Es habitual que las empresas recopilen datos personales de los consumidores, pero ¿sabes qué tipos de datos concretos estás procesando realmente?
Muchas de estas categorías entran dentro de las definiciones legales de datos personales o información personal según leyes como el rgpd, la CCPA y otras normativas globales de privacidad.
En esta guía, analizo los nueve tipos de datos que se recopilan con mayor frecuencia y proporciono información sobre lo que debe saber acerca de ellos para cumplir con la ley.
¿Qué tipo de datos protegen las leyes de privacidad?
Aunque la definición de«datos personales»varía en función de la legislación en materia de privacidad, estas leyes suelen recopilar información que, por sí sola o en combinación con otros datos, puede utilizarse para identificar a una persona o un hogar.
Algunas leyes enumeran categorías específicas de datos, como la Ley de Privacidad del Consumidor de California (CCPA).
Otros, como el Reglamento General de Protección de Datos (rgpd), están redactados de forma amplia y tecnológicamente neutra para garantizar que cubran casi cualquier información relacionada con una persona identificable.
¿Mi empresa recopila algún tipo de datos?
Es muy probable que su empresa recopile uno o más tipos de datos diferentes, especialmente si realiza alguna de las siguientes actividades:
- Vender productos o servicios en línea.
- Permitir a los usuarios crear cuentas de inicio de sesión.
- Solicitar nombres y direcciones de correo electrónico para enviar boletines informativos o correos electrónicos de marketing.
- Implementar cookies de Internet en los navegadores de los visitantes del sitio, que se consideran datos personales.
- Utiliza servicios de terceros como Google Analytics, HubSpot, etc.
Debe realizar una auditoría de privacidad para saber exactamente qué datos recopila su empresa, dónde y cómo se recopilan, y por qué los recopila.
Si el rgpd a su empresa, debe identificar una base legal para el tratamiento.
En virtud de leyes estatales estadounidenses como la CCPA/CPRA, debe proporcionar un aviso en el momento de la recopilación y respetar las exclusiones voluntarias, pero no necesita una base legal.
A lo largo de esta auditoría, también se asegurará de proporcionar las medidas técnicas y de seguridad adecuadas para mantener todos los datos a salvo de accesos no autorizados, fugas y violaciones.
¿Cuáles son los tipos de datos que se recopilan con mayor frecuencia?
Ahora que he revisado cómo las leyes de privacidad afectan a la recopilación de datos personales, veamos nueve de las categorías de información que se recopilan con más frecuencia.
1. Información de identificación personal (PII)
La información de identificación personal o PII es principalmente un término legal y normativo estadounidense. En virtud del rgpd muchas leyes internacionales, el concepto equivalente se denomina simplemente «datos personales».
La PII se refiere a cualquier información que, por sí sola o combinada, pueda identificar a una persona.
Es un tipo de datos que se recopila con mucha frecuencia y puede incluir detalles como:
- Nombres (nombre y apellidos)
- Direcciones de correo electrónico
- Números de teléfono
- Direcciones particulares/direcciones postales
Este tipo de información se recopila habitualmente cuando los visitantes del sitio web rellenan sus datos en un portal de pago o crean cuentas o inician sesión.
Los correos electrónicos y los nombres se recopilan a menudo con el fin de enviar correos electrónicos de marketing o boletines informativos.
Lo que necesitas saber
La información de identificación personal (PII) casi siempre está protegida por las leyes de privacidad.
Asegúrate de proporcionar a los usuarios información adecuada y transparente manteniendo tu política de privacidad y política de cookies actualizadas con detalles sobre la información de identificación personal que recopila tu empresa.
2. Datos de cuenta y autenticación
Otro tipo de datos que se recopilan con mucha frecuencia son los datos de cuenta y autenticación, que pueden incluir información como:
- Nombres de usuario
- Contraseñas
- Preguntas y respuestas de seguridad
- Códigos de inicio de sesión
Las empresas suelen solicitar estos datos para que los usuarios puedan completar formularios de registro, crear cuentas o iniciar sesión en sitios web, aplicaciones o cualquier otra plataforma.
Lo que necesitas saber
Leyes como el rgpd la CCPA protegen los datos de las cuentas y otro tipo de información similar.
