Si su sitio web recopila datos de personas de la Unión Europea (UE), necesitará una política de privacidad que cumpla las estrictas normas regionales.
El panorama jurídico en Europa se compone principalmente del Reglamento General de Protección de Datosrgpd), la Directiva sobre privacidad electrónica (a veces denominada "Ley de Cookies de la UE") y marcos más recientes como la Ley de IA de la UE.
En esta guía explico en qué consiste una política de privacidad conforme a la UE, cómo la configuran estas leyes clave, qué debe incluir y dónde publicarla.
También te mostraré cómo las herramientas de Termlyfacilitan la creación de una que cumpla todos los requisitos.
- ¿Qué es una política de privacidad conforme a la UE?
- Leyes y reglamentos de la UE que afectan a las políticas de privacidad
- En qué consiste una política de privacidad conforme a la UE
- Dónde publicar su política de privacidad de la UE
- Política de privacidad de la UE frente a política de cookies: Por qué necesita ambas
- Cómo ayuda Termly a las empresas a elaborar una política de privacidad conforme a la UE
¿Qué es una política de privacidad conforme a la UE?
Una política de privacidad conforme a la UE explica cómo su empresa recopila, utiliza, almacena y protege los datos personales de las personas en la Unión Europea.
Es un requisito legal de la rgpd, diseñado para dar a la gente transparencia y control sobre su información personal.
Para cumplir las normas rgpd , su política de privacidad debe incluir claramente:
- Datos de su empresa, como identidad, información de contacto y (si procede) la información de contacto de su responsable de protección de datos (RPD).
- Qué datos recoge y para qué los recoge.
- La base jurídica para el tratamiento de los datos personales (por ejemplo, consentimiento, necesidad contractual, interés legítimo) y, si se utilizan intereses legítimos, el interés o intereses específicos que se persiguen.
- Con quién comparte los datos (destinatarios o categorías de destinatarios).
- Períodos de conservación de datos o criterios utilizados para determinar cuánto tiempo se almacenan los datos.
- Transferencias internacionales si los datos personales se envían fuera de la UE/EEE, además de las salvaguardias establecidas.
- Derechos de los usuarios en virtud de rgpd, como el acceso, la rectificación, la supresión, la restricción, la portabilidad y la oposición.
- Toma de decisiones automatizada, incluida la elaboración de perfiles, si se aplica a su tratamiento y, en caso afirmativo, "información significativa sobre la lógica implicada" y las consecuencias, además del derecho del usuario a "obtener intervención humana".
- Si los datos no se han obtenido de la persona, debe revelar la fuente y las categorías de los datos.
Además, la política debe estar redactada en un lenguaje sencillo y fácil de entender, y ser accesible en cualquier lugar donde se recojan datos (como páginas de registro o banners de cookies).
Leyes y reglamentos de la UE que afectan a las políticas de privacidad
Varias normas de la UE regulan la forma en que las empresas tratan los datos personales y lo que debe figurar en sus políticas de privacidad. A continuación se exponen las principales leyes y normas que debe conocer al crear una política de privacidad conforme a la UE.
RGPD
El Reglamento General de Protección de Datos (rgpd) es la base de la legislación sobre privacidad de datos de la UE. Se aplica a cualquier organización que procese datos personales de personas en la UE, aunque la propia empresa tenga su sede fuera de Europa.
Según la rgpd, su política de privacidad debe explicar claramente:
- Qué datos personales recoge y por qué
- Su base jurídica para el tratamiento de esos datos (por ejemplo, consentimiento o interés legítimo)
- Cuánto tiempo la conserva y con quién la comparte
- Cómo pueden los usuarios ejercer sus derechos, como acceder a sus datos, rectificarlos o suprimirlos.
- La política también debe describir los datos de contacto del responsable del tratamiento y, en su caso, del delegado de protección de datos.
- Recuerde que la transparencia rgpd se aplica tanto a la recogida directa como indirecta de datos: los responsables del tratamiento deben notificarlo incluso cuando obtienen datos de terceros.
La rgpd también exige que su política esté redactada en un lenguaje claro y sencillo para que cualquiera pueda entender fácilmente cómo se tratan sus datos.
Ley de cookies de la UE
La Ley de Cookies de la UE, conocida formalmente como Directiva sobre privacidad y comunicaciones electrónicas, regula el uso de cookies y tecnologías de seguimiento similares en los sitios web.
