se conservan durante el tiempo de tramitación de la consulta y hasta 2 años después". Los datos de facturación suelen conservarse 6 años por obligación tributaria.

5. Destinatarios o cesiones a terceros

Si compartes datos con terceros, debes indicarlo. Esto incluye proveedores que actúan como encargados del tratamiento (empresa de hosting, plataforma de email marketing, pasarela de pago) y cualquier cesión a terceros que traten los datos de forma independiente.

6. Transferencias internacionales

Si utilizas proveedores fuera del Espacio Económico Europeo (EE.UU. es el caso más habitual), debes mencionarlo y explicar las garantías aplicadas. Google Analytics, Meta Pixel, Mailchimp, Stripe, etc. implican transferencias internacionales.

7. Derechos del interesado

El RGPD reconoce los derechos de acceso, rectificación, supresión, oposición, limitación del tratamiento y portabilidad. La política debe explicar cómo ejercerlos: a qué dirección escribir, en qué plazo responderás y dónde reclamar si no están satisfechos con la respuesta (la AEPD en España).

8. Derecho a retirar el consentimiento

Cuando la base jurídica es el consentimiento, el usuario tiene derecho a retirarlo en cualquier momento. La política debe indicar cómo puede hacerlo y confirmar que la retirada no afecta a la licitud del tratamiento anterior.

Errores más comunes

¿Qué diferencia una política básica de una avanzada?

Una política básica cubre los requisitos mínimos del artículo 13 del RGPD para una web estándar sin tratamientos complejos. Es adecuada para la mayoría de autónomos y PYMEs.

Una política avanzada va más allá e incluye:

Genera tu política adaptada a tu web. LegalGen analiza tu dominio, detecta las herramientas que usas (analytics, pixel, ecommerce, formularios) y genera una política de privacidad personalizada en menos de 2 minutos. Sin plantillas genéricas.