Si procesa este tipo de información de cualquier forma, inclúyala como una categoría de datos que recopila en su política de privacidad.
Si se utilizan cookies de autenticación para almacenar identificadores de sesión y tokens, estos detalles deben incluirse en su política de cookies.
3. Análisis, datos de interacción e información de navegación por Internet
Muchos sitios web recopilan datos analíticos sobre los visitantes de su sitio web, lo que abarca una gran cantidad de detalles, incluidos los hábitos de navegación e información como:
- Páginas vistas
- Tasas de rebote
- Información del dispositivo o del navegador
- Datos de geolocalización
- Porcentajes de clics
- Tiempo dedicado a las páginas
- Comparticiones en redes sociales
- Direcciones IP
- Consultas de búsqueda
- URL de referencia
La mayoría de las empresas utilizan un servicio externo para recopilar y analizar esta información, como Google Analytics, SEMrush, HubSpot
Algunos datos analíticos y de interacción se consideran datos personales y están protegidos por las leyes de privacidad de datos.
En la UE, las cookies analíticas requieren consentimiento previo, salvo que sean estrictamente necesarias. Este requisito se deriva de la Directiva sobre privacidad electrónica, no del rgpd.
Lo que necesitas saber
Se trata de una categoría de datos compleja, ya que abarca muchos tipos diferentes de detalles, muchos de los cuales entran dentro de la definición legal de información personal.
Si bien no todos los datos analíticos permiten identificar a una persona (por ejemplo, las tasas de rebote), otros detalles sí lo permiten, y algunos incluso se consideran una categoría especial de información personal sensible, que está sujeta a requisitos legales aún más estrictos (por ejemplo, la geolocalización precisa).
La geolocalización precisa es sensible según la CCPA/CPRA. Según rgpd, no se considera automáticamente un dato de categoría especial, a menos que revele características protegidas (por ejemplo, visitas a clínicas de salud, edificios religiosos, etc.).
4. Detalles de pago/Información financiera
Muchos sitios web cuentan con portales de pago que facilitan las transacciones financieras, y estos portales suelen recopilar los siguientes tipos de información financiera de los usuarios:
- Números de tarjetas de crédito/débito
- Información de la cuenta bancaria
- Direcciones de facturación
Es habitual recopilar estos datos para completar con éxito y de forma segura los pagos y las transacciones entre el consumidor y su empresa.
Lo que necesitas saber
Esta información está protegida por la mayoría de las leyes de privacidad, y los números de tarjetas de crédito y los datos de las cuentas se consideran una categoría especial de información confidencial según la legislación.
Según la CPRA, los números de tarjetas de crédito y las credenciales de cuentas se clasifican como información personal confidencial.
Según el rgpd, los datos financieros son datos personales, pero no datos de categoría especial. Sin embargo, los responsables del tratamiento deben aplicar medidas de seguridad reforzadas, ya que los datos financieros entrañan un alto riesgo de daño en caso de violación.
En su política de privacidad, usted informa a los usuarios de que recopila datos de pago e información financiera. Si tiene estos datos en su poder y se produce una violación ilegal de los mismos, las leyes de privacidad podrían hacerle responsable económicamente.
5. Datos demográficos
Las empresas suelen recopilar algún tipo de datos demográficos de los usuarios, por ejemplo:
- Edad
- Género
- Fecha de nacimiento
- Nacionalidad
Es posible que recopiles fechas de nacimiento y datos demográficos para enviar materiales promocionales o cupones, para verificar que los usuarios que se registran en tu plataforma tengan más de una edad determinada o para obtener más información sobre la cultura de tus usuarios.
Lo que necesitas saber
Los datos demográficos, como la edad o el sexo, son datos personales según el rgpd la CCPA.
Los perfiles demográficos utilizados para la publicidad dirigida pueden dar lugar a obligaciones adicionales, como la posibilidad de excluirse voluntariamente en virtud de la CCPA y otras leyes de privacidad de EE. UU.
Los datos relativos a la edad de los menores están sujetos a requisitos más estrictos (por ejemplo, la COPPA en los Estados Unidos, la mayor protección de los datos de los niños rgpd).