La Directiva sobre la privacidad y las comunicaciones electrónicas complementa la rgpd para garantizar que los usuarios tengan un control significativo sobre el seguimiento en línea.
Es importante tener en cuenta que la Directiva sobre la privacidad y las comunicaciones electrónicas se aplica a través de leyes nacionales (por ejemplo, la TTDSG de Alemania, la Ley de Telecomunicaciones de Bélgica, etc.), por lo que los detalles de aplicación pueden variar de un país a otro.
Para cumplirla, debe:
- Informar a los usuarios sobre los rastreadores en línea (por ejemplo, cookies) que utiliza y lo que hacen.
- Obtener el consentimiento previo e inequívoco antes de colocar cookies o rastreadores no esenciales (como rastreadores analíticos o publicitarios).
- Dar a los usuarios la opción de aceptar o rechazar cookies o rastreadores en cualquier momento
- Las cookies no esenciales deben permanecer inactivas hasta que se dé explícitamente el consentimiento.
Su política de privacidad debe incluir o enlazar con una sección sobre cookies que explique estos detalles, y muchos sitios web la emparejan con una sección dedicada a ellas política de cookies o un banner de consentimiento.
Ley de AI de la UE
La Ley de Inteligencia Artificial (IA) de la UE es una nueva normativa destinada a garantizar que los sistemas de IA se desarrollen y utilicen de forma responsable. Aunque se centra principalmente en las aplicaciones de IA de alto riesgo, también afecta a la transparencia del tratamiento de datos.
Si su empresa utiliza IA para tomar decisiones, analizar comportamientos o personalizar experiencias, su política de privacidad debe revelarlo:
- Cuándo y cómo se utilizan los sistemas de IA
- Si el sistema de IA se utiliza para el reconocimiento de emociones o la categorización biométrica
- Si el sistema de IA genera contenidos "deep fake" o manipula textos de interés público, debe revelar que el contenido se ha generado artificialmente
- En qué datos se basan
- Qué medidas adopta para garantizar la imparcialidad y la supervisión humana y sus mecanismos de revisión humana.
Añadir una breve declaración sobre el uso de la IA ayuda a demostrar la responsabilidad y se ajusta a los principios de transparencia de la Ley de IA.
TCF de la IAB v2.2
El Marco de Transparencia y Consentimiento de la Oficina de Publicidad Interactiva (IAB TCF v2.2) es un marco voluntario diseñado para ayudar a editores y anunciantes a gestionar el consentimiento de los usuarios de conformidad con la rgpd y la Directiva sobre privacidad y comunicaciones electrónicas.
La participación en el MCP puede simplificar los flujos de trabajo de cumplimiento de la normativa en materia de tecnología publicitaria, pero no garantiza por sí misma el cumplimiento de la legislación sobre protección de datos.
Las empresas que utilizan anuncios en línea o trabajan con socios de tecnología publicitaria pueden utilizar el TCF para normalizar la forma en que se recopila y comparte el consentimiento.
Termly es compatible con este marco, ayudando a los sitios web a mostrar banners de cookies y registrar el consentimiento válido de acuerdo con las normas de la IAB.
SOC2
SOC 2 (Service Organization Control 2) es otra norma de certificación voluntaria estadounidense y no un requisito legal en la UE.
Sin embargo, un marco de este tipo puede aumentar la confianza y demostrar cómo las empresas gestionan los datos de los clientes basándose en cinco "principios de confianza":
- Seguridad
- Disponibilidad
- Integridad del tratamiento
- Confidencialidad
- Privacidad
Aunque no se exige legalmente en la UE, la certificación SOC 2 demuestra la solidez de las prácticas de gestión de datos. Incluir SOC 2 o medidas de seguridad similares en su política de privacidad puede aumentar la confianza de los usuarios, especialmente en el caso de las empresas SaaS y las que utilizan datos.
En qué consiste una política de privacidad conforme a la UE
A continuación se indican los elementos clave que debe incluir toda política de privacidad de la UE.
Introducción
La introducción de su política de privacidad marca la pauta de la transparencia y ayuda a los usuarios a entender quién es usted, qué cubre la política y cómo ponerse en contacto con usted en relación con sus datos.
Como mínimo, debería:
- Identifique el nombre y la dirección comercial de su organización
- Explicar la finalidad y el ámbito de aplicación de la política
- Incluya la fecha de entrada en vigor
- Indique el nombre del responsable del tratamiento de datos y proporcione una dirección de correo electrónico de contacto para preguntas sobre privacidad
- Para los responsables del tratamiento no pertenecientes a la UE sujetos a rgpd (es decir, al artículo 3, apartado 2, de la rgpd), incluya los datos de contacto de su representante en la UE de conformidad con el artículo 27 de la rgpd.
A continuación figura el propio Aviso de Privacidad deTermly, que demuestra cómo comunicar esta información de forma clara y accesible.
Este tipo de introducción ofrece a los usuarios un contexto esencial desde el primer momento. La sencillez y el lenguaje claro ayudan a cumplir las normas de transparencia rgpd y generan confianza desde la primera línea.
Base jurídica para la recogida y el tratamiento de datos
Bajo el rgpdtoda organización que recoja o trate datos personales de residentes en la UE debe identificar una base jurídica para hacerlo.
Las seis bases legales de la rgpd son:
- Consentimiento: La persona ha dado un permiso claro para que usted procese sus datos con un fin específico, como suscribirse a un boletín informativo.
- Contrato: el tratamiento de datos es necesario para cumplir un contrato, como el suministro de un producto o servicio adquirido.
- Obligación legal: La ley le exige que procese los datos (como mantener registros fiscales o laborales).
- Intereses legítimos: Tiene una razón comercial válida para procesar los datos que no anula los derechos del usuario (por ejemplo, prevenir el fraude o mejorar la funcionalidad del sitio web). Debe estar "articulado de forma clara y precisa" y ser "real y actual, no especulativo".
- Intereses vitales: El tratamiento es necesario para proteger la vida de alguien (poco frecuente en la mayoría de los contextos empresariales).
- Tarea pública: El tratamiento es necesario para realizar una tarea de interés público (normalmente se aplica a organizaciones gubernamentales).
Cuando redacte su política de privacidad, especifique cuáles de estas bases se aplican a cada tipo de datos que recopila y por qué.
La mejor práctica consiste en vincular cada finalidad del tratamiento a una base jurídica específica (por ejemplo, la suscripción al boletín de noticias al consentimiento, las compras al contrato, etc.).
Por ejemplo, la política de privacidad de Spotify enumera claramente las bases jurídicas en las que se basa para el tratamiento de datos. A continuación encontrará un extracto.
Este ejemplo muestra cómo puede agrupar sus actividades de tratamiento bajo diferentes bases legales, manteniendo al mismo tiempo un lenguaje conciso y fácil de entender.
Qué datos recopila
Una piedra angular del rgpd es la transparencia en cuanto a los tipos de datos que recopila.
Su política de privacidad debe enumerar claramente las categorías de datos personales que procesa y explicar brevemente cómo los recopila, ya sea directamente de los usuarios, a través de tecnologías automatizadas o de terceros.
Sea específico. Evite frases genéricas como "podemos recabar información".
Los tipos de datos más comunes son:
- Identificadores personales: Nombres, direcciones de correo electrónico, números de teléfono, direcciones postales
- Información de la cuenta: Credenciales de inicio de sesión, detalles del perfil y preferencias.
- Datos de pago: Direcciones de facturación, información sobre métodos de pago o registros de transacciones
- Datos técnicos: Direcciones IP, tipo de navegador, sistema operativo e identificadores del dispositivo.
- Datos de uso: Cómo interactúan los usuarios con tu sitio web, app o correos electrónicos.
- Cookies y datos de seguimiento: Información recopilada a través de análisis, publicidad o integraciones en redes sociales.
Si maneja datos sensibles, como información biométrica, sanitaria o política, debe indicarlo explícitamente y explicar las garantías adicionales que aplica.
Su objetivo es dar a los usuarios una idea clara de qué datos recopila y por qué. Evite frases vagas como "podemos recopilar información". En su lugar, sea lo más específico posible.
A continuación, verá la Política de Privacidad de Airbnb, que desglosa los tipos de datos que recopila en secciones sencillas y organizadas.
Este ejemplo muestra cómo presentar las categorías de datos de forma clara y agrupar la información relacionada, facilitando la navegación y la comprensión de la sección.