6. Datos de atención al cliente y comunicación
Muchas empresas recopilan información que los usuarios proporcionan voluntariamente al interactuar con el servicio de atención al cliente o al completar formularios.
Esta categoría puede incluir una amplia gama de datos, tales como:
- Tickets de soporte y mensajes del servicio de asistencia técnica
- Correos electrónicos enviados al servicio de atención al cliente
- Transcripciones de chats e interacciones con chatbots
- Formularios de contacto
- Comentarios sobre productos o encuestas
- Archivos subidos, capturas de pantalla o archivos adjuntos
- Contenido generado por los usuarios (por ejemplo, reseñas, comentarios o mensajes en foros).
Estos datos se recopilan cuando las personas solicitan asistencia, piden ayuda para resolver problemas, envían consultas o participan en funciones comunitarias o programas de satisfacción del cliente.
Lo que necesitas saber
Los datos de atención al cliente y comunicación suelen contener una mezcla de datos personales, incluyendo nombres, direcciones de correo electrónico, información sobre dispositivos e información potencialmente sensible si los usuarios la revelan voluntariamente.
Por este motivo, leyes como el rgpd, la CCPA/CPRA y otras normativas globales de privacidad exigen a las empresas:
- Revelar claramente que recopilan datos de comunicación en su política de privacidad.
- Limitar el acceso únicamente a aquellos empleados o proveedores de servicios que lo necesiten.
- Supervisar la recopilación accidental de información personal confidencial.
- Asegúrese de que las plataformas de soporte (por ejemplo, Zendesk, Intercom, HubSpot) estén cubiertas por acuerdos válidos de procesamiento de datos.
- Implementar medidas de seguridad adecuadas, como el cifrado y los controles de acceso.
- Respetar las solicitudes de eliminación y los límites de retención, ya que los registros de comunicaciones suelen almacenarse durante más tiempo del necesario.
Si se utilizan cookies, rastreadores o herramientas de reproducción de sesiones para recopilar datos de interacción (por ejemplo, a través de widgets de chat en vivo), esto también debe indicarse en su política de cookies.
7. Datos de ubicación
Algunas empresas pueden recopilar datos de ubicación de los usuarios, entre los que se pueden incluir:
- Direcciones IP
- Coordenadas GPS
- Direcciones de envío
Las empresas pueden recopilar estos datos para enviar productos a la ubicación preferida del cliente, mejorar la experiencia del usuario o con fines de marketing dirigido.
Lo que necesitas saber
Dado que estos datos pueden identificar a una persona o un hogar, casi siempre están protegidos por leyes de privacidad y solo pueden recopilarse legalmente dentro de sus límites específicos.
Algunas de estas leyes, como la CCPA y otras legislaciones estatales de EE. UU., otorgan a las personas el derecho a optar por que sus datos no se utilicen para publicidad dirigida.
Según la CPRA, la «geolocalización precisa» se define como los datos dentro de un radio de 1850 pies (aproximadamente 564 metros). Esta categoría recibe una mayor protección.
8. Información sobre el dispositivo y datos técnicos
Algunas empresas recopilan información sobre los dispositivos y otros datos técnicos de los usuarios, por ejemplo:
- Tipo y modelo del dispositivo
- Sistema operativo
- Tipo de navegador
- Cookies y otros identificadores de seguimiento
Esta información puede ser utilizada por empresas que deseen perfeccionar sus productos y servicios, mejorar las opciones de atención al cliente o incluso con fines de ciberseguridad y otros fines relacionados con la seguridad.
También se puede utilizar para marketing dirigido, publicidad y análisis generales.
Lo que necesitas saber
Es importante que menciones toda la información técnica y sobre dispositivos que tu empresa recopila directamente de los consumidores en tu política de privacidad.
Pero es igualmente importante informarles sobre las cookies o los rastreadores utilizados para recopilar estos datos.
Muchas leyes, como el rgpd, exigen que se informe sobre cómo se recopila la información de los usuarios y, en este caso, podría ser mediante la instalación de una cookie en su navegador.
Es importante saber que las direcciones IP pueden ser datos personales según el rgpd según el TJUE Breyer contra Alemania).
Los identificadores de dispositivos, los identificadores publicitarios y los identificadores de cookies también pueden constituir datos personales si permiten identificar razonablemente a un usuario o a un hogar.