Política de almacenamiento y conservación de datos
En virtud de rgpd, las empresas deben explicar cuánto tiempo conservan los datos personales y qué determina ese plazo. Esto ayuda a los usuarios a entender cómo se gestiona el ciclo de vida de sus datos, desde su recogida hasta su supresión.
Su póliza debe incluir:
- Cómo y dónde se almacenan los datos (por ejemplo, en servidores seguros, en la nube o a través de terceros proveedores).
- Cuánto tiempo se conservan las distintas categorías de datos
- Los criterios utilizados para decidir los periodos de conservación (es decir, requisitos legales, necesidades operativas).
- Qué ocurre cuando los datos ya no son necesarios (por ejemplo, anonimización o supresión)
Recuerde dar ejemplos concretos, como "los datos de facturación se conservan 7 años para el cumplimiento de las obligaciones fiscales, los datos de marketing se eliminan 12 meses en caso de que no se opte por la exclusión voluntaria".
Evite decir que los datos se conservan "mientras sea necesario" sin más contexto.
En su lugar, debe indicar el periodo de conservación específico (por ejemplo, "6 meses") o, si no es posible, los "criterios utilizados para determinar dicho periodo" (por ejemplo, "la duración de la suscripción del usuario más un periodo de 1 año para resolver reclamaciones legales").
Por ejemplo, la Declaración de Privacidad de Microsoft ofrece una visión clara de sus prácticas de retención. A continuación verás cómo especifican los periodos de conservación en función del caso de uso.
Este ejemplo muestra cómo ir más allá de las declaraciones vagas y ofrecer a los usuarios una visión transparente de las prácticas de retención.
Al explicar claramente cuánto tiempo se conservan los datos y las razones que hay detrás de ello, su política demuestra responsabilidad y ayuda a generar confianza entre su público.
Cláusula de transferencia de datos
Una Cláusula de Transferencia de Datos explica cómo y cuándo pueden compartirse o transmitirse datos personales entre partes, ya sea dentro de su organización o entre proveedores de servicios, pero especialmente cuando se transfieren a través de fronteras geográficas, es decir, fuera del Espacio Económico Europeo (EEE).
En virtud de la rgpd, las transferencias a terceros países están restringidas por el capítulo V de la rgpd , y esta sección ayuda a demostrar que su empresa mantiene un control estricto sobre la forma en que se mueven los datos, garantizando que siempre se traten de forma segura y legal.
Si los datos salen del EEE, debe especificar el mecanismo que utiliza, como la decisión de adecuación, las Cláusulas Contractuales Tipo (CCC) o las Normas Corporativas Vinculantes. Asimismo, tenga en cuenta que pueden aplicarse garantías suplementarias de conformidad con el artículo 46 del rgpd.
Además, su política debe describir:
- Cuándo y por qué pueden transferirse datos personales
- Con quién pueden compartirse los datos (por ejemplo, filiales o terceros proveedores).
- Las salvaguardias establecidas para proteger esos datos durante la transferencia (por ejemplo, cifrado, acuerdos contractuales o mecanismos legales aprobados).
- Cómo pueden ponerse en contacto con usted los usuarios para obtener más información sobre estas transferencias
Esta cláusula ayuda a mitigar riesgos como la violación de datos y el incumplimiento de la normativa, al tiempo que garantiza a los usuarios que su información personal permanece protegida independientemente de dónde se procese o almacene.
Morgan Lewis ofrece un buen ejemplo de cómo comunicar esto claramente en su política de privacidad.
Este ejemplo muestra cómo equilibrar la transparencia con la tranquilidad proporcionando un enlace a su lista de ubicaciones y explicando las razones de las transferencias de datos.
Cookies y otros rastreadores
Las cookies y tecnologías de rastreo similares desempeñan un papel fundamental en el modo en que los sitios web recopilan y analizan los datos de los usuarios.
Debe distinguir claramente entre cookies esenciales y no esenciales y proporcionar un enlace a su propia política de cookies y/o centro de preferencias de cookies.
Según la Ley de Cookies de la UE y rgpd, debes explicar claramente cómo se utilizan estas herramientas y ofrecer a los usuarios un control significativo sobre ellas.