9. Información personal sensible
Algunas empresas pueden recopilar una categoría especial de datos conocida como información personal sensible, que puede incluir:
- Información sanitaria
- Datos biométricos
- Opiniones políticas
- Creencias religiosas
- Raza/etnia
- Sexo/género
- Orientación sexual
Sin embargo, la definición específica puede variar en función de la legislación que se aplique a su negocio o que proteja a sus consumidores.
En el rgpd, las «categorías especiales de datos personales» se definen en el artículo 9 e incluyen datos sobre la salud, datos biométricos para la identificación, opiniones políticas, creencias religiosas o filosóficas, afiliación sindical, raza/etnia y orientación sexual.
El tratamiento de estas categorías requiere una justificación específica en virtud del artículo 9, como el consentimiento explícito, las obligaciones en materia de legislación laboral o el interés público sustancial.
Según la CPRA (Ley de Derechos de Privacidad de California) y otras leyes estatales similares de los Estados Unidos, la «información personal sensible» es una categoría definida que incluye:
- Números de identificación gubernamentales,
- Credenciales de inicio de sesión en la cuenta,
- Geolocalización precisa,
- Origen racial o étnico,
- Nacionalidad o estatus migratorio,
- Datos genéticos, y
- El contenido de las comunicaciones, entre otros.
Los consumidores tienen derecho a limitar el uso y la divulgación de estos datos personales.
Es importante no confundir las categoríasrgpd con la información personal sensible de la CCPA/CPRA.
Los dos marcos utilizan una terminología diferente e imponen obligaciones diferentes, incluso cuando los tipos de datos parecen similares.
Aunque los nombres son similares, los requisitos legales, los derechos de los consumidores y las condiciones de procesamiento difieren significativamente entre las distintas jurisdicciones.
Hay muchas razones diferentes por las que una empresa puede recopilar datos confidenciales.
Algunas razones son específicas del sector, como las compañías de seguros o los hospitales que recopilan y analizan datos sanitarios, o los servicios de GPS y mapas que recopilan información de geolocalización.
Lo que necesitas saber
En la mayoría de las leyes de privacidad, las categorías de datos personales sensibles suelen estar sujetas a requisitos de privacidad de datos más estrictos.
En virtud del rgpd, el tratamiento de datos de categorías especiales requiere tanto una base jurídica conforme al artículo 6 como una condición específica conforme al artículo 9.
En virtud de la CPRA, las empresas deben proporcionar un «Aviso de derecho a limitar» cuando utilicen información personal sensible para fines tales como la elaboración de perfiles o la publicidad dirigida.
Por ejemplo, es posible que tenga que realizar evaluaciones de riesgos relacionados con la privacidad de los datos, solicitar el consentimiento expreso de los usuarios antes de recopilarlos y presentarles avisos de privacidad muy claros.
Cómo Termly las empresas a comunicar los tipos de datos que recopilan
Si tu sitio web recopila datos personales, Termly tu solución integral para el cumplimiento de la normativa de privacidad.
Con una Termly , puedes utilizar herramientas como nuestro Generador de política de privacidad para enumerar fácilmente todas las categorías y tipos de datos necesarios.
Nuestro generador, respaldado legalmente, formula preguntas sencillas sobre su empresa y sus actividades de tratamiento de datos, e incluye una lista de categorías comunes de datos junto con la opción de rellenar sus propios datos.
También puede utilizar el escáner de sitios webTermly para verificar qué cookies utiliza su sitio; a continuación, las clasifica y las enumera en una política de cookies única.
Es rápido, fácil y puedes registrarte gratis.
Más sobre el autor
Escrito por Natasha Piirainen
Natasha es especialista en contenidos con más de 10 años de experiencia profesional en el desarrollo de contenidosbasados en la investigación. Es licenciada en Filosofía e Inglés por el Wheaton College. En Termly,se centra en las mejores prácticas de privacidad de datos y gestión del consentimiento yes responsable del mantenimiento y la actualización de materialesexhaustivos sobre privacidad de datos .
Más sobre el autor
Revisado por Teodor Stanciu, CIPP/E, CIPM Coordinador Jurídico y DPO