Su política de privacidad (o política de cookies vinculada) debe incluir:
- Qué tipos de cookies o rastreadores utiliza (por ejemplo, esenciales, analíticas, de marketing)
- Por qué los utiliza (por ejemplo, para recordar preferencias o mejorar el rendimiento del sitio)
- Si terceros colocan cookies a través de su sitio
- Cómo pueden los usuarios gestionar o retirar su consentimiento, que debe obtenerse antes de colocar cualquier rastreador no esencial.
También es una buena práctica crear e incluir un enlace a su política de cookiespara que los usuarios puedan acceder fácilmente a información detallada o ajustar su configuración.
Shopify sirve como ejemplo de cómo introducir el uso de cookies de forma clara y enlazar a los usuarios con más información en su Política de Privacidad, que se muestra a continuación.
Este ejemplo muestra cómo ser transparente sin abrumar a los lectores. Al resumir brevemente las prácticas en materia de cookies y dirigir a los usuarios a una política de cookies detallada, Shopify equilibra el cumplimiento con la claridad, una práctica recomendada para cualquier sitio web orientado a la UE.
Derechos del interesado
En virtud de rgpd, los individuos, conocidos como interesados, tienen varios derechos que les dan control sobre su información personal. Su política de privacidad debe enumerar claramente estos derechos y explicar cómo pueden ejercerlos los usuarios.
Los principales derechos son:
- Derecho de acceso: Los usuarios pueden solicitar una copia de los datos personales que usted tiene sobre ellos.
- Derecho de rectificación: Los usuarios pueden solicitar la rectificación de datos inexactos o incompletos.
- Derecho de supresión (derecho al olvido): Los usuarios pueden solicitar la supresión de sus datos personales en determinadas circunstancias.
- Derecho a restringir el tratamiento: Los usuarios pueden limitar el uso que se hace de sus datos.
- Derecho a la portabilidad de los datos: Los usuarios pueden obtener una copia de sus datos personales para utilizarlos en diferentes servicios.
- Derecho de oposición: Los usuarios pueden oponerse a determinados tipos de tratamiento, como el marketing directo.
- Derecho a retirar el consentimiento: Los usuarios pueden retirar su consentimiento en cualquier momento cuando el tratamiento se base en el consentimiento.
Su política de privacidad debe explicar cómo los usuarios pueden presentar una Solicitud de Acceso del Sujeto de Datos (DSAR), una solicitud formal para acceder, cambiar o eliminar sus datos.
Según rgpd, las empresas deben responder sin demora indebida y a más tardar en el plazo de un mes con respuestas claras, completas y seguras.
Gestionar los DSAR manualmente puede ser complejo y lento. Una solución DSAR ayuda a centralizar las solicitudes, confirmar la identidad del usuario y hacer un seguimiento de las respuestas, para que las empresas se mantengan organizadas y cumplan los plazos rgpd .
Apple describe claramente los derechos de los interesados y ofrece a los usuarios una forma práctica de ejercerlos en su Política de Privacidad.
Este ejemplo muestra cómo combinar claridad y accesibilidad. Apple enumera los principales derechos en un lenguaje sencillo y ofrece inmediatamente un punto de contacto para que los usuarios actúen.
Información de contacto de su empresa
Toda política de privacidad de la UE debe terminar con una sección de contacto clara y accesible. Esta parte de la política indica exactamente a los usuarios cómo ponerse en contacto con usted si tienen preguntas, dudas o quieren ejercer sus derechos sobre los datos.
Como mínimo, incluir:
- Nombre legal completo de su empresa
- Su dirección profesional
- Un correo electrónico de contacto para preguntas relacionadas con la privacidad
- Información de contacto del responsable de la protección de datos (RPD ), si procede
También puede enlazar con su formulario DSAR para facilitar aún más que los usuarios se pongan en contacto con usted de forma segura.
Un buen ejemplo es la política de privacidad de Canva, que incluye una sección de contacto sencilla y bien organizada, como se muestra en la siguiente captura de pantalla.
Este ejemplo ilustra las mejores prácticas para las organizaciones internacionales.
Canva no sólo facilita un correo electrónico directo y una dirección física, sino que también nombra a sus representantes en la UE y el Reino Unido e incluye enlaces a formularios de solicitud de datos, lo que facilita a los usuarios de cualquier región ponerse en contacto con la parte adecuada.
Dónde publicar su política de privacidad de la UE
Incluso la política de privacidad más exhaustiva no ayudará a su empresa si los usuarios no pueden encontrarla. Según rgpd, las políticas de privacidad deben ser fácilmente accesibles en cualquier lugar donde se recojan datos personales. Esto garantiza que los usuarios puedan revisar cómo se utilizará su información antes de compartirla.
Su política de privacidad debe estar disponible en lugares clave de su sitio web o aplicación, como:
- Pie de página: La ubicación más habitual y esperada. Los usuarios deben poder encontrar el enlace a la política de privacidad al final de cada página.
- Pantallas de pago o facturación: Añade un enlace cerca de cualquier formulario en el que los clientes introduzcan datos de pago o facturación.
- Formularios de registro o contacto: Muestra un breve aviso de privacidad y un enlace a tu política completa siempre que los usuarios faciliten información personal.
- Banners o ventanas emergentes de cookies: Incluya un enlace para que los usuarios puedan acceder fácilmente a su política de privacidad y a los detalles de las cookies antes de dar su consentimiento.
- Páginas de creación de cuentas o de inicio de sesión: Asegúrate de que los usuarios puedan revisar tu política antes de registrarse o iniciar sesión.
- Centro de privacidad o cumplimiento: Si su empresa maneja grandes volúmenes de datos u opera en múltiples regiones, considere una página dedicada donde los usuarios puedan acceder a su política de privacidad, política de cookies y formularios DSAR, todo en un solo lugar.
- Aplicaciones móviles: Añade un enlace a la política de privacidad en el menú de la aplicación o en la página de configuración para cumplir los requisitos de transparencia de la app store y rgpd . Una notificación "por capas" es la mejor práctica. Proporcione un resumen breve y sencillo de los puntos clave (por ejemplo, propósitos, derechos, identidad del controlador) con un enlace claro o desplegable para acceder a la política detallada completa.
Hacer que su política de privacidad sea accesible en estos lugares no sólo contribuye al cumplimiento de la normativa, sino que también demuestra a los usuarios que su empresa valora la transparencia y la responsabilidad.
Política de privacidad de la UE frente a política de cookies: Por qué necesita ambas
Una política de privacidad y una política de cookies pueden sonar similares, pero ambas tienen propósitos distintos y desempeñan un papel clave en la transparencia.
Su política de privacidad proporciona una visión general de cómo su empresa recopila, utiliza, comparte y protege los datos personales. Abarca todos los tipos de información que procesa, desde los detalles de la cuenta hasta los datos de pago.
A política de cookiesse centra específicamente en las tecnologías de rastreo utilizadas en su sitio web. Explica qué cookies están activas, qué hacen, quién las instala y cómo pueden los usuarios gestionar sus preferencias.
Disponer de ambos documentos facilita a los usuarios encontrar la información que necesitan sin tener que vadear densas secciones de texto. También demuestra que su empresa valora la claridad y el control del usuario, dos elementos esenciales para generar confianza en Internet.
Cómo ayuda Termly a las empresas a elaborar una política de privacidad conforme a la UE
Crear una política de privacidad que cumpla las normas de la UE puede parecer complicado, especialmente cuando su empresa recopila datos en múltiples puntos de contacto.
Termly's Generador de política de privacidad le ayuda haciéndole una breve serie de preguntas sobre su empresa, sector y prácticas de datos. A continuación, elabora una política a medida que se adapta a su región y a los requisitos legales.
También le permite realizar fácilmente actualizaciones a medida que cambian las leyes para mantener su póliza actualizada.
Con Termly, las empresas pueden ahorrar tiempo, minimizar el trabajo manual de cumplimiento y ofrecer con confianza políticas que fomenten la confianza y la transparencia.
Más sobre el autor
Escrito por Hanna De La Garza
Hanna es redactora de contenidos en Termly, donde crea recursos atractivos sobre privacidad de datos, gestión del consentimiento, actualizaciones normativas y mucho más. Se centra en hacer que los temas complejos sean accesibles para los propietarios de empresas y contribuye tanto a las nuevas iniciativas de contenido como a las actualizaciones de los materiales existentes para garantizar la precisión y la claridad.
Más sobre el autor
Revisado por Teodor Stanciu, CIPP/E, CIPM Coordinador Jurídico y DPO
